日曜日, 5月 13, 2012

#OCJP-048:また脆弱性有りVPSサーバがマルウェアに感染されました 【対応最中】


今回の感染事件のマルウェアは「Tibs」トロイというマルウェアです。感染仕方はウェブのダウンロードですが、K-SHIELDでブロックされたスパムメールに本件のダウンロードサーバが日本にあると発見しました。申し訳ございませんが個人情報の関係でスパムメールの情報を今回は見せません。本マルウェアが実行されたらパソコンの情報が集まれて(メモリDUMPでの確認)、ニセSVCHOSTサービスが立ち上がります。目的は恐らくリモートのネットワーク接続迄かと思われますが、残念ながら全然ネットワークの動きが出れません。

さて、詳細情報は下記となります↓

■下記のホスト名/IP↓

www.bluefi.com / 210.188.199.218

■下記のURL とダウンロード証拠↓

--00:10:19-- hxxp://www.bluefi.com/images/2nd_menu_images/3.exe => `3.exe' Resolving www.bluefi.com... 210.188.199.218 Connecting to www.bluefi.com|210.188.199.218|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 339,968 (332K) [application/octet-stream] 100%(====================================>) 339,968 897.11K/s 00:10:19 (894.43 KB/s) - `3.exe' saved (339968/339968) [/code]

■ファイルのスナップショット↓

Windows↓ UNIX Shell↓

■ウイルススキャン結果↓

File name: 3.exe MD5: 8baa1ada1be347801b1773ea388c3226 File size: 332.0 KB ( 339968 bytes ) File type: Win32 EXE Detection ratio: 9 / 42 Analysis date: 2012-05-10 19:07:51 UTC Result: [CLICK] [AntiVirus] [Malware Name] NOD32 : a variant of Win32/Kryptik.AFIY AntiVir : TR/FakeSysdef.AT McAfee-GW-Edition : Heuristic.LooksLike.Win32.Winwebsec.B Emsisoft : Trojan.Win32.Tibs!IK Kaspersky : HEUR:Trojan.Win32.Generic McAfee : FakeAlert-SysDef.ae Ikarus : Trojan.Win32.Tibs Symantec : Suspicious.Cloud.5 Microsoft : Trojan:Win32/Tibs.IT

■マルウェア種類の説明↓

アファイル  :「3.exe」 マルウェア種類: トロイ マルウェア名 : Tibs、Kryptik マルウェア機能: マルウェアドロッパー、バックドア

■マルウェア調査について

本マルウェアの調査はバイナリ調査、行動分析調査、FORENSICS調査、とリファレンス調査迄やりました。 あんまり長く書くと面白くないので、出来る限り短くにします。 少し調査のスナップショットを出すようにします。 1. バイナリー調査
// ファイルの情報↓ type EXEC (Executable file) os windows arch i386 bits 32 endian little fd 6 size 0x53000 mode r-- block 0x40 // どうやって作られたのか… Compiled at: 0x4FAB484E [Thu May 10 04:47:10 2012 UTC] Compiled by: Microsoft Visual C++ v6.0 CRC Failure: Claimed: 0 Actual: 379213 Packed by: Armadillo v1.71 バイナリーの中にある面白い$STRINGS // にせ「.NET-based components登録内容」”マルウェアじゃないよ ”とのアピール 000000052B00 00000046C500 <?xml version="1.0" encoding="UTF-8" standalone="yes"?> 000000052B39 00000046C539 <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> 000000052B84 00000046C584 <assemblyIdentity 000000052B99 00000046C599 type="win32" 000000052BAB 00000046C5AB name="LFHR" 000000052BBC 00000046C5BC version="7.4.7342.7346" 000000052BDA 00000046C5DA processorArchitecture="*"/> 000000052BFB 00000046C5FB <dependency> 000000052C0B 00000046C60B <dependentassembly> 000000052C24 00000046C624 <assemblyIdentity 000000052C3D 00000046C63D type="win32" 000000052C53 00000046C653 name="Microsoft.Windows.Common-Controls" 000000052C85 00000046C685 version="6.0.0.0" 000000052CA0 00000046C6A0 publicKeyToken="6595b64144ccf1df" 000000052CCB 00000046C6CB language="*" 000000052CE1 00000046C6E1 processorArchitecture="*"/> 000000052D06 00000046C706 </dependentAssembly> 000000052D20 00000046C720 </dependency> 000000052D31 00000046C731 <trustinfo xmlns="urn:schemas-microsoft-com:asm.v3"> 000000052D69 00000046C769 <security> 000000052D79 00000046C779 <requestedprivileges> 000000052D96 00000046C796 <requestedExecutionLevel 000000052DB8 00000046C7B8 level="asInvoker" 000000052DD5 00000046C7D5 uiAccess="false"/> 000000052DF3 00000046C7F3 </requestedPrivileges> 000000052E13 00000046C813 </security> 000000052E24 00000046C824 </trustInfo> 000000052E34 00000046C834 </assembly> // 恐らく暗号化されたメッセージというアピールですが、実はゴミっぽいです 000000051B10 00000046B510 ikahewfuiahiuewfhiauehfguiaweigaweiugwfhalerfgiluezshsegsaeir              glasergaeskrgerjks 000000051B60 00000046B560 同じ↑ 000000051BB0 00000046B5B0 同じ↑  :  : 000000052578 00000046BF78 kjwefkaewlaerwkanekrjfgalierfhaliweufhilewhfoiALEWBFHIULAewfil              aweflwebhfukefihaejhfhaEUFaiuerfailuewfiuawefkjwefkaewlaerwkan ekrjfgalierfhaliweufhilewhfoiALEWBFHIULAewfilaweflwebhfukefiha ejhfhaEUFaiuerfailuewfiuawef 000000052650 00000046C050 同じ↑ 000000052728 00000046C128 同じ↑ スナップショット↓ // 本ファイルの全てコール一覧が長いので、あやしいのコール一覧は下記のように↓ KERNEL32.dll.GetCommandLineA Hint[202] <----あやしい(大) KERNEL32.dll.GetModuleHandleA Hint[294] <----あやしい(中) KERNEL32.dll.GetStartupInfoA Hint[336]<----あやしい(小) KERNEL32.dll.LeaveCriticalSection Hint[449]<----あやしい(小) KERNEL32.dll.VirtualAllocEx Hint[700]<----あやしい(小) KERNEL32.dll.EnterCriticalSection Hint[102]<----あやしい(小) //ファイルの動き流れ↓ ※もし本件のバイナリーを調査したい方々が居ると下記分析の地図を作ったので、 使ったほうがいいと思います。 <OCJP048.png> 見た目はこんな感じ↓ PS: 僕はlinuxで分析しましたので、windowsでpngが上手く見えない可能性があるかも知れないので、   念のためにファイルを開く前に好きな画像フォーマットへコンバートして下さい。 本調査流れ的には↓ 分析は難しくはないので、WinMainの所から始まって、ずっと最後迄に行くだけです。 これをやるとregisterを監視をすると動きは分かると思います。 結局APIを使って、システム情報を取られたり、ファイルのオペレーション (削除、作る、コーピー)があり、 レジストリー書き込みと最後に長くループされて終了です。 問題はその流れよりも使ったDLLのコールが多いです、漏れがないように何回も再調査しました。 最終的な結果は行動分析調査に確認しましたので、詳しいの動きはそこで御確認下さい。 unixでマルウェア分析環境を未だ見た事が無い方々には私の調査したdesktop画像を取りました↓

2. 行動分析調査

本調査には、registryスナップショット、メモリ、プロセスdumpとwiresharkを取りながらやっていました。 環境はおもちゃのPC WinXPで使いまして、RATでのアクセス。 結果的には下記となります↓ // 機動のスナップショット↓ File '..\GnuWin32\bin\dump\OCJP-048\[sample]' New process with ID 00000CC0 created 004037F4 Main thread with ID 000006E8 created 00400000 Module C:\Program Files\GnuWin32\bin\dump\OCJP-048\sample 4FEC0000 Module C:\WINDOWS\system32\ole32.dll 77280000 Module C:\WINDOWS\system32\SHLWAPI.dll 77BC0000 Module C:\WINDOWS\system32\msvcrt.dll 77CF0000 Module C:\WINDOWS\system32\USER32.dll 77D80000 Module C:\WINDOWS\system32\ADVAPI32.dll 77E20000 Module C:\WINDOWS\system32\kernel32.dll 77F50000 Module C:\WINDOWS\System32\ntdll.dll 78000000 Module C:\WINDOWS\system32\RPCRT4.dll 78090000 Module C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-..\COMCTL32.dll 7F000000 Module C:\WINDOWS\system32\GDI32.dll 762E0000 Module C:\WINDOWS\System32\IMM32.DLL 60740000 Module C:\WINDOWS\System32\LPK.DLL 72EF0000 Module C:\WINDOWS\System32\USP10.dll 004037F4 Program entry point 10000000 Module C:\WINDOWS\System32\OCMAPIHK.DLL // 別途スナップショット↓ Base Size Entry Name File version Path 00400000 0006D000 004037F4 sample C:\..\OCJP-048\sample 10000000 0000D000 10001F20 OCMAPIHK 9.0.2 (Build 242 C:\WINDOWS\System32\OCMAPIHK.DLL 4FEC0000 00126000 4FEDD8A7 ole32 5.1.2600.1720 (x C:\WINDOWS\system32\ole32.dll 60740000 00008000 60742C77 LPK 5.1.2600.1126 (x C:\WINDOWS\System32\LPK.DLL 72EF0000 0005A000 72F249BC USP10 1.0409.2600.1106 C:\WINDOWS\System32\USP10.dll 762E0000 0001C000 762E12A4 IMM32 5.1.2600.1106 (x C:\WINDOWS\System32\IMM32.DLL 77280000 00066000 77286414 SHLWAPI 6.00.2800.1740 ( C:\WINDOWS\system32\SHLWAPI.dll 77BC0000 00053000 77BCE94F msvcrt 7.0.2600.1106 (x C:\WINDOWS\system32\msvcrt.dll 77CF0000 0008C000 77D019A3 USER32 5.1.2600.1634 (x C:\WINDOWS\system32\USER32.dll 77D80000 0009B000 77D81D3D ADVAPI32 5.1.2600.1106 (x C:\WINDOWS\system32\ADVAPI32.dll 77E20000 00124000 77E29F51 kernel32 5.1.2600.1869 (x C:\WINDOWS\system32\kernel32.dll 77F50000 000A7000 ntdll 5.1.2600.1217 (x C:\WINDOWS\System32\ntdll.dll 78000000 00087000 78001E0D RPCRT4 5.1.2600.1361 (x C:\WINDOWS\system32\RPCRT4.dll 78090000 000E5000 7809EED4 COMCTL32 6.0 (xpsp2.06082 C:\WINDOWS\WinSxS\x86_Microsoft...\COMCTL32.dll 7F000000 00042000 GDI32 5.1.2600.1789 (x C:\WINDOWS\system32\GDI32.dll // runtimeライブラリー↓ 0x74720000 0x0004C000 C:\WINDOWS\system32\MSCTF.dll 0x76BF0000 0x0000B000 C:\WINDOWS\system32\PSAPI.DLL 0x76C90000 0x00028000 C:\WINDOWS\system32\imagehlp.dll 0x77120000 0x0008B000 C:\WINDOWS\system32\OLEAUT32.dll 0x771B0000 0x000AA000 C:\WINDOWS\system32\WININET.dll 0x77A80000 0x00095000 C:\WINDOWS\system32\CRYPT32.dll 0x77B20000 0x00012000 C:\WINDOWS\system32\MSASN1.dll 0x77C00000 0x00008000 C:\WINDOWS\system32\VERSION.dll 0x7C9C0000 0x00817000 C:\WINDOWS\system32\SHELL32.dll 0x7E1E0000 0x000A2000 C:\WINDOWS\system32\urlmon.dll その後下記の動きになります↓ // 下記のAPIコールを使いファイルを移動されます↓ 0xd8 C:\TEST\sample.exe 0x408fd3 MoveFileExW(lpExistingFileName: "C:\sample.exe", lpNewFileName: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YmRRz59lYQcnpo.exe.tmp", //←ランダムじゃない dwFlags: 0x1)|0x1 //同じ形で%temp%にバッカップが出ました↓ C:\Documents and Settings\owner\Local Settings\Temp\AIxsX8Aicn1wHn.exe.tmp //←ランダム C:\Documents and Settings\owner\Local Settings\Temp\ez641g0oeo3wxF.exe.tmp C:\Documents and Settings\owner\Local Settings\Temp\iXrslt4ZtgabZV.exe.tmp C:\Documents and Settings\owner\Local Settings\Temp\nT4Dsd0TzmBGEn.exe.tmp C:\Documents and Settings\owner\Local Settings\Temp\rgq0MpAuiIHR5D.exe.tmp C:\Documents and Settings\owner\Local Settings\Temp\xqgVoz2Qhq6OhZ.exe.tmp // レジストリー書き込みは↓ HKLM\System\CurrentControlSet\Control\Session Manager PendingFileRenameOperations 0x5c003f003f005c0043003a005c0044004f00430055004d0045007e003100 //暗号化の動きはメモリに出ました↓ 000000027D62 000000027D62 wSOFTWARE\Microsoft\Cryptography\Defaults\Provider 000000028127 000000028127 SOFTWARE\Microsoft\Cryptography\Defaults\Provider\ 0000000281DF 0000000281DF SOFTWARE\Microsoft\Cryptography\Providers\Type 00000002820F 00000002820F SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 00000002834F 00000002834F SystemLibraryDTC 0000000290D7 0000000290D7 SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types // 下記のMUTEXが1つずつ作られて↓ ZonesCounterMutex ZonesLockedCacheCounterMutex CTF.Asm.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500 CTF.Compart.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500 CTF.LBES.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500 CTF.Layouts.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500 CTF.TMD.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500 CTF.TimListCache.FMPDefaultS-1-5-21-842925246-1425521274-308236825-500MUTEX.    DefaultS-1-5-21-842925246-1425521274-308236825-500 // そしてマルウェアSVCHOSTサービスが出ました↓ PID: 2740 svchost.exe Start:0x7c810856 MEM_IMAGE Base: 0x7c910760 MEM_I // ソケット動きとネットワークについて 最初はミスかなぁと思いましたが、何回も確認したので、ネットワーク動きはありません。 特別のフックやAPIコールに付いて、DLL経由しかありませんでした。 (さらにDLL一覧を見るとネットワーク動きがあるとおかしくないのに…) 結果、ネットワーク動きがありません。 // SVCHOSTの情報↓ 本当にこのマルウェアのせいにニセSVCHOSTが出たのか?←の確認もしました。 HijackThisのスナップショットを使いましたので、感染の前と後の結果をDIFFしました↓ //Hijack diff method $ diff hijackthis001.txt hijackthis002.txt //001=before infection, 002=after 2c2 < Scan saved at 23:08:36, on 2012/05/12 --- > Scan saved at 23:30:52, on 2012/05/12 39a40 > C:\WINDOWS\System32\svchost.exe <----- malware started this process! 93c94 < End of file - 5999 bytes --- > End of file - 6032 bytes

3. Forensicsの調査↓

二つ方法を使いました、1)unix版のvolatility 2)WinDbgのスナップショット 結果↓ // マルウェアプロセスは「<==」のマークとなります↓ Offset(P) Name PID PPID Tds Hnds Time ---------- ------------------ ------ -- ------ ------------------- 0x01212020 System 4 0 54 264 1970-01-01 00:00:00 0x03d2f780 smss.exe 632 4 3 21 2012-05-12 13:58:17 : 0x05f004c0 QCTRAY.EXE 380 184 10 139 2012-05-12 13:59:25 0x0591bba0 QCWLICON.EXE 348 184 1 97 2012-05-12 13:59:26 0x0a9d17c0 rundll32.exe 464 184 1 47 2012-05-12 13:59:27 0x0b01a020 ctfmon.exe 660 184 1 56 2012-05-12 13:59:28 0x007083c8 DLG.exe 1160 184 2 57 2012-05-12 13:59:33 0x06167b30 svchost.exe 2740 756 7 105 2012-05-12 14:23:17 <=== // プロセスの親の確認↓ Name Pid PPid Thds HndsTime -------------------------------------------------------- 0x8133B020:System 4 0 54 264 1970-01-01 00:00:00 0) . 0xFF898780:smss.exe 632 4 3 21 2012-05-12 13:58:17 1) .. 0xFF819DA8:winlogon.exe 712 632 19 463 2012-05-12 13:58:22 2) ... 0xFF7FE5B0:services.exe 756 712 17 286 2012-05-12 13:58:25 3) .... 0xFF397B30:svchost.exe 2740 756 7 105 2012-05-12 14:23:17 4) ↑services.exeが親という事はregistry経由で動かした事が分かりました。 //どのコマンドラインだろう? svchost.exe pid: 2740 Command line : C:\WINDOWS\System32\svchost.exe -k imgsvc // DUMPデータについて メモリDUMPが大きいのでシェアが出来ません。研究の為に下記のdumpがあります↓ 1)その他デバッガのdump と 2)WinDbgのdump のダウンロードが出来ます。 (rarでアーカイブしました、パスワードはocjpです)

4. リファレンス調査↓

■感染されたサーバの情報(手続きのために) ドメイン登録↓

Registrant: Blue Field ATTN BLUEFI.COM care of Network Solutions PO Box 459 Drums, PA. US 18222 Domain Name: BLUEFI.COM Administrative Contact, Technical Contact: Mizuno, Takashi nj4w96ms5e2@networksolutionsprivateregistration.com ATTN BLUEFI.COM care of Network Solutions PO Box 459 Drums, PA 18222 US 570-708-8780

IP/ネットワーク登録情報↓

IP: 210.188.199.218 Network Information: a. [Network Number] 210.188.199.192/26 b. [Network Name] HETEML g. [Organization] paperboy&co. ltd. m. [Administrative Contact] HK13505JP n. [Technical Contact] SK11426JP a. [JPNICハンドル] SK11426JP b. [氏名] 小林 翔平 c. [Last, First] Kobayashi, Syouhei d. [電子メイル] kobayashi@paperboy.co.jp f. [組織名] 株式会社paperboy&co. g. [Organization] paperboy&co. ltd. a. [JPNICハンドル] HK13505JP b. [氏名] 河添 寛 c. [Last, First] Kawazoe, Hiroshi d. [電子メイル] h.kawazoe@paperboy.co.jp f. [組織名] 株式会社paperboy&co. g. [Organization] paperboy&co. ltd. [Assigned Date] 2006/11/30 [Return Date] [Last Update] 2006/11/30 15:53:03(JST) Less Specific Info. ---------- SAKURA Internet Inc. [Allocation] 210.188.196.0/22 SRS SAKURA Internet Inc. SUBA-247-105 [Sub Allocation] 210.188.196.0/22
↑これを見たらVPSサーバだと思われます。 同じサーバ/IPアドレスに220ドメインがありますので、 もし感染原因はVPSの標準設定脆弱性ならば感染が増える可能性が出ますのでご注意を下さい↓
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

1 件のコメント:

  1. 新しい感染が出て来ました、日付けは今日、間違いなく本件のサーバが狙われています。パスは下記となります↓
    hxxp://www.bluefi.com/images/2nd_menu_images/mmm.exe

    ※ご注意!意見です、ダウンロードは禁止だよ!

    返信削除