久しぶりjavascriptマルウェアの調査です。その前に以前ゼロデイジャパンに私が沢山javascriptマルウェア調査方法の内容を書きました↓
マルウェアJavaScriptについて(その1)
マルウェアJavaScriptについて(その2)
マルウェアJavaScriptについて(その3)
マルウェアJavaScriptについて(その4)
マルウェアJavaScriptについて(その5)
firefoxstabs.comのjavascriptマルウェアinfector
マルウェアJavaScriptについて(その2)
マルウェアJavaScriptについて(その3)
マルウェアJavaScriptについて(その4)
マルウェアJavaScriptについて(その5)
firefoxstabs.comのjavascriptマルウェアinfector
↑上記の調査方法を使うとjavascriptマルウェアの調査が誰でも出来ると思いますので、自分はマルウェアのバイナリー調査を集中しています。javascriptマルウェアの調査は止めようと思っていました。
今回たまたまリクエアストがありますので、ある日本のウェブサイトがjavascriptのマルウェアに感染されたと、よく調査したらBLACKHOLEのマルウェアサイト経由のリダイレクターjavascriptです。
その調査内容を下記説明させて頂きます↓
感染されたサイトは↓elanjapan.co.jp感染されたURLは↓
hxxp://elanjapan.co.jp/ski/ hxxp://elanjapan.co.jp/ski/index.htmlダウンロードの証拠今日のです↓--20:51:23-- hxxp://elanjapan.co.jp/ski/ => `index.html' Resolving elanjapan.co.jp... 210.157.5.15 Connecting to elanjapan.co.jp|210.157.5.15|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 4,768 (4.7K) [text/html] 100%[====================================>] 4,768 --.--K/s 20:51:24 (251.12 KB/s) - `index.html' saved [4768/4768]調査内容↓
index.htmlの中身を見たら不通のHTMLを見えますがjavascriptのコードがあります。 秀丸で見たらこんな感じですね↓ ↑下記のコードの”あやしい”ポイントは↓ ・(p,a,c,k,e,d)という文字 ・obfuscatedコード発見 ・code injectionっぽいのSTRINGも発見 では上記のコードを私の大好きなencoder/decoderツールに持って行きましたので こんな感じですね↓ javascriptマルウェアのコードにはeval()の部分が絶対に隠されていると思って 実行してみてシムレーション環境で)、やっぱりevalが出ます↓ ↑evalのオブジェクトをファイルに保存する設定したので、そのファイル中身は↓ 見辛いので、分かりやすい様に再書きました↓ ↑上記のscriptはcookieが有効ブラウザで実行が出来るようになると。 それは分かった上で、ブラウザ・シムレーション環境を作って実行しました... ほら!中身は分かりました↓(笑 ↑説明は↓ ・document.writeに書いたコードを上のロジックで回すとIFRAMEのコードが出ました。 ・IFRAMEの中身はマルウェアサイト「http://zrywfrpeo.bounceme.net/....」へ飛ばされます。 ・本物ブラウザで実行したら「about:blank」ページが出てからあのサイトへ飛ばさせます。どんなマルウェアサイト?
zrywfrpeo.bounceme.netのサーバ迄に調査しようと思ったが現在ダウンされています。 色んなブラックリストサイトの履歴を検索したらzrywfrpeo.bounceme.netとは マルウェアスクリプトのバウンサー(bouncer)だと確認が出来ました。 バウンサーの仕事はマルウェアサイトへ転送する事です。 見やすいように下記のURLで検索してくれたら↓下記の確認結果が出ますね↓
ネットワークルート図↓
マルウェア元のサイトは何処にありますか?↓
どんなマルウェアサイトかというと、色々確認したら間違いなく下記の動きがあります↓ zrywfrpeo.bounceme.net, nf1.no-ip.com => 50.31.129.129 ↑50.31.129.129のサイトは有名なExploit Kit/BLACKHOLEサイトのIPアドレスですね。
結論↓
1. index.htmlを感染するマルウェアが現状もはやっています。 2. 本件、hxxp://elanjapan.co.jp/ski/が「TROJAN.JAVASCRIPT.IFRAME」に感染されました。 3. 感染された所は<body>タグの直ぐ次、又は</html>タグの直ぐ前の所です。 4. オンラインでスキャンしたらこの【スキャン結果】となります↓Antivirus Result Update -------------------------------------------------------- AhnLab-V3 - 20120203 AntiVir JS/Agent.alf 20120203 Antiy-AVL - 20120203 Avast JS:Iframe-DV [Trj] 20120203 AVG - 20120204 BitDefender Trojan.JS.QNC 20120204 ByteHero - 20120126 CAT-QuickHeal - 20120203 ClamAV PUA.HTML.Crypt 20120204 Commtouch - 20120204 Comodo TestSignature.JS.iframe.YU 20120203 DrWeb JS.IFrame.178 20120204 Emsisoft Trojan.IframeRef!IK 20120204 eSafe - 20120202 eTrust-Vet JS/Iframe.II 20120203 F-Prot - 20120201 F-Secure Trojan.JS.QNC 20120204 Fortinet JS/Kryptik.EG!tr 20120204 GData Trojan.JS.QNC 20120204 Ikarus Trojan.IframeRef 20120204 Jiangmin - 20120203 K7AntiVirus - 20120203 Kaspersky - 20120204 McAfee - 20120204 McAfee-GW-Edition - 20120203 Microsoft Trojan:JS/Iframe.AC 20120204 NOD32 JS/Kryptik.EG 20120204 Norman JS/Exploit.MC 20120203 nProtect Trojan.JS.QNC 20120203 Panda - 20120203 PCTools - 20120204 Prevx - 20120204 Rising - 20120118 Sophos Mal/Iframe-Gen 20120204 SUPERAntiSpyware - 20120203 Symantec - 20120204 TheHacker - 20120203 TrendMicro JS_IFRAME.SMDZ 20120204 TrendMicro-HouseCall JS_IFRAME.SMDZ 20120204 VBA32 - 20120203 VIPRE Malware.JS.Generic (JS) 20120204 ViRobot - 20120204 VirusBuster - 20120203引き続きに付いて↓ 本件のマルウェアはTROJAN-JAVASCRIPT-IFRAMEのマルウェアです。 ウェブサーバのファイルに感染したら上記のマルウェアコードが追加されます。 本件のマルウェアに感染されたサーバには他のファイルをウイルススキャンでスキャンした方がいいと思います。 また、ホスティング会社の環境でしたら周りのサーバのトップページをリモートでチェックして下さい、 感染されるかどうか一応確認が必要、遣り方が簡単で、wgetしてindexファイルをスクリプトでAVスキャナーへ 回すだけです。 下記は同じケースのリファレンス↓ http://isc.sans.edu/diary.html?storyid=2923 http://www.precisesecurity.com/trojan/htmliframe-js-trj https://community.mcafee.com/thread/19249
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究者: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック
Tweet
本件のbounceサイトとblackholeサイトを海外のルートで報告し、対応済みです。感染されたサイトのアドミンがかわいそうですので、彼らに報告しておきます!
返信削除本件のマルウェア元のサイト(Blackhole ExploitKitサイト)が直されたそうです。
返信削除海外ブラックリストDBにnf1.no-ip.comと50.31.129.129が削除だれました。
6時間対応ですが…もっと早めに欲しいですね。