土曜日, 5月 05, 2012

#OCJP-044: SOFTBANK TELECOMの「61.196.150.174」に発見した韓国トロイ・スパイウェア!マルウェアPEのreversing & forensics調査 【対応最中】


今回はトロイのPEマルウェアを発見しました。PEファイル的にははVB6で作られたそうです。実行後に本マルウェアが別のフォルダーをコピーされて、自分のファイルを削除されます。そしてマルウェアがメモリーに残った上でパソコンの情報を集まります。
+ そのファイルのruntimeがパソコンにインストールされなかったらダウンロードされます。
■下記のIP/URL↓
hxxp://61.196.150.174/Project1.exe

■ダウンロード証拠↓

--06:46:06-- hxxp://61.196.150.174/Project1.exe => `Project1.exe' Connecting to 61.196.150.174:80... connected. HTTP request sent, awaiting response... 200 OK Length: 164,039 (160K) [application/x-msdownload] 100%[====================================>] 164,039 375.94K/s 06:46:07 (375.29 KB/s) - `Project1.exe' saved [164039/164039]

■ファイル的には下記のスナップショット↓

■ウイルススキャン↓

File name: Project1.exe File size: 160.2 KB ( 164039 bytes ) MD5: f885859a753fb4ea6625403acd488568 File type: Win32 EXE Detection ratio: 22 / 42 Analysis date: 2012-05-05 21:55:08 UTC Result: [CLICK] Malware Name: McAfee : Generic BackDoor!1qj K7AntiVirus : Trojan NOD32 : probably unknown NewHeur_PE Symantec : Trojan.ADH.2 Norman : W32/Troj_Generic.BPIFH Avast : Win32:Malware-gen Kaspersky : Trojan.Win32.Scar.ggkt BitDefender : Gen:Variant.Graftor.20116 Comodo : UnclassifiedMalware F-Secure : Gen:Variant.Graftor.20116 VIPRE : Trojan.Win32.Generic!BT AntiVir : TR/Spy.Gen McAfee-GW-Edition : Artemis!F885859A753F Emsisoft : Backdoor.Win32.Blohi!IK Jiangmin : Trojan/Scar.anva Microsoft : Backdoor:Win32/Blohi.gen!B GData : Gen:Variant.Graftor.20116 PCTools : Trojan.ADH Ikarus : Backdoor.Win32.Blohi Fortinet : NewHeur_PE AVG : Generic28.UEQ Panda : Generic Backdoor

■マルウェア調査↓

------------------- 行動分析調査結果 -------------------
1. 実行後にファイルを別のフォルダーにコピーし、実行前のファイルを削除されました。 コピー場所は例えば↓ * C:\Documents and Settings\Administrator\Application Data\Mozilla\Project1.e.exe * C:\\Project1.e 実行コマンドラインはSHELL32.DLL経由になり下記のトレースした Project1.exe pid: 3756 Command line : " C:\Documents and Settings\Administrator\Application Data\Mozilla\Project1.e.exe ※メモ:システムのよる、保存ファイルが違うみたいですね。 2. メモリには2つプロセスが残ります↓ OFFSET Name Pid PPid Thds Hnds Time ---------- -------------------- ------ ------ ------ ------ 0xFEDBF020:Project1.exe 3756 3616 5 141 2012-05-05 19:48:08 0xFF448890:Project1.exe 4036 3956 0 ------ 2012-05-05 19:31:44 3. C:\Result.txtのファイルを保存されます↓ aCResult_txt: ; DATA XREF: .text:00411411 // found previously executed shell="%COMSPEC% /C C:\Result.txt> " unicode 0, <" > dw 3Eh unicode 0, < C:\Result.txt>,0 4. 関係があるruntime DLL↓ 0x00400000 0x02a39c C:\Documents and Settings\owner\Application Data\Identities\Project1.exe <===THIS 0x77f50000 0x0a7000 C:\WINDOWS\System32\ntdll.dll <===THIS RELATED DLL 0x77e20000 0x123000 C:\WINDOWS\system32\kernel32.dll <===THIS RELATED DLL 0x73370000 0x153000 C:\WINDOWS\System32\MSVBVM60.DLL <====THISRELATED DLL 0x77380000 0x7f2000 C:\WINDOWS\system32\SHELL32.DLL <====THISRELATED DLL 0x71980000 0x03b000 C:\WINDOWS\System32\mswsock.dll <=====THISRELATED DLL 0x76f60000 0x007000 C:\WINDOWS\System32\winrnr.dll <=====THISRELATED DLL 5. スパイウェアっぽいのオペレーションを発見↓ /// パソコンの情報を取れます↓ 0000000070E0 0000004070E0 0 COMPUTERNAME 000000007100 000000407100 0 USERNAME 000000006668 000000406668 0 GetLocaleInfoA 00000000944C 00000040944C 0 SystemParametersInfoA 00000000949C 00000040949C 0 GetCursorPos 0000000094F4 0000004094F4 0 keybd_event 000000009538 000000409538 0 mouse_event /// マルウェア動き↓ 0000000066B0 0000004066B0 0 DeleteFileA 0000000067A4 0000004067A4 0 CreateFolder 000000006758 000000406758 0 ShellExecuteA 000000006A68 000000406A68 0 RegDeleteKeyA 000000006ED8 000000406ED8 0 DeleteService 000000006F20 000000406F20 0 CreateServiceA 6. MUTEXが出ました↓ CTF.Asm.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500 CTF.Compart.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500 CTF.LBES.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500 CTF.Layouts.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500 CTF.TMD.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500 7. ネットワーク動きを発見↓ DNS依頼↓ Protocol: UDP www.chocochoco99.com DNS_TYPE_A 27.125.205.18 HTTPやり取り(ダウンロード)↓ //GET MSWINSCK.OCXコマンド 00000000 47 45 54 20 2f 4d 53 57 49 4e 53 43 4b 2e 4f 43 GET /MSW INSCK.OC 00000010 58 20 48 54 54 50 2f 31 2e 31 0d 0a 41 63 63 65 X HTTP/1 .1..Acce 00000020 70 74 3a 20 2a 2f 2a 0d 0a 55 73 65 72 2d 41 67 pt: */*. .User-Ag 00000030 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e 30 ent: Moz illa/4.0 00000040 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 57 69 (compat ible; Wi 00000050 6e 33 32 3b 20 57 69 6e 48 74 74 70 2e 57 69 6e n32; Win Http.Win 00000060 48 74 74 70 52 65 71 75 65 73 74 2e 35 29 0d 0a HttpRequ est.5).. 00000070 48 6f 73 74 3a 20 77 77 77 2e 63 68 6f 63 6f 63 Host: ww w.chococ 00000080 68 6f 63 6f 39 39 2e 63 6f 6d 0d 0a 43 6f 6e 6e hoco99.c om..Conn 00000090 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 ection: Keep-Ali 000000A0 76 65 0d 0a 0d 0a ve.... //GET ZLIB.DLLコマンド 00000000 92 27 fc 57 72 bb 52 54 00 12 34 56 08 00 45 00 .'.Wr.RT ..4V..E. 00000010 00 ca 01 1a 40 00 80 06 4f da c0 a8 00 02 1b 7d ....@... O......} 00000020 cd 12 04 04 00 50 d4 4a d8 a9 8f 57 40 25 50 18 .....P.J ...W@%P. 00000030 3e cc a6 7e 00 00 47 45 54 20 2f 7a 6c 69 62 2e >..~..GE T /zlib. 00000040 64 6c 6c 20 48 54 54 50 2f 31 2e 31 0d 0a 41 63 dll HTTP /1.1..Ac 00000050 63 65 70 74 3a 20 2a 2f 2a 0d 0a 55 73 65 72 2d cept: */ *..User- 00000060 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 Agent: M ozilla/4 00000070 2e 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 .0 (comp atible; 00000080 57 69 6e 33 32 3b 20 57 69 6e 48 74 74 70 2e 57 Win32; W inHttp.W 00000090 69 6e 48 74 74 70 52 65 71 75 65 73 74 2e 35 29 inHttpRe quest.5) 000000a0 0d 0a 48 6f 73 74 3a 20 77 77 77 2e 63 68 6f 63 ..Host: www.choc 000000b0 6f 63 68 6f 63 6f 39 39 2e 63 6f 6d 0d 0a 43 6f ochoco99 .com..Co 000000c0 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 nnection : Keep-A 000000d0 6c 69 76 65 0d 0a 0d 0a live.... //リモートサーバからの回答(バイナリダウンロード) 00000000 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d HTTP/1.1 200 OK. 00000010 0a 44 61 74 65 3a 20 54 68 75 2c 20 30 33 20 4d .Date: T hu, 03 M 00000020 61 79 20 32 30 31 32 20 32 30 3a 33 33 3a 33 39 ay 2012 20:33:39 00000030 20 47 4d 54 0d 0a 53 65 72 76 65 72 3a 20 41 70 GMT..Se rver: Ap 00000040 61 63 68 65 0d 0a 4c 61 73 74 2d 4d 6f 64 69 66 ache..La st-Modif 00000050 69 65 64 3a 20 57 65 64 2c 20 30 38 20 46 65 62 ied: Wed , 08 Feb 00000060 20 32 30 31 32 20 30 36 3a 33 36 3a 35 31 20 47 2012 06 :36:51 G 00000070 4d 54 0d 0a 45 54 61 67 3a 20 22 31 30 30 30 30 MT..ETag : "10000 00000080 30 30 30 30 38 30 35 39 2d 31 61 37 33 30 2d 34 00008059 -1a730-4 00000090 62 38 36 65 31 65 65 34 34 30 64 32 22 0d 0a 41 b86e1ee4 40d2"..A 000000A0 63 63 65 70 74 2d 52 61 6e 67 65 73 3a 20 62 79 ccept-Ra nges: by 000000B0 74 65 73 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e tes..Con tent-Len 000000C0 67 74 68 3a 20 31 30 38 33 33 36 0d 0a 4b 65 65 gth: 108 336..Kee 000000D0 70 2d 41 6c 69 76 65 3a 20 74 69 6d 65 6f 75 74 p-Alive: timeout 000000E0 3d 35 2c 20 6d 61 78 3d 31 30 30 0d 0a 43 6f 6e =5, max= 100..Con 000000F0 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c nection: Keep-Al 00000100 69 76 65 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 ive..Con tent-Typ 00000110 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 0d 0a 0d e: text/ plain... 00000120 0a 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 .MZ..... ........ 00000130 00 b8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 ........ .@...... 00000140 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........ 00000150 00 00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 ........ ........ 00000160 00 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 ........ .!..L.!T 00000170 68 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e his prog ram cann 00000180 6f 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 ot be ru n in DOS 00000190 20 6d 6f 64 65 2e 0d 0d 0a 24 00 00 00 00 00 00 mode... .$...... 000001A0 00 50 45 00 00 4c 01 04 00 25 53 89 35 00 00 00 .PE..L.. .%S.5... 000001B0 00 c7 0a 00 00 e0 00 02 23 0b 01 05 02 00 08 01 ........ #.......          //////////// snip /////////////////// 00027B5D 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........ 00027B6D 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........

----------------------------- マルウェアのバイナリ調査結果 -----------------------------

1. Compiled TimeDateStamp: 0x4FA21EF4 [Thu May 03 06:00:20 2012 UTC] 2. Packed by: Microsoft Visual Basic v5.0 - v6.0 3. CRC Fail: Claimed: 185594 Actual: 199641 4. LangID: 041204B0 (Korean/韓国語) 5. Signature: ..................ProductVersion: 2.00 ..................InternalName: Project1 ..................FileVersion: 2.00 ..................OriginalFilename: Project1.exe ..................ProductName: Project1 6. Reversing protection, packed..below is the trace: 000000027178 <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> 0000000271C3 <assemblyIdentity version="1.0.0.0" processorArchitecture="X86" name="AdminApp" type="win32"></assemblyIdentity> 000000027238 <description>Description of your application</description> 00000002727C <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3"> 0000000272B5 <security> 0000000272C6 <requestedPrivileges> 0000000272E4 <requestedExecutionLevel level="asinvoker" uiAccess="false"> </requestedExecutionLevel> 000000027346 </requestedPrivileges> 000000027367 </security> 00000002737C </trustInfo> 7. あやしいデータの送信動き↓ aBeginpos: ; DATA XREF: .text:0041D741 unicode 0, <BeginPos>,0 align 4 dd 0Ch aGoodpc: ; DATA XREF: .text:0041D822 unicode 0, <GoodPC>,0 align 4 dd 6 aMyp: ; DATA XREF: .text:0041D909 unicode 0, <myP>,0 dw 0Ah unicode 0, <>,0 aTitle: ; DATA XREF: .text:0041D9EE unicode 0, <tiTle>,0 dd 1Ah 8. あやしいコード↓ 0x004063b8 str.Address: 0x004063b8 string (8): "Address" || 0x004063c0 string (6): "Form2" ||| 0x004063c6 0000 add [eax], al ||| 0x004063c8 string (6): "Form3" ||| 0x004063ce 0000 add [eax], al ||| 0x004063d0 str.MProcessList: ||| 0x004063d0 string (13): "MProcessList" |||| 0x004063dd 0000 add [eax], al |||| 0x004063df 005265 add [edx+0x65], dl |||| 0x004063e2 string (9): "RegCheck" <--------------- |||| 0x004063eb 00466f add [esi+0x6f], al |||| 0x004063ee string (6): "Form4" |||| 0x004063f4 str.Remote1M: |||| 0x004063f4 string (9): "Remote1M" <--------------- |||| 0x004063fd 0000 add [eax], al |||| 0x004063ff 005265 add [edx+0x65], dl |||| 0x00406402 string (9): "Remote2M" <--------------- |||| 0x0040640b 005265 add [edx+0x65], dl |||| 0x0040640e string (9): "Remote3M" <--------------- |||| 0x00406417 006669 add [esi+0x69], ah |||| 0x0040641a string (10): "firstMain" ||| 0x00406424 str.ModCaption: ||| 0x00406424 string (11): "ModCaption" || 0x0040642f 00544350 add [ebx+eax*2+0x50], dl 0x00406433 string (9): "TCPViewB" 0x00406438 string (9): "TCPViewB" 0x00406441 string (8): "ModMeMo" | 0x00406449 string (7): "ModSvc" | 0x00406450 string (7): "Modcry" || 0x00406457 string (6): "Form5"

--------------------- 調査スナップショット ---------------------

RATの行動分析調査のスナップショットその1 - 実行した時(一番上のプロセス) このエラーが必ず出ます…、OCXがあっても… <ダウンロードが動いた時のパケットキャップチャー> バイナリー調査の時に色々発見↓ Linuxでのreversing graph↓ 今回は伝説reversing方法までにやらないと…なつかしい! 結局またlinuxに戻りました、何だか分かりやすいって感じ…↓ 別件の方法でreversingしたら… メモリのforensicsまで確認しないと、漏れがあるかも知れない…

■感染されたネットワーク情報

先ずはドメイン情報: Domain Name : chocochoco99.com ::Registrant::Name : danaka tarou ←この名字は・・・ Email : danaka_tarou@hotmail.com Address : 2-8-1 Shinjuku Shinjuku-ku Tokyo-to Japan Tokyo Zipcode : 1600022 Nation : KR ←韓国人? そしてIP/ルーティングの情報: IP: 61.196.150.174 Network Information: a. [Network Number] 61.196.150.168/29 b. [Network Name] YYY g. [Organization] YYY co.,ltd m. [Administrative Contact] HK20950JP n. [Technical Contact] HK20950JP p. [Nameserver] [Assigned Date] 2011/12/09 [Return Date] [Last Update] 2011/12/09 14:59:03(JST) a. [JPNICハンドル] HK20950JP b. [氏名] 権 亨津(ケン ヒョンジン) c. [Last, First] Kwon, Hyonjin d. [電子メイル] kwonhj@japannetidc.com f. [組織名] 株式会社YYY g. [Organization] YYY co.,ltd Less Specific Info: ---------- SOFTBANK TELECOM Corp................[Allocation] 61.196.0.0/16 SOFTBANK TELECOM Corp...SUBA-931-H02 [Sub Allocation] 61.196.150.0/24 グラフ↓
最後にダウンロードサーバのネットワークを比較すると…↓ ↑では、韓国ドメインマルウェアサイトと韓国マルウェアダウンロードサーバの証拠ですね…
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

0 件のコメント:

コメントを投稿