土曜日, 6月 27, 2015

【研究情報】暗号化されているマルウェアデータが何とかPythonで…

ElasticsearchのCVE-2015-1427脆弱性を狙っているマルウェアの調査をしました、書いたレポートは下記のURLに確認が出来ます。この記事の参考として後でご覧下さい↓
http://blog.malwaremustdie.org/2015/06/mmd-0034-2015-new-elf.html
↑新規マルウェアですので、参考情報がゼロ、2件暗号化機能を発見しましたが、2DESとXORですので、全部pythonで解決しました。情報公開の為に国内のコミュニティーに情報を公開します。

まずはXORの件、ELFマルウェアが7kBのGIF画像ファイルをダウンロードし、7kBの最後の5kBはXORで暗号化されたマルウェアスクリプトです。キーがバイナリーにリバーシングしたら分かりましたので、本件はpythonで解決しました、decrypt方法は下記のビデオ↓


次は同じマルウェアがCNCに送ったHTTPトラフィックがDESで暗号化されているので、キーがリバーシングの上で発見して、似たような対応仕方でpythonで解決しました。ビデオは下記となります↓


因みに下記のIPはELFマルウェアのアタッカーIPですので、ロックして下さい↓
218.213.77.20 // attacker bot
218.213.77.196 // attacker bot
106.39.95.195  // attacker bot
218.213.77.197 <== CNC

pythonポワー!www

0 件のコメント:

コメントを投稿