水曜日, 3月 06, 2013

#OCJP-094: 「117.104.150.170 / oirase-keiryuu.jp」のBlackhole Exploit Kitの感染について

日本側にあるIP:「117.104.150.170 / oirase-keiryuu.jp」が今現在blackhole exploit kitにハッキングされている所です↓

--2013-03-06 14:37:53--  hxxp://117.104.150.170:8080/forum/links/column.php
seconds 0.00, Connecting to 117.104.150.170:8080... seconds 0.00, connected.
  :
GET /forum/links/column.php HTTP/1.0
Host: 117.104.150.170:8080
HTTP request sent, awaiting response...
  :
HTTP/1.1 502 Bad Gateway
Server: nginx/1.0.10  ←//Blackhole感染シグネーチャー
Date: Wed, 06 Mar 2013 05:37:30 GMT
Content-Type: text/html; charset=CP-1251
Connection: keep-alive ←//Blackhole感染シグネーチャー
X-Powered-By: PHP/5.3.18-1~dotdeb.0 ←//Blackhole感染シグネーチャー
Vary: Accept-Encoding
  :

今現在、新規個人情報盗むマルウェアドメインが「117.104.150.170」に今現在向いています↓
;; QUESTION SECTION:
;giliaonso.ru.                  IN      A

;; ANSWER SECTION:
giliaonso.ru.   59    IN    A   117.104.150.170 // ←こちら
giliaonso.ru.   59    IN    A   210.71.250.131
giliaonso.ru.   59    IN    A   212.180.176.4

;; QUESTION SECTION:
;Gosbfosod.ru.                  IN      A

;; ANSWER SECTION:
Gosbfosod.ru.           59      IN      A       212.180.176.4
Gosbfosod.ru.           59      IN      A       117.104.150.170 // ←こちら
Gosbfosod.ru.           59      IN      A       210.71.250.131

[NEW]感染ドメイン最新情報(Thu Mar 7 15:10:52 JST 2013)↓
// CURRENT "Active" infection source (BHEK2/Cridex PWS Stealer)
gimalayad.ru  117.104.150.170, 41.72.150.100
ginagion.ru   117.104.150.170, 41.72.150.100
giliaonso.ru  117.104.150.170, 41.72.150.100
↑全て本件の日本IPアドレス「117.104.150.170」が登録されました…(;;)

abuse@ntt.netに本件の注意が必要だと思います↓
inetnum:        117.104.128.0 - 117.104.159.255
netname:        ARCSTAR
descr:          NTT COMMUNICATIONS CORPORATION
descr:          NTT Hibiya Bldg. 7F, 1-6 Uchisaiwai-cho 1-Chome, Chiyoda-ku, Tokyo 100-8019, Japan
country:        JP
admin-c:        JNIC1-AP
tech-c:         JNIC1-AP
status:         ALLOCATED PORTABLE
remarks:        Email address for spam or abuse complaints : abuse@ntt.net
changed:        hm-changed@apnic.net 20070724
changed:        ip-apnic@nic.ad.jp 20100409
changed:        ip-apnic@nic.ad.jp 20111012
mnt-irt:        IRT-JPNIC-JP
mnt-by:         MAINT-JPNIC
mnt-lower:      MAINT-JPNIC
source:         APNIC 

12 件のコメント:

  1. お疲れ様です。

    メルしました。
    ここ先に見ればヨカタ

    めも
    http://megalodon.jp/2013-0306-1907-14/bgp.he.net/dns/giliaonso.ru
    A Records
    212.180.176.4, 117.104.150.170

    212.180.176.4
    http://wepawet.cs.ucsb.edu/view.php?hash=e592512c9c77da20175d289bc54430f0&t=1362564701&type=js

    www.oirase-keiryuu.jp
    http://wepawet.cs.ucsb.edu/view.php?hash=53b158e20e41c75dc36cc389719fc52a&t=1362563616&type=js
    117.104.150.170
    http://wepawet.cs.ucsb.edu/view.php?hash=672d872237c1fa6094dded24ba52f102&t=1362555662&type=js
    oirase-keiryuu.jp
    http://wepawet.cs.ucsb.edu/view.php?hash=14930d0b1e4c726395d3e581365b48ad&t=1362554904&type=js

    返信削除
  2. また沢山.RU感染ドメインが出てきますよ。
    本件のサーバログイン情報(FTP)も盗まれそうですね

    返信削除
    返信
    1. 増えてますねぇ。。。

      http://megalodon.jp/2013-0307-1017-16/bgp.he.net/dns/giliaonso.ru
      A Records
      41.72.150.100, 117.104.150.170, 212.180.176.4

      41.72.150.100
      http://wepawet.cs.ucsb.edu/view.php?hash=10af2c7d0b7cce175556333360112b02&t=1362617508&type=js

      www.zwana.net
      http://wepawet.iseclab.org/view.php?hash=18f9a6e01bc93d88526d2e988aebe34c&t=1362618156&type=js

      AFRINIC

      削除
  3. 皆様、今現在感染始めました!ハッキングがされてマルウェアが配っている最中です!
    もう、日本のネットワーク迄にこういうふうになってしまうと…(T_T)
    お願いインターネットから117.104.150.170のマシンを早めに外して下さい

    証拠その1

    --2013-03-07 14:31:53-- hxxp://117.104.150.170:8080/forum/links/column.php
    seconds 0.00, Connecting to 117.104.150.170:8080... seconds 0.00, connected.
    GET /forum/links/column.php HTTP/1.0
    Host: 117.104.150.170:8080
    HTTP request sent, awaiting response...
    :
    HTTP/1.1 200 OK
    Server: nginx/1.0.10
    Date: Thu, 07 Mar 2013 05:31:53 GMT
    Content-Type: text/html; charset=CP-1251
    Connection: close
    X-Powered-By: PHP/5.3.18-1~dotdeb.0
    Vary: Accept-Encoding
    200 OK
    Length: unspecified [text/html]
    Saving to: `column.php'
    :
    Closed fd 1920
    2013-03-07 14:31:55 (116 KB/s) - `column.php' saved [156775]

    つづく

    返信削除
  4. マルウェアダウンロード証拠@117.104.150.170(画像sスナップショットが出ます↓)
    http://urlquery.net/queued.php?id=16559053

    マルウェアダウンロードログ↓
    --2013-03-07 14:43:38-- hxxp://117.104.150.170:8080/forum/links/column.php?ff=2w:1l:1l:2v:1f&ke=2v:1k:1m:32:33:1k:1k:31:1j:1o&z=1k&wy=b&gx=f
    seconds 0.00, Connecting to 117.104.150.170:8080... seconds 0.00, connected.
    :
    GET /forum/links/column.php?ff=2w:1l:1l:2v:1f&ke=2v:1k:1m:32:33:1k:1k:31:1j:1o&z=1k&wy=b&gx=f HTTP/1.0
    Host: 117.104.150.170:8080
    HTTP request sent, awaiting response...
    :
    HTTP/1.1 200 OK
    Server: nginx/1.0.10
    Date: Thu, 07 Mar 2013 05:43:38 GMT
    Content-Type: application/x-msdownload
    Connection: keep-alive
    X-Powered-By: PHP/5.3.18-1~dotdeb.0
    Pragma: public
    Expires: Thu, 07 Mar 2013 05:43:39 GMT
    Cache-Control: must-revalidate, post-check=0, pre-check=0
    Cache-Control: private
    Content-Disposition: attachment; filename="contacts.exe"
    Content-Transfer-Encoding: binary
    Content-Length: 102400
    200 OK
    Registered socket 1916 for persistent reuse.
    Length: 102400 (100K) [application/x-msdownload]
    Saving to: `contacts.exe'
    2013-03-07 14:43:40 (93.4 KB/s) - `contacts' saved [102400/102400]


    マルウェアファイル↓(トロイ Win32/Cridex、パスワード盗むトロイの亜種)
    2013/03/07 14:43 102,400 contacts.exe 8ad915937fe2cd67e2ec32e674d7df8d

    ウイルストータル↓
    URL: https://www.virustotal.com/en/file/afe52ef0d03b1840b108f623457f623d616974a1ee74a0ca279cb13b7053f239/analysis/1362635230/
    SHA1: c6493a23993ad8884420f15b3ee22bbc7fd24f7e
    MD5: 8ad915937fe2cd67e2ec32e674d7df8d
    File size: 100.0 KB ( 102400 bytes )
    File name: docprop.dll
    File type: Win32 EXE
    Detection ratio: 19 / 46
    Analysis date: 2013-03-07 05:47:10 UTC ( 0 minutes ago )
    File ./contacts.exe with MD5 8ad915937fe2cd67e2ec32e674d7df8d
    -------------------------------------------------------------
    DrWeb : Trojan.Necurs.97
    GData : Win32:Cridex-S
    VIPRE : Win32.Malware!Drop
    Symantec : W32.Cridex
    McAfee-GW-Edition : Artemis!8AD915937FE2
    Fortinet : W32/Kryptik.ALRY!tr
    TrendMicro-HouseCall : TROJ_GEN.RC1H1C6
    Sophos : Mal/Generic-S
    Avast : Win32:Cridex-S [Trj]
    Ikarus : Trojan.Win32.Bublik
    Kaspersky : Trojan.Win32.Bublik.aiat
    Microsoft : Worm:Win32/Cridex.E
    McAfee : PWS-Zbot-FANE!8AD915937FE2
    Malwarebytes : Trojan.FakeMS
    Kingsoft : Win32.Troj.Bublik.ai.(kcloud)
    AntiVir : TR/CridexS.A.1
    PCTools : Malware.Cridex
    Emsisoft : Trojan.Win32.Bublik.aiat.AMN (A)
    Comodo : UnclassifiedMalware

    返信削除
  5. http://megalodon.jp/2013-0307-1343-27/bgp.he.net/dns/ginagion.ru
    A Records
    41.72.150.100, 117.104.150.170
    http://megalodon.jp/2013-0307-1517-07/bgp.he.net/dns/giliaonso.ru
    A Records
    41.72.150.100, 117.104.150.170


    対象サイトのDomainとIP-Addressでスパム扱いされてメール届いてないかもです。。。
    JPCERT/CCへのメールも蹴られています。

    返信削除
  6. スパムメールがいっぱい届きました、下記のレポートは参考情報です↓
    http://blog.dynamoo.com/2013/03/pizza-spam-gimalayadru.html
    http://blog.dynamoo.com/2013/03/bt-business-direct-order-spam-ginagionru.html

    返信削除
  7. 本件の犯罪グルプの感染調査メモ→こちら

    返信削除
  8. 今回のBlackhole Exploit Kitに侵されているサイトのDomainとIP-Addressが本文にあるunixfreaxjpさんからのメールやセキュリティベンダーからの返信メールはGmailだと以下の表示が出てます。
    「このメールにはご注意ください。送信者のアカウントが不正に使用されている可能性があるため、このメールは個人情報を騙し取ろうとする詐欺である可能性があります」

    JPCERT/CCからお返事来ました。

    また変わった。。。
    http://megalodon.jp/2013-0307-2227-47/bgp.he.net/dns/ginagion.ru
    http://megalodon.jp/2013-0307-2228-22/bgp.he.net/dns/giliaonso.ru
    A Records
    212.180.176.4, 41.72.150.100, 117.104.150.170

    ピザのスパムですか。。。
    トッピングがBlackhole

    返信削除
  9. 日本のPCから盗まれたFTPアカウントの情報が使い始めたそうです。
    これからも頑張ろう!

    返信削除
  10. お疲れ様です。
    現在(117.104.150.170|www.oirase-keiryuu.jp|oirase-keiryuu.jp):8080/forum/links/column.phpは500を返しています。
    他のページはシステムメンテナンスの告知ページmaintenance.htmlになっています。

    返信削除
    返信
    1. めも
      http://megalodon.jp/2013-0308-1911-26/bgp.he.net/dns/ginagion.ru
      A Records
      41.72.150.100, 212.180.176.4
      http://megalodon.jp/2013-0308-1912-32/bgp.he.net/dns/giliaonso.ru
      A Records
      212.180.176.4, 41.72.150.100

      削除