木曜日, 4月 19, 2012

#OCJP-039-2:日本国内VPSサーバ(219.94.194.138と112.78.124.115)がPhoenix Exploit Packを提供している上体です。海外犯罪者に本VPSが利用されているのか? 【手続き最中】


本件の内容は《#OCJP-039:日本IDC(sakura)サーバ(219.94.194.138と112.78.124.115)がPhoenix Exploit Packに感染されて、GameOver ZeuSトロイのマルウェアがダウンロードされます》事件の続き調査となります。未だ読んでない方々ですと先に#OCJP-039を読んで頂きたいと思います。
下記はPHOENIX EXPLOIT PACKの存在がありました証拠となります。URLとダウンロードの流れを御確認が頂ければ分かると思います。御確認どうぞ!↓
■下記のIPアドレス↓

219.94.194.138と112.78.124.115
■下記のマルウェアURLを発見しました↓

hxxp://112.78.124.115:8080/pages/glavctkoasjtct.php
hxxp://112.78.124.115:8080/internet/fpkrerflfvd.php
hxxp://219.94.194.138:8080/pages/glavctkoasjtct.php
hxxp://219.94.194.138:8080/internet/fpkrerflfvd.php
■ダウンロード流れの証拠↓

上記のURLがダウンロード出来ます↓

--14:00:56--  hxxp://112.78.124.115:8080/pages/glavctkoasjtct.php
           => `glavctkoasjtct.php.1'
Connecting to 112.78.124.115:8080... connected.
hxxp request sent, awaiting response... 200 OK
Length: 286 「text/html」
100%「====================================>」 286           --.--K/s
14:00:57 (10.39 MB/s) - `glavctkoasjtct.php.1' saved 「286/286」
--14:01:19--  hxxp://219.94.194.138:8080/pages/glavctkoasjtct.php
           => `glavctkoasjtct.php.2'
Connecting to 219.94.194.138:8080... connected.
hxxp request sent, awaiting response... 200 OK
Length: 286 「text/html」
100%「====================================>」 286           --.--K/s
14:01:20 (9.67 MB/s) - `glavctkoasjtct.php.2' saved 「286/286」
ダウンロードしたPHPファイルはマルウェアREDIRECTファイルのままです↓

$ cat glavctkoasjtct.php

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "hxxp://www.w3.or
g/TR/html4/loose.dtd">
<html>
 <head>
  <meta hxxp-equiv="Content-Type" content="text/html; charset=utf-8">
 </head>
 <body>
<h1><b>Loading...Please Wait...</b>
<iframe src="../internet/fpkrerflfvd.php"> 
$ cat glavctkoasjtct.php.2

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "hxxp://www.w3.or
g/TR/html4/loose.dtd">
<html>
 <head>
  <meta hxxp-equiv="Content-Type" content="text/html; charset=utf-8">
 </head>
 <body>
<h1><b>Loading...Please Wait...</b>
<iframe src="../internet/fpkrerflfvd.php">
↑また別のPHPに飛ばしてしまいますので、一応確認したら…↓

--14:03:52--  hxxp://219.94.194.138:8080//internet/fpkrerflfvd.php
           => `fpkrerflfvd.php'
Connecting to 219.94.194.138:8080... connected.
hxxp request sent, awaiting response... 302 Found
Location: hxxp://www.google.com 「following」
--14:03:53--  hxxp://www.google.com/
           => `index.html'
Resolving www.google.com... 74.125.235.145, 74.125.235.147, 74.125.235.144, ...
Connecting to www.google.com|74.125.235.145|:80... connected.
hxxp request sent, awaiting response... 302 Found
Location: hxxp://www.google.co.jp/ 「following」
--14:03:53--  hxxp://www.google.co.jp/
           => `index.html'
Resolving www.google.co.jp... 74.125.235.151, 74.125.235.152, 74.125.235.159
Connecting to www.google.co.jp|74.125.235.151|:80... connected.
hxxp request sent, awaiting response... 200 OK
Length: unspecified 「text/html」
    「 <=>                                 」 11,417        --.--K/s
14:03:53 (3.37 MB/s) - `index.html' saved 「11417」
もう1台のサーバも同じ段取りで行くと↓

--14:18:56--  hxxp://112.78.124.115:8080/internet/fpkrerflfvd.php
           => `fpkrerflfvd.php'
Connecting to 112.78.124.115:8080... connected.
hxxp request sent, awaiting response... 302 Found
Location: hxxp://www.google.com 「following」
--14:18:57--  hxxp://www.google.com/
           => `index.html.1'
Resolving www.google.com... 74.125.235.146, 74.125.235.148, 74.125.235.145, ...
Connecting to www.google.com|74.125.235.146|:80... connected.
hxxp request sent, awaiting response... 302 Found
Location: hxxp://www.google.co.jp/ 「following」
--14:18:57--  hxxp://www.google.co.jp/
           => `index.html.1'
Resolving www.google.co.jp... 74.125.235.152, 74.125.235.151, 74.125.235.159
Connecting to www.google.co.jp|74.125.235.152|:80... connected.
hxxp request sent, awaiting response... 200 OK
Length: unspecified 「text/html」
    「 <=>                                 」 11,441        --.--K/s
14:18:57 (2.52 MB/s) - `index.html.1' saved 「11441」
↑最後のindex.htmlの内容は駆除されたHTMLですので、Googleのページへ飛ばされます。


■疑問が出ます

1. 何故PHOENIX EXPLOIT PACKが日本国内VPSにあるIPだけに沢山発見したのか?
2. 本事件は只の感染された事件なのか?(ウェブ脆弱性経由の感染なら確かに可能性があります)
3. 若しくは…日本国内のIDC/VPSサービスがロシアの犯罪者に利用されているのか?(調査が必要)
下記のグラフを見たら上記の質問の回答が分かると思います。





↑上記のグラフを見たら、現状、219.94.194.138と112.78.124.115がロシアマルウェア犯罪者に
使われている状況と見える。
詰り、上記に書いたドメイン経由に日本IDC/VPSを使い、色んなマルウェア感染仕組みを作られます。
これで、何故か219.94.194.138と112.78.124.115に最近沢山ZeuSマルウェアを発見したかと分かりました。
本件の次の手続きはJP-CERT側任せております。証明は以上です。
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 3:01 午後

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)