UnderForge of Lack

"aux = " 型のGumblarとの明示的な区別のため、今後は .cn Injection と呼ぶことにします。

で、この後期型 .cn ドメイン洪水によるインジェクションですが、調べる度に IPが変わっていて自分でもどうしていいのかわからなくなりつつあります。

cNotesさんのほうで詳しい解説が出ていました。

cnドメインを利用した cocacola , income ,pepsi インジェクション

cnドメインを利用した mozila , banner , tycoon インジェクション

cnドメインを利用したインジェクション関連　追記

cnドメインを利用したインジェクション関連　追記2

DNSラウンドロビンによる単純な５台廻しなのかなぁ・・

最初に発覚したIP:
87.106.103.122

残り:
69.59.28.225
72.38.121.90
82.115.86.94
212.84.166.131

後ろ４つはMDLにも報告が無く、周辺のIPにも不正使用報告がないため、陥落した正規サイトのように見受けられます。

更に検索すると・・
207.182.136.106
というのも見つかりました
typicalprecedent.com
cnドメインではないものも使ってきているようです。

もう少し様子を見ないとなんともいえませんが・・・

cNotesさんも指摘している、Fast-Flux(RockPhish)のような手法と組み合わされると、本気で手の付けようがなくなりそうです。

攻撃の高度化，「Fast-Flux」から「RockPhish」まで――その1

攻撃の高度化，「Fast-Flux」から「RockPhish」まで――その2
こっそりURL修正

--------------
こういうインジェクション系の話に素早い ScanSafeが、今回の件にはまだ言及していないところを見ると、大きく拡散していないのかも？（と希望的観測を交えて）思ってしまいますが、本当のところはよくわかりません。

ちなみに、 .cn洪水ドメインと Gumblarを関連付けたものとしてレポートしたのも ScanSafeだったりします。

This entry was posted on 木曜日, 6 月 11th, 2009 at 9:10 AM and is filed under RiskHedge. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.