winzipices.cn www.bluell.cn www.ririwow.cn

インジェクション 関連で４月末から５月初頃に追加された新顔です。ダウンロードされるたくさんのファイル名等は省略しています。

www.bluell.cn

bbs.jueduizuan.com

www.ririwow.cn

上から二つは同じIPアドレスです。２番目はすでにドメインが存在していません。使用されるスクリプト、狙われる脆弱性は３つとも同じです。

今までの手法にreal11なるものが追加されています。

www.nihaorr1.comもまったく同一にはなっていませんがスクリプトが変更されて、上記のインジェクションと共通する新しいバイナリがダウンロードされるようになってますね。

winzipices.cn

これは前者とはIPアドレスは違いますが、同一Cクラスのアドレスです。

インジェクションされている内容に記述されているのは1.js～5.jsのようで、これらはそれぞれ1.asp～5.aspを呼び出します。.aspは解析防御のためか2回目以降「Internal Server Error」で取得失敗しますが、数回繰り返すと再取得可能なので2度目以降を完全にブロックするものではないようです。また404.htmにも細工されているので存在しないURLを記述しても感染できます。ダウンロードのシーケンスは少々複雑に分岐します。

狙う脆弱性は他とは違うものですし、サイトの仕組みも他のものにくらべると少し高度になっているので若干異質なもののようです。

js.users.51.la

www.51.la

img.users.51.la

サブドメインのバリエーションはこれ以外にもあります。

過去には、これ自体が直接インジェクションされている例もあるような感じですが、ここから追加でバイナリを持ってくるようになっているスクリプトが最近のインジェクションがらみで共通して見受けられます。

うん、まだありますね。

[カテゴリ:botnet観察日記]

by jyake