Gumblar : 相当手札が減っているかも?
Posted in security on 5 月 31st, 2009 by gnome
さて、その終わったはずの Gumblarが完全に ShutDownさせられたかもしれない?というお話です
Gumblar Companion Finally Shutting Down?
最近誤訳をしたばかりなので(泣)一応原文をチェックしてみてください。
英語得意なわけじゃないんです・・・
斜め訳:
以前のBlogで以下のように報告しました
gumblar.cnの跳び先(compromise)は 同様に 213.182.197.23にホストされたドメインからの悪意を持ったiframeから不正に読み込まれ、マルウェアをダウンロードさせられていました。このドメインには liteautotop.cn, bigtruckstopseek.cn, autobestwestern.cn および、その他複数のドメインを含んでいます。
現時点では一週間以上の間、gumblar.cnとmartuz.cnは閉鎖状態ですが、その他の仲間は増殖し続けていました。悪意を持ったドメインは
liteautotop.cn
bigtruckstopseek.cn
autobestwestern.cn
bestlitediscover.cn
bigpremiumlite.cn
bigtopartists.cn
bigtopcabaret.cn
bigtopsuper.cn
giantnonfat.cn
hugebestbuys.cn
litebest.cn
litetopautoseek.cn
superdietfind.cn
yourlitetopfind.cn
と増え続けています。bigtruckstopseek.cn
autobestwestern.cn
bestlitediscover.cn
bigpremiumlite.cn
bigtopartists.cn
bigtopcabaret.cn
bigtopsuper.cn
giantnonfat.cn
hugebestbuys.cn
litebest.cn
litetopautoseek.cn
superdietfind.cn
yourlitetopfind.cn
つい先日、攻撃者がドメインリストを分割して、2つのIPアドレスでの攻撃に切り替えました
70.85.142.250
86.106.121.200
86.106.121.200
これら双方はとも、91.212.65.14というnameserverを使用しており、以下に示す複数のNameserverに登録していました。
213.163.91.91
209.44.126.7
213.182.197.23
202.73.57.20
95.129.144.211
209.44.126.7
213.182.197.23
202.73.57.20
95.129.144.211
この戦術は地方(home-grown : 意訳的にはIT先進国ではない~セキュリティ意識に欠ける)の防弾ホスティング問題と類似しています。しかし幸いなことに、現在はネームサーバ自身が閉鎖中のようです。これは朗報です。なぜなら、犯人は商売(攻撃)を続行するために余計なコストがかかるからです。いずれ、コストが高くなりすぎるならば、これらの特定な攻撃は終焉するでしょう。
もっとも、これはもぐらたたき(Whack-a-Mole)をやっているようなものです。ワンセットになったドメインの群れが引っ込んだら、他のセットが顔を出します。5月の前半の2週間で、ScanSafe STATは 919 もの別々の Web上の攻撃を検知しました -- Gumblarとその眷属はちょうどその期間の 3/919 の攻撃に過ぎません。
たった3ですか(苦笑)
70.85.142.250は
MDL May 26, 2009で身内向けには通達済みでしたが、86.106.121.200のほうは漏れてました。ごめんなさい。※MDLにも載ってないので、ScanSafe独自の調査なのかな?
86.106.121.200 as ns2.betbigwager.cn
86.106.121.0/24 :: 前科無いので全焼きは保留
BEYOND MEDIA SRL
Romania Bucuresti
86.106.121.0/24 :: 前科無いので全焼きは保留
BEYOND MEDIA SRL
Romania Bucuresti 防弾ホスティング(bullet-proof hosting)は、「悪意コンテンツだろうがスパマーだろうが」お構いなしに受け入れるホスティング会社を指します。
詳しくはこのへんを参考にしてください。
スパム・ビジネスに利用される「防弾ホスティング」と「防弾ドメイン」 DNSそのものを塞ぐのはイロイロ影響が出るかもしれませんし、他のDNSにzone fileが渡ってしまうとあまり意味がありませんが・・・
91.212.65.14 ? んん?
Eurohost LLC
Ukraine塞いじゃって下さい・・・・
他のDNS
213.163.91.91
Serverboost IP space
Netherlands 初見
209.44.126.7
Netelligent Hosting Services Inc.
Canada Quebecいつもの Zeusドメイン
213.182.197.23
JUNIK Riga Network
Latviaはいはい・・
202.73.57.20
dyn20-b57-access.superdsl.com.sg
Viewqwest Pte Ltd Singapore
初見
202.73.57.11と202.73.57.6でLuckysploit系の攻撃犯歴有
また、2009/01/21 に Zeus/wsnpoem の報告有
202.73.57.0/24
95.129.144.211
Ventrex LLP
UK LOVE MALWARESでクロ判定しておいた範囲内でした。ということで、攻撃者の手札は相当狭められているようです。
Google検索すると(ちょっと危なげなとこに)危険DNSのリストがあり、そこにはバッチリ記載されていました。
しかし、DNSまで汚染してるとかアリエン・・・ラトビア、ウクライナ両国の人はそろそろ何とかしないと、国ごとブロックされかねませんよ?(苦笑)
-----------
いろいろなゴミも含めてコレが No.500 のPostでした。
-----------
I love Steven Ballmer!
Flash Player 10.0.45.2
KILL Acrobat JavaScript
Java 6 update 19
Apple QuickTime 7.5.6
Firefox 3.6.3
Chrome 4.1.249.1045
Opera 10.51
Thunderbird 3.0.4
O
OOo 3.2
RealPlayer SP1.1.2(12.0.0.641) 
Skype 4.2.0.155
Pidgin 2.6.6
Wordpress 2.9.2
WireShark 1.2.7
Secunia PSI
MyJVN VerChk
2010.05.31
2010.06.30
BEFORE BURNER
焼却炉