以前書いたブログ内容の続きですが、Facebookユーザ情報を盗んだ「Ramnit」ワームのバイナリー調査をしました。
はっきり仕事後しか調査時間が出来ないので、調査が2段階にします。本件のレポートは調査結果その1となります。このレポートをリリース後にもっと詳しい調査を行います。
因みに、良く聞かれていますので、何故かここ迄Ramnitワームの調査しているかと。実は調査の目的は本当にRamnitワームがFacebookユーザ情報を取れるかどうかを確認したいのです。残念ながら仕事後しか調査時間が取れないので、今迄未だはっきり証明が出来てません。
では、以下バイナリー調査結果その1となります、英語版の調査結果はPastebinとVirusTotal(←の2ページ)にアップしました。下記の調査結果基づいて、もし御確認内容があればどうぞコメントを入れて下さい。よろしくお願いします。
調査した日付け:Wed Jan 11 19:12:49 JST 2012
ファイル情報調査結果
調査したサンプルのファイル情報
ファイルattribute情報(プロパティよりもっと詳しい情報)の確認結果
exiftoolでサンプルの詳細ファイル種類確認結果
File Name : Aha.exe
File size : 135,680 bytes
MD5 : 607b2219fbcfbfe8e6ac9d7f3fb8d50e
最初発見された時間 :2012-01-05 11:31:37
画像スナップショット:
↑ファイルのアイコンとファイル名
↑ファイルのプロパティに書いてある数字の意味合いは
①は恐らくは本マルウェアの作った日付け又はサーバにアップロードされた日付け、
②は本件のサンプルが最初が保存された日付けとなります。ファイルattribute情報(プロパティよりもっと詳しい情報)の確認結果
[StringFileInfo] Length: 0x228 ValueLength: 0x0 Type: 0x1 [StringTable] Length: 0x204 ValueLength: 0x0 Type: 0x1 LangID: 040904B0 LegalCopyright: Desk Koala Yam Sown 1998-2007 InternalName: Suzy Leaf Pearl FileVersion: 2.6 CompanyName: Bitrix ProductName: Dave Cloud Stormy ProductVersion: 2.6 FileDescription: Teak Quill Chloe OriginalFilename: Aha.exe
exiftoolでサンプルの詳細ファイル種類確認結果
CharacterSet: Unicode
CodeSize: 131072
CompanyName: Bitrix
EntryPoint: 0x3ebd0
FileDescription: Teak Quill Chloe
FileFlagsMask: 0x003f
FileOS: Windows NT 32-bit
FileSize: 132 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 2.6
FileVersionNumber: 2.6.0.0
ImageVersion: 10.3
InitializedDataSize: 4096
InternalName: Suzy Leaf Pearl
LanguageCode: English (U.S.)
LegalCopyright: Desk Koala Yam Sown 1998-2007
LinkerVersion: 5.2
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 7.0
ObjectFileType: Executable application
OriginalFilename: Aha.exe
PEType: PE32
ProductName: Dave Cloud Stormy
ProductVersion: 2.6
ProductVersionNumber: 2.6.0.0
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 2006:11:19 03:49:33+01:00
UninitializedDataSize: 122880 発見したのあやしいポイント↓
・バイナリーに書いたCRCがおかしい、登録された数字は0バイトで、実は176,848 (多分packerのせいですね…) ・compileした日付けが古すぎます、書いたのは2006-11-19 11:49:33←美味用にcrypterで作られたマルウェアっぽいです ↑上記の2件を見たらpackerを使ったからかと思われますが、 ・packerのサインを調べたらが発見しました、下記のentropiを見るとUPX packerサインが発見されました。 UPXの種類⇒www.upx.sourceforge.netですね、証拠は下記↓ IMAGE_SECTION_HEADER Entropy 0.0 Name: UPX0 Misc: 0x1E000 Misc_PhysicalAddress: 0x1E000 Misc_VirtualSize: 0x1E000 VirtualAddress: 0x1000 SizeOfRawData: 0x0 PointerToRawData: 0x400 PointerToRelocations: 0x0 PointerToLinenumbers: 0x0 NumberOfRelocations: 0x0 NumberOfLinenumbers: 0x0 Characteristics: 0xE0000080 IMAGE_SECTION_HEADER Entropy 7.93623838328 Name: UPX1 Misc: 0x20000 Misc_PhysicalAddress: 0x20000 Misc_VirtualSize: 0x20000 VirtualAddress: 0x1F000 SizeOfRawData: 0x1FE00 PointerToRawData: 0x400 PointerToRelocations: 0x0 PointerToLinenumbers: 0x0 NumberOfRelocations: 0x0 NumberOfLinenumbers: 0x0 Characteristics: 0xE00 ・あやしいシステムコールが発見↓ バイナリーの中に書いたDLL一覧は下記となります↓ KERNEL32.DLL COMCTL32.DLL SHLWAPI.DLL が、その中にあやしいシステムコールのトレースを発見↓ まずはAnti Debugging traces↓ 0x43fde0 LoadLibraryA 0x43fde4 GetProcAddress と、MicrosoftOSのDEPセッティング変更点 0x43fde8 VirtualProte 0x43fdec VirtualAlloc
スキャン結果
------------------------------------------------------------------------ Antivirus Version Last Update Result ------------------------------------------------------------------------ AhnLab-V3 2012.01.10.03 2012.01.10 Trojan/Win32.Lebag AntiVir 7.11.20.229 2012.01.11 TR/Offend.KD.504269 Antiy-AVL 2.0.3.7 2012.01.11 - Avast 6.0.1289.0 2012.01.11 Win32:CripUnp [Susp] AVG 10.0.0.1190 2012.01.11 SHeur4.MLP BitDefender 7.2 2012.01.11 Trojan.Generic.KD.504269 ByteHero 1.0.0.1 2011.12.31 Trojan.Win32.Heur.Gen CAT-QuickHeal 12.00 2012.01.11 Trojan.Ramnit.a ClamAV 0.97.3.0 2012.01.11 - Commtouch 5.3.2.6 2012.01.11 - Comodo 11236 2012.01.10 Heur.Suspicious DrWeb 5.0.2.03300 2012.01.11 Trojan.Rmnet.8 Emsisoft 5.1.0.11 2012.01.11 Virus.Win32.Ramnit!IK eSafe 7.0.17.0 2012.01.10 - eTrust-Vet 37.0.9675 2012.01.11 - F-Prot 4.6.5.141 2012.01.11 - F-Secure 9.0.16440.0 2012.01.11 Trojan.Generic.KD.504269 Fortinet 4.3.388.0 2012.01.11 W32/Yakes.B!tr GData 22 2012.01.11 Trojan.Generic.KD.504269 Ikarus T3.1.1.109.0 2012.01.11 Virus.Win32.Ramnit Jiangmin 13.0.900 2012.01.10 - K7AntiVirus 9.125.5906 2012.01.10 Riskware Kaspersky 9.0.0.837 2012.01.11 Trojan.Win32.Lebag.klg McAfee 5.400.0.1158 2012.01.11 Generic.mfr!bc McAfee-GW 2010.1E 2012.01.10 Generic.mfr!bc Microsoft 1.7903 2012.01.11 Trojan:Win32/Ramnit.A NOD32 6783 2012.01.11 a variant of Win32/Kryptik.YNF Norman 6.07.13 2012.01.10 W32/Suspicious_Gen2.UWZFB nProtect 2012-01-11.01 2012.01.11 Trojan/W32.Agent.135680.LI Panda 10.0.3.5 2012.01.10 Bck/Qbot.AO PCTools 8.0.0.5 2012.01.11 Trojan.Generic Prevx 3.0 2012.01.11 - Rising 23.92.02.02 2012.01.11 Trojan.Win32.Generic.12AF6823 Sophos 4.73.0 2012.01.11 - SUPERAntiSpywar 4.40.0.1006 2012.01.11 - Symantec 20111.2.0.82 2012.01.11 Trojan Horse TheHacker 6.7.0.1.375 2012.01.10 - TrendMicro 9.500.0.1008 2012.01.11 TROJ_SPNR.06A012 TrendMicroHouse 9.500.0.1008 2012.01.11 TROJ_SPNR.06A012 VBA32 3.12.16.4 2012.01.10 BScope.Trojan.Ramnit.5112 VIPRE 11381 2012.01.11 Trojan.Win32.Generic!BT ViRobot 2012.1.11.4874 2012.01.11 - VirusBuster 14.1.160.0 2012.01.10 Trojan.Lebag!yEp9NXlqXHc ↑上記の結果を見たらはっきりRamnitの結果が出たのは少ないですね。 発見結果スコアは32/42なので、その5/32だけはRamnit情報が出ました、 他には別々のマルウェア種類結果が出ます。
リファレンス
http://www.virustotal.com/file-scan/report.html?id=f52bfac9637aea189ec918d05113c36f5bcf580f3c0de8a934fe3438107d3f0c-1326272864
http://pastebin.com/JJ5zuTh1 (Behavior Analysis First Handle)
http://unixfreaxjp.blogspot.com/2012/01/ramnit.html (Behavior Analysis First Handle)
http://pastebin.com/JJ5zuTh1 (Behavior Analysis First Handle)
http://unixfreaxjp.blogspot.com/2012/01/ramnit.html (Behavior Analysis First Handle)
現状の結論
(※あるいは本バイナリー調査のみの結論です、行動調査結果の方でもっと色々分かったと思います)
※結論は、Ramnitワームのバイナリー普通調査だけでは大した情報が出ないです。
※これ以上もっと時間を取って調査を続きますので、少し御待ち下さい。
※とにかく、本件のサンプルは9個が頂き、3つ種類があります、
本件の調査と以前行動調査は1つ種類だけです。
※ともかくサンプルのランダムsignatureを取りましたので、下記となります、使いたいならばどうぞ。
[..\sample Section(2/3,UPX1)] ep_only = false ; section_start_only = true 97 cb e5 f6 ff ff b1 c5 03 e0 47 70 ef 3e 53 ef 20 72 b9 5c 2e 28 79 d7 d4 82 82 c8 10 2e 97 cb e5 57 7c 81 27 99 51 84 16 c2 34 e5 72 b9 5c d8 8e 7e d7 60 25 59 b8 5c 2e 97 db 8b aa 4b 9a 26 6f 1e 71 4f 11 49 97 cb 6d b3 da 52 93 07 9e c6 2c 7b eb 1b 6d b3 5c 2e 3d 9d 37 68 72 96 0a 77 b9 dc 9a cb [..\sample Section(3/3,.rsrc)] ep_only = false ; section_start_only = true 00 00 00 00 00 00 00 00 00 00 00 00 00 00 06 00 03 00 00 00 40 00 00 80 04 00 00 00 80 00 00 80 05 00 00 00 10 02 00 80 06 00 00 00 e0 02 00 80 0e 00 00 00 c0 05 00 80 10 00 00 00 00 06 00 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 01 00 00 00 58 00 00 80 00 00 00 00 00 00 00 00 00 00 00 00
↓ ↓ ↓ 追加情報及びアップデート情報はここからです ↓ ↓ ↓
下記の2件は追加情報となります↓
1. バイナリー調査で2件追加あやしい点が発見しました↓
バイナリーに書いた「IMAGE_SCN_MEM_WRITE」と「IMAGE_SCN_MEM_EXECUTE」のフラグが有効です。
本フラグはバイナリーファイルのsection 0とsection 1に書いてあります。
そういう意味では本PEは実行が出来ます。
2. システムのservices, lsass, svchostのプロセスが上書きされる動きを発見しました。引継ぎ確認はRamnit行動分析調査その2のレポートになります
1. バイナリー調査で2件追加あやしい点が発見しました↓
バイナリーに書いた「IMAGE_SCN_MEM_WRITE」と「IMAGE_SCN_MEM_EXECUTE」のフラグが有効です。
本フラグはバイナリーファイルのsection 0とsection 1に書いてあります。
そういう意味では本PEは実行が出来ます。
2. システムのservices, lsass, svchostのプロセスが上書きされる動きを発見しました。引継ぎ確認はRamnit行動分析調査その2のレポートになります
下記の1件はまた別途の追加情報なります↓
今迄ゲットしたサンプルと見たらRamnitマルウェアのファイルは3種類があります、下記のアイコン形となります↓
ファイルの権限情報、日付けとサイズは下記となります↓
↑によって下記の情報が重要です↓
・Ramnitワームのはじめて感染した時にメール経由です。
※ メール経由で2つ方法を発見しましたので、
①そのままで上記のアイコンファイルを添付されているか、若しくは
②メールにトロイのダウンローダー経由でRamnitワームをダウンロードされます。
※ ワームの機能は恐らくメール(SMTP)経由となります。
その他のバックドアサービスもありますので、53、80と443番ポートです。
53ポートはDNSです(オープンDNSサービスへリクエストを投げます)、80番ポートにはIISウェブサーバ立ち上がり、ワームの感染ポイントになります(IISが無いPCですと恐らく影響がなさそうです)、443はコントロールセンター(CC)に情報を送信と銃身方法です、
25番ポートはスパムで色んな宛先にメールを送信する。
※ コードを見たらメディアの認識が発見、恐らくplug-and-playデバイスには保存が出来るかと思われます。今のサンプルでは再現が出来てない部分があり報告は出来ないです。現在別のサンプルを探し、詳しい調査をまた別途追加します。
今迄ゲットしたサンプルと見たらRamnitマルウェアのファイルは3種類があります、下記のアイコン形となります↓
ファイルの権限情報、日付けとサイズは下記となります↓
/home/unixfreaxjp/GnuWin32/bin/RamnitFacebook/ramnit>ls -alF *.exe
-rwx------ 1 unixfreaxjp overide-root 135680 Jan 5 20:01 Aha.exe* 607b2219fbcfbfe8e6ac9d7f3fb8d50e
-rwx------ 1 unixfreaxjp overide-root 121856 Jan 10 01:05 Honk.exe* 76991eefea6cb01e1d7435ae973858e6
-rwx------ 1 unixfreaxjp overide-root 121344 Jan 10 01:05 Reich.exe* 2f5d28f9792c7d114bed7fdcec00f550↑によって下記の情報が重要です↓
・Ramnitワームのはじめて感染した時にメール経由です。
※ メール経由で2つ方法を発見しましたので、
①そのままで上記のアイコンファイルを添付されているか、若しくは
②メールにトロイのダウンローダー経由でRamnitワームをダウンロードされます。
※ ワームの機能は恐らくメール(SMTP)経由となります。
その他のバックドアサービスもありますので、53、80と443番ポートです。
53ポートはDNSです(オープンDNSサービスへリクエストを投げます)、80番ポートにはIISウェブサーバ立ち上がり、ワームの感染ポイントになります(IISが無いPCですと恐らく影響がなさそうです)、443はコントロールセンター(CC)に情報を送信と銃身方法です、
25番ポートはスパムで色んな宛先にメールを送信する。
※ コードを見たらメディアの認識が発見、恐らくplug-and-playデバイスには保存が出来るかと思われます。今のサンプルでは再現が出来てない部分があり報告は出来ないです。現在別のサンプルを探し、詳しい調査をまた別途追加します。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
by: アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet
--------------------------------
返信削除本日のSecond Opinionスキャン確認結果
--------------------------------
Trojan/Win32.Lebag
TR/Offend.KD.504269
SHeur4.MLP
Trojan.Generic.KD.504269
Trojan.Win32.Heur.Gen
Trojan.Ramnit.a
Heur.Suspicious
Trojan.Rmnet.8
Virus.Win32.Ramnit!IK
Trojan.Generic.KD.504269
W32/Yakes.B!tr
Trojan.Generic.KD.504269
Virus.Win32.Ramnit
Riskware
Trojan.Win32.Lebag.klg
Generic.mfr!bc
Generic.mfr!bc
Trojan:Win32/Ramnit.A
W32/Suspicious_Gen2.UWZF
Trojan/W32.Agent.135680.
Bck/Qbot.AO
Trojan.Generic
Trojan.Win32.Generic.12A
TROJ_SPNR.06A012
TROJ_SPNR.06A012
BScope.Trojan.Ramnit.511
Trojan.Win32.Generic!BT
Trojan.Lebag!yEp9NXlqXHc
本件のバイナリー調査レポートをどんどん追加情報を書きますので、”その2”の形はやめます。
返信削除