#OCJP-046：日本国内ODN/SOFTBANK TELお客様のサーバに中国バックドア・スパイウェア・トロイのマルウェア発見！ 【対応最中】

今回は危ない中国トロイ・バックドア・スパイウェアの感染事件です。感染されたサーバはSOFTBANK/ODNのネットワークで発見しました。調査を続けてみると接続先は韓国関連ネットワークらしく、本件の感染目的は恐らくスパイウェアと思われます。マルウェアのインストーラーファイルがニセMSTC.EXE（リモート・デスクトップ・サービス）のVista版で、実行したらリモート・デスクトップ・サービスを使いマルウェアサービスが立ち上がります。本マルウェアはリモートサーバに暗号化されたデータを送信されます。
さて、詳細情報は下記となります↓

■下記のサーバ/IP
aop.zeadm.com / 210.175.110.3
■下記のURL↓
hxxp://aop.zeadm.com/Run/n12.exe 
■ダウンロード証拠↓
Thu May 10 00:40:00 JST 2012
--00:42:35--  hxxp://aop.zeadm.com/Run/n12.exe
           => `n12.exe'
Resolving aop.zeadm.com... 210.175.110.3
Connecting to aop.zeadm.com|210.175.110.3|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 408,576 (399K) [application/x-msdownload]
100%[====================================>] 408,576      869.76K/s
00:42:36 (866.39 KB/s) - `n12.exe' saved [408576/408576]
■下記のマルウェアファイルです↓
アファイル　　：「n12.exe」
マルウェア種類： トロイ・ドロッパーバックドア・スパイウェア
マルウェア名　： Win32.Trojan.Backdoor "GHOST" Farfli
マルウェア機能： ドロッパー、バックドア、スパイウェア 
■ウイルススキャン結果↓
File name:       n12.exe
MD5:             99521e4f70cc6aea640d224dcf692ba7
File size:       399.0 KB ( 408576 bytes )
File type:       Win32 EXE
Detection ratio: 28 / 42
Result:          [CLICK]
Malware Names:
nProtect            : Dropped:Backdoor.Generic.667362
CAT-QuickHeal       : (Suspicious) - DNAScan
McAfee              : PWS-Lineage!cr
K7AntiVirus         : Trojan
NOD32               : a variant of Win32/Farfli.DV
Symantec            : Backdoor.Trojan
Norman              : W32/Suspicious.C6!genr
ByteHero            : Trojan.Win32.Heur.Gen
TrendMicro-HouseCall: TROJ_GEN.RFFCCE6
Avast               : Win32:Ghost-D [Trj]
ClamAV              : PUA.Packed.ASPack
Kaspersky           : Packed.Win32.Black.d
BitDefender         : Dropped:Backdoor.Generic.667362
Comodo              : TrojWare.Win32.AntiAV.~G
F-Secure            : Dropped:Backdoor.Generic.667362
DrWeb               : Trojan.Siggen.64647
VIPRE               : Trojan.Win32.Generic!BT
AntiVir             : HEUR/Crypted
TrendMicro          : TROJ_GEN.RFFCCE6
McAfee-GW-Edition   : Heuristic.LooksLike.Win32.Suspicious.C
Emsisoft            : Backdoor!IK
Jiangmin            : Packed.Black.acod
Antiy-AVL           : Trojan/Win32.Magania.gen
Microsoft           : TrojanDropper:Win32/Farfli.E
GData               : Dropped:Backdoor.Generic.667362
VBA32               : TrojanPSW.Magania.fwej
PCTools             : Backdoor.Trojan
Ikarus              : Backdoor
AVG                 : BackDoor.Generic_r.NR

このマルウェアを実行したら下記のマルウェア(Malware Driver)のDLLファイルを保存されます↓

File name:       2848700.dll
File size:       101.5 KB ( 103936 bytes )
MD5:           c7d08848593bfbe6b013b1fd0fca63e6
File type:       Win32 DLL
Detection ratio: 38 / 42
Result:          [CLICK]
Malware Name:
nProtect            : Backdoor/W32.Agent.103936.AN
CAT-QuickHeal       : Backdoor.Farfli.O
McAfee              : Farfli
TheHacker           : Backdoor/Agent.bgrq
K7AntiVirus         : Backdoor
VirusBuster         : Trojan.PWS.Magania!d5GYDayVLeg
NOD32               : Win32/Farfli.DP
F-Prot              : W32/Backdoor.Q.gen!Eldorado
Symantec            : Backdoor.Trojan
Norman              : W32/Swisyn.CB
TrendMicro-HouseCall: TROJ_GAMETHI.SM2
Avast               : Win32:Ghost-D 「Trj]
ClamAV              : Trojan.Spy-84553
Kaspersky           : Trojan-GameThief.Win32.Magania.emky
BitDefender         : Backdoor.Generic.667362
Emsisoft            : Backdoor.Win32.Inject!IK
Comodo              : TrojWare.Win32.Magania.~AAD
F-Secure            : Backdoor:W32/Agent.DTBB
DrWeb               : Trojan.Siggen.64647
VIPRE               : Trojan.Win32.Redosdru.C (v)
AntiVir             : BDS/Farfli.klam
TrendMicro          : TROJ_GAMETHI.SM2
McAfee-GW-Edition   : Farfli
Sophos              : Troj/Farfli-Gen
eTrust-Vet          : Win32/Farfli.GKI
Jiangmin            : Backdoor/Agent.dfqj
Microsoft           : Backdoor:Win32/Farfli.K
SUPERAntiSpyware    : Trojan.Agent/Gen-Farfli
GData               : Backdoor.Generic.667362
Commtouch           : W32/Backdoor.Q.gen!Eldorado
AhnLab-V3           : Win-Trojan/Onlinegamehack.103936.AE
VBA32               : TrojanPSW.Magania.fwej
PCTools             : Backdoor.Trojan
Rising              : Trojan.Win32.PcClient.x
Ikarus              : Backdoor.Win32.Inject
Fortinet            : W32/Magania.AEM!tr
AVG                 : BackDoor.Generic_r.OK
Panda               : Generic Backdoor

もう一つ保存されるマルウェアファイルがあります。これも本マルウェアドライバーです↓
File name:       Kmnhxytnu.gif
MD5:             2f098717ec61eb2c4ec27a2401643cc6
File size:       1.9 MB ( 1947136 bytes )
File type:       Win32 DLL
Detection ratio: 36 / 41
Analysis date:   2012-05-09 20:30:23 UTC
Result:          [CLICK]
Malware Name:
nProtect            : Backdoor.Generic.667362
CAT-QuickHeal       : Backdoor.Farfli.O
McAfee              : Farfli
TheHacker           : Backdoor/Agent.bgrq
K7AntiVirus         : Backdoor
VirusBuster         : Trojan.PWS.Magania!d5GYDayVLeg
NOD32               : Win32/Farfli.DP
F-Prot              : W32/Backdoor.Q.gen!Eldorado
Symantec            : Backdoor.Trojan
Norman              : W32/Swisyn.CB
TrendMicro-HouseCall: TROJ_MAGAN.SMUM
Avast               : Win32:Ghost-D [Trj]
ClamAV              : Trojan.Spy-84553
Kaspersky           : Backdoor.Win32.Agent.bgrq
BitDefender         : Backdoor.Generic.667362
Emsisoft            : Backdoor.Win32.Inject!IK
Comodo              : TrojWare.Win32.Magania.~AAD
F-Secure            : Backdoor:W32/Agent.DTBB
DrWeb               : Trojan.Siggen.64647
VIPRE               : Trojan.Win32.Redosdru.C (v)
AntiVir             : BDS/Farfli.klam
TrendMicro          : TROJ_MAGAN.SMUM
McAfee-GW-Edition   : Farfli
Sophos              : Troj/Farfli-Gen
eTrust-Vet          : Win32/Farfli.GKI
Jiangmin            : Backdoor/Agent.dfqj
Microsoft           : Backdoor:Win32/Farfli.K
GData               : Backdoor.Generic.667362
Commtouch           : W32/Backdoor.Q.gen!Eldorado
AhnLab-V3           : Win-Trojan/Onlinegamehack.103936.AE
PCTools             : Backdoor.Trojan
Rising              : Trojan.Win32.PcClient.x
Ikarus              : Backdoor.Win32.Inject
Fortinet            : W32/Magania.AEM!tr
AVG                 : BackDoor.Generic_r.OK
Panda               : Generic Backdoor 
■ファイルの見た目は↓

 
■ドロップされるマルウェア種類説明↓
アファイル　　：「2848700.dll」
マルウェア種類： トロイ・バックドアのドライバー（DLL）
マルウェア名　： Win32.Trojan.Farfli/Eldorado
マルウェア機能： リモートホストの接続/データデータのやり取りをする事

アファイル　　：「Kmnhxytnu.gif」
マルウェア種類： トロイ・バックドアのドライバー（DLL）
マルウェア名　： Win32.Trojan.Farfli/Eldorado
マルウェア機能： マルウェアサービスを登録及び実行する事 
■マルウェア説明↓
分かりやすいように行動分析調査から行きます↓
1. 本マルウェアを実行したら、下記のファイルを保存されます↓
   C:\Program Files\Exqy\Kmnhxytnu.gif (random names)
   C:\238700.dll (random names)
   ※因みにマルウェアファイルが自分で削除されます…

2. 下記のレジストリーを追加/変更されます↓
   //マルウェアドライバー登録
   HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip|DLLPath (Hijack.Iprouter) 
   -> Bad: (C:\238700.dll)
   -> Good: (%SystemRoot%\System32\iprtrmgr.dll)
   //マルウェアサービス登録
   HKLM\System\CurrentControlSet\Services\FowvywGoeftwoaCgy 
   ImagePath  %SystemRoot%\System32\svchost.exe -k imgsvc
   //マルウェアID/暗号化鍵
   HKLM\System\CurrentControlSet\Services\FowvywGoeftwoaCgy\Security
   Security=0x01001480900000009c000000140000003000000002001c00010000000280
   ※）全てREGISTRY VALUE一覧を確認したいなら【こちらへ】

3. 下記のプロセスが立ち上がる↓
    Sample　　　　　　　　　　　　　//←こんな感じの階段プロセスで
      +----services.exe (704)　
         +-----svchost.exe (2396)

　　下記のプロセス↓
    Offset(P)  Name                 PID    PPID   Thds   Hnds   Time
    ---------- -------------------- ------ ------ ------ ------ -------------------
    0x06b88580 services.exe            748    704     17    302 2012-05-09 16:19:38
    0x0ed60020 svchost.exe            2396    748      5     50 2012-05-09 16:29:21

    マルウェアプロセス（2396）が使っているDLLの中に↓
    0x01000000   0x006000     C:\WINDOWS\System32\svchost.exe
    0x10000000   0x01c000     c:\program files\exqy\kmnhxytnu.gif
    証拠↓
    

    

    

　　（※）あやしいSVCHOSTプロセスのWinDbg系メモリDUMPファイルを取りました、
　　　　　確認したい方々が【こちらへ】

4. 下記の新規サービスが立ち上がる↓
    Malware Service:
    Fowvyw Goeftwoa Cgy  SERVICE_AUTO_START  %SystemRoot%\System32\svchost.exe -k imgsvc 
　　↑見た目を詳しく確認したらRemote Desktop Serviceで登録されています

5. ネットワーク動きを発見↓

   5.1. バックドア
　　Backdoor:
　　Opening 3 TCPports: 139,1034,11416 as backdoors
　　１つの接続はESTABLISHED TCP/1034
　　　　IP Remote Host: 61.196.150.170
　　　　X-IP: 170.150.196.61.in-addr.arpa  name = 061196150170.cidr.odn.ne.jp.
　　後の２つはLISTENING
        証拠↓
        
        検索したら…↓
        

    5.2. TCPデータやり取り↓
    
    61.196.150.170に下記のデータを送信されます↓
    00000000  47 68 30 73 74 b9 00 00  00 4c 01 00 00 78 9c 4b Gh0st... .L...x.K
    00000010  63 60 60 98 03 c4 ac 40  cc 08 c4 1a 5c 0c 0c 4c c``....@ ....\..L
    00000020  40 3a 38 b5 a8 2c 33 39  55 21 20 31 39 5b c1 90 @:8..,39 U! 19[..
    00000030  01 0e fe c4 ea 31 1c 10  9f 53 f8 23 46 8f e1 07 .....1.. .S.#F...
    00000040  54 ac 82 b1 81 21 c3 b7  81 c1 e1 01 07 98 0d c2 T....!.. ........
    00000050  4c 50 f3 d8 80 58 00 8a  13 80 6a e0 40 01 8a a1 LP...X.. ..j.@...
    00000060  ea 5e 32 33 30 a4 01 75  71 30 20 c4 18 18 19 e5 .^230..u q0 .....
    00000070  40 b4 07 0b 03 c3 77 20  7d 60 05 3b b3 a7 93 af @.....w  }`.;....
    00000080  ae 81 99 a5 89 ab 99 81  8b 93 a9 09 03 31 c0 85 ........ .....1..
    00000090  87 81 21 24 b5 28 37 33  2f b1 24 15 6a 36 23 54 ..!$.(73 /.$.j6#T
    000000A0  ee 82 4f 03 a6 06 46 46  86 1d 50 7f e1 02 42 40 ..O...FF ..P...B@
    000000B0  3c 01 4d 0c 00 6d 01 22  53                      ＜.M..m." S

    回答は下記のデータとなります↓
    00000000  47 68 30 73 74 16 00 00  00 01 00 00 00 78 9c 63 Gh0st... .....x.c
    00000010  00 00 00 01 00 01                                ......
    00000016  47 68 30 73 74 16 00 00  00 01 00 00 00 78 9c 33 Gh0st... .....x.3
    00000026  02 00 00 33 00 33                                ...3.3
    0000002C  47 68 30 73 74 16 00 00  00 01 00 00 00 78 9c 33 Gh0st... .....x.3
    0000003C  02 00 00 33 00 33                                ...3.3

    証拠↓
    

    
    →送信されたデータが暗号化されました
    →接続がKEEP-ALIVEされています
　　→「2 WAY」接続状況です、リモートからいつかバックドアアクセスが来ると思われます。
　　→ 取ったトラフィックキャップチャーPCAPデータダウンロードは【こちらです】
次の調査はバイナリー分析調査結果↓
※packedされたバイナリーですので、reversingした時に結構チャレンジが出ます。

1. ファイル自体の情報↓
   Compile Time : 0x4D6F9EF9 [Thu Mar 03 14:00:25 2011 UTC]
   type    EXEC (Executable file)
   os      windows
   arch    i386
   bits    32
   endian  little
   fd      6
   size    0x63c00
   mode    r--
   block   0x40

2. packerの情報↓
    0x1000 0x1000 1536 ←packed
    0x2000 0x1000 1536 ←packed
    0x3000 0x1000 512 ←packed
    .rsrc 0x4000 0x20000 49152 ←packed  
    .data 0x24000 0x57000 354816 ←packed
    .adata 0x7b000 0x1000 0
   CRC Checkfail: Claimed:  0 Actual:  470227

   Packer: 
   ASProtect v1.2x (New Strain) 
   ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov
   ASProtect v1.23 RC1ASProtect v1.2 
   Packed Time: 0x4F98A657 [Thu Apr 26 01:35:19 2012 UTC]

3. LangID: 040904B0(English (US)
   (この中にある2件のDLLは中国語のサインを発見しましたけど…)

4. あやしいアトリビュート↓
   00000000E05E 000000424E5E CompanyName
   00000000E078 000000424E78 Microsoft Corporation
   00000000E0AA 000000424EAA FileDescription
   00000000E0CC 000000424ECC Remote Desktop Connection
   00000000E106 000000424F06 FileVersion
   00000000E120 000000424F20 6.0.6001.22840 (vistasp1_ldr.110124-0245)
   00000000E17A 000000424F7A InternalName
   00000000E194 000000424F94 mstsc.exe
   00000000E1AE 000000424FAE LegalCopyright
   00000000E1CE 000000424FCE  Microsoft Corporation. All rights reserved.
   00000000E22E 00000042502E OriginalFilename
   00000000E250 000000425050 mstsc.exe
   00000000E26A 00000042506A ProductName
   00000000E2AA 0000004250AA  Operating System
   00000000E2D6 0000004250D6 ProductVersion
   00000000E2F4 0000004250F4 6.0.6001.22840

5. ここでreversing失敗↓
   0x00000507 fe             invalid
   0x00000508 db             invalid
   0x00000509 6628963c4d8449 o16 sub [esi+0x49844d3c], dl
   0x00000510 fe8d3bf6b7ae   dec byte [ebp+0xaeb7f63b]
   0x00000516 e9c3e93442     jmp dword 0x4234eede
   0x0000051b 0e             push cs
   0x0000051c dccf           fmul st7, st0
   0x0000051e df07           fild word [edi]
   0x00000520 3867b9         cmp [edi-0x47], ah
   0x00000523 10b4908d831c24 adc [eax+edx*4+0x241c838d], dh
   0x0000052a 1412           adc al, 0x12
   0x0000052c 46             inc esi
   0x0000052d 0f695720       punべつpckhwd mm2, [edi+0x20]
   0x00000531 28c7           sub bh, al
   0x00000533 e0e7           loopnz 0x51c
   0x00000535 816bdd6f805f1f sub dword [ebx-0x23], 0x1f5f806f
   0x0000053c 80eb36         sub bl, 0x36
   0x0000053f 8f             invalid
   0x00000540 7742           ja 0x584
   0x00000542 8f             invalid
   0x00000543 dbd6           fcmovnbe st0, st6
   0x00000545 c3             ret

6. 別の方法で上手く出来た↓　（IDA）
   //GetProcAddress();
   00424BF4 ; Segment type: Externs
   00424BF4 ; _idata
   00424BF4 ; FARPROC __stdcall GetProcAddress(HMODULE hModule,
              LPCSTR lpProcName)
   00424BF4   extrn GetProcAddress:dword
   
   // GetModuleHandleA();
   00424BF8 ; HMODULE __stdcall GetModuleHandleA(LPCSTR lpModuleName)
   00424BF8                 extrn GetModuleHandleA:dword
      
   // LoadLibraryA();   
   00424BFC ; HMODULE __stdcall LoadLibraryA(LPCSTR lpLibFileName)
   00424BFC                 extrn LoadLibraryA:dword
   
   //LoadIconA();   
   00424D2F ; Imports from user32.dll
   00424D2F ;
   00424D2F ; HICON __stdcall LoadIconA(HINSTANCE hInstance,LPCSTR lpIconName)
   00424D2F                 extrn LoadIconA:dword
   
   //RegCreateKeyExA()
   00424D3F ; LONG __stdcall RegCreateKeyExA(HKEY hKey,LPCSTR lpSubKey,
              DWORD Reserved,LPSTR lpClass,DWORD dwOptions,REGSAM samDesired,
              LPSECURITY_ATTRIBUTES lpSecurityAttributes,PHKEY phkResult,LPDWORD 
              lpdwDisposition)
   00424D3F   extrn RegCreateKeyExA:dword
   
   //Imports from msvcrt.dll
   00424D47 ; int sprintf(char *,const char *,...)
   00424D47                 extrn sprintf:dword
   00424D4B

7. ドロップされたDLLの悪戯コード↓
   //C:\238700.dll
   0000000147D4 0000100153D4 keybd_event
   000000014824 000010015424 mouse_event
   00000001487A 00001001547A GetClipboardData
   00000001488E 00001001548E GetSystemMetrics
   000000014AAC 0000100156AC RegSetValueExA
   000000014ABE 0000100156BE RegCreateKeyExA
   000000014AE6 0000100156E6 DeleteService
   000000014AF6 0000100156F6 OpenServiceA
   000000014C36 000010015836 CreateServiceA
   000000014C48 000010015848 StartServiceA
   000000014CBC 0000100158BC RegDeleteKeyA

   //XXX.GIF   000000012830 000010013430  deflate 1.1.4 Copyright 1995-2002 Jean-loup Gailly 
   00000001335C 000010013F5C  inflate 1.1.4 Copyright 1995-2002 Mark Adler 
   000000014350 000010014F50 CreateDirectoryA
   000000014392 000010014F92 GetDriveTypeA
   0000000143A2 000010014FA2 GetDiskFreeSpaceExA
   0000000143B8 000010014FB8 GetVolumeInformationA
   0000000143D0 000010014FD0 GetLogicalDriveStringsA
   000000014442 000010015042 RemoveDirectoryA
   000000014464 000010015064 CreateFileA
   0000000144CA 0000100150CA CreateProcessA
   00000001465A 00001001525A GetSystemInfo
   00000001466A 00001001526A GetComputerNameA
   00000001467E 00001001527E GetVersionExA
   00000001487A 00001001547A GetClipboardData
   000000014AF6 0000100156F6 OpenServiceA
   000000014BBE 0000100157BE SetServiceStatus
   000000014BD2 0000100157D2 RegisterServiceCtrlHandlerA
   000000014C36 000010015836 CreateServiceA
   000000014C48 000010015848 StartServiceA
   0000000156C8 0000100162C8 ShellExecuteA
   0000000156D8 0000100162D8 Shell32.dll
   0000000156E4 0000100162E4 SHGetFileInfoA
   0000000159BC 0000100165BC CreateProcessA
   0000000159CC 0000100165CC \cmd.exe  //shellコマンドstring$の連携始まる↓ 
   0000000162E8 000010016EE8 SYSTEM\CurrentControlSet\Services\
   000000016318 000010016F18 SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
   00000001635C 000010016F5C %SystemRoot%\System32\svchost.exe -k imgsvc
   000000017EBA 0000100194BA InternalName  //中国環境で作られた分かりやすい証拠
   000000017ED4 0000100194D4 SogouPY SogouTSF
   000000017EFE 0000100194FE LegalCopyright
   000000017F1C 00001001951C ? 2010 Sogou.com Inc. All rights reserved.
   000000017FA2 0000100195A2 OriginalFilename
   000000017FC4 0000100195C4 SogouTSF.dll 
■繋ぐ先のIP情報↓
IP: 61.196.150.170　（ADSL/ダイアルアップのですね）
Network Information:
a. [Network Number] 61.196.150.168/29
b. [Network Name] YYY
g. [Organization] YYY co.,ltd
m. [Administrative Contact] HK20950JP
n. [Technical Contact] HK20950JP

a. [JPNICハンドル]              HK20950JP
b. [氏名]                       権 亨津(ケン ヒョンジン)
c. [Last, First]                Kwon, Hyonjin
d. [電子メイル]                 kwonhj@japannetidc.com
f. [組織名]                     株式会社YYY
g. [Organization]               YYY co.,ltd

SOFTBANK TELECOM Corp.
[Allocation] 61.196.0.0/16　SUBA-931-H02 [Sub Allocation] 61.196.150.0/24

【注意】このホストが本マルウェアの責任者と思われます。
　　　　ILLEGALなインターネトの使い方をやめさせてもらいたいですね！
■本マルウェアのダウンロードサーバのネットワーク情報↓
Network Information:
a. [Network Number] 210.175.110.0/23
b. [Network Name] MARS-SYSTEM
g. [Organization] Mars System Co.,Ltd.
m. [Administrative Contact] KA351JP
n. [Technical Contact] KA351JP
p. [Nameserver] dns1.marssystem.co.jp
p. [Nameserver] dns3.odn.ne.jp

a. [JPNICハンドル]              KA351JP
b. [氏名]                       安藤 圭二
c. [Last, First]                Ando, Keiji
d. [電子メイル]                 ando@marssystem.co.jp
f. [組織名]                     株式会社マルスシステム
g. [Organization]               Mars System Co.,Ltd.
m. [肩書]                       代表取締役社長
n. [Title]                      President
o. [電話番号]                   052-951-7007
p. [FAX番号]                    052-951-8512
y. [通知アドレス]               odn-admin@odn.ad.jp
[最終更新]                      2003/09/05 12:52:24(JST)
                                ns@odn.ad.jp
SOFTBANK TELECOM Corp.
[Allocation] 210.175.64.0/18

※）早くマルウェアファイルを削除して下さい。

---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック
Tweet

TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.