punycodeを使った誘導URL
Published: 2010/07/06
6/25に.中国とか.台湾とかいわゆる中国語圏でのIDN ccTLDが認められたらしいですが、聞いた瞬間にURLフィルタやドメインフィルタが難しくなるなぁと思ってしまうのは重症ですね。
2010/5/5にもこのようなものが使用可能になっています。
さっぱりわかりません。アラビア後なんて右から左に読んだりするわけで。。。
で、TLDは最近なのですが、第2レベルドメイン(2LD)以下に関してはすでにASCII以外の文字が使えたりしてたわけですが、実際のDNSとのやりとりはpunycodeというアルゴリズムでascii文字に変換してから行われています。
たとえばこんな感じ。
インジェクションされているよ.中国 ↓ xn--n8j7azczhoad0oya6e0di18cxef.xn--fiqs8s
ドメインにかなりなメッセージ性を持たせることができるのか。。。。。
というわけで、今年に入ってからの攻撃に利用されるドメインでこのpunycodeが使われているものをさがしてみました。
www.xn--sltzer-bua.com xn--kiralktekne-3zb.net xn--kiralktekneler-9fc.net www.xn--seluklutalebeyurdu-9ub.com www.xn--takstore-vkb.com www.xn--hurmac-u9a.com www.xn--ott-ina.com xn--cggynk-bva2i2b.hu www.xn--ssanservis-wubb.com xn--49s01v7kiisz.sakura.ne.jp xn--vestrest-h0a.com www.xn--gnermuhasebe-dlb.com xn--smlandshuset-ucb.dk xn--registersk-mcb.se xn--enseantesdelarenal-q0b.com xn--6dba3ab4c.name www.xn--siteynetimi-vfb.com xn--narckemlak-n6a20gea.com www.xn--pflasterbr-y5a.de xn--laks-elad-21a8r.hu.atma.silihost.hu xn--nyugdjpnztr-t7a4h7b.com xn--strmnett-74a.no
さすがにTLDはないですね。
もとの文字列はこんな感じ(wwwは省略してます。)
うん。わかりにくい。
いずれも広告ページへ飛ばすためのリダイレクタの設置場所を指すドメインでした。
見た目をごまかすぐらいの使われ方なのか、機械的なセキュリティチェックを難しくするための手法に使われるのか?たとえば日本語とか中国語とか使われた場合は、フィルタリングとかスパムチェックには変換前の文字列を使うんでしょうか?変換後のASCII文字を使うんでしょうか?変換する機能を必須とするんでしょうか。これは悩ましい。ブラックリストとかRDB的なものの対応がどうされているかですかね。
by jyake