土曜日, 5月 05, 2012

#OCJP-043: CPI-NET(KDDI)のレンタルサーバ(www.acroba.net / 27.34.147.182)がFakeAVのExploitPackにハッキングされました。 【対応最中】


本マルウェア事件はFake/にせアンチウイルスのExploit Packにインジェクトされたindex.htmlのマルウェア感染事件です。CPI-NETのVPSに入れた日本のFORKLIFT商品ウェブサイトが攻撃されました。同じIPに後3個ドメインも提供しているサービスですので、感染が増える可能性があります。詳細情報は下記となります↓

■下記のサーバ/IP↓

www.acroba.net / 27.34.147.182

■下記のURL↓

hxxp://acroba.net/ hxxp://www.acroba.net/

■ダウンロードが出来ている証拠↓

--18:57:40-- hxxp://www.acroba.net/ => `index.html' Resolving www.acroba.net... 27.34.147.182 Connecting to www.acroba.net|27.34.147.182|:80... connected. HTTP request sent, awaiting response... HTTP/1.1 200 OK Date: Sat, 05 May 2012 09:57:19 GMT Server: Apache Last-Modified: Thu, 03 May 2012 18:15:08 GMT ETag: "ed472b6-1efa-4fa2cb2c" Accept-Ranges: bytes Content-Length: 7930 Keep-Alive: timeout=15, max=100 Connection: Keep-Alive Content-Type: text/html Length: 7,930 (7.7K) [text/html] 100%[===================================> ] 7,930 --.--K 18:57:40 (807.40 KB/s) - `index.html' saved [7930/7930]

■ファイルの情報↓

↑感染日付けは5月3日ですね、この時間でhttpd.logを見ればどうやって感染されたかと恐らく分かると思います。

■ウイルススキャン結果↓

File name: index.html MD5: e8317f3197344a37eac37b4061c96771 File size: 7.7 KB ( 7930 bytes ) File type: HTML Detection ratio: 24 / 42 Analysis date: 2012-05-04 11:02:38 UTC Result URL: [CLICK] Malware Names: nProtect : JS:Trojan.Crypt.CB McAfee : JS/Exploit-Blacole.y K7AntiVirus : Riskware F-Prot : JS/IFrame.HC.gen Norman : JS/Agent.ADR Avast : JS:Redirector-SZ [Trj] eSafe : JS.KRYPTIK.VTG ClamAV : JS.Trojan.Agent-1 Kaspersky : Trojan-Downloader.JS.Agent.gqi BitDefender : JS:Trojan.Crypt.CB F-Secure : JS:Trojan.Crypt.CB DrWeb : JS.IFrame.256 VIPRE : Trojan.JS.Obfuscator.aa (v) AntiVir : JS/iFrame.JF.2 McAfee-GW-Edition : JS/Exploit-Blacole.aq Emsisoft : Exploit.JS.Blacole!IK eTrust-Vet : JS/BlacoleRef.H Jiangmin : Trojan/Script.Gen Microsoft : Trojan:JS/BlacoleRef.W GData : JS:Trojan.Crypt.CB Commtouch : JS/IFrame.HC.gen Ikarus : Exploit.JS.Blacole Fortinet : JS/Obfuscus.AACA!tr AVG : HTML/Framer.FK
■マルウェア調査レポート↓
実はどんな物かと詳しく説明させて頂きます。 まずは、感染されたウェブサイトを確認したら普通の製品のページを見えます↓ ※)本感染が発見されたからこのページにはFirefoxとChromeブラウザでブロックされるかと思います。 ページを見たら何も可笑しくなさそうで、ページにあるHTMLをダウンロードして実行したら、 インバウンドのマルウェアトラフィックも無さそうですが… HTMLコードを見たら不思議なコードを発見しました、スナップショットは下記となります↓ ↑すこし小さくて読みにくいかも知れないですが、マークした所はインジェクトされたコードになります。 コード的にはobfuscated javascriptですので、3つがあり、①②③で私がマークしました。 このコードは実はEXPLOIT PACKマルウェア感染ソフトがインジェクトしたコードです。 EXPLOIT PACKソフトがウェブ脆弱性があるサイトを狙って、ニセindex.htmlをインジェクトする及び index.htmlのコードを追加する事が出来ます。 目的はユーザーがマルウェアダウンロードサイトへ飛ばすことです。 結論から言うと上記の①②③のコードを解けたら下記の3つマルウェアサイトへ飛ばされます↓
(deobfuscation ①) hxxp://hivagdy.ru/count22.php (deobfuscation ②) hxxp://digiality.in/in.cgi?5 (deobfuscation ③) hxxp://freshtds.in/in.cgi?9
↑調査したら、上記のURLはFAKE AV/ニセウイルス対策ソフトのダウンロードページです。 調査の情報ですが、どうやって解けたかというと下記の説明となります↓
deobfuscation ① deobfuscation ② deobfuscation ③

上記の3つマルウェアダウンロードURL(Exploit Pack LANDING PAGE)が既にダウンされました。 履歴が未だ残っていますので、調べたら下記のように情報がインターネットに残っています↓

■感染されたサーバとネットワーク情報↓

グラフ↓

ドメイン登録情報↓

Domain name: ACROBA.NET Registrant: swoop Co., Ltd. 3-5-31 Nishiki Naka-ku Gibraltar BLG.2F Nagoya, Aichi 461-0003 JP Administrative Contact: Morihara, Hideki directions@swoop.jp 3-5-31 Nishiki Naka-ku Gibraltar BLG.2F Nagoya, Aichi 461-0003 JP +81.522287728 Fax: +81.522287729 Technical Contact: Admin, Domain domain@hyperbox.com 4-33-4 Nishi-Shinjuku Suite #5F Shinjuku, Tokyo 160-0023 JP +81.353048161 Fax: +81.353048162

IP/ネットワークルーティング情報↓

IP:           27.34.147.182 ASN:              AS9597 27.34.128.0/19 ISP:              CPI-NET KDDI Web Communications Inc inetnum:            27.34.144.0 - 27.34.151.255 netname:            CPI-NET descr:             KDDI Web Communications Inc. country:            JP admin-c:            YM12747JP tech-c:             YM12747JP source:             JPNIC a. [JPNICハンドル] YM12747JP b. [氏名] 森川 慶彦 c. [Last, First] Morikawa, Yoshihiko d. [電子メイル] tech@cpi.ad.jp f. [組織名] 株式会社KDDIウェブコミュニケーションズ g. [Organization] KDDI Web Communications Inc.

Geo Location調査↓

■注意点↓

---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

2 件のコメント:

  1. お世話になります。
    ご指摘いただいております当該サイトに関わっているものです。
    ありがとうございます。
    対応等につきまして、直接ご教示いただきたく、つきましてはコンタクト方法をお教え願えないでしょうか。
    どうぞよろしくお願いいたします。

    返信削除
  2. メッセージ頂き有難う御座います。
    コンタクト情報について、ここには書けないので、ツイッターでこのアカウント@unixfreaxjpにMTが頂ければ教えます。宜しくお願いいたします。

    返信削除