月曜日, 3月 25, 2013

#OCJP-100: 旧慶風高等学校のホーム「www.eonet.ne.jp / 218.251.89.6」ページにSweetOrangeEKのマルウェア感染コードを発見しました。

下記の日本国内ホスト/IP(旧慶風高等学校のホームページ)↓
www.eonet.ne.jp / 218.251.89.6
下記のURLにSweet Orange Exploit Kitマルウェア感染URLを発見しました↓
hxxp://www.eonet.ne.jp/%7Ekeifu

上記のURLをダウンロードしたら↓(下記はDLのログ)
--2013-03-25 12:58:27--  hxxp://www.eonet.ne.jp/%7Ekeifu
Resolving www.eonet.ne.jp... seconds 0.00, 218.251.89.6
Caching www.eonet.ne.jp => 218.251.89.6
Connecting to www.eonet.ne.jp|218.251.89.6|:80... seconds 0.00, connected.
GET /%7Ekeifu hxxp/1.0
Referer: なんでも
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Host: www.eonet.ne.jp
Connection: keep-alive
Keep-Alive: 300
Accept-Language: en-us,en;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
hxxp request sent, awaiting response...
  :
hxxp/1.1 301 Moved Permanently
Date: Mon, 25 Mar 2013 03:58:19 GMT
Server: Apache
Location: hxxp://www.eonet.ne.jp/~keifu/
Content-Length: 238
Keep-Alive: timeout=1, max=200
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
  :
301 Moved Permanently
Registered socket 1896 for persistent reuse.
Location: hxxp://www.eonet.ne.jp/~keifu/ [following]
Skipping 238 bytes of body: [<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="hxxp://www.eonet.ne.jp/~keifu/">here</a>.</p>
</body></html>
] done.
--2013-03-25 12:58:27--  hxxp://www.eonet.ne.jp/~keifu/
Reusing existing connection to www.eonet.ne.jp:80.
Reusing fd 1896.
  :
GET /~keifu/ hxxp/1.0
Referer: なんでも
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Host: www.eonet.ne.jp
Connection: keep-alive
Keep-Alive: 300
Accept-Language: en-us,en;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
hxxp request sent, awaiting response...
  :
hxxp/1.1 200 OK
Date: Mon, 25 Mar 2013 03:58:19 GMT
Server: Apache
Last-Modified: Sun, 24 Mar 2013 20:14:40 GMT
ETag: "13543c-2bf-4d8b156910c00"
Accept-Ranges: bytes
Content-Length: 703
Keep-Alive: timeout=1, max=199
Connection: Keep-Alive
Content-Type: text/html
  :
200 OK
Length: 703 [text/html]
Saving to: `index.html'
2013-03-25 12:58:27 (20.5 MB/s) - `index.html' saved [703/703]

下記の画像ように、index.htmlファイルの下にIFRAMEマルウェア転送コードが書いてあります↓


このページをアクセスしたらそのURLに転送されます、PCAPデータの証拠↓


そして転送先のページにまたマルウェア転送コードを発見しました↓

そのページダウンロード証拠↓
--2013-03-25 12:52:57--  hxxp://www.soumbeauty.fr/counter.php
Resolving www.soumbeauty.fr... seconds 0.00, 82.165.21.182
Caching www.soumbeauty.fr => 82.165.21.182
Connecting to www.soumbeauty.fr|82.165.21.182|:80... seconds 0.00, connected.
GET /counter.php HTTP/1.0
Referer: hxxp://www.eonet.ne.jp/%7Ekeifu
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Host: www.soumbeauty.fr
Connection: keep-alive
Keep-Alive: 300
Accept-Language: en-us,en;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
HTTP request sent, awaiting response...
  :
HTTP/1.1 200 OK
Date: Mon, 25 Mar 2013 03:52:49 GMT
Server: Apache
X-Powered-By: PHP/5.4.12
Connection: close
Content-Type: text/html
200 OK
Length: unspecified [text/html]
Saving to: `counter.php'
2013-03-25 12:52:58 (34.8 MB/s) - `counter.php' saved [2423]
中身は下記のエンコディングされたコード↓

decodeしたら下記のjavascript IFRAMEマルウェア転送コードを見えます↓


【重要】
ブラウザでアクセスが来るとIFRAMEに書いたURLまた転送されてしまいますので、Sweet Orange Exploit Kitのマルウェア感染ページ(landing page)にアクセスしてしまいます。本件についてはIEやFirefox+古いJava有りブラウザでアクセスしたらjava exploitがダウンロードされてPCがマルウェアに感染される可能性が高いです。

そのSweet Orange Exploit Kitのページにあるコードはどんな物かを見てみましょう↓
ダウンロード証拠↓


中身はまたエンコーディングのコードがあり、decodeすると下記のコードを見えます↓



↑マークされた紫色がshellcodeで、翻訳すればexploitファイルダウンロードURLが見えます↓


【連絡先】

【ネットワーク登録・管理責任者】
a. [Domain Name]                EONET.NE.JP
d. [Network Service Name]       eonet
l. [Organization Type]          Network Service
m. [Administrative Contact]     HS17557JP
n. [Technical Contact]          HA3280JP

a. [JPNICハンドル]              HS17557JP
b. [氏名]                       清水 弘規
c. [Last, First]                Shimizu, Hironori
d. [電子メイル]                 dbinfo@k-opti.ad.jp
f. [組織名]                     株式会社ケイ・オプティコム
g. [Organization]               K-Opticom Corporation

a. [JPNICハンドル]              HA3280JP
b. [氏名]                       赤沢 秀樹
c. [Last, First]                Akazawa, Hideki
d. [電子メイル]                 dbinfo@k-opti.ad.jp
f. [組織名]                     株式会社ケイ・オプティコム
g. [Organization]               K-Opticom Corporation

↑旧高等学校のウェブサイトなので、管理責任者が良く分かりませんが、私がトラフィックを見た限りではブラウザアクセスしているユーザがありますので、早めにマルウェアコードを削除して下さい。
念の為FTPログイン情報も変更して、ウェブサーバ提供しているファイルをスキャンした方がいいと思います。

【SweetOrange Exploit Kit 感染サーバ情報】
Posted by unixfreaxjp at 3:20 午後

5 件のコメント:

  1. unixfreaxjp2013年3月25日 21:46:00 JST

    hxxp://familyteapie(n).bizをクリーンアップしました。

    返信削除
  2. unixfreaxjp2013年3月25日 22:45:00 JST

    本件と関係有りマルウェア感染ドメイン(Sweet Orange EK)も潰しました↓
    bignigthbrotherinc.biz
    widgetcolorq8.biz
    widgetcolorq3.biz
    widgetcolorq1.biz
    widgetcolorq10.biz
    widgetcolorq4.biz
    widgetcolorq5.biz
    widgetcolorq6.biz
    widgetcolorq9.biz
    familyteapie3.biz
    familyteapie10.biz
    familyteapie1.biz
    familyteapie6.biz
    familyteapie8.biz
    familyteapie5.biz
    familyteapie4.biz
    familyteapie2.biz
    familyteapie7.biz

    返信削除
  3. unixfreaxjp2013年3月25日 22:47:00 JST

    では、日本側のお手続きをお願い申し上げます。
    ウェブサーバのセキュリティ状況を直ぐに確認しないとまた別の感染コードが出てくるよ…

    返信削除
  4. 2013年3月25日 23:27:00 JST

    お疲れ様です。
    こちらからもeonet様につーほーしました。

    ぐぐるのキャッシュは誘導先が違うとこのようでした。
    放置するとScriptは更新するかもですね。

    返信削除
  5. unixfreaxjp2013年3月27日 1:19:00 JST

    Exploit Kitに感染されたサーバなので、変わってもおかしくないですね…
    最近日本のネットワークを平気に攻撃が来たので、頭にきちゃいました。
    私がリーダーしている海外のチームで本件のExploit Kitに関係あるドメインとDNSを潰しました。証拠:【こちら】
    #MalwareMUSTDie!!

    返信削除

登録: コメントの投稿 (Atom)