月曜日, 4月 02, 2012

#OCJP-034: ハッキングされた36.2.249.196(GMO/IDC)のIISサーバにCVE-2012-0754脆弱性MP4のダウンロードURLを発見!


今回の事件は「CVE-2012-0754」脆弱性の関係ですが、「CVE-2012-0754」のEXPOITファイルが日本のネットワークに発見しました。恐らくウェブサーバ(ETag: "01a8f5d24bcd1:0" Server: Microsoft-IIS/7.5)がハッキングされて本件のファイルが入れてしまいました。日付けを確認したらハッキングが行ったのは恐らく3月26日~4月1日の間かと思われます。
さて、詳細情報は下記となります↓

■ドメイン/サーバの情報↓

36.2.249.196 Last-Modified: Mon, 26 Mar 2012 07:45:08 GMT Accept-Ranges: bytes ETag: "01a8f5d24bcd1:0" Server: Microsoft-IIS/7.5 X-Powered-By: ASP.NET

■感染されたURL↓

hxxp://36.2.249.196/siryou.mp4 --20:09:42-- hxxp://36.2.249.196/siryou.mp4 => `siryou.mp4' Connecting to 36.2.249.196:80... connected. HTTP request sent, awaiting response... 200 OK Length: 22,384 (22K) [application/octet-stream] 100%[====================================>] 22,384 --.--K/s 20:09:43 (259.23 KB/s) - `siryou.mp4' saved [22384/22384] 

■ファイルの説明↓

-rwx------ 1 22,384 Mar 25 22:45 siryou.mp4 スナップショット↓

■ウイルススキャン結果↓

File name: siryou.mp4 File type: MP4 MD5: 98732f6066bfd2ea976ecdca8975af17 File size: 21.9 KB ( 22384 bytes ) Detection ratio: 21 / 41 Analysis date: 2012-04-02 11:15:53 UTC Result: [C L I C K ! ]

■マルウェア説明↓

CVEの情報基づきAdobe Flash Playerのバグがあり、あるMP4ファイルをFlash Playerで実行すると リモートでPCの権限を取られ、システムコマンドの実行が可能になる。 英語では↓ By supplying a corrupt .mp4 file loaded by Flash, it is possible to gain arbitrary remote code execution under the context of the user. 本件のファイルは正しくそのMP4です。 現在、本件の攻撃がインターネットで流行っています。 一番多いなのはWindows OfficeのファイルにFlashオブジェクトが入れられてそのFlashが 本件みたいなMP4ダウンロードURLが書いてある事です。他のパターンもあり、直接SWFファイルに 本件みたいなMP4ダウンロードURLが書いてある事。 セキュリティの世界には本件の攻撃仕組みは「Iran’s Oil and Nuclear Situation.doc」の攻撃といいます。 本サンプルの中身みると↓ テキストエディターからこんな感じです↓ $ cat siryou.mp4
cprtf   mp42♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀ ♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀ ♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀ ♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀ ♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀ ♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀qtggfsfifbsigtskjfhbsefhshbf yiegfkwjlefhbeygfwfgkbslfbsifbelsfbeklsfbyilfgbgbfhwkefgbifqhbfuoqfhbuogehuofhqu fhquequfguhfjfheqhufhufhuqfhfefhaukhbshduyfhajhdfiygeyhlfaegfahaeiufhalhefeuiafh alofehelafh♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀ ♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀ ♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀♀qtggfsfifb sigtskjfhbsefhshbfyiegfkwjlefhbeygfwfgkbslfbsifbelsfbeklsfbyilfgbgbfhwkefgbifqhb fuoqfhbuogehuofhqufhquequfguhfjfheqhufhufhuqfhfefhaukhbshduyfhajhdfiygeyhlfaegfa haeiufhalhefeuiafhalofehelafh♀♀♀♀♀♀   :   :   など

秀丸で見れば↓ 下記はバイナリエディターからです↓ ↑これを見たらファイルヘッタはMP4ですが、その後にならんでいる「0C」ニットの次に悪戯 STRINGが書いてあります↓

qtggfsfifbsigtskjfhbsefhshbfyiegfkwjlefhbeygfwfgkbslfbsifbelsfbeklsfbyilfgbgbfhw kefgbifqhbfuoqfhbuogehuofhqufhquequfguhfjfheqhufhufhuqfhfefhaukhbshduyfhajhdfiyg eyhlfaegfahaeiufhalhefeuiafh
↑これで影響されたはーションのFlash playerに流すとcrash出てPCの権限が取られます。 もっと分かりやすい様に、ERIC ROMANGさんが本件のPoCビデオを作ったので、 YouTubeで本MP4のEXPLOITデモ動画の確認が出来ます↓

■本件の脆弱性のリファレンス↓

■感染されたネットワーク情報↓

a. [IPネットワークアドレス] 36.2.249.0/24 b. [ネットワーク名] IDC2-NETWORK f. [組織名] GMOインターネット株式会社 g. [Organization] GMO Internet,Inc. m. [管理者連絡窓口] JP00014973 n. [技術連絡担当者] JP00014973 p. [ネームサーバ] ns1.vectant.ne.jp p. [ネームサーバ] ns2.vectant.ne.jp [割当年月日] 2011/09/28 [返却年月日] [最終更新] 2011/09/28 11:44:04(JST) [グループハンドル] JP00014973 [グループ名] GMOインターネット ネットワークチーム [Group Name] GMO Internet Network Team [電子メール] network-team@gmo.jp [組織名] GMOインターネット株式会社 [Organization] GMO Internet,Inc. [部署] システム本部 [Division] System Dev [電話番号] 03-5456-2555 [最終更新] 2011/06/06 14:08:05(JST) network-team@gmo.jp
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

1 件のコメント:

  1. マルウェアサイトが削除してくれまして有難う御座いました。本件の対応は終了で、下記は証拠です。

    --13:55:38-- http://36.2.249.196/siryou.mp4
    => `siryou.mp4'
    Connecting to 36.2.249.196:80... ^C(タイムアウト)

    ご協力頂き有難う御座いました。 m(_ _)m

    返信削除