水曜日, 4月 18, 2012

#OCJP-039:日本IDC(sakura)サーバ(219.94.194.138と112.78.124.115)がPhoenix Exploit Packに感染されて、GameOver ZeuSトロイのマルウェアがダウンロードされます。 【対応最中】


Phoenix Exploit Packにハッキングされた日本のIDCサーバが発見されました。原因は間違い無くまたウェブ脆弱性がもっているサイトです。現在感染されたポートとファイルが未だアップされている状況ですが、感染されたPHPファイルがexpiredされたそうです。仕事した時に発見しました、やっと今レポートが書ける状況になったけど、未だ作業待機状況ですので、長く書くのはは出来ません。申し訳ありません。
さて、詳細情報は下記となります。
■下記のサーバ↓
219.94.194.138と112.78.124.115

■下記のURL↓

hxxp://poluicenotgo.ru:8080/internet/at.php?i=15 hxxp://219.94.194.138:8080/internet/at.php?i=15 hxxp://112.78.124.115:8080/internet/at.php?i=15

■マルウェア種類↓

アファイル  :「○○.php」 マルウェア種類: Phoenix Exploit PackのZeusトロイダウンローダー マルウェア名 : Trojan.Win32.Generic、Trojan.Downloader など マルウェア機能: マルウェアファイルをダウンロードされます 説明     : PHOENIX EXPLOIT PACKのダウンロードサイトからの マルウェアをダウンロードされる マルウェアサイトに接続動きを発見、データ送信も発見

■URLのアクセス証拠↓

hxxp://219.94.194.138:8080/internet/at.php?i=15 GET /internet/at.php?i=15 HTTP/1.1 Host: 219.94.194.138:8080 User-Agent: Mozilla/5.0 FreeBSD 8.2; rv:11.0) Gecko/20100101 Firefox/11.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ja,en-us;q=0.7,en;q=0.3 Accept-Encoding: gzip, deflate Connection: keep-alive HTTP/1.1 200 OK Server: nginx/1.0.10 Date: Wed, 18 Apr 2012 12:47:12 GMT Content-Type: text/html; charset=CP-1251 Connection: keep-alive X-Powered-By: PHP/5.2.17-1.1 Vary: Accept-Encoding Content-Encoding: gzip Content-Length: 20 hxxp://112.78.124.115:8080/internet/at.php?i=15 GET /internet/at.php?i=15 HTTP/1.1 Host: 112.78.124.115:8080 User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101 Firefox/11.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ja,en-us;q=0.7,en;q=0.3 Accept-Encoding: gzip, deflate Connection: keep-alive HTTP/1.1 200 OK Server: nginx/1.0.10 Date: Wed, 18 Apr 2012 12:48:42 GMT Content-Type: text/html; charset=CP-1251 Connection: keep-alive X-Powered-By: PHP/5.2.17-1.1 Vary: Accept-Encoding Content-Encoding: gzip Content-Length: 20

↑上記のPHPが存在しておりますが、下記のようにアクセスしたら現在の回答はNULLの状況です、が…

--22:01:18-- hxxp://219.94.194.138:8080/internet/at.php?i=15 => `at.php@i=15.2' Connecting to 219.94.194.138:8080... connected. HTTP request sent, awaiting response... 200 OK Length: 0 [text/html] [ <=> ] 0 --.--K/s 22:01:19 (0.00 B/s) - `at.php@i=15.2' saved [0/0] --22:00:39-- hxxp://112.78.124.115:8080/internet/at.php?i=16 => `at.php@i=16.3' Connecting to 112.78.124.115:8080... connected. HTTP request sent, awaiting response... 200 OK Length: 0 [text/html] [ <=> ] 0 --.--K/s 22:00:39 (0.00 B/s) - `at.php@i=16.3' saved [0/0]

↑6時間前ですと、上記のURLをアクセスすると下記のマルウェアがダウンロードされました!!

File name: esfwatkocliuyn.exe MD5: 5726463108bb6f26e6dd54763e85453b File size: 132.1 KB ( 135264 bytes ) File type: PE/Win32 EXE Detection ratio: 21 / 41 Analysis date: 2012-04-18 09:09:09 UTC result: [CLICK] アイコン↓
※6時間前に私は仕事最中でしたので…直ぐにレポートがかけなくて、サンプルだけを保存しました…(T T) ※目的は感染PHPファイルが未だサーバに残ったままですね…何とかしないと… 今私は仕事作業最中ですので、詳しく書く時間が出来ないですが、 上記のマルウェアはGAMEOVER ZEUSトロイのダウンローダーです。 上記のマルウェアを実行したら下記のURLにアクセスがでて、 GAMEOVER ZEUSマルウェアをダウンロードされます↓
hxxp://abbott.u4ria.co.za/HGFg1RHz/MkiZMX.exe hxxp://dynolite.eu/7U0ASvP9/AZz.exe hxxp://demircioglubilgisayar.com.tr/qy3kMMxv/VgWqQm4k.exe MD5: a3e56f7ba6cd98b2ac87596daf74e2aa Size: 3,71,808 bytes

本件「esfwatkocliuyn.exe」のトロイダウンローダーには下記のプロパーティが持っています↓

Signature:         : VfnHcYKXDLnVlQizT9uLI4yhP ←//デジタル認証!! Certificate Validity : 04/16/2012 to 01/01/2040 ←//デジタル認証期間!! Publisher : Microsoft Corporation Product : Microsoft_ Windows_ Operating System Internal name : DFDWiz.exe Copyright : (c) Microsoft Corporation. All rights reserved. Original name : DFDWiz.exe File version : 6.1.7600.16385 (win7_rtm.090713-1255) Description : Windows Disk Diagnostic User Resolver UninitializedDataSize : 0 InitializedDataSize : 20992 ImageVersion : 0.0 ProductName : Microsoft Windows Operating System FileVersionNumber : 6.1.7600.16385 LanguageCode : English (U.S.) FileFlagsMask : 0x003f FileDescription : Windows Disk Diagnostic User Resolver CharacterSet : Unicode LinkerVersion : 2.5 FileOS : Windows NT 32-bit MIMEType : application/octet-stream Subsystem : Windows GUI FileVersion : 6.1.7600.16385 (win7_rtm.090713-1255) TimeStamp : 2012:04:17 09:48:09+02:00 FileType : Win32 EXE PEType : PE32 InternalName : DFDWiz.exe ProductVersion : 6.1.7600.16385 SubsystemVersion : 4.0 OSVersion : 4.0 OriginalFilename : DFDWiz.exe LegalCopyright : Microsoft Corporation. All rights reserved. MachineType : Intel 386 or later, and compatibles CompanyName : Microsoft Corporation CodeSize : 112128 FileSubtype : 0 ProductVersionNumber : 6.1.7600.16385 EntryPoint : 0x1b0a0 ObjectFileType : Executable application

さらにPEのstructureはこんな感じです↓

Name Virtual Address Virtual Size Raw Size Entropy MD5 .text 4096 109966 110080 7.01 23d7ac2fe7fffdf0abb66ae018c90ee9 .data 114688 11652 11776 5.59 e2f2b3a0f2bb04ce00ba0849d9aed782 .text5 126976 1000 1024 0.16 01cb5594d3b2c332c81196b782ade080 .text6 131072 1000 1024 0.16 01cb5594d3b2c332c81196b782ade080 .rsrc 135168 7132 7168 4.37 b47f53e76a6ec403d1ea28e3ab0d4eb5 .reloc 143360 1992 2048 6.36 0809868ffda2eb5b8ccc0431edfb67e9

■マルウェア情報

マルウェア発見履歴を確認したら
First seen :2012-04-17 08:07:12 UTC ( 1 日, 5 時間 ago ) Last seen :2012-04-18 13:06:03 UTC ( 14 分 ago )

発見したのパソコンは地図を見たら下記のようになります↓ マルウェアのバイナリーを急いで調査したら↓

TimeDateStamp:0x4F8D2039 (Tue Apr 17 07:48:09 2012 UTC)大体JSTから見ると24時間以内に作った物ですね。 目的は情報盗むマルウェアですので、CLIPBOARD情報を取れますね↓ USER32.dll.GetClipboardFormatNameA Hint[272] USER32.dll.RegisterClipboardFormatW Hint[568] USER32.dll.CountClipboardFormats Hint[80] USER32.dll.EnumClipboardFormats Hint[217] USER32.dll.SetClipboardData Hint[621] USER32.dll.GetOpenClipboardWindow Hint[340] USER32.dll.SetClipboardViewer Hint[622] それでキーボードのオペレーションもモニターされます↓ 0x41c8a0 GetKeyState 0x41cb94 GetAsyncKeyState USER32.dll.keybd_event Hint[773] USER32.dll.VkKeyScanExW Hint[758] そのたマルウェアオペレーション↓ KERNEL32.dll.VirtualAllocEx Hint[1109] //exec準備環境 KERNEL32.dll.CreateFileA Hint[120] //ファイルを作る USER32.dll.MapVirtualKeyW Hint[498] //キーマップ USER32.dll.MapVirtualKeyExA Hint[496] USER32.dll.SendNotifyMessageA Hint[612] //メッセージ USER32.dll.SendIMEMessageExA Hint[603] USER32.dll.SendMessageCallbackA Hint[607] //メッセージ USER32.dll.CallMsgFilterA Hint[25] USER32.dll.WaitMessage Hint[765] //メッセージ USER32.dll.EnumDisplayDevicesA Hint[221] //パソコン情報 USER32.dll.GetShellWindow Hint[362] //ファイルを実行 USER32.dll.DdeNameService Hint[131] USER32.dll.OpenWindowStationA Hint[533] //パソコン情報 msvcrt.dll.memcpy Hint[634]  //cpalloc ADVAPI32.dll.RegOpenKeyExW Hint[603] //registry読み込み ダウンロード/URLやり取り↓ SHLWAPI.dll.UrlUnescapeW Hint[360] SHLWAPI.dll.UrlIsNoHistoryW Hint[355] SHLWAPI.dll.UrlCreateFromPathW Hint[343] SHLWAPI.dll.UrlGetPartA Hint[349] SHLWAPI.dll.UrlHashW Hint[352] SHLWAPI.dll.UrlUnescapeA Hint[359] SHLWAPI.dll.UrlCompareA Hint[340] SHLWAPI.dll.UrlIsOpaqueW Hint[357] SHLWAPI.dll.UrlApplySchemeW Hint[335] SHLWAPI.dll.UrlCombineW Hint[339] などなど。。。

■感染された環境↓

本マルウェアは「poluicenotgo.ru」のボットネットで提供されています。 下記のネットワーク図↓ですので、マークされたネットワークは本件の感染↓ 洗い出したらさくらIDCの情報が出ました↓ よーくインターネットで調べたら、本件の感染はじまりは下記のスパムメールからです↓ 本件は間違いなくボットネットが日本のウェブ脆弱性の状況が分かったの上で 攻撃した結果だと思われます。←【お願い!注意して下さい!!】
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

0 件のコメント:

コメントを投稿