Archive for 6 月 11th, 2009

[Injection] 末期的状況

Posted in security on 6 月 11th, 2009 by gnome

恐ろしい・・・
以下のリストを見て、ゾッとしないシス管は居ないはずです

69.59.28.225
72.38.121.90
80.248.218.241
82.115.86.94
87.106.103.122
89.171.115.10
212.84.166.131
207.182.136.106
207.182.136.107
207.182.136.108
213.165.80.179
216.154.213.166

DOMAINResistrantNS
jenesaisrien.comSTUDIO ARTIFICE
informations@
studio-artifice.com		ns1.jenesaisrien.com
ns2.sivit.org
vds659.sivit.orgsupport@
support.gandi.net		NS1.SIVIT.ORG
NS2.SIVIT.ORG
shopmoviefestival.cnScott Bell
ScottKBell@
missiongossip.com 		ns1.freednshostway.com
ns2.freednshostway.com
s15238535
.onlinehome-server.info		Andreas Gauger
hostmaster@
1und1.com		ns27.1and1.com
ns28.1and1.com
static-86-94.is.net.plAndreas Gauger
biuro@
nazwa.pl		ns2.solutions.net.pl
ns1.solutions.net.pl
s72-38-121-90.static
.comm.cgocable.net		Administrator, DNS
dnsadmin@
cogeco.ca		ns.cgocable.net
ns2.cgocable.net
ns4.cgocable.net
tweetwitter.comWallin, Nicholas
nicholas.wallin@
gmail.com		ns1.tweetwitter.com
ns2.tweetwitter.com
gianttopdiscover.cnMichelle Rea
rea@
cybernauttech.com		ns1.freednshostway.com
ns2.freednshostway.com
hugetoplocate.cnMichelle Rea
rea@
cybernauttech.com		ns1.freednshostway.com
ns2.freednshostway.com
hostindianet.comONLINENIC, INC. ns1.hostindianet.com
ns2.hostindianet.com
ns3.hostindianet.com
247orders.comPrintJob Ltd
Kulow, Nikolai
nikolai@
printjob.com 		ns1.theplanet.com
ns2.theplanet.com
4-job.comTelivo Ltd
Haitham Alshafey
haitham_alshafey@
yahoo.com		ns59.1and1.co.uk
ns60.1and1.co.uk
server.edwinbuckley
.co.uk		Edwin Buckley Co Ltdns1.dnsmaster.net
ns2.dnsmaster.net
ns3.dnsmaster.net
infostore.caZdravko Galinec
i-64398mdvq@
usersca3.internic.ca		ns7.zoneedit.com
ns14.zoneedit.com
ns6.zoneedit.com
roleski.plDomainMaker dns1.is.net.pl
dns2.is.net.pl
torrentoreactor.netDmitry P Gubin
d.gubin@
nameclub.at		ns1.freednshostway.com
ns2.freednshostway.com
ns3.freednshostway.com
ns4.freednshostway.com
wtssurvey.comKralj Boris
zgalinec@
merrymouse.com 		ns14.zoneedit.com
ns7.zoneedit.com

(自分的には見慣れた) Michelle Rea およびScott Bell 登録の .cn ドメイン以外は、正当なドメインが FTPパス窃取によって「ドメインもろとも」不正に使用されている可能性があります。
特に 1und1 は、hostmaster@1und1.com の権限を持つアカウントが窃取されている可能性があります。

FTP不正使用だけでも大ダメージですが、自分のドメインを勝手に流用されたり、逆引きホスト名をインジェクション先に使われるとか「アリエン!」と叫んでしまいそうになります。

どうするんだろうコレ・・・

---------
[.cn Injection]って呼び名をつけた矢先に .cn だけでは無くなったのもショック・・・

Leave A Comment »

[.cn Injection] その後・・・

Posted in RiskHedge on 6 月 11th, 2009 by gnome

"aux = " 型のGumblarとの明示的な区別のため、今後は .cn Injection と呼ぶことにします。

で、この後期型 .cn ドメイン洪水によるインジェクションですが、調べる度に IPが変わっていて自分でもどうしていいのかわからなくなりつつあります。

cNotesさんのほうで詳しい解説が出ていました。

cnドメインを利用した cocacola , income ,pepsi インジェクション

cnドメインを利用した mozila , banner , tycoon インジェクション

cnドメインを利用したインジェクション関連 追記

cnドメインを利用したインジェクション関連 追記2

DNSラウンドロビンによる単純な5台廻しなのかなぁ・・

最初に発覚したIP:
87.106.103.122

残り:
69.59.28.225
72.38.121.90
82.115.86.94
212.84.166.131

後ろ4つはMDLにも報告が無く、周辺のIPにも不正使用報告がないため、陥落した正規サイトのように見受けられます。

更に検索すると・・
207.182.136.106
というのも見つかりました
typicalprecedent.com
cnドメインではないものも使ってきているようです。

もう少し様子を見ないとなんともいえませんが・・・

cNotesさんも指摘している、Fast-Flux(RockPhish)のような手法と組み合わされると、本気で手の付けようがなくなりそうです。

攻撃の高度化,「Fast-Flux」から「RockPhish」まで――その1

攻撃の高度化,「Fast-Flux」から「RockPhish」まで――その2
こっそりURL修正

--------------
こういうインジェクション系の話に素早い ScanSafeが、今回の件にはまだ言及していないところを見ると、大きく拡散していないのかも?(と希望的観測を交えて)思ってしまいますが、本当のところはよくわかりません。

ちなみに、 .cn洪水ドメインと Gumblarを関連付けたものとしてレポートしたのも ScanSafeだったりします。

2 Comments »

2009.06.11の雑記

Posted in security on 6 月 11th, 2009 by gnome

-------------------
HijackThisは、Merijn Bellekom氏によって作成された Windowsのシステム情報検出ツールで、ウィルスやマルウェアによって変更されることの多い「危険な領域」のレポートを行うツールです。現在はHijackThis™として、TrendMicro社に売却され、開発権も移管されています。
海外でのウィルス被害のQ&A問答の際に、よく Report Hijack This Logs!と言われますね。

なにやら、HijackThisの変なバージョンが出回っているらしく(版権元の)TrendMicroが注意喚起しています。
Beware of Repackaged HijackThis Downloads
Beware, Trend Micro does NOT sell nor intend to sell HijackThis. Trend Micro supports its communities by providing information and updates to registry keys, validity of system or BHO (browser helper object) files.

Loaris Inc. とかいうとこが、勝手に HijackThisのUIだけ変えたものを再パッケージした製品を売ってるってことなんですかね?
SoftPediaなんかにも 30Euro で登録されてるっぽいですが・・(苦笑)

裁判沙汰になりそうな・・・・

参考:
HijackThisによるログの取得と、不正エントリの修正(fix)方法

-------------------
TrendMicroのBlogをもうひとつ

Stolen FTP Credentials Key to Gumblar Attack

ここで語られてるTrojan本体TSPY_KATES.Gは、Zlkon/Gumblar/Martuzで使用されていた aux=を使用するタイプですが、現在進行中の「模倣」Gumblarは明らかに違います。
MD5:0xB9E6EC4AE89C7CBF5FB7AF30B5751F1A

まぁ、Gumblarが SQLインジェクションではない点は4月ぐらいから明らかなので、SQL Injectionと、Injected Html(JavaScript)がゴッチャにされているのかも

「FTPパスワードが盗まれて、Web改ざんされている」――専門家が警告
ラックの研究開発本部 コンピュータセキュリティ研究所所長の岩井博樹氏によれば、同社では2008年ぐらいから、FTP経由で“一発”で不正侵入されるケースを確認しているという。

試行錯誤した痕跡がないことから、FTPのパスワードを盗まれ、管理者になりすまされて不正侵入された可能性が高いとする。「パスワードを変更しても不正侵入され続けたケースもある。そのケースでは、パスワードを盗むマルウエア(ウイルス)が管理者のパソコンに仕込まれている危険性がある」(岩井氏)。

そりゃ、トロイコードがネットワークの監視をしてる(らしい)んですから、感染状態でのパスワード変更はかえって危険ですよね。

Creating a website is indeed a big task but, considering the present threat landscape, monitoring it and keeping it secure from attacks is a bigger one.
Website administrators have the responsibility to keep their systems malware free, secure web server files from unauthorized access, and keep their website clean of malicious codes, for their own sake and most especially, their visitors’.

これを一般(個人)のウェブ・オーナーにしろとおっしゃる?(苦笑)

個人的な感想ですが、元になった脆弱性の問題と、盗まれたID/Passの水平漏洩の注意喚起のほうが優先だと思いますですよ。

Zlkonの攻撃が開始された(自分が最初に見つけたのは英国のストリーミングサイトでした)起点が、どういう経緯でインジェクションされたのか?は調べる意味があるかもしれません。
鶏と卵がどっち先なのか?という命題解決に似てますけどね

-------------------
Windows Sysinternalsは、Windowsをより低レベルで解析するためのフリーツール群です。

私がよく使っているのは、ProcessExplorerFileMonDiskViewかな? たまに TCPViewも使っています。

たぶん、そんなツールをもっともよく使っているであろう(笑)SANSのスタッフが
SysInternals Survey

コレ 5 minute - Sysinternals Customer Survey に協力しましょう~と言っています。

でも5分じゃ終わらなかった・・(苦笑)

-------------------
カウントダウンが巻き戻ったりしていたアノOSですが

Fedora 11リリース

というわけで、リリースされました
Fedora 11: Reign
*clap* *clap* *clap*

あとは人柱さんの報告待ちデス

-------------------
Bing、一時 Yahoo を抜き検索シェア 2 位に

へぇ?



そうなのかぁ・・・

※注:ウチは Firefox+NoScript推奨なので、その環境の人はそもそもこの解析ログにひっかかりません(笑)

Leave A Comment »

ホットワード padding margin 以下 自分 Michelle
割引クーポンまとめ情報 - クー割