《 はじめに 》
先ずはPbBotマルウェアについて、下記のリファレンスとなります↓Microsoft Malware Protection Centerより「Trojan:Win32/Urelas.C」
Bit Defenderより「Plite Bootkit Spies on Gamers」
そのたのリファレンス+画像キャップチャー
本件のトロイに感染されたらリモートから感染されたパソコンの画面を見る事が出来ます。Bit Defenderより「Plite Bootkit Spies on Gamers」
そのたのリファレンス+画像キャップチャー
例えこちらの画像です⇒「1」「2」「3」
色んなウイルス名が出ますので、例えば↓
Trojan:Win32/Urelas.C (Microsoft) Trojan/Win32.PbBot (AhnLab) PAK_Packman (Trend Micro) Win32/Urelas.F (ESET) TR/Gupboot.987721 (Avira) Trojan.AVKill.24205 (Dr.Web) Trojan.Gupboot!4A23 (Rising AV) Trojan.Malcol (Symantec) Trojan.Win32.Urelas (Ikarus)本件マルウェアは下記の海外オンラインゲームの①インストーラー又は②パッチの形ですので、
下記のソフトを使っている方々が本マルウェアの感染ターゲットです。
baduki.exe, RealBaduki.exe, highlow2.exe, LASPOKER.exe, poker7.exe, Baduki.exe, HOOLA3.EXE, ... DuelPoker.exe, FNF.EXE日本にも似たようなサイトがあります、例え↓
gamelist.hangame.co.jp/#HIGHLOW gamelist.hangame.co.jp/#HOOLA2
それに、日本の国内ネットワークにあるサーバから本件マルウェアのコントロールセンター及びダウンロードサーバを発見しました。そして日本国内にあるサーバに感染されたPCの情報を送信された情報も確認しました。
証拠はこれから説明致しますが非常に困りますので、早くサーバを止めて欲しいですね。
さて、あるPbBotマルウェアに感染されたPCに下記のネットワークやり取りを発見しました↓《 調査 》
さっそく、感染されたPCからのネットワーク分析調査↓感染されたPC ⇒ 103.1.249.164 TCP cap > 11120 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 103.1.249.164 ⇒ 感染されたPC TCP 11120 > cap [ACK] Seq=1 Ack=527 Win=64239 Len=0接続されたら下記のインターネットのパケットを送信されます↓00000000 29 02 41 53 31 30 31 45 f4 e1 fd ff ff b8 ff 9d ).AS101E ........ 00000010 ff 8f ff b6 ff 91 ff 8c ff 8b ff 9e ff 93 ff 93 ........ ........ 00000020 ff d1 ff 9a ff 87 ff 9a ff ff ff ff ff ff fe f0 ........ ........ 00000030 fe ff fe 4f ff ff fe ff ff ff ff ff d8 ec 57 58 ...O.... ......WX 00000040 0f 8f ff 9e ff 8d ff 94 ff d2 ff cc ff 9d ff cd ........ ........ 00000050 ff c7 ff cd ff c7 ff cd ff ce ff cd ff 9a ff ff ........ ........ 00000060 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ........ ........ : : : : 00000190 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ........ ........ 000001A0 ff ff ff 65 e3 c9 25 ae ff ff ff bc ff bc ff bc ...e..%. ........ 000001B0 ff bc ff ff ff ff ff ff ff ff ff ff ff ff ff ff ........ ........ 000001C0 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ........ ........ 000001D0 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ........ ........ 000001E0 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ........ ........ 000001F0 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ........ ........ 00000200 ff ff ff ff ff ff ff ff ff ff ff ff ff ........ .....赤字でマークされた物はPbBotマルウェアの送信パケットのシグネチャーとなりますので、 「AS101E」はCnCの信号/接続キーで、フォーマットは「AS101*」です。 そして「65 e3 c9 25 ae」はHEXで書いた接続IPアドレスとポート番号情報です。 続いて、暫く時間が立ってから、下記のPEバイナリーファイルのダウンロード動きを行い…00000000 3d 00 41 53 31 30 31 45 f4 cd ff ff ff ff ff ff =.AS101E ........ 00000010 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ........ ........ 00000020 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ........ ........ 00000030 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ........ ....... 0000003F 00 ae 0a 00 4d 5a 40 00 01 00 00 00 02 00 00 00 ....MZ@. ........ 0000004F ff ff 00 00 b8 00 00 00 00 00 00 00 0a 00 00 00 ........ ........ 0000005F 00 00 00 00 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c ........ ....!..L 0000006F cd 21 57 69 6e 33 32 20 2e 45 58 45 2e 0d 0a 24 .!Win32 .EXE...$ 0000007F 40 00 00 00 50 45 00 00 4c 01 03 00 c6 4c e5 50 @...PE.. L....L.P 0000008F 00 00 00 00 00 00 00 00 e0 00 02 03 0b 01 09 00 ........ ........ 0000009F 00 a4 02 00 00 50 0a 00 00 00 00 00 86 92 0d 00 .....P.. ........ 000000AF 00 10 00 00 00 c0 02 00 00 00 40 00 00 10 00 00 ........ ..@..... 000000BF 00 02 00 00 05 00 00 00 00 00 00 00 05 00 00 00 ........ ........ 000000CF 00 00 00 00 00 70 0e 00 00 02 00 00 06 30 0b 00 .....p.. .....0.. 000000DF 02 00 00 81 00 00 10 00 00 70 00 00 00 00 10 00 ........ .p...... : : : :ダウンロードされたファイルが%Temp%フォルダーに保存されました、情報は↓日付け 時間 サイズ ファイル名 MD5 ----------------------------------------------------------------------- 2013/01/04 18:26 699,904 ~DFA1D.tmp d7b702c8d0245bf395d90a848bef7d64ダウンロードされたファイルの見た目は↓おそらく韓国語環境パソコンに作ったバイナリーですね↓
ウイルストータルに確認して見たら、下記のスキャン情報が出ました↓
MD5: d7b702c8d0245bf395d90a848bef7d64 File size: 683.5 KB ( 699904 bytes ) File name: sample.exe File type: Win32 EXE Detection ratio: 11 / 46 Analysis date: 2013-01-04 13:58:48 UTC ( 1 分 ago ) URL: 【クリック】 ウイルス名: Microsoft : Trojan:Win32/Urelas.C TrendMicro-HouseCall : TROJ_GEN.RC1H1A4 ESET-NOD32 : a variant of Win32/Urelas.A DrWeb : Trojan.AVKill.27022 GData : Win32:Urelas-D Avast : Win32:Urelas-D [Trj] McAfee-GW-Edition : Heuristic.BehavesLike.Win32.Suspicious-BAY.G Kaspersky : HEUR:Backdoor.Win32.Generic Ikarus : Trojan.BAT.Agent Kingsoft : Win32.Hack.Undef.(kcloud) AVG : BAT/Agent.BM.dropperマルウェアのバイナリーをリバースで調査したら下記の動きを発見しました↓ MS Visual C 7でcompileされたバイナリー証拠↓0x02D430 0x02D430 Microsoft Visual C++ Runtime Library 0x02B870 0x02B870 f:\dd\vctools\vc7libs\ship\atlmfc\src\mfc\auxdata.cpp 0x02C110 0x02C110 f:\dd\vctools\vc7libs\ship\atlmfc\include\afxwin2.inl 0x02CA78 0x02CA78 f:\dd\vctools\vc7libs\ship\atlmfc\include\afxwin1.inlオリジナルバイナリーファイル名:0x02E898 0x02E898 BatGesi.exe下記のIPアドレスを接続し…0x02E930 0x02E930 103.1.249.164 0x02E914 0x02E914 218.54.28.199下記のパスでファイルを保存…0x039FC8 0x039FC8 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFAE.tmp保存された下記のファイル名に変更…0x03BFA1 0x03BFA1 vuilkoo 0x03BFC0 0x03BFC0 towopal 0x03BFE0 0x03BFE0 osyqnoa 0x03C000 0x03C000 advabalマルウェアが起動されたら別のフォルダーにコピーされて、 %Temp%に残った保存ファイルを削除された、 削除の為マルウェアBATファイル%Temp%_uninsep.batを実行された…0x02EB64 0x02EB64 _uninsep.bat : : 0x037840 0x037840 :Repeat 0x037849 0x037849 del "%s" 0x037853 0x037853 if exist "%s" goto Repeat 0x03786E 0x03786E rmdir "%s" 0x03787A 0x03787A del "%s"下記のBootkit機能関係マルウェアファイルを保存…0x02EA8C 0x02EA8C c:\gdisk.exe 0x02EAA8 0x02EAA8 c:\windows\gdisk.exe 0x02EAD4 0x02EAD4 c:\windows\system32\gdisk.exe下記の設定(Config)ファイルを保存…0x02EA54 0x02EA54 \gbp.ini 0x02EC5C 0x02EC5C golfinfo.ini 0x02EC78 0x02EC78 golfset.iniOSのMBRとexplorerをアクセス…0x02EB14 0x02EB14 \\.\PHYSICALDRIVE0 0x03BB20 0x03BB20 C:\WINDOWS\explorer.exe下記のAPIを使いマルウェアのプロセスを隠す0x02E7C4 0x02E7C4 ZwQuerySystemInformation 0x02E7E0 0x02E7E0 ZwSystemDebugControlPbBotのMkUpdate.exeマルウェアファイルの存在がある(証拠)0x0CEC56 0x0CEC56 About MkUpdate 0x0CEC7B 0x0CEC7B MS Shell Dlg 0x0CECB0 0x0CECB0 Button1※もっと詳しい情報について一番上に書いたリファレンス情報を読んで下さい。 レジストリーには下記の追加キーが出てきました↓//自動スタート HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run REG_SZ 64 "C:\WINDOWS\system32\RANDOMファイル名.exe" //PbBotマルウェアID HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\SubKey REG_SZ 14 "~DFA**" //explorerの設定を変更された… HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal REG_SZ⇒C:\Documents and Settings\重要なのはPCのインターネット設定も変更されます↓\My Documents //新しいDRIVEのマウントポイントを設定された… HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a20cd692-8e41-11e1-9999-806d6172696f}\\BaseClass REG_SZ⇒Drive //ドキュメントとデスクトップの設定… HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents REG_SZ⇒C:\Documents and Settings\All Users\Documents HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop REG_SZ⇒C:\Documents and Settings\ \Desktop HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop REG_SZ⇒C:\Documents and Settings\ \Desktop //プロキシバイパス設定を有効にしました HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass⇒1 //イントラネット設定を有効にしました \Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName⇒1 //UNCパス経由のイントラネット設定を有効にしました HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet⇒1実行されたら見た目は下記のプロセスとなります↓最後にこの<random.exe>のプロセスが残っています↓
残ったマルウェアプロセスの情報↓
↑このプロセス/バイナリーをウイルストータルでチェックしたら↓
MD5: df2e4b6926795cfe111d69a6b0417e0c File size: 542.5 KB ( 555520 bytes ) File name: ehbowyv.exe (ランダムファイル名.exe) File type: Win32 EXE Tags: peexe aspack Detection ratio: 8 / 41 Analysis date: 2013-01-05 18:14:57 UTC ( 2 分 ago ) URL: ---------->>[CLICK] マルウェア名↓ GData : Win32:Urelas-B VIPRE : Trojan.Win32.Urelas.a (v) AntiVir : BDS/Backdoor.Gen6 ESET-NOD32 : a variant of Win32/Urelas.A Avast : Win32:Urelas-B [Trj] Rising : Trojan.Urelas!4A3F AVG : Delf.AIUB Microsoft : Trojan:Win32/Urelas.Cバイナリーファイル的に見た目はこんな感じです↓バイナリーの情報↓
PE Sections: .text 0x1000 0x166000 508416 .itext 0x167000 0x2000 2560 .data 0x169000 0x4000 6656 .bss 0x16d000 0x6000 0 .idata 0x173000 0x4000 4608 .didata 0x177000 0x1000 512 .tls 0x178000 0x1000 0 .rdata 0x179000 0x1000 512 .reloc 0x17a000 0x20000 0 .rsrc 0x19a000 0x18000 23040 .aspack 0x1b2000 0x2000 8192 .adata 0x1b4000 0x1000 0 サマリー: Entry Point: 0x85a01 Virtual Address: 0x5b2001 Packer: ASProtect V2.X DLL -> Alexey Solodovnikov Snapshot: 0000 4D 5A 50 00 02 00 00 00 04 00 0F 00 FF FF 00 00 MZP............. 0010 B8 00 00 00 00 00 00 00 40 00 1A 00 00 00 00 00 ........@....... 0020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0030 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 ................ 0040 BA 10 00 0E 1F B4 09 CD 21 B8 01 4C CD 21 90 90 ........!..L.!.. 0050 54 68 69 73 20 70 72 6F 67 72 61 6D 20 6D 75 73 This program mus 0060 74 20 62 65 20 72 75 6E 20 75 6E 64 65 72 20 57 t be run under W 0070 69 6E 33 32 0D 0A 24 37 00 00 00 00 00 00 00 00 in32..$7........ 0080 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0090 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00B0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00C0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0100 50 45 00 00 4C 01 0C 00 C6 A8 E3 50 00 00 00 00 PE..L......P.... 0110 00 00 00 00 E0 00 8E 81 0B 01 02 19 00 6A 16 00 .............j.. 0120 00 F2 03 00 00 00 00 00 01 20 1B 00 00 10 00 00 ......... ...... : : :このマルウェアプロセスのメモリーダンプ情報⇒【pastebin】 (↑全てマルウェア関係の動きが(calls情報、DLL情報などが書いてあります…) 実行された瞬間に103.1.249.164に送信されたネットワークトラフィックも発見しました。マルウェアの設定(config)ファイルは%Temp%のパスに保存されます。
中身を見たらバイナリーファイルと見えます… 「gbp.ini」
「golfinfo.ini」
…が、実は暗号されたコードです。BitDefender社のブログに書いたように↓ 「The rest is encrypted(“not” operator applied on every byte)」 ↑これは暗号キーとなります。この情報を使いdecodeが出来ますので↓ 「golfinfo.ini」
「gbp.ini」
↑decodeされたコードの中にCnCのIPアドレス(103.1.249.164と218.54.28.199)がはっきり見えますね。 この設定ファイルに書いたIPアドレス通り本件のマルウェアが動きますと確認しました。 マルウェアサーバへ送信されたパケットも同じ暗号化が入っています。 送信されたパケットをdecodeしましょう! wiresharkで送信されたパケットを見たら↓
decodeされたら↓
↑上記の情報とマルウェアメモリーダンプ↓の情報を比較したらマッチしまた!
0x03BC8F 0x03BC8F park-3b2828212e 0x03BD0E 0x03BD0E WinXP 0x03BEFC 0x03BEFC QCCCC上記のリクエストを送信されたらトロイ画像キャップチャーのマルウェアが ダウンロードされます。 本件のプロセスが立ち上がったら送信パケットがずっと行いますね、 送信パケットの頭に書いた「AS101*」が マルウェアサーバとやり取り信号コードと思われます。《 感染のネットワーク情報 》
マルウェアサーバのネットワーク調査↓IP: 103.1.249.164 inetnum: 103.1.249.0 - 103.1.249.255 netname: IDC-JP descr: YYY Group, Inc. country: JP admin-c: HK17507JP tech-c: HK17507JP // 親のネットワーク↓ inetnum: 103.1.248.0 - 103.1.251.255 netname: IDC-JP descr: YYY Group, Inc. descr: 1F, 1-18-6, Shinjuku, Chuo-ku, Chibasi, Chiba country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints : idc@idcjp.jp責任者↓a. [JPNICハンドル] HK17507JP b. [氏名] 権 亨津 c. [Last, First] Kwon, HyoungJin d. [電子メイル] kwon@yyy-group.com f. [組織名] 株式会社YYY k. [部署] ネットワーク管理部 y. [通知アドレス] kwon@yyy-group.com y. [通知アドレス] kwonhj@japannetidc.com今現在マルウェアダウンロードサーバが未だ動いています。証拠↓unixfreaxjp$ date Sat Jan 5 00:25:10 JST 2013 : Host 103.1.249.164 appears to be up ...同じYYYグルプのネットワークから沢山マルウェア事件を発見しましたの、 OCJPで調査したの事件が下記の一覧となります↓1.OCJP-044「61.196.150.174」に発見した韓国トロイ・スパイウェア 2.OCJP-046 中国バックドア・スパイウェア・トロイのマルウェア 3.OCJP-012 日本国内ネットワークにWin32-Trojan-Dropperの感染を発見! 4.OCJP-007「sqlsrvt.exe」トロイ、韓国サイト@日本データセンターのスパイウェア”リターンズ!” 5.POSMI.NETのスパイウェアの「COME BACK」! 6.「sqlupdate.exe」ALzipアーカイブのトロイ+「sqlservt.exe」トロイ木馬のセット などなど…↑このぐらい感染事件があるネットワークですので、マルウェア感染の危険さが高いですね。 本件のネットワークとのやり取りがあればご注意した方がいいと思います。 また、もう一度、早めに「103.1.249.164」のマルウェアサービスを止めて下さい。 ご協力をお願い致します。 追加情報:PbBot malware family (Visualized) twitter.com/2gg/status/300…
— Chae Jong Bin (@2gg) February 10, 2013
----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所 アドリアン・ヘンドリック
Tweet
調査情報の確認について、credit: @2gg(韓国マルウェア研究者)
0 件のコメント:
コメントを投稿