木曜日, 2月 04, 2016

マルウェアサンプルを送りたい場合

0day.jp又はMalwareMustDieに匿名でマルウェアのサンプルを送りたいだったら【このリンク】から「ファイル送る便」のアクセスが出来ます。「ファイル送る便」ページから私達にマルウェアサンプルを送る事が出来ます。
ページの画像は下記のようになっております↓

アップロードの手順が書いてあります。手順通りで作成をさせて頂ければ私達の調査サーバ迄にファイルが届きます。


念の為にメインリンクと「バックアップリンク」をブログの右メニューにも入れました。英語版のページも存在しています。

どっちでも、ぜひ、使って下さい。よろしくお願いします。



@unixfreaxjp

水曜日, 1月 13, 2016

【警告】ランサムウェアによるウェブサイトの暗号化

現在グーグルで検索したら6,000以上のウェブサイトがLinuxランサムウェアに感染されたそうです。
今すぐにウェブサイトのデータをバックアップして下さい。

火曜日, 11月 17, 2015

ELF Linuxランサムウェア:復号機能の解析メモ #reversing

《 ELFマルウェアワークショップの方々へ 》


AVTOKYO-2015ELFマルウェアワークショップ「Swimming in the Sea of ELF」を開催しました。来てくれた皆さんに有難う御座いました。丁度最近Linuxランサムウェアが流行ったので、ワークショップ上でunix shellでリバーシングが必要な理由を説明しました。ワークショップで説明したr2をセットアップした後、下記のリバーシングメモを参考に練習が出来ると思います。

=> >English version is here and here

目次



(1)感染のバックグラウンド
(2)どんなソースコードを使用しているのか
(3)何処から何処まで暗号化されているのか
(4)復号機能のリバーシング
(5)なぜPolarSSLのソースコードが沢山使われたのか
(6)ずっと最初から「PolarSSL」を使われたのか
(7)結論

《 感染のバックグラウンド 》

【目次へ戻る】


感染されたサイトは例えば↓(下のサイトにはwordpressのファイルアップロード脆弱性がある)

検索のキーワードは「README_FOR_DECRYPT.txt」でdorkで検索したら出てくる。

感染されたサイトからの「README_FOR_DECRYPT.txt」のメッセージを確認すると、こんな感じ↓
(※クリックで拡大)


《 どんなソースコードを使用しているのか 》

【目次へ戻る】


実はどんな物なのか「Linux/Encoder.1」ランサムウェアのELF x86-64x86-32のバイナリサンプルを調査した。
リバーシングしたら中身は単純すぎで、本当にがっかりした。もしかしたら素人が作ったんじゃないのかと思うほど。

ソースコードのセットは↓

↑全部C言語で、マルウェア全体に使っているシステムコールのコードはソースコードに入ってる、目的は分かり易い。恐らくランサムウェアのメインコードは「main.c」だと思う。

メモ:秀丸のgrepでソースコードはさくっと検索が出きるよw


《 何処から何処まで暗号化されているのか 》

【目次へ戻る】


調査した結果上で、マルウェアで暗号化されているファイル/DIRじゃ「OK」と「禁止」ルールがある↓
0x002F1FC  /root/.ssh (exclusion)_ / 暗号禁止
0x002F207  /usr/bin (exclusion)_ / 暗号禁止
0x002F210  /etc/ssh (exclusion)_ / 暗号禁止
0x002F219  /home
0x002F21F  /root
0x002F225  /var/lib/mysql
0x002F234  /var/www
0x002F23D  /etc/nginx
0x002F248  /etc/apache2
0x002F255  /var/log

メモ:最初段階の暗号化されているターゲット↓


メモ:その次は下記の暗号化除外↓(別途サンプルx86-32 ELF種類)


下記のファイル拡張子の全ては暗号化されている↓
0x002F25E  .php
0x002F263  .html
0x002F269  .tar
0x002F26E  .gz
0x002F272  .sql
0x002F277  .js
0x002F27B  .css
0x002F280  .pdf
0x002F285  .tgz
0x002F28A  .war
0x002F28F  .jar
0x002F294  .java
0x002F29A  .class
0x002F2A1  .ruby
0x002F2A7  .rar
0x002F2AC  .zip
0x002F2B1  .db
0x002F2B5  .7z
0x002F2B9  .doc
0x002F2BE  .xls
0x002F2C3  .properties
0x002F2CF  .xml
0x002F2D4  .jpg
0x002F2D9  .jpeg
0x002F2DF  .png
0x002F2E4  .gif
0x002F2E9  .mov
0x002F2EE  .avi
0x002F2F3  .wmv
0x002F2F8  .mp3
0x002F2FD  .mp4
0x002F302  .wma
0x002F307  .aac
0x002F30C  .wav
0x002F311  .pem
0x002F316  .pub
0x002F31B  .docx
0x002F321  .apk
0x002F326  .exe
0x002F32B  .dll
0x002F330  .tpl
0x002F335  .psd
0x002F33A  .asp
0x002F33F  .phtml
0x002F346  .aspx
0x002F34C  .csv
0x002F36B  .git
0x002F370  .svn

それとgrep/regexで下記の単語が入っているファイルも↓
0x002F351  public_html
0x002F35D  webapp
0x002F364  backup

《 復号機能のリバーシング 》

【目次へ戻る】


【重要】暗号化されているファイルは「.encrypted」という拡張子名が追加される。
コードを見た限りでは本物のファイルが「unlink」で削除されていただけww(未だ確認出来てないですが恐らくext4だとリストアが出来るかと思われる…)。

decrypter(復号関数)は2つがあり、decrypt_all()decrypt_file()なので、
decrypt_all()の*SNIP*リバースデータはこんな感じ↓
[ xrefs: 0x004014f1 0x00401502 0x00401523 0x004014a5 0x004014b6 0x0040098e 0x00400ad3 ]

【重要】上記のリバーシング情報の大して、いくつかのポイント↓
1. その関数を動かす為に引数(arguement)が必ず必要、引数無しだとこのランサムウェアの動かす意味が無い。
例えばこのコマンドラインみたいに⇒ ./ランサムウェアファイル名 [crypt|decrypt] [キー]
x86-32のサンプルには引数のスイッチ機能が下記のように見えます↓

2. リバースコードを見たらLinuxサーバ全体に"/"DIRからのdecrypt(復号)が可能。
3. decrypt_all()は結局最後にdecrypt_file()を実行する。

decrypt_file()の関数について下記のアドレスで見れる、準備はこんな感じ↓
[ addr: 0x00400617 xref: 0x00400a4f xcall: setChmod() ]

【重要】ヒント:"Decrypting file: %s"のstringを探してください(とても分かりやすい)

この辺は面白い、ランサムウェアなのに、システムコール使うよりもstdio.hが使われているww
開いたファイルのデータはfread_unlockedで(void *data, size_t size, size_t count, FILE *stream)読み込みされる


次のリバーシングコードでマルウェアに暗号化されたファイルのdecrypt(復号)仕方の説明。

【重要】まず、このランサムウェアの復号機能の仕組みは、RSAプライベートキー(犯罪者が持っている)とパブリックキー(被害者が持っている)を使い、バイナリに書いた暗号化されているAESキーを取り戻す。そして、そのAESキーを使ってマルウェアに暗号化されているファイルの取り戻すことも出来る。

そのAESキーはプライベートキーで暗号化されている(バイナリの中で)↓
0x002FF58  -----BEGIN ENCRYPTED PRIVATE KEY-----
0x002FF80  9292758453063D803DD603D5E777D7888ED1D5BF35786190FA2F23EBC0848AEADDA92CA6C3D80B32C4D109BE0F36D6AE7130B9CED7ACDF54CFC7555AC14EEBAB93A89813FBF3C4F8066D2D800F7C38A81AE31942917403FF4946B0A83D3D3E05EE57C6F5F5606FB5D4BC6CD34EE0801A5E94BB77B07507233A0BC7BAC8F90F79
0x0030088  24BF6185468786FDD303083D25E64EFC66CA472BC44D253102F8B4A9D3BFA75091386C0077937FE33FA3252D28855837AE1B484A8A9A45F7EE8C0C634F99E8CDDF79C5CE07EE72C7F123142198164234CABB724CF78B8173B9F880FC86322407AF1FEDFDDE2BEB674CA15F3E81A1521E071513A1E85B5DFA031F21ECAE91A34D
0x0030190  C36D0EB7FCD285223CFB5AABA5BDA3D82C01CAD19EA484A87EA4377637E75500FCB2005C5C7DD6EC4AC023CDA285D796C3D9E75E1EFC42488BB4F1D13AC30A57
0x0030218  C000DF51A7C77AE8D7C7370C1FF55B69E211C2B9E5DB1ED0BF61D0D9899620F4910E4168387E3C30AA1E00C339A795088452DD96A9A5EA5D9DCA68DA636032AF
0x00302A0  C1ACF567564274FB07A0BBAD5D26E2983C94D22288ACD763FD8E5600ED4A702DF84198A5F06C2E72236AE490C93F07F83CC559CD27BC2D1CA488811730BB5725
0x0030328  4959CBF6F8FEF750AEE6977C155579C7D8AAEA56749EA28623272E4F7D0592AF7C1F1313CAC9471B5C523BFE592F517B407A1BD76C164B93DA2D32A383E58357
0x00303B0  9AE7FBC99546432DF71896FC239EADAEF38D18D2B2F0E2DD275AA977E2BF4411F5A3B2A5D33605AEBBCCBA7FEB9F2D2FA74206CEC169D74BF5A8C50D6F48EA08
(などなど…)
メモ:「などなど…」の所にRSAコマンドのアウトプットがそのままで全て書いてある。ようはAESキーを暗号化された時のアウトプットがバイナリにパース(PARSE)されていたと分かった。恐らくそれぞれのLinuxランサムウェアのバイナリを作った時にビルダーを使ったよう。

AESの種類はCBC(下記のリバーシングのコードと確認が出来る↓)
[ xref: 0x0400836 xcall: aes_decrypt() ]


そして、decrypt_file()関数をリバーシングしたらこんな感じで↓(もっと大きい画像はこちら)
[ xref: 0x00400a4f xcall: setChmod() ]

※このパラグラフが英語で説明した方が分かりやすいと思うので【こちらを】ご覧下さい。

《 なぜPolarSSLのソースコードが沢山使われたのか 》

【目次へ戻る】


本ランサムウェアをリバーシングしたら沢山のPolarSSLソースコードの関数を発見した。何故PolarSSLが使われたのか下記に説明する↓

AES復号機能の中にはmbedtls_aes_setkey_decmbedtls_aes_crypt_cbc のコードが使われ、両方はPolarSSL「mbedtls/pk.h」からかぱくってきたソースコードだと分かった。その関数の中でAESキーの長さとAESのCBC暗号種類を使ったのも分かった。AESビットの長さは、asmでコールの仕方を見たら何も設定されてないので標準のままで、128ビットだね。AES暗号・復号機能のために便利なオープンソース(polarSSL)からぱくってきたんだと思われる←PolarSSLを悪用する理由(1)

尚、暗号化されたファイルの復号機能の中で取り戻したファイルのデータもstdio.hでのfwrite_unlockedの書き込まれた。これでランサムウェアに暗号化されたファイル復号機能の説明は終わり。次はRSAで暗号化されているAESキーを復号する方法の説明。

RSA復号機能(AESキーのクラック機能)のasmコードを読むと、順序はこんな感じで↓(参考コードはこちらへ
0x400753でprivate_decrypt()の関数があり、その関数の中で分析を続けて行くとmbedtls_pk_decrypt()関数がある。mbedtls_pk_decrypt()関数の目的はバイナリで暗号化されたAESキーを復号する事。そして、そのAESキーを使うと暗号化されていたファイルをリストアする事が出来る。
mbedtls_pk_decryptコード自体もPolarSSLのソースコードであり、もともとSSLの上で暗号化されていたメッセージを復号する事がこの回数の目的。仕様書に確認するとmbedtls_pk_decryptは「RSA default padding type PKCS#1 v1.5」に対応している、という意味ではmbedtls_pk_decryptはRSA暗号の復号化が出来る←PolarSSLを悪用する理由(2)

上記の説明に当たり、AESキーの復号機能をリバーシングすると下記のように見える↓
[ xref: 0x0400753 xcall: private_decrypt() ]

※このパラグラフが英語で説明した方が分かりやすいと思うので【こちらを】ご覧下さい。


《 ずっと最初から「PolarSSL」を使われたのか 》

【目次へ戻る】


詰まり…PolarSSLの前は何のcryptoライブラリーを使用していたのか?何故最近になって「PolarSSL」が使われるようになったのか?
実は「Linux.Encoder.1」の前のLinuxランサムウェアのバーションがあったので、当時「PolarSSL」は使われず、「OpenSSL」だった。証拠は下記の2件↓

RSAプライベートキーの暗号化の機能のリバーシング↓


AESキーの暗号化機能のリバーシング↓

※最初から使われたAESキーの長さは128ビット。

cryptoライブラリーが変わった原因は恐らくPolarSSLの方がバグのない、かつ新しいコードが入っているからかと思われる。



《 結論 》

【目次へ戻る】


APIみたいな使い方で引数が必要 arg1=暗号|復号 arg2=RSA、感染されたサーバに残したスクリプトを確認が出来たら使い方が直ぐに分かると思われる。暗号機能がほぼPolarSSLからのコード。読み込みと書き込みはstdio.hの関数で作られた。システム周りのコマンドも結構そのままで実行される(unlink,chmod,など)…ブロックも行けそう。journaldに対応しているシステムではリストアが可能かと。いくつかの攻撃元アドレスと確認したので作者は東ヨーロッパの人っぽいね。

メモ以上


reversing by @unixfreaxjp - founder & team leader of MalwareMustDie

月曜日, 11月 16, 2015

【イベント】 ELFマルウェア解析ワークショップ - AVTOKYO 2015

平成27年11月14日の16時半から「AVTOKYO 2015」のイベントでELFマルウェア解析ワークショップを開きました。ELFバイナリーについてのマルウェアの調査・解析の話ばかりなのでワークショップのタイトルは「Swimming in the Sea of ELF」でした。タイムテーブルはこちらです。本イベントはおそらく、世界初のELFマルウェア解析のワークショップだと思います。マルチarchitectureのELFバイナリー解析とマルチOSでのELFマルウェア調査・解析・デバッグングをデモする事となります。

この先必ず「IoT」に色んなELFマルウェアが流行ると思いますので、先に日本国内でELFマルウェア対策が出来る様にしたいので、このワークショップを開きました。

unixfreaxjpはスライドの説明とshellでのELFのリバーシング・デバッグとradare(r2)のツール紹介をやりました、IDA PROでのELFリバーシング・ELFデバギンッグとデコンパイルのデモはUCQさんがやりました。

流れ的にワークショップの最初はスライドでELF解析必要な情報から始まりました。その後はIDA PROの説明・デモが始まり、大体一時間弱、そして残りの時間はshellでのリバーシングとQ&A(となどなど)でした。ワークショップの間に説明をしながら質問にも答えます。解析で使っていたELFマルウェアサンプルは「MalwareMustDie」からでした。

UCQさんはWindowsOSとLinuxVM経由でIDA基本の使い方から始まり、そしてプラクティカルなレベルのデモも行い、ELFのバイナリーのロード仕方の調整、見る方法、デバギンッグ方法とデモ、そして最後はデコンパイルの説明。その後いくつかELFサンプルを見せられたのでそれぞれのサンプルリバーシングの情報・コメント。非常に面白かったです。綺麗にご対応していました。有難う御座いました。

私の方はMacOSXとFreeBSD上でエミュレータ(QEMU)環境で、何故shellで解析が必要なのかの説明、shellでのELF解析ツール紹介から始まり、インストールの仕方、コマンドの周りデモとヒント、staticとdynamicリバーシングのデモをしました。その後はELFマルウェアのデバギングのデモをしました。その後ハニーポットのデモ・便利なshellツールのデモ。その後にいくつかELFマルウェア感染対策のビデオと説明をやりました。

ワークショップが終わったらAVTOKYO 2015の終わり迄にワークショップのメンバーが部屋に残りましたので、色んな「MalwareMustDie」のELFマルウェア情報交換もやりました。そして、始まりから終わりまで居て下さった2名にMalwareMustDieのTシャツをプレゼントしました。

結果的に良かったので、次回もバイナリーリバーシングのワークショップをまたやります。

スライドは下記となります↓(いくつかshellのリバーシング・デバッギングのスクリーンショットを添付しました)

ツイート↓


AVTOKYO2015のスタッフ/チームと友達の皆様に感謝です。有難う御座いました。
Special thank's to @avtokyo @tessy_jp @moton @sen_u @ucq to make this great leap happens!

日曜日, 10月 11, 2015

#OCJP-128: ロシア系マルウェアボットネットのカムバック、11件の国内感染を発見

以前の0day.jp記事にも日本国内に対して「Kelihosマルウェア・ボットネット」の感染を報告しましたが

今回このロシア系マルウェア感染ボットネットが「カムバック」しましたので、
今日我々「MalwareMustDie」が12時間モニターしたら、日本国内の感染IP11件を発見しました。

全国の感染されたPC/IPは合計164IPを発見しました。これから情報が増えると思っています(監視し始めたばかり)。

感染されたIPの一覧は下記となります↓
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.

いくつかダウンロードの証拠を画像キャップチャーしました↓


【重要】アンチウイルスの検知率は今市で弱いです、ご認識を下さい(VT = 3/56)。最新のダウンロードしたマルウェアに確認しました。下記 VTスキャン結果の画像キャップチャーです(使われてい「crypter」のせいで別途マルウェア名が出てしまいました。実はkelihosボットネットのマルウェアPEです)↓



全国の感染されたIPからマルウェアダウンロードのログを取りましたので、
タイムスタンプの確認の為に【このURLに】上記の国内IPの「grep」が出来ます。

尚、全国の感染されたIP情報は現時点で合計164件です、情報は【こちらへ】

感染モニターリングの監視はこれからも続けますので、この情報を定期的にアップデートします。

=================================================
【アップデート】Mon Oct 12 03:35:40 JST 2015
=================================================


1. 全国の感染、19時間モニターリング、合計:260件


2. 日本国内の感染、合計;13件
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd. 

=================================================
【アップデート】Mon Oct 12 22:31:29 JST 2015
=================================================


1. 全国の感染、39時間モニターリング、合計:349件


2. 日本国内の感染、合計;14件
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.


=================================================
【アップデート】Tue Oct 13 06:41:43 JST 2015
=================================================


1. 全国の感染、合計:425件
2. 日本国内の感染、合計;17件↓
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
119.82.192.176|192.176.net3.hinocatv.ne.jp.|23788 | 119.82.192.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
126.62.102.209|softbank126062102209.bbtec.net.|17676 | 126.62.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
210.148.156.28|j210148156028.nct9.ne.jp.|2497 | 210.148.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.

=================================================
【アップデート】Wed Oct 14 04:18:12 JST 2015
=================================================


1. 全国の感染、合計:540件

2. 日本国内の感染、合計;28件↓
101.96.32.57|u057.d032096101.ctt.ne.jp.|7672 | 101.96.32.0/19 | FITWEB | JP | ctt.ne.jp | Cable Television Toyama Incorporeted.
110.172.0.188|0.188.net4.hinocatv.ne.jp.|23788 | 110.172.0.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
113.43.111.32|113x43x111x32.ap113.ftth.ucom.ne.jp.|17506 | 113.40.0.0/14 | UCOM | JP | fttx.co.jp | UCOM Corporation
114.49.2.173|em114-49-2-173.pool.e-mobile.ne.jp.|37903 | 114.48.0.0/15 | EMOBILE | JP | ymobile.jp | YMobile Corporation
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
116.65.15.63|116-65-15-63.rev.home.ne.jp.|9824 | 116.65.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
119.82.192.176|192.176.net3.hinocatv.ne.jp.|23788 | 119.82.192.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
126.62.102.209|softbank126062102209.bbtec.net.|17676 | 126.62.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
180.146.88.221|180-146-88-221f1.shg1.eonet.ne.jp.|17511 | 180.144.0.0/14 | K | JP | eonet.ne.jp | K-Opticom Corporation
202.78.188.153|202-78-188-153.kakt.j-cnet.jp.|4721 | 202.78.184.0/21 | JCN | JP | koalanet.ne.jp | Jcom Tokatsukatsushika Co. Ltd.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
210.148.156.28|j210148156028.nct9.ne.jp.|2497 | 210.148.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
219.193.80.100|softbank219193080100.bbtec.net.|17676 | 219.193.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network of SoftBank BB Corp
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.187.252|u687252.xgsfm38.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.194.73|u694073.xgsfm1.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.210.204|u710204.xgsfm2.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.

=================================================
【アップデート】Thu Oct 15 06:52:43 JST 2015
=================================================


四日間のモニターリング、感染されたPCのダイアルアップのIPが落ちたりして、IPがころころ変わっています。
1. 全国の感染IP、合計:669件


2. 日本国内の感染IP、合計;37件↓
101.96.32.57|u057.d032096101.ctt.ne.jp.|7672 | 101.96.32.0/19 | FITWEB | JP | ctt.ne.jp | Cable Television Toyama Incorporeted.
110.172.0.188|0.188.net4.hinocatv.ne.jp.|23788 | 110.172.0.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
113.43.111.32|113x43x111x32.ap113.ftth.ucom.ne.jp.|17506 | 113.40.0.0/14 | UCOM | JP | fttx.co.jp | UCOM Corporation
114.49.2.173|em114-49-2-173.pool.e-mobile.ne.jp.|37903 | 114.48.0.0/15 | EMOBILE | JP | ymobile.jp | YMobile Corporation
115.162.63.177|p73a23fb1.ymgtnt01.ap.so-net.ne.jp.|2527 | 115.162.0.0/15 | SO | JP | so-net.ne.jp | So-net Service
116.193.112.202|202.112.193.116.ip4.winknet.ne.jp.|38628 | 116.193.96.0/19 | WINK | JP | winknet.ne.jp | Himeji Cable Television Corporation
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
116.65.15.63|116-65-15-63.rev.home.ne.jp.|9824 | 116.65.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
116.67.133.177|p744385b1.sitmnt01.ap.so-net.ne.jp.|2527 | 116.67.128.0/17 | SO | JP | so-net.ne.jp | So-net Service
119.82.192.176|192.176.net3.hinocatv.ne.jp.|23788 | 119.82.192.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
126.62.102.209|softbank126062102209.bbtec.net.|17676 | 126.62.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
180.146.88.221|180-146-88-221f1.shg1.eonet.ne.jp.|17511 | 180.144.0.0/14 | K | JP | eonet.ne.jp | K-Opticom Corporation
183.72.178.229|u678229.xgsfm7.imtp.tachikawa.mopera.net.|9605 | 183.72.0.0/16 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
202.125.60.36|u036.d060125202.ctt.ne.jp.|7672 | 202.125.48.0/20 | FITWEB | JP | ctt.ne.jp | Cable Television Toyama Incorporeted
202.78.188.153|202-78-188-153.kakt.j-cnet.jp.|4721 | 202.78.184.0/21 | JCN | JP | koalanet.ne.jp | Jcom Tokatsukatsushika Co. Ltd.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
210.148.156.28|j210148156028.nct9.ne.jp.|2497 | 210.148.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
210.149.77.107|j210149077107.nct9.ne.jp.|2497 | 210.149.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
211.19.245.151|dhcp22-151.ctb.ne.jp.|23780 | 211.19.224.0/19 | CTB | JP | ctb.ne.jp | CTB Media Inc.
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
219.193.80.100|softbank219193080100.bbtec.net.|17676 | 219.193.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network of SoftBank BB Corp
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.163.175|u663175.xgsfm36.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.178.76|u678076.xgsfm37.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.187.252|u687252.xgsfm38.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.194.73|u694073.xgsfm1.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.210.204|u710204.xgsfm2.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
今迄の情報を見たら日本国内感染されたPCは大体20台以下と思われます。

日曜日, 8月 30, 2015

#OCJP-127: 「Shellshock」攻撃事件、日本国内40件以上の感染、Perlバックドアshellbotマルウェア

「Shellshock」攻撃が未だ沢山発見し、その攻撃からマルウェアに感染されたマシンも多いです。
本事件はその事件の報告ですので、本事件に感染されたマルウェアが多くて、
IRの対応参考情報と国内セキュリティの注意点為このブログに書きました。

ついさっき下記のshellshock攻撃が来ました↓

フルログはこちら⇒【pastebin

「Shellshock」攻撃元のIP↓
{
  "ip": "64.15.155.177",
  "hostname": "ns1.neodepo.com",
  "city": "Montrテゥal",
  "region": "Quebec",
  "country": "CA",
  "loc": "45.5000,-73.5833",
  "org": "AS32613 iWeb Technologies Inc.",
  "postal": "H3G"
}

shellshockのbash実行コマンドは下記となります↓

コマンドの説明は↓
shellshock脆弱性に影響されたマシンでperlを実行され、実行が可能マシンから「XSUCCESS!」アタッカーにHTTPの回答で送られます。そして「wget」で49.212.167.43からinfo.logファイルをダウンロードされ、perlで実行してから削除されます。

ファイルダウンロード元のIPは「49.212.167.43」さくらインターネット(日本国内)にあります↓
{
  "ip": "49.212.167.43",
  "hostname": "www13269uf.sakura.ne.jp",
  "city": "Osaka",
  "region": "Osaka",
  "country": "JP",
  "loc": "34.6864,135.5200",
  "org": "AS9371 SAKURA Internet Inc.",
  "postal": "540-0008"
}

ダウンロード証拠↓
--2015-08-30 17:00:01--  hxxp://49.212.167.43/info.log
Connecting to 49.212.167.43:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 41728 (41K) [text/plain]
Saving to: 'info.log'
100%[==============>]  40.75K  --.-KB/s   in 0.03s
2015-08-30 17:00:01 (1.17 MB/s) - 'info.log' saved [41728/41728]

ダウンロードされたファイル「info.log」はlogファイルじゃなくてperlの実行スクリプトファイルです。
$ myfile info.log
info.log: a /usr/bin/perl\015 script executable (binary data)
Name   : info.log
MD5    : 7154218e48436836eb87ceda43d871be
SHA256 : 83d467723edda5c2375a4361e5b929371e85ce5d7c885a045323f4dd42a90b3e

一般の方々だとウイルスチェックで確認したらIRC SHELLBOTマルウェアで確認が直ぐに出来ます、リンク⇒【VirusTotal

shellでのマルウェアチェックした結果は↓
$ date&&vt check ./info.log
Sun Aug 30 14:38:22 JST 2015
   File name: info.log
   Detection ratio: 24 / 56
   Analysis date: 2015-08-29 08:08:11 UTC ( 21 hours, 30 minutes ago )
   File size 40.8 KB ( 41728 bytes )
   File type Perl
   First submission 2015-08-27 18:10:56 UTC ( 2 days, 11 hours ago )
   Last submission 2015-08-29 08:08:11 UTC ( 21 hours, 30 minutes ago )
   ALYac                Backdoor.Perl.Shellbot.F      20150829
   AVG                  PERL/ShellBot                 20150829
   AVware               Backdoor.Perl.IRCBot.a (v)    20150829
   Ad-Aware             Backdoor.Perl.Shellbot.F      20150829
   Arcabit              Backdoor.Perl.Shellbot.F      20150829
   Avast                Perl:Shellbot-O [Trj]         20150829
   BitDefender          Backdoor.Perl.Shellbot.F      20150829
   CAT-QuickHeal        Perl/Shellbot.FS              20150829
   ClamAV               Perl.ShellBot-4               20150829
   Cyren                Trojan.QPVM-5                 20150829
   ESET-NOD32           Perl/Shellbot.NAK.Gen         20150829
   Emsisoft             Backdoor.Perl.Shellbot.F (B)  20150829
   F-Secure             Backdoor.Perl.Shellbot.F      20150829
   Fortinet             PossibleThreat.P0             20150829
   GData                Backdoor.Perl.Shellbot.F      20150829
   Ikarus               Trojan.Perl.Shellbot          20150829
   MicroWorld-eScan     Backdoor.Perl.Shellbot.F      20150829
   NANO-Antivirus       Trojan.Script.Shellbot.dnqthd 20150829
   Qihoo-360            Trojan.Generic                20150829
   Sophos               Mal/PerlBot-A                 20150829
   TrendMicro           PERL_SHELLBOT.SM              20150829
   TrendMicro-HouseCall PERL_SHELLBOT.SM              20150829
   VIPRE                Backdoor.Perl.IRCBot.a (v)    20150829
   nProtect             Backdoor.Perl.Shellbot.F      20150828

確認の為、本ファイルの中身はpastebinにアップロードし、現在見れます⇒【pastebin

危ない攻撃機能が沢山あります(DDOS攻撃、バックドアー、ダウンローダー、など)↓


このスクリプトは「213.186.118.35」にあるIRCサーバとチャンネルに接続する事になります、場所はKIEV、ウクライナ↓
{
  "ip": "213.186.118.35",
  "hostname": "awplanet.com",
  "city": Kiev,
  "country": "UA",
  "loc": "50.4500,30.5233",
  "org": "AS6849 JSC Ukrtelecom"
}

info.logにircのアクセス情報が書いてあります。調査と事件証拠集まりデータの為に必要で、下記の情報です↓


取り合えずIRCボットサーバ迄アクセスしましたので、本shellshockで感染されたホストを取りました。
結果の一覧は447がありますが、ここでフルデータのアクセスが出来ます⇒【pastebin

取ったデータの中に単純に「.jp」をegrepしたら39点の日本国内ホスト名が出ます↓
(157): >> :mailman!dracon@w250244.ppp.asahi-net.or.jp NOTICE organza : mIRC v6.15 Khaled Mardam-Bey 
(158): >> :winny!mu@ipbfn004-023.kcn.ne.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(163): >> :brigitta!tupac@58x159x136x10.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.2 Khaled Mardam-Bey 
(168): >> :kbee-1739!poesje@FL1-49-129-209-23.stm.mesh.ad.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(170): >> :tennis!smck@g059234.ppp.asahi-net.or.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(177): >> :xxx!secret@116.91.113.83.ap.gmobb-fix.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(181): >> :sweetlady!skylink@ntkngw495058.kngw.nt.ftth.ppp.infoweb.ne.jp NOTICE organza : VERSION - unknown command. 
(196): >> :borre-3666!andjela@www2.px.tsukuba.ac.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(205): >> :wp!hlios@pcwave3.ice.uec.ac.jp NOTICE organza : VERSION - unknown command. 
(207): >> :asmodizz-7031!joe@w0109-49-135-70-143.uqwimax.jp NOTICE organza : mIRC v6.2 Khaled Mardam-Bey 
(218): >> :wing-93!monroe@p8172-ipbfp603daianji.nara.ocn.ne.jp NOTICE organza : mIRC v6.15 Khaled Mardam-Bey 
(219): >> :imp-618!pshyche@i60-34-249-87.s41.a028.ap.plala.or.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(250): >> :vento-1421!kbee@ntmygi093099.mygi.nt.ngn2.ppp.infoweb.ne.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(264): >> :luny!szern@aquarius.citizen.co.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(279): >> :anjing-9056!blondenor@58x157x34x218.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.16 Khaled Mardam-Bey 
(311): >> :pszaah-8138!vodafone@i58-95-131-131.s10.a027.ap.plala.or.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(324): >> :marco!jason@FL1-60-236-8-130.tky.mesh.ad.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(327): >> :tato!raye@aa2002121314005.userreverse.dion.ne.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(328): >> :moladmin-2141!cread@KD113154079170.ppp-bb.dion.ne.jp NOTICE organza : VERSION - unknown command. 
(338): >> :willgood!clbiz@KD124210068121.ppp-bb.dion.ne.jp NOTICE organza : mIRC v6.17 Khaled Mardam-Bey 
(340): >> :mrx-3690!zinj@p7cdba55e.tokyff01.ap.so-net.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(341): >> :jockey!acrima@061204042226.rev.datacenter.ne.jp NOTICE organza : mIRC v6.17 Khaled Mardam-Bey 
(350): >> :dusica!johnny@61-194-77-193.gip-stap.canvas.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(367): >> :davide!anjing@58x12x20x139.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.03 Khaled Mardam-Bey 
(373): >> :cintat-7211!spanker@59x87x56x226.ap59.ftth.ucom.ne.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(375): >> :mythic!master@113x42x213x125.ap113.ftth.ucom.ne.jp NOTICE organza : VERSION - unknown command. 
(376): >> :psioncore!dragon@58x156x128x245.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(377): >> :zwsiew!terence@p2116-ipbf306koufu.yamanashi.ocn.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(380): >> :mephisto!luny@p337233-ipngn5801sapodori.hokkaido.ocn.ne.jp NOTICE organza : mIRC v6.15 Khaled Mardam-Bey 
(383): >> :venusguy!vodafone@zaq31fb8490.zaq.ne.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(385): >> :khan!vento@58x156x233x194.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(413): >> :sorceress!cruizer@58x80x3x227.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(420): >> :shekel!mpdike@110-133-182-65.rev.home.ne.jp NOTICE organza : VERSION - unknown command. 
(422): >> :whiskey-3252!gold@ns.kagiken.co.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(429): >> :kralj!sexbolek@KD106167135169.ppp-bb.dion.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(430): >> :gili!aus@FL1-60-236-77-37.tky.mesh.ad.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(436): >> :dimkam!mooks@113x35x33x91.ap113.ftth.ucom.ne.jp NOTICE organza : mIRC v6.03 Khaled Mardam-Bey 
(442): >> :kasandra!jn@113x38x140x190.ap113.ftth.ucom.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(443): >> :vanda!stinga@w218187.ppp.asahi-net.or.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 

尚、取ったデータの生IPアドレス情報のみをegrepしたら200以上があるので、GeoIPへ回すと下記の日本国内のIPも出ました↓
$ cat ip.txt |bash /malware/checkdomains/origin.sh jp
1.21.56.58||2519 | 1.21.0.0/16 | VECTANT | JP | cocospace.com | 21Company
116.91.113.83|116.91.113.83.ap.gmobb-fix.jp.|2519 | 116.91.0.0/16 | VECTANT | JP | gmo.jp | GMO Internet Inc.
124.33.149.134||17506 | 124.32.0.0/14 | UCOM | JP | directors.co.jp | Directors Company Co. Ltd.
219.122.47.91||17511 | 219.122.32.0/19 | K | JP | 2iij.net | Kyoto International Conference Center
49.143.242.14|bdb.14.s-port.biz.|18068 | 49.143.240.0/21 | ACROSS | JP | s-cnet.ne.jp | TOCOCHANNEL SHIZUOKA corporation
61.120.126.108||2516 | 61.120.0.0/17 | KDDI | JP | kddi.com | KDDI Corporation
61.206.239.157||9365 | 61.206.224.0/20 | ITSCOM | JP | itscom.jp | ITS Communications Inc.
$
本事件の報告をさくらインターネットさんとJP-CERTに送りました。

上記のホスト一覧はDDOSマシンとして悪用される積りです。
直接容疑者からの確認の証拠も取りました(そのバットマンは僕です)↓

危険なのでそのホストからperlマルウェアスクリプトを削除して欲しいです。

全て感染された日本国内のLinuxホストの一覧は下記のホスト名/IPとなります。合計:46台です↓
1.21.56.58 (vectant.ne.jp)
124.33.149.134 (directors.co.jp)
219.122.47.91 (2iij.net)
49.143.242.14 (s-cnet.ne.jp)
61.120.126.108 (KDDI)
61.206.239.157 (itscom.jp)
ns.kagiken.co.jp
www2.px.tsukuba.ac.jp
pcwave3.ice.uec.ac.jp
aquarius.citizen.co.jp
116.91.113.83.ap.gmobb-fix.jp
w250244.ppp.asahi-net.or.jp
ipbfn004-023.kcn.ne.jp
58x159x136x10.ap58.ftth.ucom.ne.jp
FL1-49-129-209-23.stm.mesh.ad.jp
g059234.ppp.asahi-net.or.jp
116.91.113.83.ap.gmobb-fix.jp
ntkngw495058.kngw.nt.ftth.ppp.infoweb.ne.jp
w0109-49-135-70-143.uqwimax.jp
p8172-ipbfp603daianji.nara.ocn.ne.jp
i60-34-249-87.s41.a028.ap.plala.or.jp
ntmygi093099.mygi.nt.ngn2.ppp.infoweb.ne.jp
58x157x34x218.ap58.ftth.ucom.ne.jp
i58-95-131-131.s10.a027.ap.plala.or.jp
FL1-60-236-8-130.tky.mesh.ad.jp
aa2002121314005.userreverse.dion.ne.jp
KD113154079170.ppp-bb.dion.ne.jp
KD124210068121.ppp-bb.dion.ne.jp
p7cdba55e.tokyff01.ap.so-net.ne.jp
061204042226.rev.datacenter.ne.jp
61-194-77-193.gip-stap.canvas.ne.jp
58x12x20x139.ap58.ftth.ucom.ne.jp
59x87x56x226.ap59.ftth.ucom.ne.jp
113x42x213x125.ap113.ftth.ucom.ne.jp
58x156x128x245.ap58.ftth.ucom.ne.jp
p2116-ipbf306koufu.yamanashi.ocn.ne.jp
p337233-ipngn5801sapodori.hokkaido.ocn.ne.jp
zaq31fb8490.zaq.ne.jp
58x156x233x194.ap58.ftth.ucom.ne.jp
58x80x3x227.ap58.ftth.ucom.ne.jp
110-133-182-65.rev.home.ne.jp
KD106167135169.ppp-bb.dion.ne.jp
FL1-60-236-77-37.tky.mesh.ad.jp
113x35x33x91.ap113.ftth.ucom.ne.jp
113x38x140x190.ap113.ftth.ucom.ne.jp
w218187.ppp.asahi-net.or.jp
クリーンアップの為に上記の情報をシェアさせて頂きます、最新情報を取れたらまたアップデートいたします。

「Tue Sep 1 12:03:16 JST 2015」のアップデート情報
皆様のお蔭でマルウェアファイルがクリーンアップされました。

GET /info.log HTTP/1.1
Accept: */*
Host: 49.212.167.43
Connection: Keep-Alive

HTTP/1.1 404 Not Found
Date: Tue, 01 Sep 2015 03:05:12 GMT
Server: xxx/x.x.x.x (xxx)
Content-Length: 285
Connection: close
Content-Type: text/html; charset=iso-8859-1
御協力頂き有難う御座いました。

「Tue Sep 1 15:35:23 JST 2015」のアップデート情報
先ほどの確認下、4台日本国内の新規感染されたマシンをCNCに発見しました↓
122-200-141-248.tlp.ne.jp
122x221x132x46.ap122.ftth.ucom.ne.jp
218-216-75-141.cust.bit-drive.ne.jp
ntkngw287164.kngw.nt.ngn2.ppp.infoweb.ne.jp
現時点日本国内感染されたマシンの合計は42台です↓
1.21.56.58 (vectant.ne.jp)
124.33.149.134 (directors.co.jp)
219.122.47.91 (2iij.net)
49.143.242.14 (s-cnet.ne.jp)
61.120.126.108 (KDDI)
61.206.239.157 (itscom.jp)
061204042226.rev.datacenter.ne.jp
110-133-182-65.rev.home.ne.jp
113x35x33x91.ap113.ftth.ucom.ne.jp
113x38x140x190.ap113.ftth.ucom.ne.jp
113x42x213x125.ap113.ftth.ucom.ne.jp
122-200-141-248.tlp.ne.jp
122x221x132x46.ap122.ftth.ucom.ne.jp
218-216-75-141.cust.bit-drive.ne.jp
58x12x20x139.ap58.ftth.ucom.ne.jp
58x156x128x245.ap58.ftth.ucom.ne.jp
58x156x233x194.ap58.ftth.ucom.ne.jp
58x157x34x218.ap58.ftth.ucom.ne.jp
58x159x136x10.ap58.ftth.ucom.ne.jp
58x80x3x227.ap58.ftth.ucom.ne.jp
59x87x56x226.ap59.ftth.ucom.ne.jp
61-194-77-193.gip-stap.canvas.ne.jp
FL1-60-236-77-37.tky.mesh.ad.jp
FL1-60-236-8-130.tky.mesh.ad.jp
KD106167135169.ppp-bb.dion.ne.jp
KD124210068121.ppp-bb.dion.ne.jp
aa2002121314005.userreverse.dion.ne.jp
aquarius.citizen.co.jp
g059234.ppp.asahi-net.or.jp
i58-95-131-131.s10.a027.ap.plala.or.jp
i60-34-249-87.s41.a028.ap.plala.or.jp
ipbfn004-023.kcn.ne.jp
kenmedia.jp
ns.kagiken.co.jp
ntkngw287164.kngw.nt.ngn2.ppp.infoweb.ne.jp
ntmygi093099.mygi.nt.ngn2.ppp.infoweb.ne.jp
p2116-ipbf306koufu.yamanashi.ocn.ne.jp
p7cdba55e.tokyff01.ap.so-net.ne.jp
p8172-ipbfp603daianji.nara.ocn.ne.jp
w218187.ppp.asahi-net.or.jp
w250244.ppp.asahi-net.or.jp
zaq31fb8490.zaq.ne.jp 
感染されたLinuxマシンの接続がコロコロ変わりますが、監視が非常に難しいですので、確実の情報(上記の一覧)しか報告していません。因みに最終確認では合計の感染されたLinuxマシンは587台で、新規感染=204台, 64台が無くなりました。一覧はJP-CERTさん、警察とInterpolサイバー犯罪の証拠よしてに送りました。

sortにながらcomm(UNIXコマンド)で前回と今回の感染数やホスト名の確認が出来す↓


本件はのインシデント番号は「#OCJP-127」です。

月曜日, 7月 06, 2015

【研究情報】 KINS v2 = ZeusVM v2だぞ

先週末にやった事、KINS/ZeusVM 2.0.0.0マルウェアビルダー+パネルコードがリークされ、全世界に警告を流しました。
KINS1とKINS2のバイナリー形が全然違うし、分析したらマルウェアの機能も違うので、
どう見てもZeusVM++っぽいと考えています。

では、確認の為にそのビルダーを使いJPG画像にちゃんと暗号化されたconfigのインジェクトが出来るかどうかを再現の上で確認しました。再現が出来ました、下記再現ビデオ(証拠)



結果、ZeusVM2のビルダーが全然見た事が無いので、KINS2はZeusVM2ですね!
KINS v3は今調査中で、また今度ね!

本KINS 2/ZeusVM 2のボットネットは現在どのぐらい流行っているのか?



2015年7月7日の夜23時:10件を発見、6件有効、4件潰しました、下記証拠↓



2015年7月9日の朝10時:6件を発見、5件有効、1件潰しました、下記証拠↓



リークの警告発表40時間後に合わせて上記16件のボットネットを発見しました!このペースで続くと一ヶ月以内に100件迄出る可能性が高いだと思います

【参考】
詳しい警告の内容はMalwareMustDieのブログに書きましたのでアクセスはこちら
KINS1のソースコード警告と調査はこちら

【US Homeland Security Daily Open Source Infrastructure Report 7 July 2015 (pg 6)】
http://www.dhs.gov/sites/default/files/publications/nppd/ip/daily-report/dhs-daily-report-2015-07-07.pdf

【インタービュー】
http://www.cso.com.au/article/579079/expect-surge-new-banking-malware-after-software-leak/

【全世界のセキュリティニュースになった】※そろそろ日本国内のニュースにも出るかと…
http://www.securityweek.com/source-code-kins-malware-toolkit-leaked-online
http://www.computerworld.com/article/2944041/security/leak-of-zeusvm-malware-building-tool-might-cause-botnet-surge.html
http://news.softpedia.com/news/infections-with-zeusvm-banking-malware-expected-to-spike-as-building-kit-is-leaked-486149.shtml
http://www.net-security.org/malware_news.php?id=3071
http://www.scmagazineuk.com/researchers-warn-of-flood-of-zeusvm-banking-trojans/article/424955/
https://www.pcrisk.com/internet-threat-news/9158-new-zeusvm-tool-allows-anyone-to-build-a-botnet
http://thestack.com/zeusvm-trojan-leak-botnet-wave-060715
http://securityaffairs.co/wordpress/38372/cyber-crime/kins-malware-builder-leaked.html
http://www.theregister.co.uk/2015/07/07/bot_geddon_coming_after_zeusvz_leak_hacker_warns/
http://www.csoonline.com/article/2944220/malware-cybercrime/leak-of-zeusvm-malware-building-tool-might-cause-botnet-surge.html
http://malwarebattle.blogspot.com/2015/07/building-kit-of-malware-that-dutch.html

ロシア語のニュース
https://threatpost.ru/2015/07/06/tulkit_kins-zeusvm_v2_utek_v_set/

中国語のニュース
http://www.freebuf.com/news/71832.html
http://tw.hdrich.com/itcontent-119948.html

【ISC StormCast for Tue, July 7th 2015】に載りました



「Watchguard Daily Security Byte」ビデオキャストに載りました

金曜日, 7月 03, 2015

「Linux/AES.DDoS」MIPS/ARMルーターマルウェア感染攻撃

日本国内の某ルーターに下記のsshログイン攻撃が沢山来ました↓
[attacker: 61.139.5.22] [2015-07-03 02:54:44]: New connection: 61.139.5.22:63692
[attacker: 61.139.5.22] [2015-07-03 02:54:54]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:21:08]: New connection: 61.160.213.58:2523
[attacker: 61.139.5.22] [2015-07-03 03:21:08]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:21:08]: Login failed [admin/admin]
[attacker: 61.139.5.22] [2015-07-03 03:21:09]: Login failed [admin/1234]
[attacker: 61.139.5.22] [2015-07-03 03:21:10]: Login failed [admin/12345]
[attacker: 61.139.5.22] [2015-07-03 03:21:11]: Login failed [admin/123456]
[attacker: 61.139.5.22] [2015-07-03 03:21:13]: Login failed [admin/1234567]
[attacker: 61.139.5.22] [2015-07-03 03:21:14]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:21:14]: New connection: 61.160.213.58:4182
[attacker: 61.139.5.22] [2015-07-03 03:21:14]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:21:14]: Login failed [admin/12345678]
[attacker: 61.139.5.22] [2015-07-03 03:21:15]: Login failed [admin/123456789]
[attacker: 61.139.5.22] [2015-07-03 03:21:16]: Login failed [admin/1234567890]
[attacker: 61.139.5.22] [2015-07-03 03:21:17]: Login failed [admin/password]
[attacker: 61.139.5.22] [2015-07-03 03:21:18]: Login failed [admin/root]
[attacker: 61.139.5.22] [2015-07-03 03:21:20]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:21:20]: New connection: 61.160.213.58:1774
[attacker: 61.139.5.22] [2015-07-03 03:21:20]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:21:20]: Login failed [admin/onlime]
[attacker: 61.139.5.22] [2015-07-03 03:21:21]: Login failed [admin/mts]
[attacker: 61.139.5.22] [2015-07-03 03:21:22]: Login failed [admin/1]
[attacker: 61.139.5.22] [2015-07-03 03:21:23]: Login failed [admin/123]
[attacker: 61.139.5.22] [2015-07-03 03:21:24]: Login failed [admin/0000]
[attacker: 61.139.5.22] [2015-07-03 03:21:25]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:21:25]: New connection: 61.160.213.58:4889
[attacker: 61.139.5.22] [2015-07-03 03:21:26]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:21:26]: Login failed [admin/00000000]
[attacker: 61.139.5.22] [2015-07-03 03:21:27]: Login failed [admin/qwerty]
[attacker: 61.139.5.22] [2015-07-03 03:21:28]: Login failed [admin/beeline]
[attacker: 61.139.5.22] [2015-07-03 03:21:30]: Login failed [admin/beeline2013]
[attacker: 61.139.5.22] [2015-07-03 03:21:31]: Login failed [admin/iyeh]
[attacker: 61.139.5.22] [2015-07-03 03:21:32]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:21:32]: New connection: 61.160.213.58:4985
[attacker: 61.139.5.22] [2015-07-03 03:21:32]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:21:32]: Login failed [admin/ghbdtn]
[attacker: 61.139.5.22] [2015-07-03 03:21:33]: Login failed [admin/inet]
[attacker: 61.139.5.22] [2015-07-03 03:21:35]: Login failed [admin/internet]
[attacker: 61.139.5.22] [2015-07-03 03:21:36]: Login failed [admin/asus]
[attacker: 61.139.5.22] [2015-07-03 03:21:37]: Login failed [admin/ADMIN]
[attacker: 61.139.5.22] [2015-07-03 03:21:38]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:21:38]: New connection: 61.160.213.58:3388
[attacker: 61.139.5.22] [2015-07-03 03:21:38]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:21:40]: Login failed [admin/adsl]
[attacker: 61.139.5.22] [2015-07-03 03:21:41]: Login failed [admin/adslroot]
[attacker: 61.139.5.22] [2015-07-03 03:21:42]: Login failed [admin/adsladmin]
[attacker: 61.139.5.22] [2015-07-03 03:21:43]: Login failed [admin/Kendalf9]
[attacker: 61.139.5.22] [2015-07-03 03:21:44]: Login failed [admin/263297]
[attacker: 61.139.5.22] [2015-07-03 03:21:46]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:21:46]: New connection: 61.160.213.58:1302
[attacker: 61.139.5.22] [2015-07-03 03:21:46]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:21:47]: Login failed [admin/590152]
[attacker: 61.139.5.22] [2015-07-03 03:21:48]: Login failed [admin/21232]
[attacker: 61.139.5.22] [2015-07-03 03:21:49]: Login failed [admin/adn8pzszk]
[attacker: 61.139.5.22] [2015-07-03 03:21:50]: Login failed [admin/amvqnekk]
[attacker: 61.139.5.22] [2015-07-03 03:21:51]: Login failed [admin/biyshs9eq]
[attacker: 61.139.5.22] [2015-07-03 03:21:52]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:21:52]: New connection: 61.160.213.58:2120
[attacker: 61.139.5.22] [2015-07-03 03:21:52]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:21:55]: Login failed [admin/e2b81d_1]
[attacker: 61.139.5.22] [2015-07-03 03:21:56]: Login failed [admin/Dkdk8e89]
[attacker: 61.139.5.22] [2015-07-03 03:21:57]: Login failed [admin/flvbyctnb]
[attacker: 61.139.5.22] [2015-07-03 03:21:58]: Login failed [admin/qweasdOP]
[attacker: 61.139.5.22] [2015-07-03 03:21:59]: Login failed [admin/EbS2P8]
[attacker: 61.139.5.22] [2015-07-03 03:22:00]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:22:01]: New connection: 61.160.213.58:2180
[attacker: 61.139.5.22] [2015-07-03 03:22:04]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:22:12]: Login failed [admin/ZmqVfo]
[attacker: 61.139.5.22] [2015-07-03 03:22:14]: Login failed [admin/ZmqVfo1]
[attacker: 61.139.5.22] [2015-07-03 03:22:15]: Login failed [admin/ZmqVfo2]
[attacker: 61.139.5.22] [2015-07-03 03:22:16]: Login failed [admin/ZmqVfo3]
[attacker: 61.139.5.22] [2015-07-03 03:22:17]: Login failed [admin/ZmqVfo4]
[attacker: 61.139.5.22] [2015-07-03 03:22:18]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:22:18]: New connection: 61.160.213.58:1799
[attacker: 61.139.5.22] [2015-07-03 03:22:18]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:22:18]: Login failed [admin/ZmqVfoVPN]
[attacker: 61.139.5.22] [2015-07-03 03:22:19]: Login failed [admin/ZmqVfoSIP]
[attacker: 61.139.5.22] [2015-07-03 03:22:21]: Login failed [admin/9f4r5r79//]
[attacker: 61.139.5.22] [2015-07-03 03:22:22]: Login failed [admin/airocon]
[attacker: 61.139.5.22] [2015-07-03 03:22:23]: Login failed [admin/zyxel]
[attacker: 61.139.5.22] [2015-07-03 03:22:24]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:22:24]: New connection: 61.160.213.58:3623
[attacker: 61.139.5.22] [2015-07-03 03:22:24]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:22:24]: Login failed [admin/default]
[attacker: 61.139.5.22] [2015-07-03 03:22:25]: Login failed [admin/cisco]
[attacker: 61.139.5.22] [2015-07-03 03:22:27]: Login failed [admin/changeme]
[attacker: 61.139.5.22] [2015-07-03 03:22:28]: Connection lost

中国のホストから↓
{
  "ip": "61.160.213.58",
  "SOA": " nmc1.ptt.js.cn. postmaster.nmc1.ptt.js.cn.",
  "city": "Nanjing",
  "region": "Jiangsu",
  "country": "CN",
  "loc": "32.0617,118.7778",
  "org": "AS23650 AS Number for CHINANET jiangsu province backbone"
}
この辺からですね↓


簡単な調査でマルウェアパネルを発見↓


中にある物はMIPSとARMバイナリー↓


詳しく迄確認しました↓


圧縮されたので解凍しました↓
File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
   1156461 <-    454640   39.31%  linux/mipsel   49mips-dep

        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
   1001841 <-    398372   39.76%   linux/armel   49arm-dep

        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
   1156895 <-    452356   39.10%  linux/mipseb   49wrt-dep
分析したら前に自分が発見した「Linux/AES.DDoS」マルウェアである事が分かりました。一部の研究仲間の間ではこのマルウェアの事を「Mr. Black」と呼んでいるようです。特徴は下記のコード↓

ウイルストータルにアップロードしましたが…

https://www.virustotal.com/en/file/5a3ac1587608462e2470919f6e122ca59c90272a1d63601e737df602f5d3089f/analysis/1435876419/

https://www.virustotal.com/en/file/67b2a6a514722b4d4653619eb9ddbf81d9207a6bd22526fc658ffe7437b8ef44/analysis/1435876796/

https://www.virustotal.com/en/file/cb6f0a39c93ea204b25129256103bd966985cf163ce29f820b8b452631196f5d/analysis/1435877570/

...最初アップロードした時に色んなアンチウイルス製品の検知結果を見ると多くのマルウェア名が間違えて記載されています、こんな感じ↓

現在攻撃が継続中なので「61.139.5.22」をブロックして下さい。

参考調査記事⇒【-1-】【-2-

土曜日, 6月 27, 2015

【研究情報】暗号化されているマルウェアデータが何とかPythonで…

ElasticsearchのCVE-2015-1427脆弱性を狙っているマルウェアの調査をしました、書いたレポートは下記のURLに確認が出来ます。この記事の参考として後でご覧下さい↓
http://blog.malwaremustdie.org/2015/06/mmd-0034-2015-new-elf.html
↑新規マルウェアですので、参考情報がゼロ、2件暗号化機能を発見しましたが、2DESとXORですので、全部pythonで解決しました。情報公開の為に国内のコミュニティーに情報を公開します。

まずはXORの件、ELFマルウェアが7kBのGIF画像ファイルをダウンロードし、7kBの最後の5kBはXORで暗号化されたマルウェアスクリプトです。キーがバイナリーにリバーシングしたら分かりましたので、本件はpythonで解決しました、decrypt方法は下記のビデオ↓


次は同じマルウェアがCNCに送ったHTTPトラフィックがDESで暗号化されているので、キーがリバーシングの上で発見して、似たような対応仕方でpythonで解決しました。ビデオは下記となります↓


因みに下記のIPはELFマルウェアのアタッカーIPですので、ロックして下さい↓
218.213.77.20 // attacker bot
218.213.77.196 // attacker bot
106.39.95.195  // attacker bot
218.213.77.197 <== CNC

pythonポワー!www

水曜日, 6月 24, 2015

【警告】 Linux/Xor.DDoSマルウェアの感染

下記のIPアドレスから↓
104.143.5.15||36114 | 104.143.0.0/20 | VERSAWEB-ASN | US | versaweb.com | Versaweb LLC
107.182.141.40|40-141-182-107-static.reverse.queryfoundry.net.|62638 | 107.182.140.0/23 | QUERY-FOUNDRY | US | queryfoundry.net | Shanghe Yang

下記のログは参考で↓
2015-06-23 01:29:42+0900 connection: 107.182.141.40:41625 [session: 5899]
2015-06-23 01:29:42+0900 connection: 104.143.5.15:51433 [session: 5900]

root権限のアクセスのssh攻撃を行い
2015-06-23 01:29:43+0900 root trying auth
2015-06-23 01:29:43+0900 root trying auth
2015-06-23 01:29:43+0900 root trying auth
2015-06-23 01:29:43+0900 root trying auth 

下記のLinux/XOR.DDoSマルウェアがサーバにインストールされました↓
(a06.zip) = 3c49b5160b981f06bd5242662f8d0a54
(a07.zip) = bcb6b83a4e6e20ffe0ce3c750360ddf5
(a08.zip) = a99c10cb9713770b9e7dda376cddee3a
(a09.zip) = d1b5b4b4b5a118e384c7ff487e14ac3f
(a10.zip) = 83eea5625ca2affd3e841d3b374e88eb

【重要】本攻撃が日本国内のサーバに来てしまいました。

本マルウェア攻撃の警告を書きましたので、MMD-0033-2015(英文ですみません)
攻撃は現在止まりましたがマルウェアダウンロードサーバとCNCが未だアップされていますので、また別のIPから攻撃が来る可能性があり、念の為に下記のマルウェアサーバのIPもブロックして下さい↓
44ro4.cn         198.15.234.66 (マルウェア・ダウンロードサーバ)
aa.hostasa.org  23.234.60.143 (マルウェアconfigサーバ)
ns2.hostasa.org. 103.240.140.152 (CNC1)
ns3.hostasa.org. 103.240.141.54  (CNC2)
ns4.hostasa.org. 192.126.126.64  (CNC3)

本マルウェアに感染されたら、感染されたマシンがリモートからコントロールされてddosボットネットになります。
マルウェアの特徴はXORの暗号化機能です↓

参考情報は【1】 【2】 【3】です。