日曜日, 2月 26, 2012

#OCJP-021:ODN/JAPAN TELECOMのネットワークで中国トロイバックドアRipinipに感染されている中国IISサーバ(IP:219.66.232.108)を発見!【対応済み】


今回は個人情報を盗んだトロイ・バックドア「Ripinip」を発見しました。感染された環境は非常にあやしいですが、中国版のIISサーバだそうです。本件のトロイに感染されたら色んな個人情報をリモートに送信してしまう状況ですので、下記詳しく説明をさせて頂きます。本件のトロイは非常に危険ですが、削除のご協力をお願いしたいと思います。

■下記のサーバ↓

219.66.232.108 Server: Microsoft-IIS/6.0中国版

■下記のURLに↓

hxxp://219.66.232.108/vct/set.rar hxxp://219.66.232.108/vct/vel19.rar hxxp://219.66.232.108/vct/stL1.rar ※マークしたURLはバックドア「Ripinip」マルウェアです…

■ダウンロードの証拠↓

--16:30:17-- http://219.66.232.108/vct/vel19.rar => `vel19.rar' Connecting to 219.66.232.108:80... connected. HTTP request sent, awaiting response... 200 OK Length: 73,728 (72K) [application/octet-stream] 100%[====================================>] 73,728 455.70K/s 16:30:17 (452.95 KB/s) - `vel19.rar' saved [73728/73728] --16:30:26-- http://219.66.232.108/vct/stL1.rar => `stL1.rar' Connecting to 219.66.232.108:80... connected. HTTP request sent, awaiting response... 200 OK Length: 249,856 (244K) [application/octet-stream] 100%[===================================> ] 249,856 656.60K/s 16:30:27 (655.20 KB/s) - `stL1.rar' saved [249856/249856] --16:30:33-- http://219.66.232.108/vct/set.rar => `set.rar' Connecting to 219.66.232.108:80... connected. HTTP request sent, awaiting response... 200 OK Length: 28,672 (28K) [application/octet-stream] 100%[====================================>] 28,672 --.--K/s 16:30:33 (22.07 MB/s) - `set.rar' saved [28672/28672] ※念のためにウェブサーバのヘッターを取ろうと↓ --19:11:47-- http://219.66.232.108/ => `index.html' Connecting to 219.66.232.108:80... connected. HTTP request sent, awaiting response... HTTP/1.1 200 OK Content-Length: 1193 Content-Type: text/html Content-Location: http://219.66.232.108/iisstart.htm Last-Modified: Fri, 21 Feb 2003 12:15:52 GMT Accept-Ranges: bytes ETag: "0ce1f9a2d9c21:24e" Server: Microsoft-IIS/6.0 Date: Sun, 26 Feb 2012 10:11:11 GMT Connection: keep-alive Length: 1,193 (1.2K) [text/html] 100%[====================================>] 1,193 --.--K/s 19:11:47 (58.18 MB/s) - `index.html' saved [1193/1193]

■下記のマルウェアを発見しました↓

【備考】1)と2)は前回調査した事あるマルウェアですが、 調査に付いて以前の調査したページにリンクする形にします。 下記の3)はバックドア「Ripinip」ですね、日本に中々見つからない物です。中国には 沢山発見されたそうです。詳しく調査します。

1)set.rar

アファイル  :「set.rar」 マルウェア種類: トロイ・ドロッパー マルウェア名 : Win32/Trojan/Agent/Dropper/PINCAV マルウェア機能: ドロッパー(Dropper)機能 説明     : 他のマルウェアをPCに保存し、メモリで実行させる(ドロッパー) 感染されたPCにマルウェアMFC42.DLLプロセスが沢山出てきました。 MD5: 642ef29e0194075c830d0f2a418d8fce File size: 28.0 KB ( 28672 bytes ) File type: にせRAR、実は:Win32 EXE Detection ratio: 27 / 43 Analysis date: 2012-02-26 07:40:52 UTC DetectionResult: [CLICK] 前回の調査リファレンス↓ http://unixfreaxjp.blogspot.com/2012/02/ocjp-013.html http://unixfreaxjp.blogspot.com/2011/11/pincavfreebit-idc.html

2)vel19.rar

アファイル  :「vel19.rar」 マルウェア種類: トロイ・ドロッパー マルウェア名 : Win32/Trojan/ マルウェア機能: ドロッパー(Dropper)機能、ウイルス対策ソフトを止める機能(KillAV)、 ワーム(Autorun経由感染機能) 説明     : 感染されたPCのウイルス対策ソフトを止められます、マルウェアを実行されて、 Autorun機能を使っているデバイスに感染仕組みを作れます。 【備考】DLL実行環境が必要、実行した時に下記のクラッシュもあります↓
dll_analysis.exe STDOUT: Renaming input file to .\d1.tmp.dll found acrxEntryPoint at 0x100015e0 found dll entry point at 0x10007e6e found acrxGetApiVersion at 0x100083e0 Dll is not a BHO Invoking regsvr32 calling DllMain { Stderr: Error reloading Dll Unable To Locate Component : OK This application has failed to start because acdb17.dll was not found. Re-installing the application may fix this problem. ↑ニセAutoCADアプリの形です、AutoCAD runtime DLLを探すと… acdb17.dll/AutoCAD runtimeが無いと実行が不可能ですね。
MD5: 28663dc50d4400e05de15db7cffcbb79 File size: 72.0 KB ( 73728 bytes ) File type: ニセRAR/Win32 DLL Detection ratio: 38 / 43 Analysis date: 2012-02-26 07:41:09 UTC DetectionResult: [CLICK] 前回の調査リファレンス↓
http://unixfreaxjp.blogspot.com/2011/11/autocadfreebitidc.html http://unixfreaxjp.blogspot.com/2012/02/ocjp-013.html 【備考】↑上記のサンプルMD5と今回のは違います。今回に付いてパッカーで作り直した物で、 中身は同じですが、MD5だけが変わっています。

3)stL1.rar

アファイル  :「stL1.rar」 マルウェア種類: トロイ・スパイウェア/バックドア マルウェア名 : Win32/Trojan RIPINIP マルウェア機能: トロイ、バックドア、スパイウェア 説明     : 感染されたPCの情報がリモートに送信されます(Trojan/Spyware) MD5: ecb3012685ac3c803817999dee39712c File size: 244.0 KB ( 249856 bytes ) File name: stL1.rar File type: ニセRARファイル、実はWin32 EXE Detection ratio: 39 / 43 Analysis date: 2012-02-26 07:43:12 UTC DetectionResult: [CLICK] ----------------------------------------------------------- Antivirus Result Update ----------------------------------------------------------- AhnLab-V3 Win-Trojan/Ripinip.249856.ET 20120222 AntiVir TR/Spy.Gen 20120222 Antiy-AVL AdWare/Win32.BHO.gen 20120213 Avast Win32:BHO-ADU [Adw] 20120223 AVG BackDoor.Generic13.DCG 20120223 BitDefender Gen:Variant.Ripinip.1 20120223 ByteHero - 20120225 CAT-QuickHeal Backdoor.Ripinip.C4 20120222 ClamAV Trojan.Ripnip-2 20120223 Commtouch W32/Autorun.XG 20120222 Comodo TrojWare.Win32.TrojanDropper.BHO.GHT 20120223 DrWeb Trojan.MulDrop1.48008 20120223 Emsisoft Backdoor.Win32.Ripinip!IK 20120223 eSafe - 20120221 eTrust-Vet Win32/SillyAutorun.EEG 20120222 F-Prot W32/Autorun.XG 20120222 F-Secure Backdoor:W32/Ripinip.C 20120223 Fortinet W32/Ripinip.K!tr.bdr 20120223 GData Gen:Variant.Ripinip.1 20120223 Ikarus Backdoor.Win32.Ripinip 20120223 Jiangmin Trojan/Generic.beqn 20120222 K7AntiVirus Backdoor 20120222 Kaspersky Backdoor.Win32.Ripinip.otb 20120223 McAfee BackDoor-EVC 20120223 McAfee-GW-Edition Heuristic.BehavesLike.Win32.Downloader.J 20120222 Microsoft Backdoor:Win32/Ripinip.N 20120222 NOD32 a variant of Win32/Ripinip.AD 20120223 Norman W32/Ripinip.D 20120222 nProtect Backdoor/W32.Ripinip.249856.Q 20120222 Panda Trj/Genetic.gen 20120222 PCTools Backdoor.Ripinip 20120221 Prevx - 20120226 Rising Backdoor.Win32.Autorun.p 20120223 Sophos Troj/Kirjat-A 20120223 SUPERAntiSpyware Trojan.Agent/Gen-FakeAlert 20120206 Symantec Backdoor.Ripinip 20120223 TheHacker Trojan/Dropper.Agent.oxz 20120222 TrendMicro BKDR_RIPINIP.SMA 20120222 TrendMicro-HouseCall BKDR_RIPINIP.SMA 20120223 VBA32 Backdoor.Ripinip.bbt 20120222 VIPRE Trojan.Win32.Generic.pak!cobra 20120222 ViRobot - 20120222 VirusBuster Trojan.Ripnip.Gen.1 20120222

■マルウェア説明↓

上記のトロイバックドアRipinipの行動分析調査の説明となります↓

感染されたPCにstL1.rarを実効されたら下記のファイルを作られます↓ %Temp%\<RANDOM ○○○>.exe 20,480 bytes / MD5: eed9cc6f7a6437a171be2a71a1ed6115 %System%\fsutk.dll 118,784 bytes / MD5: 0d97a7aad8461e2643cde89050f4ff22 本件のstL1.rarが○○○.exeマルウェアを実行し、fsutk.dllをロードしてからiexplore.exeを実行。 その時点からずっと○○○.exeマルウェアのプロセスの中に残っていますがstL1.rarのプロセス終了。 ○○○.exeが下記のDLLをロードします↓ C:\WINDOWS\system32\MFC42.DLL C:\WINDOWS\system32\MSCTF.dll C:\WINDOWS\system32\imm32.dll それで、Windowsのサービスを変更します↓ %SystemRoot%\System32\svchost.exe -k netsvcs サービス名は:Ipripですね、←設定した時に「SERVICE_AUTO_START」のFLAGを立ってます。 レジストリーを見たら下記のブラウザーのキーが追加されます↓ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\        {BF50AC63-19DA-487E-AD4A-0B452D823B59} HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\        {BF50AC63-19DA-487E-AD4A-0B452D823B59} さらに上記キーは下記の様に情報が入れてしまいます↓ [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}\InprocServer32] (Default) = "%System%\fsutk.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}] SJBC = 0x0000012E CUDA = 0x00000844 FSHS = 0x00000000 BLOD = 0x00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {BF50AC63-19DA-487E-AD4A-0B452D823B59}] (Default) = "" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\ {BF50AC63-19DA-487E-AD4A-0B452D823B59}] Flags = 0x00000000 ↑これで完全にブラウザの設定が変わっています。 この変更を行っているからブラウザがマウスの左クリックが押されたら、記録されます↓ VK_LBUTTON (1) 260

下記はトロイバックドアRipinipのバイナリー調査結果です↓

ExifToolで見たらバイナリーのヘッタ情報は下記の様に見えます(Ref: VT)
MIMEType.................: application/octet-stream Subsystem................: Windows GUI MachineType..............: Intel 386 or later, and compatibles TimeStamp................: 2011:09:18 13:40:10+01:00 FileType.................: Win32 EXE PEType...................: PE32 CodeSize.................: 8192 LinkerVersion............: 6.0 EntryPoint...............: 0x2c6e InitializedDataSize......: 237568 SubsystemVersion.........: 4.0 ImageVersion.............: 0.0 OSVersion................: 4.0
それでバイナリーを調査した限りでは下記のあやしい情報を発見!↓
1. Compile Time: 2011-09-18 21:40:10 ←作られた日付けは今年の2月26日だけど… 2. CRC is wrong! Claimed: 0 Actual: 257764 ←(packerを使った証拠になりますね) 3. Packed by Microsoft Visual C++ v6.0 4. あやしいDLL Calls: 0x403058 GetCurrentProcess ← debug trace 0x40306c GetTickCount ← debug trace 0x403090 CloseHandle ← debug trace 0x403040 WriteProcessMemory ← malware act 0x403068 CreateFileA ← malware act 0x40307c CreateProcessA ← malware act 0x40303c VirtualAllocEx ← System Hook , no good... 0x403044 ReadProcessMemory ← Privilage Escalation 0x403000 OpenProcessToken ← Privilage Escalation 5.「EVIL」レジストリーコール↓ ADVAPI32.dll.RegOpenKeyExA Hint[370] ADVAPI32.dll.RegSetValueExA Hint[390] ADVAPI32.dll.RegQueryValueExA Hint[379] ADVAPI32.dll.RegCloseKey Hint[347] ADVAPI32.dll.RegCreateKeyA Hint[350] 6.「Un-Authorized」システムのサービス変更コール↓ ADVAPI32.dll.OpenServiceA Hint[327] ADVAPI32.dll.CloseServiceHandle Hint[52] ADVAPI32.dll.QueryServiceStatus Hint[341]

リファレンス↓

■感染ソースの情報(連絡先の為)

inetnum: 219.66.128.0 - 219.66.255.255 netname: ODN descr: Open Data Network(JAPAN TELECOM CO.,LTD.) country: JP admin-c: JP00035900 tech-c: JP00035900 changed: apnic-ftp@nic.ad.jp 20080714 source: JPNIC [グループハンドル] JP00035900 [グループ名] コアネットワーク課 [Group Name] IPTG [電子メール] abuse@odn.ad.jp [組織名] ソフトバンクテレコム株式会社 [Organization] SOFTBANK TELECOM Corp. [部署] 高度ネットワーク部 [Division] Advanced Network Department [電話番号] 03-6889-1091 [最終更新] 2008/03/25 18:53:07(JST) ito@gw.odn.ad.jp

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

7 件のコメント:

  1. 現在マルウェアダウンロードURLが訂正さてれました。
    マルウェアを提供されたサーバもダウンされております。本件の対応は終了です。
    お疲れ様でした。ご協力頂き誠に有難うございました。

    返信削除
  2. 本件のマルウェアが別のODNネットワークに発見しました。

    hxxp://211.121.253.172/vct/set.rar 642ef29e0194075c830d0f2a418d8fce
    hxxp://211.121.253.172/vct/stL1.rar a200699ce01d73c61a1b9ccb9009d9c6
    hxxp://211.121.253.172/vct/vel19.rar 472c2c1ff132392bf8656a2b427e8f22
    hxxp://211.121.253.172/int/vel20.rar 09b3818d4480a486db78ef2bd34c7e38

    証拠↓
    $ date
    Mon Mar 26 20:14:25 JST 2012

    HTTP/1.1 200 OK
    Content-Length: 249856
    Content-Type: application/octet-stream
    Last-Modified: Mon, 26 Mar 2012 11:15:15 GMT
    Accept-Ranges: bytes
    Etag: W/"f653fbb741bcd1:2a8"
    Server: Microsoft-IIS/6.0
    Date: Mon, 26 Mar 2012 11:15:16 GMT

    --19:51:08-- hxxp://211.121.253.172/int/vel20.rar
    => `vel20.rar'
    Connecting to 211.121.253.172:80... connected.
    hxxp request sent, awaiting response... 200 OK
    Length: 73,728 (72K) [application/octet-stream]
    100%[====================================>] 73,728 337.48K/s
    19:51:09 (336.93 KB/s) - `vel20.rar' saved [73728/73728]

    --19:51:32-- hxxp://211.121.253.172/vct/stL1.rar
    => `stL1.rar'
    Connecting to 211.121.253.172:80... connected.
    hxxp request sent, awaiting response... 200 OK
    Length: 249,856 (244K) [application/octet-stream]
    100%[===================================> ] 249,856 740.11K/s
    19:51:33 (738.00 KB/s) - `stL1.rar' saved [249856/249856]

    --19:51:42-- hxxp://211.121.253.172/vct/vel19.rar
    => `vel19.rar'
    Connecting to 211.121.253.172:80... connected.
    hxxp request sent, awaiting response... 200 OK
    Length: 73,728 (72K) [application/octet-stream]
    100%[====================================>] 73,728 --.--K/s
    19:51:42 (529.53 KB/s) - `vel19.rar' saved [73728/73728]

    --19:51:56-- hxxp://211.121.253.172/vct/set.rar
    => `set.rar'
    Connecting to 211.121.253.172:80... connected.
    hxxp request sent, awaiting response... 200 OK
    Length: 28,672 (28K) [application/octet-stream]
    100%[====================================>] 28,672 --.--K/s
    19:51:57 (299.76 KB/s) - `set.rar' saved [28672/28672]

    同じマルウェアですので、上記のファイル順番で下記のVirusTotalのURLで詳細なレポートが御座います↓

    https://www.virustotal.com/file/50cc09617912edf3a5077fb09fe540803e6c467a7bff6417bc41d02d60c39d76/analysis/1332759518/

    https://www.virustotal.com/file/5a8c16df19d7198b5c0ea2a36c90f34bc835202e6108afa8a49221cb598f9c4f/analysis/1332759446/

    https://www.virustotal.com/file/f8faf5656a27f6df63ad5b49cf4747ad3cb474fc1e94caf939b8b17133ec6595/analysis/1332759462/

    https://www.virustotal.com/file/f72556dadc6bc5ae4e4dd3911f94e1d012a3987e555aa4b55170c20f41184d95/analysis/1332759402/

    ----
    unixfreaxjp | #OCJP

    返信削除
  3. 僕のメモ↓
    --------------------------------
    ロイバックドアRipinipの証拠
    --------------------------------

    payload: aho.exe ←本malwareオーナーの自己紹介(笑…
    MD5: 2aa259224e8ffa280d11ce2e19d9adb3
    SHA-1: 3007a22e0d049e8685db1303f36ee3b708e48ff4
    File Size: 20,480 Bytes
    Command Line: $shell= "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aho.exe"

    registry:
    Iprip
    SERVICE_AUTO_START
    %SystemRoot%\System32\svchost.exe -k netsvcs

    返信削除
  4. また別のODNネットワークのIPで本件の中国「AHO.EXE」マルウェアが発見しました。
    hxxp://211.3.200.204/vct/vel19.rar
    hxxp://211.3.200.204/int/vel20.rar
    hxxp://211.3.200.204/vct/stL1.rar
    同じ中国OSのIISサーバです。
    このページの上に調査情報があります。
    この人がマルウェアをばら撒いているので、きちんと対応が欲しいです…
    ------
    ZeroDay Japan http://0day.jp
    OPERATION CLEANUP JAPAN | #OCJP
    Analyst: Hendrik ADRIAN アドリアン・ヘンドリック Malware Researcher VT/ twitter/google: @unixfreaxjp
    sponsored by: 株式会社ケイエルジェイテック http://www.kljtech.com

    返信削除
  5. --13:23:43-- http://211.3.200.204/vct/vel19.rar
    => `vel19.rar'
    Connecting to 211.3.200.204:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 73,728 (72K) [application/octet-stream]
    100%[====================================>] 73,728 470.59K/s
    13:23:44 (470.39 KB/s) - `vel19.rar' saved [73728/73728]

    --13:23:49-- http://211.3.200.204/vct/vel20.rar
    => `vel20.rar'
    Connecting to 211.3.200.204:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 73,728 (72K) [application/octet-stream]
    100%[====================================>] 73,728 467.53K/s
    13:23:49 (466.38 KB/s) - `vel20.rar' saved [73728/73728]

    --13:24:01-- http://211.3.200.204/vct/stL1.rar
    => `stL1.rar'
    Connecting to 211.3.200.204:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 249,856 (244K) [application/octet-stream]
    100%[===================================> ] 249,856 1.09M/s
    13:24:01 (1.09 MB/s) - `stL1.rar' saved [249856/249856]

    >date
    The current date is: 2012/04/19

    返信削除
  6. https://www.virustotal.com/file/3e3f26981970450cf72ca49e8e9b51a2a5a83b5616c8dc404e7f6950dd2e5e9d/analysis/

    https://www.virustotal.com/file/100b13a3a00af19b4f76fb0acf3bd23a5d72786067b10e903cdf255caf028f45/analysis/

    https://www.virustotal.com/file/bb3e5f23a864daa13d0d3b787eb93797133bbf648e6120e8185b504d77bd5bf6/analysis/

    返信削除