土曜日, 5月 05, 2012

#OCJP-044: SOFTBANK TELECOMの「61.196.150.174」に発見した韓国トロイ・スパイウェア!マルウェアPEのreversing & forensics調査 【対応最中】


今回はトロイのPEマルウェアを発見しました。PEファイル的にははVB6で作られたそうです。実行後に本マルウェアが別のフォルダーをコピーされて、自分のファイルを削除されます。そしてマルウェアがメモリーに残った上でパソコンの情報を集まります。
+ そのファイルのruntimeがパソコンにインストールされなかったらダウンロードされます。
■下記のIP/URL↓

hxxp://61.196.150.174/Project1.exe
■ダウンロード証拠↓

--06:46:06--  hxxp://61.196.150.174/Project1.exe
           => `Project1.exe'
Connecting to 61.196.150.174:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 164,039 (160K) [application/x-msdownload]
100%[====================================>] 164,039      375.94K/s
06:46:07 (375.29 KB/s) - `Project1.exe' saved [164039/164039]
■ファイル的には下記のスナップショット↓

■ウイルススキャン↓

File name: Project1.exe
File size:       160.2 KB ( 164039 bytes )
MD5:             f885859a753fb4ea6625403acd488568
File type:       Win32 EXE
Detection ratio: 22 / 42
Analysis date:   2012-05-05 21:55:08 UTC
Result:          [CLICK]
Malware Name:
McAfee                   : Generic BackDoor!1qj
K7AntiVirus              : Trojan
NOD32                    : probably unknown NewHeur_PE
Symantec                 : Trojan.ADH.2
Norman                   : W32/Troj_Generic.BPIFH
Avast                    : Win32:Malware-gen
Kaspersky                : Trojan.Win32.Scar.ggkt
BitDefender              : Gen:Variant.Graftor.20116
Comodo                   : UnclassifiedMalware
F-Secure                 : Gen:Variant.Graftor.20116
VIPRE                    : Trojan.Win32.Generic!BT
AntiVir                  : TR/Spy.Gen
McAfee-GW-Edition        : Artemis!F885859A753F
Emsisoft                 : Backdoor.Win32.Blohi!IK
Jiangmin                 : Trojan/Scar.anva
Microsoft                : Backdoor:Win32/Blohi.gen!B
GData                    : Gen:Variant.Graftor.20116
PCTools                  : Trojan.ADH
Ikarus                   : Backdoor.Win32.Blohi
Fortinet                 : NewHeur_PE
AVG                      : Generic28.UEQ
Panda                    : Generic Backdoor
■マルウェア調査↓

-------------------
行動分析調査結果
-------------------

1. 実行後にファイルを別のフォルダーにコピーし、実行前のファイルを削除されました。
   コピー場所は例えば↓
   * C:\Documents and Settings\Administrator\Application Data\Mozilla\Project1.e.exe 
   * C:\\Project1.e 
   実行コマンドラインはSHELL32.DLL経由になり下記のトレースした
   Project1.exe pid: 3756
   Command line : "
   C:\Documents and Settings\Administrator\Application Data\Mozilla\Project1.e.exe
   ※メモ:システムのよる、保存ファイルが違うみたいですね。

2. メモリには2つプロセスが残ります↓

OFFSET     Name         Pid  PPid Thds Hnds Time
---------- -------------------- ------ ------ ------ ------
0xFEDBF020:Project1.exe 3756 3616 5 141 2012-05-05 19:48:08
0xFF448890:Project1.exe 4036 3956 0 ------ 2012-05-05 19:31:44

3. C:\Result.txtのファイルを保存されます↓
aCResult_txt: ; DATA XREF: .text:00411411 // found previously executed shell="%COMSPEC% /C C:\Result.txt> "
unicode 0, <" >
dw 3Eh
unicode 0, < C:\Result.txt>,0

4. 関係があるruntime DLL↓
0x00400000 0x02a39c C:\Documents and Settings\owner\Application Data\Identities\Project1.exe <===THIS
0x77f50000 0x0a7000 C:\WINDOWS\System32\ntdll.dll <===THIS RELATED DLL
0x77e20000 0x123000 C:\WINDOWS\system32\kernel32.dll <===THIS RELATED DLL
0x73370000 0x153000 C:\WINDOWS\System32\MSVBVM60.DLL <====THISRELATED DLL
0x77380000 0x7f2000 C:\WINDOWS\system32\SHELL32.DLL <====THISRELATED DLL
0x71980000 0x03b000 C:\WINDOWS\System32\mswsock.dll <=====THISRELATED DLL
0x76f60000 0x007000 C:\WINDOWS\System32\winrnr.dll <=====THISRELATED DLL

5. スパイウェアっぽいのオペレーションを発見↓

/// パソコンの情報を取れます↓
0000000070E0 0000004070E0 0 COMPUTERNAME
000000007100 000000407100 0 USERNAME
000000006668 000000406668 0 GetLocaleInfoA
00000000944C 00000040944C 0 SystemParametersInfoA
00000000949C 00000040949C 0 GetCursorPos
0000000094F4 0000004094F4 0 keybd_event
000000009538 000000409538 0 mouse_event

/// マルウェア動き↓
0000000066B0 0000004066B0 0 DeleteFileA
0000000067A4 0000004067A4 0 CreateFolder
000000006758 000000406758 0 ShellExecuteA
000000006A68 000000406A68 0 RegDeleteKeyA
000000006ED8 000000406ED8 0 DeleteService
000000006F20 000000406F20 0 CreateServiceA

6. MUTEXが出ました↓
CTF.Asm.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500
CTF.Compart.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500
CTF.LBES.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500
CTF.Layouts.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500
CTF.TMD.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500

7. ネットワーク動きを発見↓

DNS依頼↓
Protocol: UDP
www.chocochoco99.com
DNS_TYPE_A 
27.125.205.18 

HTTPやり取り(ダウンロード)↓

//GET MSWINSCK.OCXコマンド

00000000  47 45 54 20 2f 4d 53 57  49 4e 53 43 4b 2e 4f 43 GET /MSW INSCK.OC
00000010  58 20 48 54 54 50 2f 31  2e 31 0d 0a 41 63 63 65 X HTTP/1 .1..Acce
00000020  70 74 3a 20 2a 2f 2a 0d  0a 55 73 65 72 2d 41 67 pt: */*. .User-Ag
00000030  65 6e 74 3a 20 4d 6f 7a  69 6c 6c 61 2f 34 2e 30 ent: Moz illa/4.0
00000040  20 28 63 6f 6d 70 61 74  69 62 6c 65 3b 20 57 69  (compat ible; Wi
00000050  6e 33 32 3b 20 57 69 6e  48 74 74 70 2e 57 69 6e n32; Win Http.Win
00000060  48 74 74 70 52 65 71 75  65 73 74 2e 35 29 0d 0a HttpRequ est.5)..
00000070  48 6f 73 74 3a 20 77 77  77 2e 63 68 6f 63 6f 63 Host: ww w.chococ
00000080  68 6f 63 6f 39 39 2e 63  6f 6d 0d 0a 43 6f 6e 6e hoco99.c om..Conn
00000090  65 63 74 69 6f 6e 3a 20  4b 65 65 70 2d 41 6c 69 ection:  Keep-Ali
000000A0  76 65 0d 0a 0d 0a                                ve....

//GET ZLIB.DLLコマンド

00000000  92 27 fc 57 72 bb 52 54  00 12 34 56 08 00 45 00   .'.Wr.RT ..4V..E.
00000010  00 ca 01 1a 40 00 80 06  4f da c0 a8 00 02 1b 7d   ....@... O......}
00000020  cd 12 04 04 00 50 d4 4a  d8 a9 8f 57 40 25 50 18   .....P.J ...W@%P.
00000030  3e cc a6 7e 00 00 47 45  54 20 2f 7a 6c 69 62 2e   >..~..GE T /zlib.
00000040  64 6c 6c 20 48 54 54 50  2f 31 2e 31 0d 0a 41 63   dll HTTP /1.1..Ac
00000050  63 65 70 74 3a 20 2a 2f  2a 0d 0a 55 73 65 72 2d   cept: */ *..User-
00000060  41 67 65 6e 74 3a 20 4d  6f 7a 69 6c 6c 61 2f 34   Agent: M ozilla/4
00000070  2e 30 20 28 63 6f 6d 70  61 74 69 62 6c 65 3b 20   .0 (comp atible;
00000080  57 69 6e 33 32 3b 20 57  69 6e 48 74 74 70 2e 57   Win32; W inHttp.W
00000090  69 6e 48 74 74 70 52 65  71 75 65 73 74 2e 35 29   inHttpRe quest.5)
000000a0  0d 0a 48 6f 73 74 3a 20  77 77 77 2e 63 68 6f 63   ..Host:  www.choc
000000b0  6f 63 68 6f 63 6f 39 39  2e 63 6f 6d 0d 0a 43 6f   ochoco99 .com..Co
000000c0  6e 6e 65 63 74 69 6f 6e  3a 20 4b 65 65 70 2d 41   nnection : Keep-A
000000d0  6c 69 76 65 0d 0a 0d 0a                            live....

//リモートサーバからの回答(バイナリダウンロード)

00000000  48 54 54 50 2f 31 2e 31  20 32 30 30 20 4f 4b 0d HTTP/1.1  200 OK.
00000010  0a 44 61 74 65 3a 20 54  68 75 2c 20 30 33 20 4d .Date: T hu, 03 M
00000020  61 79 20 32 30 31 32 20  32 30 3a 33 33 3a 33 39 ay 2012  20:33:39
00000030  20 47 4d 54 0d 0a 53 65  72 76 65 72 3a 20 41 70  GMT..Se rver: Ap
00000040  61 63 68 65 0d 0a 4c 61  73 74 2d 4d 6f 64 69 66 ache..La st-Modif
00000050  69 65 64 3a 20 57 65 64  2c 20 30 38 20 46 65 62 ied: Wed , 08 Feb
00000060  20 32 30 31 32 20 30 36  3a 33 36 3a 35 31 20 47  2012 06 :36:51 G
00000070  4d 54 0d 0a 45 54 61 67  3a 20 22 31 30 30 30 30 MT..ETag : "10000
00000080  30 30 30 30 38 30 35 39  2d 31 61 37 33 30 2d 34 00008059 -1a730-4
00000090  62 38 36 65 31 65 65 34  34 30 64 32 22 0d 0a 41 b86e1ee4 40d2"..A
000000A0  63 63 65 70 74 2d 52 61  6e 67 65 73 3a 20 62 79 ccept-Ra nges: by
000000B0  74 65 73 0d 0a 43 6f 6e  74 65 6e 74 2d 4c 65 6e tes..Con tent-Len
000000C0  67 74 68 3a 20 31 30 38  33 33 36 0d 0a 4b 65 65 gth: 108 336..Kee
000000D0  70 2d 41 6c 69 76 65 3a  20 74 69 6d 65 6f 75 74 p-Alive:  timeout
000000E0  3d 35 2c 20 6d 61 78 3d  31 30 30 0d 0a 43 6f 6e =5, max= 100..Con
000000F0  6e 65 63 74 69 6f 6e 3a  20 4b 65 65 70 2d 41 6c nection:  Keep-Al
00000100  69 76 65 0d 0a 43 6f 6e  74 65 6e 74 2d 54 79 70 ive..Con tent-Typ
00000110  65 3a 20 74 65 78 74 2f  70 6c 61 69 6e 0d 0a 0d e: text/ plain...
00000120  0a 4d 5a 90 00 03 00 00  00 04 00 00 00 ff ff 00 .MZ..... ........
00000130  00 b8 00 00 00 00 00 00  00 40 00 00 00 00 00 00 ........ .@......
00000140  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 ........ ........
00000150  00 00 00 00 00 00 00 00  00 00 00 00 00 80 00 00 ........ ........
00000160  00 0e 1f ba 0e 00 b4 09  cd 21 b8 01 4c cd 21 54 ........ .!..L.!T
00000170  68 69 73 20 70 72 6f 67  72 61 6d 20 63 61 6e 6e his prog ram cann
00000180  6f 74 20 62 65 20 72 75  6e 20 69 6e 20 44 4f 53 ot be ru n in DOS
00000190  20 6d 6f 64 65 2e 0d 0d  0a 24 00 00 00 00 00 00  mode... .$......
000001A0  00 50 45 00 00 4c 01 04  00 25 53 89 35 00 00 00 .PE..L.. .%S.5...
000001B0  00 c7 0a 00 00 e0 00 02  23 0b 01 05 02 00 08 01 ........ #.......
         ////////////   snip   ///////////////////
00027B5D  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 ........ ........
00027B6D  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 ........ ........ 
-----------------------------
マルウェアのバイナリ調査結果
-----------------------------

1. Compiled TimeDateStamp: 0x4FA21EF4 [Thu May 03 06:00:20 2012 UTC]
2. Packed by: Microsoft Visual Basic v5.0 - v6.0
3. CRC Fail: Claimed: 185594 Actual: 199641
4. LangID: 041204B0 (Korean/韓国語)

5. Signature:
   ..................ProductVersion: 2.00
   ..................InternalName: Project1
   ..................FileVersion: 2.00
   ..................OriginalFilename: Project1.exe
   ..................ProductName: Project1

6. Reversing protection, packed..below is the trace:
000000027178 <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
0000000271C3 <assemblyIdentity version="1.0.0.0" processorArchitecture="X86" name="AdminApp" 
              type="win32"></assemblyIdentity>
000000027238 <description>Description of your application</description>
00000002727C <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
0000000272B5 <security>
0000000272C6 <requestedPrivileges>
0000000272E4 <requestedExecutionLevel level="asinvoker" uiAccess="false">
              </requestedExecutionLevel>
000000027346 </requestedPrivileges>
000000027367 </security>
00000002737C </trustInfo>

7. あやしいデータの送信動き↓
aBeginpos: ; DATA XREF: .text:0041D741
  unicode 0, <BeginPos>,0
  align 4
  dd 0Ch
aGoodpc: ; DATA XREF: .text:0041D822
  unicode 0, <GoodPC>,0
  align 4
  dd 6
aMyp:  ; DATA XREF: .text:0041D909
  unicode 0, <myP>,0
  dw 0Ah
  unicode 0, <>,0
aTitle:  ; DATA XREF: .text:0041D9EE
  unicode 0, <tiTle>,0
  dd 1Ah

8. あやしいコード↓
          0x004063b8  str.Address:
          0x004063b8  string (8): "Address"
     ||   0x004063c0  string (6): "Form2"
    |||   0x004063c6     0000             add [eax], al
    |||   0x004063c8  string (6): "Form3"
    |||   0x004063ce     0000             add [eax], al
    |||   0x004063d0  str.MProcessList:
    |||   0x004063d0  string (13): "MProcessList"
   ||||   0x004063dd     0000             add [eax], al
   ||||   0x004063df     005265           add [edx+0x65], dl
   ||||   0x004063e2  string (9): "RegCheck"   <---------------
   ||||   0x004063eb     00466f           add [esi+0x6f], al
   ||||   0x004063ee  string (6): "Form4"
   ||||   0x004063f4  str.Remote1M:
   ||||   0x004063f4  string (9): "Remote1M"   <---------------
   ||||   0x004063fd     0000             add [eax], al
   ||||   0x004063ff     005265           add [edx+0x65], dl
   ||||   0x00406402  string (9): "Remote2M"   <---------------
   ||||   0x0040640b     005265           add [edx+0x65], dl
   ||||   0x0040640e  string (9): "Remote3M"   <---------------
   ||||   0x00406417     006669           add [esi+0x69], ah
   ||||   0x0040641a  string (10): "firstMain"
   |||    0x00406424  str.ModCaption:
   |||    0x00406424  string (11): "ModCaption"
    ||    0x0040642f     00544350         add [ebx+eax*2+0x50], dl
          0x00406433  string (9): "TCPViewB"
          0x00406438  string (9): "TCPViewB"
          0x00406441  string (8): "ModMeMo"
      |   0x00406449  string (7): "ModSvc"
      |   0x00406450  string (7): "Modcry"
     ||   0x00406457  string (6): "Form5"  
---------------------
調査スナップショット
---------------------

RATの行動分析調査のスナップショットその1 - 実行した時(一番上のプロセス)


このエラーが必ず出ます…、OCXがあっても…


<ダウンロードが動いた時のパケットキャップチャー>


バイナリー調査の時に色々発見↓


Linuxでのreversing graph↓


今回は伝説reversing方法までにやらないと…なつかしい!


結局またlinuxに戻りました、何だか分かりやすいって感じ…↓


別件の方法でreversingしたら…


メモリのforensicsまで確認しないと、漏れがあるかも知れない…
 
■感染されたネットワーク情報

先ずはドメイン情報:
Domain Name : chocochoco99.com
::Registrant::Name : danaka tarou ←この名字は・・・
Email : danaka_tarou@hotmail.com
Address : 2-8-1 Shinjuku Shinjuku-ku Tokyo-to Japan Tokyo
Zipcode : 1600022
Nation : KR ←韓国人?

そしてIP/ルーティングの情報:
IP: 61.196.150.174
Network Information:
a. [Network Number]             61.196.150.168/29
b. [Network Name]               YYY
g. [Organization]               YYY co.,ltd
m. [Administrative Contact]     HK20950JP
n. [Technical Contact]          HK20950JP
p. [Nameserver]
[Assigned Date]                 2011/12/09
[Return Date]
[Last Update]                   2011/12/09 14:59:03(JST)
a. [JPNICハンドル]              HK20950JP
b. [氏名]                       権 亨津(ケン ヒョンジン)
c. [Last, First]                Kwon, Hyonjin
d. [電子メイル]                 kwonhj@japannetidc.com
f. [組織名]                     株式会社YYY
g. [Organization]               YYY co.,ltd
Less Specific Info:
----------
SOFTBANK TELECOM Corp................[Allocation] 61.196.0.0/16
SOFTBANK TELECOM Corp...SUBA-931-H02 [Sub Allocation] 61.196.150.0/24
        
グラフ↓



最後にダウンロードサーバのネットワークを比較すると…↓


↑では、韓国ドメインマルウェアサイトと韓国マルウェアダウンロードサーバの証拠ですね…
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 6:48 午後

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)