水曜日, 7月 06, 2016

#OCJP-130: スパムボットに感染されたPCからのスパムメール(マルウェアurl)

昨日このスパムメールが届きました



そのメールを見たら、あれ?「JCOM」って「ZAQ.ne.jp」だっけ?とても怪しい…
さらに内容も英文で、そして海外のマルウェア転送URLが書いてあります…

ヘッターはこんな感じ↓


メールのルーティングと
MessageID<201607041021.u64AKeew025468@po.dcn.ne.jp>
を確認したら、「dcn.ne.jp」外部送信MTA(po.dcn.ne.jp / 219.105.32.8)から送信されたメールですね。
そして「dcn.ne.jp」さんの内部IP(ppp018.fc.pas.mobilenet.ne.jp / 219.105.46.50])経由でこのメールがリレーされていたそうです。

スパムメールのヘッターを見ると、送信元の情報は偽者ですが↓
J:COM <inf@JCOM.ZAQ.ne.jp>
↑このスパムテンプレを作った人が日本のサービスの事が分かると思われます。メールの内容は英文という事は海外から送信されたそうです。

全体的なメールテンプレのフォーマットを見たらスパムボットのテンプレっぽいですので、この件を見たら下記の2つ可能性が出て来ました↓
(1)2016年7月4日 19:21:24にあるボットネットに感染されたパソコンでppp018.fc.pas.mobilenet.ne.jpのIPに繋がって、このメールを送信されました。
(2)2016年7月4日 19:21:24にあるウェブ経由スパムボットをDCNさんの外部MTA(po.dcn.ne.jp)に繋ぎ、このメールを送信されました。

可能性(2)の確認でpo.dcn.ne.jpがSMTPオープンリレーがあるかどうかをテストしましょう↓

↑オープンリレーが無いとの事はウェブ経由スパムボットからの送信メールの可能性が低いですね。

本件の原因可能性(1)が高くなり、恐らくマルウェア・スパムボットに幹線されたPCから送られたスパムメールです。
取りあえずDCNさんとJP-CERTさんに本件を報告致します。
この件をきちんと対応してもらわないとDCNさんの外部MTA(po.dcn.ne.jp)が海外のSMTPブラックリストに登録される可能性が高いので、直ぐに対応した方がいいです。

因みにスパムメールに書いたURLはAngler ExploitKitに転送されてしまいましたので、そのURLを我々から連絡を行いクリーンアップ済みです。
もし今アクセスすると302の回答になります↓
Date: 2016-07-06 11:04:46
URL: http://coastalinfo.in/ck.htm
Resolving coastalinfo.in (coastalinfo.in)... 50.87.5.129
Connecting to coastalinfo.in (coastalinfo.in)|50.87.5.129|:80... connected.

---request begin---
GET /ck.htm HTTP/1.1
Referer: http://www.google.com
User-Agent: MalwareMustDie Checked You via Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 5.2) Java/1.6.0_26
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: identity
Host: coastalinfo.in
Connection: Keep-Alive
Accept-Language: en-us,en;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300

---response begin---
HTTP/1.1 302 Found
Date: Wed, 06 Jul 2016 02:04:46 GMT
Server: Apache
Location: http://coastalinfo.in/cgi-sys/suspendedpage.cgi
Content-Length: 295
Keep-Alive: timeout=10, max=500
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
X-Pad: avoid browser bug

追加情報として本メールに書いたIP情報は下記となります↓
219.105.32.8|po.dcn.ne.jp.|18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
{
  "ip": "219.105.32.8",
  "hostname": "po.dcn.ne.jp",
  "country": "JP",
  "loc": "35.6900,139.6900",
  "org": "AS18097 D.C.N. Corporation"
}

219.105.46.50|ppp018.fc.pas.mobilenet.ne.jp.|18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
{
  "ip": "219.105.46.50",
  "hostname": "ppp018.fc.pas.mobilenet.ne.jp",
  "country": "JP",
  "loc": "35.6900,139.6900",
  "org": "AS18097 D.C.N. Corporation"

火曜日, 7月 05, 2016

Lockyランサムウェア: インフェックション仕組みのモニタリング・レコード

「カムバック」してからのLockyランサムウェアの感染をフォローし、ディストリビューション仕組みのデータをレコードしました。レコードしたのデータは日本国内に届いたスパムメールのみです。

レコードの目的は(1)ウェブサイトのハッキング攻撃モニター、(2)CNCの移動情報、(3)使われているスパムボットネットの動き、と、(4)LockyのDGAのモニター

毎日の仕事が終わってから他のマルウェアを調査しながらこのレコードを少しずつ書きますので、もし情報が足りなかったらすみません。

レコードは下記となります。

6月23日
6月24日
6月25日
6月27日
6月27日-2
6月28日
6月29日
6月30日
7月4日
7月5日~6日

※)本データの更新を続けております

木曜日, 6月 30, 2016

#OCJP-129: Lockyランサムウェアの感染 via 日本国内のハッキングされたウェブサイト

昨日から始まり、日本国内のウェブサイトがハッキングされ、そしてそのサイトにLockyランサムウェアのバイナリーを発見しました。いくつか証拠をオンラインで見たら狙われている脆弱性がばらばらで、恐らくハッカーはウェブ脆弱性スキャナーを使ったと考えています。

Lockyランサムウェアの最終感染キャンペーンで日本ウェブサイトからの感染URLが現在2番目となります↓


最新情報の更新> 6月30日の感染キャンペーンの時点で悪用されているハッキングされたウェブサイトの一番は....
...日本のです。


ランサムウェアの感染ファイルが悪用されている状況は良くない状況なので、早めにクリーンアップの対応をしてほしい、そして脆弱性を直してください。その他のウェブサイトの管理者の方々にはサイトの「hardening」テストを実行した方がいいと思います。

下記はスナップショットとなります↓















最新追加情報...









ウイルストータルのリンク↓

3b1fbf26bd154308004665c6768ffb0b459a389f52ac5b6425ecf77b81f138e5
8485fd8ef30aa7a9f473d5fd0961253de53620052ad2404e64fccda35c6dfb8a
6f6f79e66a7fb34255da1b74f93e3c4cb39e71feae63c8988c6a85560e3dbd86
079deff5ac50f1a1e032fae72c0666b16f82f568ed95ea5adfe5a3a8e68dd6b9
9450fa9e668b5458b0c613e243d7c2044e6c343ae5ebe992bbc0c592b52d402e
da62aa412a26fbff6146fd86921b4e0304238184e22d5bc19a5b5a8c16eeb2d4
51230b4c58610283a0d243720ebd37e440e56137aa9b58f5bd105b0ae4e0f1aa
[...]

検知率については、最初見つけたの段階で殆どゼロで、あちこちにサンプルを送ってから検知率が上がります↓

↑証拠のリンクはこちらです。

木曜日, 2月 04, 2016

マルウェアサンプルを送りたい場合

0day.jp又はMalwareMustDieに匿名でマルウェアのサンプルを送りたいだったら【このリンク】から「ファイル送る便」のアクセスが出来ます。「ファイル送る便」ページから私達にマルウェアサンプルを送る事が出来ます。
ページの画像は下記のようになっております↓

アップロードの手順が書いてあります。手順通りで作成をさせて頂ければ私達の調査サーバ迄にファイルが届きます。


念の為にメインリンクと「バックアップリンク」をブログの右メニューにも入れました。英語版のページも存在しています。

どっちでも、ぜひ、使って下さい。よろしくお願いします。



@unixfreaxjp

水曜日, 1月 13, 2016

【警告】ランサムウェアによるウェブサイトの暗号化

現在グーグルで検索したら6,000以上のウェブサイトがLinuxランサムウェアに感染されたそうです。
今すぐにウェブサイトのデータをバックアップして下さい。

火曜日, 11月 17, 2015

ELF Linuxランサムウェア:復号機能の解析メモ #reversing

《 ELFマルウェアワークショップの方々へ 》


AVTOKYO-2015ELFマルウェアワークショップ「Swimming in the Sea of ELF」を開催しました。来てくれた皆さんに有難う御座いました。丁度最近Linuxランサムウェアが流行ったので、ワークショップ上でunix shellでリバーシングが必要な理由を説明しました。ワークショップで説明したr2をセットアップした後、下記のリバーシングメモを参考に練習が出来ると思います。

=> >English version is here and here

目次



(1)感染のバックグラウンド
(2)どんなソースコードを使用しているのか
(3)何処から何処まで暗号化されているのか
(4)復号機能のリバーシング
(5)なぜPolarSSLのソースコードが沢山使われたのか
(6)ずっと最初から「PolarSSL」を使われたのか
(7)結論

《 感染のバックグラウンド 》

【目次へ戻る】


感染されたサイトは例えば↓(下のサイトにはwordpressのファイルアップロード脆弱性がある)

検索のキーワードは「README_FOR_DECRYPT.txt」でdorkで検索したら出てくる。

感染されたサイトからの「README_FOR_DECRYPT.txt」のメッセージを確認すると、こんな感じ↓
(※クリックで拡大)


《 どんなソースコードを使用しているのか 》

【目次へ戻る】


実はどんな物なのか「Linux/Encoder.1」ランサムウェアのELF x86-64x86-32のバイナリサンプルを調査した。
リバーシングしたら中身は単純すぎで、本当にがっかりした。もしかしたら素人が作ったんじゃないのかと思うほど。

ソースコードのセットは↓

↑全部C言語で、マルウェア全体に使っているシステムコールのコードはソースコードに入ってる、目的は分かり易い。恐らくランサムウェアのメインコードは「main.c」だと思う。

メモ:秀丸のgrepでソースコードはさくっと検索が出きるよw


《 何処から何処まで暗号化されているのか 》

【目次へ戻る】


調査した結果上で、マルウェアで暗号化されているファイル/DIRじゃ「OK」と「禁止」ルールがある↓
0x002F1FC  /root/.ssh (exclusion)_ / 暗号禁止
0x002F207  /usr/bin (exclusion)_ / 暗号禁止
0x002F210  /etc/ssh (exclusion)_ / 暗号禁止
0x002F219  /home
0x002F21F  /root
0x002F225  /var/lib/mysql
0x002F234  /var/www
0x002F23D  /etc/nginx
0x002F248  /etc/apache2
0x002F255  /var/log

メモ:最初段階の暗号化されているターゲット↓


メモ:その次は下記の暗号化除外↓(別途サンプルx86-32 ELF種類)


下記のファイル拡張子の全ては暗号化されている↓
0x002F25E  .php
0x002F263  .html
0x002F269  .tar
0x002F26E  .gz
0x002F272  .sql
0x002F277  .js
0x002F27B  .css
0x002F280  .pdf
0x002F285  .tgz
0x002F28A  .war
0x002F28F  .jar
0x002F294  .java
0x002F29A  .class
0x002F2A1  .ruby
0x002F2A7  .rar
0x002F2AC  .zip
0x002F2B1  .db
0x002F2B5  .7z
0x002F2B9  .doc
0x002F2BE  .xls
0x002F2C3  .properties
0x002F2CF  .xml
0x002F2D4  .jpg
0x002F2D9  .jpeg
0x002F2DF  .png
0x002F2E4  .gif
0x002F2E9  .mov
0x002F2EE  .avi
0x002F2F3  .wmv
0x002F2F8  .mp3
0x002F2FD  .mp4
0x002F302  .wma
0x002F307  .aac
0x002F30C  .wav
0x002F311  .pem
0x002F316  .pub
0x002F31B  .docx
0x002F321  .apk
0x002F326  .exe
0x002F32B  .dll
0x002F330  .tpl
0x002F335  .psd
0x002F33A  .asp
0x002F33F  .phtml
0x002F346  .aspx
0x002F34C  .csv
0x002F36B  .git
0x002F370  .svn

それとgrep/regexで下記の単語が入っているファイルも↓
0x002F351  public_html
0x002F35D  webapp
0x002F364  backup

《 復号機能のリバーシング 》

【目次へ戻る】


【重要】暗号化されているファイルは「.encrypted」という拡張子名が追加される。
コードを見た限りでは本物のファイルが「unlink」で削除されていただけww(未だ確認出来てないですが恐らくext4だとリストアが出来るかと思われる…)。

decrypter(復号関数)は2つがあり、decrypt_all()decrypt_file()なので、
decrypt_all()の*SNIP*リバースデータはこんな感じ↓
[ xrefs: 0x004014f1 0x00401502 0x00401523 0x004014a5 0x004014b6 0x0040098e 0x00400ad3 ]

【重要】上記のリバーシング情報の大して、いくつかのポイント↓
1. その関数を動かす為に引数(arguement)が必ず必要、引数無しだとこのランサムウェアの動かす意味が無い。
例えばこのコマンドラインみたいに⇒ ./ランサムウェアファイル名 [crypt|decrypt] [キー]
x86-32のサンプルには引数のスイッチ機能が下記のように見えます↓

2. リバースコードを見たらLinuxサーバ全体に"/"DIRからのdecrypt(復号)が可能。
3. decrypt_all()は結局最後にdecrypt_file()を実行する。

decrypt_file()の関数について下記のアドレスで見れる、準備はこんな感じ↓
[ addr: 0x00400617 xref: 0x00400a4f xcall: setChmod() ]

【重要】ヒント:"Decrypting file: %s"のstringを探してください(とても分かりやすい)

この辺は面白い、ランサムウェアなのに、システムコール使うよりもstdio.hが使われているww
開いたファイルのデータはfread_unlockedで(void *data, size_t size, size_t count, FILE *stream)読み込みされる


次のリバーシングコードでマルウェアに暗号化されたファイルのdecrypt(復号)仕方の説明。

【重要】まず、このランサムウェアの復号機能の仕組みは、RSAプライベートキー(犯罪者が持っている)とパブリックキー(被害者が持っている)を使い、バイナリに書いた暗号化されているAESキーを取り戻す。そして、そのAESキーを使ってマルウェアに暗号化されているファイルの取り戻すことも出来る。

そのAESキーはプライベートキーで暗号化されている(バイナリの中で)↓
0x002FF58  -----BEGIN ENCRYPTED PRIVATE KEY-----
0x002FF80  9292758453063D803DD603D5E777D7888ED1D5BF35786190FA2F23EBC0848AEADDA92CA6C3D80B32C4D109BE0F36D6AE7130B9CED7ACDF54CFC7555AC14EEBAB93A89813FBF3C4F8066D2D800F7C38A81AE31942917403FF4946B0A83D3D3E05EE57C6F5F5606FB5D4BC6CD34EE0801A5E94BB77B07507233A0BC7BAC8F90F79
0x0030088  24BF6185468786FDD303083D25E64EFC66CA472BC44D253102F8B4A9D3BFA75091386C0077937FE33FA3252D28855837AE1B484A8A9A45F7EE8C0C634F99E8CDDF79C5CE07EE72C7F123142198164234CABB724CF78B8173B9F880FC86322407AF1FEDFDDE2BEB674CA15F3E81A1521E071513A1E85B5DFA031F21ECAE91A34D
0x0030190  C36D0EB7FCD285223CFB5AABA5BDA3D82C01CAD19EA484A87EA4377637E75500FCB2005C5C7DD6EC4AC023CDA285D796C3D9E75E1EFC42488BB4F1D13AC30A57
0x0030218  C000DF51A7C77AE8D7C7370C1FF55B69E211C2B9E5DB1ED0BF61D0D9899620F4910E4168387E3C30AA1E00C339A795088452DD96A9A5EA5D9DCA68DA636032AF
0x00302A0  C1ACF567564274FB07A0BBAD5D26E2983C94D22288ACD763FD8E5600ED4A702DF84198A5F06C2E72236AE490C93F07F83CC559CD27BC2D1CA488811730BB5725
0x0030328  4959CBF6F8FEF750AEE6977C155579C7D8AAEA56749EA28623272E4F7D0592AF7C1F1313CAC9471B5C523BFE592F517B407A1BD76C164B93DA2D32A383E58357
0x00303B0  9AE7FBC99546432DF71896FC239EADAEF38D18D2B2F0E2DD275AA977E2BF4411F5A3B2A5D33605AEBBCCBA7FEB9F2D2FA74206CEC169D74BF5A8C50D6F48EA08
(などなど…)
メモ:「などなど…」の所にRSAコマンドのアウトプットがそのままで全て書いてある。ようはAESキーを暗号化された時のアウトプットがバイナリにパース(PARSE)されていたと分かった。恐らくそれぞれのLinuxランサムウェアのバイナリを作った時にビルダーを使ったよう。

AESの種類はCBC(下記のリバーシングのコードと確認が出来る↓)
[ xref: 0x0400836 xcall: aes_decrypt() ]


そして、decrypt_file()関数をリバーシングしたらこんな感じで↓(もっと大きい画像はこちら)
[ xref: 0x00400a4f xcall: setChmod() ]

※このパラグラフが英語で説明した方が分かりやすいと思うので【こちらを】ご覧下さい。

《 なぜPolarSSLのソースコードが沢山使われたのか 》

【目次へ戻る】


本ランサムウェアをリバーシングしたら沢山のPolarSSLソースコードの関数を発見した。何故PolarSSLが使われたのか下記に説明する↓

AES復号機能の中にはmbedtls_aes_setkey_decmbedtls_aes_crypt_cbc のコードが使われ、両方はPolarSSL「mbedtls/pk.h」からかぱくってきたソースコードだと分かった。その関数の中でAESキーの長さとAESのCBC暗号種類を使ったのも分かった。AESビットの長さは、asmでコールの仕方を見たら何も設定されてないので標準のままで、128ビットだね。AES暗号・復号機能のために便利なオープンソース(polarSSL)からぱくってきたんだと思われる←PolarSSLを悪用する理由(1)

尚、暗号化されたファイルの復号機能の中で取り戻したファイルのデータもstdio.hでのfwrite_unlockedの書き込まれた。これでランサムウェアに暗号化されたファイル復号機能の説明は終わり。次はRSAで暗号化されているAESキーを復号する方法の説明。

RSA復号機能(AESキーのクラック機能)のasmコードを読むと、順序はこんな感じで↓(参考コードはこちらへ
0x400753でprivate_decrypt()の関数があり、その関数の中で分析を続けて行くとmbedtls_pk_decrypt()関数がある。mbedtls_pk_decrypt()関数の目的はバイナリで暗号化されたAESキーを復号する事。そして、そのAESキーを使うと暗号化されていたファイルをリストアする事が出来る。
mbedtls_pk_decryptコード自体もPolarSSLのソースコードであり、もともとSSLの上で暗号化されていたメッセージを復号する事がこの回数の目的。仕様書に確認するとmbedtls_pk_decryptは「RSA default padding type PKCS#1 v1.5」に対応している、という意味ではmbedtls_pk_decryptはRSA暗号の復号化が出来る←PolarSSLを悪用する理由(2)

上記の説明に当たり、AESキーの復号機能をリバーシングすると下記のように見える↓
[ xref: 0x0400753 xcall: private_decrypt() ]

※このパラグラフが英語で説明した方が分かりやすいと思うので【こちらを】ご覧下さい。


《 ずっと最初から「PolarSSL」を使われたのか 》

【目次へ戻る】


詰まり…PolarSSLの前は何のcryptoライブラリーを使用していたのか?何故最近になって「PolarSSL」が使われるようになったのか?
実は「Linux.Encoder.1」の前のLinuxランサムウェアのバーションがあったので、当時「PolarSSL」は使われず、「OpenSSL」だった。証拠は下記の2件↓

RSAプライベートキーの暗号化の機能のリバーシング↓


AESキーの暗号化機能のリバーシング↓

※最初から使われたAESキーの長さは128ビット。

cryptoライブラリーが変わった原因は恐らくPolarSSLの方がバグのない、かつ新しいコードが入っているからかと思われる。



《 結論 》

【目次へ戻る】


APIみたいな使い方で引数が必要 arg1=暗号|復号 arg2=RSA、感染されたサーバに残したスクリプトを確認が出来たら使い方が直ぐに分かると思われる。暗号機能がほぼPolarSSLからのコード。読み込みと書き込みはstdio.hの関数で作られた。システム周りのコマンドも結構そのままで実行される(unlink,chmod,など)…ブロックも行けそう。journaldに対応しているシステムではリストアが可能かと。いくつかの攻撃元アドレスと確認したので作者は東ヨーロッパの人っぽいね。

メモ以上


reversing by @unixfreaxjp - founder & team leader of MalwareMustDie

月曜日, 11月 16, 2015

【イベント】 ELFマルウェア解析ワークショップ - AVTOKYO 2015

平成27年11月14日の16時半から「AVTOKYO 2015」のイベントでELFマルウェア解析ワークショップを開きました。ELFバイナリーについてのマルウェアの調査・解析の話ばかりなのでワークショップのタイトルは「Swimming in the Sea of ELF」でした。タイムテーブルはこちらです。本イベントはおそらく、世界初のELFマルウェア解析のワークショップだと思います。マルチarchitectureのELFバイナリー解析とマルチOSでのELFマルウェア調査・解析・デバッグングをデモする事となります。

この先必ず「IoT」に色んなELFマルウェアが流行ると思いますので、先に日本国内でELFマルウェア対策が出来る様にしたいので、このワークショップを開きました。

unixfreaxjpはスライドの説明とshellでのELFのリバーシング・デバッグとradare(r2)のツール紹介をやりました、IDA PROでのELFリバーシング・ELFデバギンッグとデコンパイルのデモはUCQさんがやりました。

流れ的にワークショップの最初はスライドでELF解析必要な情報から始まりました。その後はIDA PROの説明・デモが始まり、大体一時間弱、そして残りの時間はshellでのリバーシングとQ&A(となどなど)でした。ワークショップの間に説明をしながら質問にも答えます。解析で使っていたELFマルウェアサンプルは「MalwareMustDie」からでした。

UCQさんはWindowsOSとLinuxVM経由でIDA基本の使い方から始まり、そしてプラクティカルなレベルのデモも行い、ELFのバイナリーのロード仕方の調整、見る方法、デバギンッグ方法とデモ、そして最後はデコンパイルの説明。その後いくつかELFサンプルを見せられたのでそれぞれのサンプルリバーシングの情報・コメント。非常に面白かったです。綺麗にご対応していました。有難う御座いました。

私の方はMacOSXとFreeBSD上でエミュレータ(QEMU)環境で、何故shellで解析が必要なのかの説明、shellでのELF解析ツール紹介から始まり、インストールの仕方、コマンドの周りデモとヒント、staticとdynamicリバーシングのデモをしました。その後はELFマルウェアのデバギングのデモをしました。その後ハニーポットのデモ・便利なshellツールのデモ。その後にいくつかELFマルウェア感染対策のビデオと説明をやりました。

ワークショップが終わったらAVTOKYO 2015の終わり迄にワークショップのメンバーが部屋に残りましたので、色んな「MalwareMustDie」のELFマルウェア情報交換もやりました。そして、始まりから終わりまで居て下さった2名にMalwareMustDieのTシャツをプレゼントしました。

結果的に良かったので、次回もバイナリーリバーシングのワークショップをまたやります。

スライドは下記となります↓(いくつかshellのリバーシング・デバッギングのスクリーンショットを添付しました)

ツイート↓


AVTOKYO2015のスタッフ/チームと友達の皆様に感謝です。有難う御座いました。
Special thank's to @avtokyo @tessy_jp @moton @sen_u @ucq to make this great leap happens!

日曜日, 10月 11, 2015

#OCJP-128: ロシア系マルウェアボットネットのカムバック

以前の0day.jp記事にも日本国内に対して「Kelihosマルウェア・ボットネット」の感染を報告しましたが

今回このロシア系マルウェア感染ボットネットが「カムバック」しましたので、
今日我々「MalwareMustDie」が12時間モニターしたら、日本国内の感染IP11件を発見しました。

全国の感染されたPC/IPは合計164IPを発見しました。これから情報が増えると思っています(監視し始めたばかり)。

感染されたIPの一覧は下記となります↓
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.

いくつかダウンロードの証拠を画像キャップチャーしました↓


【重要】アンチウイルスの検知率は今市で弱いです、ご認識を下さい(VT = 3/56)。最新のダウンロードしたマルウェアに確認しました。下記 VTスキャン結果の画像キャップチャーです(使われてい「crypter」のせいで別途マルウェア名が出てしまいました。実はkelihosボットネットのマルウェアPEです)↓



全国の感染されたIPからマルウェアダウンロードのログを取りましたので、
タイムスタンプの確認の為に【このURLに】上記の国内IPの「grep」が出来ます。

尚、全国の感染されたIP情報は現時点で合計164件です、情報は【こちらへ】

感染モニターリングの監視はこれからも続けますので、この情報を定期的にアップデートします。

=================================================
【アップデート】Mon Oct 12 03:35:40 JST 2015
=================================================


1. 全国の感染、19時間モニターリング、合計:260件


2. 日本国内の感染、合計;13件
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd. 

=================================================
【アップデート】Mon Oct 12 22:31:29 JST 2015
=================================================


1. 全国の感染、39時間モニターリング、合計:349件


2. 日本国内の感染、合計;14件
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.


=================================================
【アップデート】Tue Oct 13 06:41:43 JST 2015
=================================================


1. 全国の感染、合計:425件
2. 日本国内の感染、合計;17件↓
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
119.82.192.176|192.176.net3.hinocatv.ne.jp.|23788 | 119.82.192.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
126.62.102.209|softbank126062102209.bbtec.net.|17676 | 126.62.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
210.148.156.28|j210148156028.nct9.ne.jp.|2497 | 210.148.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.

=================================================
【アップデート】Wed Oct 14 04:18:12 JST 2015
=================================================


1. 全国の感染、合計:540件

2. 日本国内の感染、合計;28件↓
101.96.32.57|u057.d032096101.ctt.ne.jp.|7672 | 101.96.32.0/19 | FITWEB | JP | ctt.ne.jp | Cable Television Toyama Incorporeted.
110.172.0.188|0.188.net4.hinocatv.ne.jp.|23788 | 110.172.0.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
113.43.111.32|113x43x111x32.ap113.ftth.ucom.ne.jp.|17506 | 113.40.0.0/14 | UCOM | JP | fttx.co.jp | UCOM Corporation
114.49.2.173|em114-49-2-173.pool.e-mobile.ne.jp.|37903 | 114.48.0.0/15 | EMOBILE | JP | ymobile.jp | YMobile Corporation
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
116.65.15.63|116-65-15-63.rev.home.ne.jp.|9824 | 116.65.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
119.82.192.176|192.176.net3.hinocatv.ne.jp.|23788 | 119.82.192.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
126.62.102.209|softbank126062102209.bbtec.net.|17676 | 126.62.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
180.146.88.221|180-146-88-221f1.shg1.eonet.ne.jp.|17511 | 180.144.0.0/14 | K | JP | eonet.ne.jp | K-Opticom Corporation
202.78.188.153|202-78-188-153.kakt.j-cnet.jp.|4721 | 202.78.184.0/21 | JCN | JP | koalanet.ne.jp | Jcom Tokatsukatsushika Co. Ltd.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
210.148.156.28|j210148156028.nct9.ne.jp.|2497 | 210.148.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
219.193.80.100|softbank219193080100.bbtec.net.|17676 | 219.193.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network of SoftBank BB Corp
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.187.252|u687252.xgsfm38.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.194.73|u694073.xgsfm1.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.210.204|u710204.xgsfm2.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.

=================================================
【アップデート】Thu Oct 15 06:52:43 JST 2015
=================================================


四日間のモニターリング、感染されたPCのダイアルアップのIPが落ちたりして、IPがころころ変わっています。
1. 全国の感染IP、合計:669件


2. 日本国内の感染IP、合計;37件↓
101.96.32.57|u057.d032096101.ctt.ne.jp.|7672 | 101.96.32.0/19 | FITWEB | JP | ctt.ne.jp | Cable Television Toyama Incorporeted.
110.172.0.188|0.188.net4.hinocatv.ne.jp.|23788 | 110.172.0.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
113.43.111.32|113x43x111x32.ap113.ftth.ucom.ne.jp.|17506 | 113.40.0.0/14 | UCOM | JP | fttx.co.jp | UCOM Corporation
114.49.2.173|em114-49-2-173.pool.e-mobile.ne.jp.|37903 | 114.48.0.0/15 | EMOBILE | JP | ymobile.jp | YMobile Corporation
115.162.63.177|p73a23fb1.ymgtnt01.ap.so-net.ne.jp.|2527 | 115.162.0.0/15 | SO | JP | so-net.ne.jp | So-net Service
116.193.112.202|202.112.193.116.ip4.winknet.ne.jp.|38628 | 116.193.96.0/19 | WINK | JP | winknet.ne.jp | Himeji Cable Television Corporation
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
116.65.15.63|116-65-15-63.rev.home.ne.jp.|9824 | 116.65.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
116.67.133.177|p744385b1.sitmnt01.ap.so-net.ne.jp.|2527 | 116.67.128.0/17 | SO | JP | so-net.ne.jp | So-net Service
119.82.192.176|192.176.net3.hinocatv.ne.jp.|23788 | 119.82.192.0/20 | HICT | JP | jcom.co.jp | Jupiter Telecommunications Co. Ltd.
126.48.37.45|softbank126048037045.bbtec.net.|17676 | 126.48.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
126.62.102.209|softbank126062102209.bbtec.net.|17676 | 126.62.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network Of SoftBank BB Corp.
180.146.88.221|180-146-88-221f1.shg1.eonet.ne.jp.|17511 | 180.144.0.0/14 | K | JP | eonet.ne.jp | K-Opticom Corporation
183.72.178.229|u678229.xgsfm7.imtp.tachikawa.mopera.net.|9605 | 183.72.0.0/16 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
202.125.60.36|u036.d060125202.ctt.ne.jp.|7672 | 202.125.48.0/20 | FITWEB | JP | ctt.ne.jp | Cable Television Toyama Incorporeted
202.78.188.153|202-78-188-153.kakt.j-cnet.jp.|4721 | 202.78.184.0/21 | JCN | JP | koalanet.ne.jp | Jcom Tokatsukatsushika Co. Ltd.
203.104.115.34|catv-203-104-115-34.ctk.ne.jp.|17936 | 203.104.112.0/20 | CTK | JP | ctk.ne.jp | Cable Television Kani Co. Inc.
210.148.156.28|j210148156028.nct9.ne.jp.|2497 | 210.148.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
210.149.77.107|j210149077107.nct9.ne.jp.|2497 | 210.149.0.0/16 | IIJ | JP | nct9.ne.jp | N.C.T Co. Ltd.
211.120.158.247|zaqd3789ef7.zaq.ne.jp.|9617 | 211.120.128.0/19 | ZAQ | JP | jcom.co.jp | J:COM West Co. Ltd.
211.133.222.47|yz047.net211133222.thn.ne.jp.|10010 | 211.133.192.0/19 | TOKAI | JP | tokai-com.co.jp | Tokai Communications Corporation
211.19.245.151|dhcp22-151.ctb.ne.jp.|23780 | 211.19.224.0/19 | CTB | JP | ctb.ne.jp | CTB Media Inc.
219.124.22.175|c022175.net219124.cablenet.ne.jp.|9378 | 219.124.16.0/20 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
219.193.80.100|softbank219193080100.bbtec.net.|17676 | 219.193.0.0/16 | GIGAINFRA | JP | softbankbb.co.jp | Japan Nation-Wide Network of SoftBank BB Corp
221.248.87.73|221x248x87x73.ap221.ftth.ucom.ne.jp.|17506 | 221.240.0.0/12 | UCOM | JP | fttx.co.jp | UCOM Corporation
27.143.223.146|27-143-223-146.rev.home.ne.jp.|9824 | 27.143.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
42.127.159.100|ftth-127-159.100.dws.ne.jp.|10010 | 42.127.128.0/18 | TOKAI | JP | dws.ne.jp | Toco Channel Shizuoka Corporation
42.144.16.16|42-144-16-16.rev.home.ne.jp.|9824 | 42.144.0.0/16 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
49.101.163.175|u663175.xgsfm36.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.178.76|u678076.xgsfm37.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.187.252|u687252.xgsfm38.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.194.73|u694073.xgsfm1.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.210.204|u710204.xgsfm2.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
49.101.255.74|u755074.xgsfm6.imtp.tachikawa.mopera.net.|9605 | 49.101.128.0/17 | DOCOMO | JP | nttdocomo.com | NTT DoCoMo Inc.
60.62.114.22|60-62-114-22.rev.home.ne.jp.|9824 | 60.62.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
60.62.137.2|60-62-137-2.rev.home.ne.jp.|9824 | 60.62.128.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
61.215.134.150|c134150.net61215.cablenet.ne.jp.|9378 | 61.215.128.0/19 | CABLENET | JP | cablenet.ne.jp | Jcom Kawaguchitoda Co. Ltd.
今迄の情報を見たら日本国内感染されたPCは大体20台以下と思われます。

日曜日, 8月 30, 2015

#OCJP-127: 「Shellshock」攻撃事件、日本国内40件以上の感染、Perlバックドアshellbotマルウェア

「Shellshock」攻撃が未だ沢山発見し、その攻撃からマルウェアに感染されたマシンも多いです。
本事件はその事件の報告ですので、本事件に感染されたマルウェアが多くて、
IRの対応参考情報と国内セキュリティの注意点為このブログに書きました。

ついさっき下記のshellshock攻撃が来ました↓

フルログはこちら⇒【pastebin

「Shellshock」攻撃元のIP↓
{
  "ip": "64.15.155.177",
  "hostname": "ns1.neodepo.com",
  "city": "Montrテゥal",
  "region": "Quebec",
  "country": "CA",
  "loc": "45.5000,-73.5833",
  "org": "AS32613 iWeb Technologies Inc.",
  "postal": "H3G"
}

shellshockのbash実行コマンドは下記となります↓

コマンドの説明は↓
shellshock脆弱性に影響されたマシンでperlを実行され、実行が可能マシンから「XSUCCESS!」アタッカーにHTTPの回答で送られます。そして「wget」で49.212.167.43からinfo.logファイルをダウンロードされ、perlで実行してから削除されます。

ファイルダウンロード元のIPは「49.212.167.43」さくらインターネット(日本国内)にあります↓
{
  "ip": "49.212.167.43",
  "hostname": "www13269uf.sakura.ne.jp",
  "city": "Osaka",
  "region": "Osaka",
  "country": "JP",
  "loc": "34.6864,135.5200",
  "org": "AS9371 SAKURA Internet Inc.",
  "postal": "540-0008"
}

ダウンロード証拠↓
--2015-08-30 17:00:01--  hxxp://49.212.167.43/info.log
Connecting to 49.212.167.43:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 41728 (41K) [text/plain]
Saving to: 'info.log'
100%[==============>]  40.75K  --.-KB/s   in 0.03s
2015-08-30 17:00:01 (1.17 MB/s) - 'info.log' saved [41728/41728]

ダウンロードされたファイル「info.log」はlogファイルじゃなくてperlの実行スクリプトファイルです。
$ myfile info.log
info.log: a /usr/bin/perl\015 script executable (binary data)
Name   : info.log
MD5    : 7154218e48436836eb87ceda43d871be
SHA256 : 83d467723edda5c2375a4361e5b929371e85ce5d7c885a045323f4dd42a90b3e

一般の方々だとウイルスチェックで確認したらIRC SHELLBOTマルウェアで確認が直ぐに出来ます、リンク⇒【VirusTotal

shellでのマルウェアチェックした結果は↓
$ date&&vt check ./info.log
Sun Aug 30 14:38:22 JST 2015
   File name: info.log
   Detection ratio: 24 / 56
   Analysis date: 2015-08-29 08:08:11 UTC ( 21 hours, 30 minutes ago )
   File size 40.8 KB ( 41728 bytes )
   File type Perl
   First submission 2015-08-27 18:10:56 UTC ( 2 days, 11 hours ago )
   Last submission 2015-08-29 08:08:11 UTC ( 21 hours, 30 minutes ago )
   ALYac                Backdoor.Perl.Shellbot.F      20150829
   AVG                  PERL/ShellBot                 20150829
   AVware               Backdoor.Perl.IRCBot.a (v)    20150829
   Ad-Aware             Backdoor.Perl.Shellbot.F      20150829
   Arcabit              Backdoor.Perl.Shellbot.F      20150829
   Avast                Perl:Shellbot-O [Trj]         20150829
   BitDefender          Backdoor.Perl.Shellbot.F      20150829
   CAT-QuickHeal        Perl/Shellbot.FS              20150829
   ClamAV               Perl.ShellBot-4               20150829
   Cyren                Trojan.QPVM-5                 20150829
   ESET-NOD32           Perl/Shellbot.NAK.Gen         20150829
   Emsisoft             Backdoor.Perl.Shellbot.F (B)  20150829
   F-Secure             Backdoor.Perl.Shellbot.F      20150829
   Fortinet             PossibleThreat.P0             20150829
   GData                Backdoor.Perl.Shellbot.F      20150829
   Ikarus               Trojan.Perl.Shellbot          20150829
   MicroWorld-eScan     Backdoor.Perl.Shellbot.F      20150829
   NANO-Antivirus       Trojan.Script.Shellbot.dnqthd 20150829
   Qihoo-360            Trojan.Generic                20150829
   Sophos               Mal/PerlBot-A                 20150829
   TrendMicro           PERL_SHELLBOT.SM              20150829
   TrendMicro-HouseCall PERL_SHELLBOT.SM              20150829
   VIPRE                Backdoor.Perl.IRCBot.a (v)    20150829
   nProtect             Backdoor.Perl.Shellbot.F      20150828

確認の為、本ファイルの中身はpastebinにアップロードし、現在見れます⇒【pastebin

危ない攻撃機能が沢山あります(DDOS攻撃、バックドアー、ダウンローダー、など)↓


このスクリプトは「213.186.118.35」にあるIRCサーバとチャンネルに接続する事になります、場所はKIEV、ウクライナ↓
{
  "ip": "213.186.118.35",
  "hostname": "awplanet.com",
  "city": Kiev,
  "country": "UA",
  "loc": "50.4500,30.5233",
  "org": "AS6849 JSC Ukrtelecom"
}

info.logにircのアクセス情報が書いてあります。調査と事件証拠集まりデータの為に必要で、下記の情報です↓


取り合えずIRCボットサーバ迄アクセスしましたので、本shellshockで感染されたホストを取りました。
結果の一覧は447がありますが、ここでフルデータのアクセスが出来ます⇒【pastebin

取ったデータの中に単純に「.jp」をegrepしたら39点の日本国内ホスト名が出ます↓
(157): >> :mailman!dracon@w250244.ppp.asahi-net.or.jp NOTICE organza : mIRC v6.15 Khaled Mardam-Bey 
(158): >> :winny!mu@ipbfn004-023.kcn.ne.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(163): >> :brigitta!tupac@58x159x136x10.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.2 Khaled Mardam-Bey 
(168): >> :kbee-1739!poesje@FL1-49-129-209-23.stm.mesh.ad.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(170): >> :tennis!smck@g059234.ppp.asahi-net.or.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(177): >> :xxx!secret@116.91.113.83.ap.gmobb-fix.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(181): >> :sweetlady!skylink@ntkngw495058.kngw.nt.ftth.ppp.infoweb.ne.jp NOTICE organza : VERSION - unknown command. 
(196): >> :borre-3666!andjela@www2.px.tsukuba.ac.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(205): >> :wp!hlios@pcwave3.ice.uec.ac.jp NOTICE organza : VERSION - unknown command. 
(207): >> :asmodizz-7031!joe@w0109-49-135-70-143.uqwimax.jp NOTICE organza : mIRC v6.2 Khaled Mardam-Bey 
(218): >> :wing-93!monroe@p8172-ipbfp603daianji.nara.ocn.ne.jp NOTICE organza : mIRC v6.15 Khaled Mardam-Bey 
(219): >> :imp-618!pshyche@i60-34-249-87.s41.a028.ap.plala.or.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(250): >> :vento-1421!kbee@ntmygi093099.mygi.nt.ngn2.ppp.infoweb.ne.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(264): >> :luny!szern@aquarius.citizen.co.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(279): >> :anjing-9056!blondenor@58x157x34x218.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.16 Khaled Mardam-Bey 
(311): >> :pszaah-8138!vodafone@i58-95-131-131.s10.a027.ap.plala.or.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(324): >> :marco!jason@FL1-60-236-8-130.tky.mesh.ad.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(327): >> :tato!raye@aa2002121314005.userreverse.dion.ne.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(328): >> :moladmin-2141!cread@KD113154079170.ppp-bb.dion.ne.jp NOTICE organza : VERSION - unknown command. 
(338): >> :willgood!clbiz@KD124210068121.ppp-bb.dion.ne.jp NOTICE organza : mIRC v6.17 Khaled Mardam-Bey 
(340): >> :mrx-3690!zinj@p7cdba55e.tokyff01.ap.so-net.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(341): >> :jockey!acrima@061204042226.rev.datacenter.ne.jp NOTICE organza : mIRC v6.17 Khaled Mardam-Bey 
(350): >> :dusica!johnny@61-194-77-193.gip-stap.canvas.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(367): >> :davide!anjing@58x12x20x139.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.03 Khaled Mardam-Bey 
(373): >> :cintat-7211!spanker@59x87x56x226.ap59.ftth.ucom.ne.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(375): >> :mythic!master@113x42x213x125.ap113.ftth.ucom.ne.jp NOTICE organza : VERSION - unknown command. 
(376): >> :psioncore!dragon@58x156x128x245.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(377): >> :zwsiew!terence@p2116-ipbf306koufu.yamanashi.ocn.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(380): >> :mephisto!luny@p337233-ipngn5801sapodori.hokkaido.ocn.ne.jp NOTICE organza : mIRC v6.15 Khaled Mardam-Bey 
(383): >> :venusguy!vodafone@zaq31fb8490.zaq.ne.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(385): >> :khan!vento@58x156x233x194.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(413): >> :sorceress!cruizer@58x80x3x227.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(420): >> :shekel!mpdike@110-133-182-65.rev.home.ne.jp NOTICE organza : VERSION - unknown command. 
(422): >> :whiskey-3252!gold@ns.kagiken.co.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(429): >> :kralj!sexbolek@KD106167135169.ppp-bb.dion.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(430): >> :gili!aus@FL1-60-236-77-37.tky.mesh.ad.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(436): >> :dimkam!mooks@113x35x33x91.ap113.ftth.ucom.ne.jp NOTICE organza : mIRC v6.03 Khaled Mardam-Bey 
(442): >> :kasandra!jn@113x38x140x190.ap113.ftth.ucom.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(443): >> :vanda!stinga@w218187.ppp.asahi-net.or.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 

尚、取ったデータの生IPアドレス情報のみをegrepしたら200以上があるので、GeoIPへ回すと下記の日本国内のIPも出ました↓
$ cat ip.txt |bash /malware/checkdomains/origin.sh jp
1.21.56.58||2519 | 1.21.0.0/16 | VECTANT | JP | cocospace.com | 21Company
116.91.113.83|116.91.113.83.ap.gmobb-fix.jp.|2519 | 116.91.0.0/16 | VECTANT | JP | gmo.jp | GMO Internet Inc.
124.33.149.134||17506 | 124.32.0.0/14 | UCOM | JP | directors.co.jp | Directors Company Co. Ltd.
219.122.47.91||17511 | 219.122.32.0/19 | K | JP | 2iij.net | Kyoto International Conference Center
49.143.242.14|bdb.14.s-port.biz.|18068 | 49.143.240.0/21 | ACROSS | JP | s-cnet.ne.jp | TOCOCHANNEL SHIZUOKA corporation
61.120.126.108||2516 | 61.120.0.0/17 | KDDI | JP | kddi.com | KDDI Corporation
61.206.239.157||9365 | 61.206.224.0/20 | ITSCOM | JP | itscom.jp | ITS Communications Inc.
$
本事件の報告をさくらインターネットさんとJP-CERTに送りました。

上記のホスト一覧はDDOSマシンとして悪用される積りです。
直接容疑者からの確認の証拠も取りました(そのバットマンは僕です)↓

危険なのでそのホストからperlマルウェアスクリプトを削除して欲しいです。

全て感染された日本国内のLinuxホストの一覧は下記のホスト名/IPとなります。合計:46台です↓
1.21.56.58 (vectant.ne.jp)
124.33.149.134 (directors.co.jp)
219.122.47.91 (2iij.net)
49.143.242.14 (s-cnet.ne.jp)
61.120.126.108 (KDDI)
61.206.239.157 (itscom.jp)
ns.kagiken.co.jp
www2.px.tsukuba.ac.jp
pcwave3.ice.uec.ac.jp
aquarius.citizen.co.jp
116.91.113.83.ap.gmobb-fix.jp
w250244.ppp.asahi-net.or.jp
ipbfn004-023.kcn.ne.jp
58x159x136x10.ap58.ftth.ucom.ne.jp
FL1-49-129-209-23.stm.mesh.ad.jp
g059234.ppp.asahi-net.or.jp
116.91.113.83.ap.gmobb-fix.jp
ntkngw495058.kngw.nt.ftth.ppp.infoweb.ne.jp
w0109-49-135-70-143.uqwimax.jp
p8172-ipbfp603daianji.nara.ocn.ne.jp
i60-34-249-87.s41.a028.ap.plala.or.jp
ntmygi093099.mygi.nt.ngn2.ppp.infoweb.ne.jp
58x157x34x218.ap58.ftth.ucom.ne.jp
i58-95-131-131.s10.a027.ap.plala.or.jp
FL1-60-236-8-130.tky.mesh.ad.jp
aa2002121314005.userreverse.dion.ne.jp
KD113154079170.ppp-bb.dion.ne.jp
KD124210068121.ppp-bb.dion.ne.jp
p7cdba55e.tokyff01.ap.so-net.ne.jp
061204042226.rev.datacenter.ne.jp
61-194-77-193.gip-stap.canvas.ne.jp
58x12x20x139.ap58.ftth.ucom.ne.jp
59x87x56x226.ap59.ftth.ucom.ne.jp
113x42x213x125.ap113.ftth.ucom.ne.jp
58x156x128x245.ap58.ftth.ucom.ne.jp
p2116-ipbf306koufu.yamanashi.ocn.ne.jp
p337233-ipngn5801sapodori.hokkaido.ocn.ne.jp
zaq31fb8490.zaq.ne.jp
58x156x233x194.ap58.ftth.ucom.ne.jp
58x80x3x227.ap58.ftth.ucom.ne.jp
110-133-182-65.rev.home.ne.jp
KD106167135169.ppp-bb.dion.ne.jp
FL1-60-236-77-37.tky.mesh.ad.jp
113x35x33x91.ap113.ftth.ucom.ne.jp
113x38x140x190.ap113.ftth.ucom.ne.jp
w218187.ppp.asahi-net.or.jp
クリーンアップの為に上記の情報をシェアさせて頂きます、最新情報を取れたらまたアップデートいたします。

「Tue Sep 1 12:03:16 JST 2015」のアップデート情報
皆様のお蔭でマルウェアファイルがクリーンアップされました。

GET /info.log HTTP/1.1
Accept: */*
Host: 49.212.167.43
Connection: Keep-Alive

HTTP/1.1 404 Not Found
Date: Tue, 01 Sep 2015 03:05:12 GMT
Server: xxx/x.x.x.x (xxx)
Content-Length: 285
Connection: close
Content-Type: text/html; charset=iso-8859-1
御協力頂き有難う御座いました。

「Tue Sep 1 15:35:23 JST 2015」のアップデート情報
先ほどの確認下、4台日本国内の新規感染されたマシンをCNCに発見しました↓
122-200-141-248.tlp.ne.jp
122x221x132x46.ap122.ftth.ucom.ne.jp
218-216-75-141.cust.bit-drive.ne.jp
ntkngw287164.kngw.nt.ngn2.ppp.infoweb.ne.jp
現時点日本国内感染されたマシンの合計は42台です↓
1.21.56.58 (vectant.ne.jp)
124.33.149.134 (directors.co.jp)
219.122.47.91 (2iij.net)
49.143.242.14 (s-cnet.ne.jp)
61.120.126.108 (KDDI)
61.206.239.157 (itscom.jp)
061204042226.rev.datacenter.ne.jp
110-133-182-65.rev.home.ne.jp
113x35x33x91.ap113.ftth.ucom.ne.jp
113x38x140x190.ap113.ftth.ucom.ne.jp
113x42x213x125.ap113.ftth.ucom.ne.jp
122-200-141-248.tlp.ne.jp
122x221x132x46.ap122.ftth.ucom.ne.jp
218-216-75-141.cust.bit-drive.ne.jp
58x12x20x139.ap58.ftth.ucom.ne.jp
58x156x128x245.ap58.ftth.ucom.ne.jp
58x156x233x194.ap58.ftth.ucom.ne.jp
58x157x34x218.ap58.ftth.ucom.ne.jp
58x159x136x10.ap58.ftth.ucom.ne.jp
58x80x3x227.ap58.ftth.ucom.ne.jp
59x87x56x226.ap59.ftth.ucom.ne.jp
61-194-77-193.gip-stap.canvas.ne.jp
FL1-60-236-77-37.tky.mesh.ad.jp
FL1-60-236-8-130.tky.mesh.ad.jp
KD106167135169.ppp-bb.dion.ne.jp
KD124210068121.ppp-bb.dion.ne.jp
aa2002121314005.userreverse.dion.ne.jp
aquarius.citizen.co.jp
g059234.ppp.asahi-net.or.jp
i58-95-131-131.s10.a027.ap.plala.or.jp
i60-34-249-87.s41.a028.ap.plala.or.jp
ipbfn004-023.kcn.ne.jp
kenmedia.jp
ns.kagiken.co.jp
ntkngw287164.kngw.nt.ngn2.ppp.infoweb.ne.jp
ntmygi093099.mygi.nt.ngn2.ppp.infoweb.ne.jp
p2116-ipbf306koufu.yamanashi.ocn.ne.jp
p7cdba55e.tokyff01.ap.so-net.ne.jp
p8172-ipbfp603daianji.nara.ocn.ne.jp
w218187.ppp.asahi-net.or.jp
w250244.ppp.asahi-net.or.jp
zaq31fb8490.zaq.ne.jp 
感染されたLinuxマシンの接続がコロコロ変わりますが、監視が非常に難しいですので、確実の情報(上記の一覧)しか報告していません。因みに最終確認では合計の感染されたLinuxマシンは587台で、新規感染=204台, 64台が無くなりました。一覧はJP-CERTさん、警察とInterpolサイバー犯罪の証拠よしてに送りました。

sortにながらcomm(UNIXコマンド)で前回と今回の感染数やホスト名の確認が出来す↓


本件はのインシデント番号は「#OCJP-127」です。