#OCJP-113：RedKit Exploit Kit経由のKelihosトロイ新キャンペーンvia国内サイト

今日RedKit Exploit Kitに感染された国内ウェブサイトを発見しました、例えば：

臍帯血ナビのサイト（saitai-navi,com）にRedKitマルウェア転送コードに発見しました。（証拠：写真）< コードを消して、サイトのセキュリティをチェックして方がいいと思います（おそらく管理ログイン情報漏れ） pic.twitter.com/WxckAUxeeu

— (@unixfreaxjp) July 16, 2013

家庭教師情報ナビのサイト（katekyo-joho,com）にRedKit EKのマルウェア転送コードを発見。（証拠：写真）< コードを消して、サイトのセキュリティをチェックして方がいいと思います（おそらく管理ログイン情報漏れ） pic.twitter.com/On4r8UJNOb

— (@unixfreaxjp) July 16, 2013

またRedKitの感染で、今回「ryoko55,com」サイト（写真:証拠）＜　トップページは源氏メインテナンスでダウンされた確認したが、その他のページも面倒みて欲しい... pic.twitter.com/G74z1goUla

— (@unixfreaxjp) July 16, 2013

オーケーコミュニケーションズ有限会社のサイト（okos,co,jp）いくつかRedKit EKのマルウェアサイトの転送コードを発見。（写真：証拠、おそらく原因は管理ログイン情報漏れ） pic.twitter.com/hpZucHD1vf

— (@unixfreaxjp) July 16, 2013

GMOさんのユーザ「kiryu co., ltd」ドレス,ブライダル,ウェディングのサイト（interq,or,jp/beauty/kiryu/）にRedKit EK経由のマルウェア感染コードを発見。証拠：写真 pic.twitter.com/iEri9ViFNP

— (@unixfreaxjp) July 16, 2013

証拠は沢山ありすぎで、全部ここに書くのは今は無理で、短くにすると上記の感染URLを調査したら下記のマルウェアがダウンロードされます：





ウイルストータルで確認したら検知率が低いですね（1/45）と（0/47）、証拠は：



本件は「Kelihos」マルウェアの感染キャンペーン中です、現在の感染のソースはすべて「.RU」からのドメインです、例えば：


マルウェアのダウンロードURLを見ると、いくつか日本国内のIPを発見しました。下記の一覧となります。このIPにもマルウェアファイルのクリーンアップが必要ですね：

0 / 6 [38]hxxp://ycsycxyd.ru/rasta01.exe Japan 118.104.77.165
0 / 6 [55]hxxp://kifectah.ru/rasta01.exe Japan 61.27.109.166
0 / 7 [66]hxxp://runevfoh.ru/userid2.exe Japan 123.176.141.183
0 / 2 [90]hxxp://cimmitic.ru/rasta01.exe Japan 118.237.85.238
0 / 2 [113]hxxp://aflyzkac.ru/rasta01.exe Japan 210.148.165.67
0 / 6 [201]hxxp://pywudcoz.ru/rasta01.exe Japan 180.14.61.59
0 / 2 [250]hxxp://libcikak.ru/rasta01.exe Japan 219.102.110.98
0 / 6 [270]hxxp://xaplovav.ru/rasta01.exe Japan 123.225.106.205
0 / 6 [293]hxxp://cibowjuv.ru/rasta01.exe Japan 219.173.80.25

マルウェアの種類はトロイスパイウェアKelihosですので、感染されたらパソコンの情報取るのは目的です。マルウェアが提供したwindows pcap APIをフックし情報がキャップチャーされます。Kelihosマルウェアが使ったキャップチャーファイル（API）は：

C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\drivers\NPF.sys

詳細なリファレンスはこちらです。

本件のご注意が必要で、RedKitに感染された方々には、早めに感染ファイルを消して、サーバのログイン情報を変えて、脆弱性とセキュリティ問題があるかどうかを調査してほしいです。

追加情報ですが、今現在二日間前にKelihosトロイダウンロードドメインのシャットダウン依頼を投げたが、いつも早いけど、今回はなんか対応が遅かったそうです。先ほど確認したら94点の使われたランダムマルウェアドメインが未だアップされている状況で、ドメインとIP一覧下記のように書きますが、下記のドメインをブロックして下さい↓

@unixfreaxjp /malware/checkdomains]$ date
Fri Jul 19 20:01:00 JST 2013

//未だアップしている状況マルウェアドメイン…

uhipyvob.ru,178.150.17.118,
ollopdub.ru,176.8.3.144,
fafehwiz.ru,91.217.58.74,
fuhxodyz.ru,77.122.197.86,
ikqydkod.ru,37.229.144.253,
bopefidi.ru,118.34.132.154,
ycsycxyd.ru,95.140.214.250,
sojouvyc.ru,188.129.218.87,
vadlubiq.ru,178.93.135.94,
kazlyjva.ru,109.162.94.114,
funfubap.ru,213.37.166.193,
goryzcob.ru,213.37.166.193,
motbajsi.ru,178.158.158.182,
xymkapaq.ru,93.185.219.213,
runevfoh.ru,89.215.115.4,
virerceb.ru,94.153.36.164,
xatzyjha.ru,93.79.152.211,
makgivus.ru,79.135.211.87,
avryjpet.ru,178.211.105.168,
kyjaqcoz.ru,46.119.144.106,
hiznizoc.ru,46.250.7.179,
giktyxvu.ru,77.123.79.211,
ynhazcel.ru,178.172.246.30,
gazgowry.ru,93.89.208.202,
vetarwep.ru,5.248.164.41,
gulaxxax.ru,46.119.144.106,
onhugxic.ru,109.251.126.26,
ahfamzyk.ru,46.49.47.254,
sykevked.ru,93.77.96.252,
ydhicdor.ru,94.137.172.44,
kifectah.ru,109.122.40.111,
busasxyv.ru,77.121.199.73,
yjnaqwew.ru,77.121.255.183,
xuktalez.ru,91.123.150.115,
lygyucce.ru,94.158.74.230,
taykenid.ru,109.108.252.136,
bysjyhuf.ru,5.1.22.63,
najniner.ru,126.65.174.136,
dakacdyn.ru,109.254.67.25,
higrikpy.ru,78.154.168.74,
dipteqna.ru,188.190.75.232,
kykywpik.ru,109.122.33.79,
cimmitic.ru,153.180.71.144,
suyzerew.ru,217.196.171.35,
yhzelbyp.ru,77.123.80.174,
aflyzkac.ru,93.185.220.213,
tejjetzo.ru,93.89.208.202,
lysopzoh.ru,178.168.22.114,
dyvgigim.ru,46.211.75.123,
jehrecyp.ru,87.69.55.36,
cyrkapov.ru,190.220.70.79,
niqtasoz.ru,178.150.17.118,
ginkyvub.ru,77.123.80.174,
zyvjofat.ru,93.79.152.211,
ihurvyun.ru,94.231.190.74,
izytexuf.ru,31.192.237.101,
adtyuhuz.ru,84.252.56.59,
aggaxsef.ru,94.230.201.36,
bomuxvis.ru,84.240.19.130,
xejabfom.ru,178.158.186.24,
sapigrys.ru,95.69.187.249,
sodkanxo.ru,117.197.245.69,
paxgeqjo.ru,49.205.210.193,
xoqhozaz.ru,95.160.83.57,
usfezhyk.ru,46.119.212.183,
hipahsah.ru,109.87.200.213,
talozzum.ru,31.133.52.8,
yrupxyen.ru,91.224.168.65,
nacwoman.ru,178.150.90.223,
libcikak.ru,46.119.128.115,
uphinjaq.ru,109.162.9.212,
aziwolge.ru,178.150.17.118,
oktizsez.ru,78.139.153.169,
kiyvryhy.ru,79.133.254.238,
fugegwyf.ru,188.190.75.232,
urxibzep.ru,91.225.173.12,
bawoxgud.ru,31.133.55.240,
xudsahbu.ru,195.24.155.245,
dypqysro.ru,31.170.137.75,
jyuhysdo.ru,78.154.168.74,
hupjiwuc.ru,188.121.198.247,
cypseguv.ru,176.8.249.131,
confikja.ru,93.171.77.37,
tofhermi.ru,36.224.71.20,
ybtoptag.ru,180.61.12.116,
qeisybyg.ru,77.122.124.210,
mihumcuf.ru,93.185.220.213,
pywudcoz.ru,89.201.116.227,
kosnutef.ru,79.164.250.218,
acaqizwy.ru,178.150.244.54,
lymimnib.ru,117.197.15.103,
sisvizub.ru,89.28.52.30,
hozfezbe.ru,178.210.222.205,

// 4件だけはシャットダウンされています↓

cibowjuv.ru,,
pedtokid.ru,,
ankoweco.ru,,
uxmadjox.ru,,

#OCJP-113の件、国内RedKit経のKelihosトロイの感染について、150以上感染URLと97トロイのダウンロードサーバ＋.RUドメインを倒しましたよ。英文向けのアナウンスはこちら：http://t.co/gjvoH4E79p /Cc: @jpcert @kchr

— (@unixfreaxjp) July 24, 2013

追加情報

今現在下記の１００件新規ドメインを発見しました。100件の上85件のドメインにIPアドレスが登録されています。全て同じRedKitから確認が出来ましたので、間違いなく同じ感染仕組み、追加キャンペーンと思われます。現在シャットダウンの手続きを行われています。

@unixfreaxjp /malware]$ date
Sun Aug  4 05:34:14 JST 2013

ABJIQFIR.RU,188.209.251.38,
ACXYPZUK.RU,109.89.137.178,
AFEBIRYN.RU,,
ANGENJEJ.RU,,
BADMYVOK.RU,77.122.196.95,
BEZGESUK.RU,77.122.139.203,
BITITROJ.RU,109.191.82.32,
BOVEWHAV.RU,93.79.91.188,
BOWRETTI.RU,,
CICDIWYH.RU,89.229.196.228,
COLYDQEC.RU,46.56.67.7,
CYVWYDJE.RU,190.220.70.5,
DAHADKYZ.RU,178.75.46.67,
DEPCOPUQ.RU,89.149.105.201,
DEQYPPIL.RU,109.87.198.110,
DIICUHXA.RU,95.111.205.207,
EJOPOWOZ.RU,79.112.214.164,
EJQIURMY.RU,188.129.240.79,
FITUZVOF.RU,37.229.99.95,
FOJEGGUF.RU,,
GAJKUKUC.RU,176.37.121.102,
GECAKCEM.RU,77.122.191.111,
GYCBOKUD.RU,176.8.231.155,
HURVINEV.RU,46.237.110.5,
HUZNEJEX.RU,95.65.80.117,
HYNEQREL.RU,94.76.110.237,
IMKYHTUG.RU,37.252.67.195,
IPXYJYOQ.RU,93.79.231.55,
ITWILMEP.RU,,
IWKYXSEZ.RU,178.218.66.19,
IXMUTIRI.RU,109.207.113.126,
JAHKUXYV.RU,46.185.24.210,
JEFDYWSO.RU,93.125.45.196,
JIQLIDOX.RU,109.201.107.204,
JOKLASAN.RU,88.206.28.89,
KAPKICOH.RU,109.207.118.98,
KEBWAKQY.RU,109.251.94.117,
KICSIHOP.RU,77.120.229.169,
KIZCIVZE.RU,86.101.22.28,
KUBGYBOH.RU,77.122.217.253,
KYCROTUS.RU,94.253.45.147,
LICLAJLE.RU,46.33.55.77,
LIMJOZEH.RU,93.126.126.71,
LIZECGIJ.RU,,
LUFRUDET.RU,159.224.76.42,
LUPQUXSE.RU,37.115.91.192,
LYOHGEOF.RU,109.87.162.4,
MAPUHXAF.RU,37.46.226.241,
MOHGOXEB.RU,194.28.4.29,
MYBFABWI.RU,27.49.104.107,
NECUWFEW.RU,94.231.181.24,
NENKUDYF.RU,178.165.23.171,
NICLYCOM.RU,,
NOJQAVYJ.RU,98.193.167.182,
NORWOLLU.RU,178.137.203.149,
NUKUNNOQ.RU,24.49.38.150,
ONSUGNEM.RU,77.85.201.46,
ORNEVKYC.RU,219.70.195.200,
PEXDAJYP.RU,31.128.186.43,
PIVGEVIT.RU,,
PIYMNYFA.RU,46.173.112.16,
POWERWIK.RU,94.244.129.195,
PUPUXHEF.RU,176.8.38.115,
PYDAJZYK.RU,2.68.213.50,
QABADPIX.RU,46.211.63.25,
QOFHIRAW.RU,176.37.121.102,
QYSQUWKO.RU,178.137.72.42,
RIFAUTIR.RU,213.111.69.126,
RIZIKCUG.RU,,
ROVSYMWO.RU,,
RYTEOPBY.RU,89.146.79.57,
SAWSOBCY.RU,,
SOMOXBET.RU,121.129.93.208,
TAFIBCUM.RU,109.87.7.53,
TAZGYVAX.RU,180.110.156.205,
TITGOQTE.RU,189.199.182.2,
TYZFOWFE.RU,,
UWPAYTNU.RU,77.122.227.41,
VEFLOHGY.RU,,
VEKDEGYL.RU,46.173.77.173,
VUZNIQIK.RU,94.230.192.50,
VYFUXTIS.RU,151.0.27.230,
WANZAWBY.RU,212.142.96.18,
WODYFWOD.RU,77.85.201.46,
WORLIPXO.RU,77.121.79.14,
XAKRYXOG.RU,118.160.103.152,
XIMIRSEX.RU,220.137.79.242,
XIMXAMLI.RU,195.24.155.245,
XUGNEMYQ.RU,77.120.179.237,
YFKYTXIX.RU,46.211.85
YFXIGUSO.RU,195.24.155.245,
YGXEYVXI.RU,178.211.139.155,
YJSEYGFY.RU,,
YWHYIWDY.RU,123.236.68.229,
ZADNAZVO.RU,27.6.9.213,
ZUNCUHAK.RU,,
ZUVNENAX.RU,119.14.86.100,
ZUZVAQAW.RU,123.241.73.225,
ZYHIJWIN.RU,178.151.24.58,
ZYRTYDAJ.RU,31.42.119.142,

#OCJP-113：国内RedKit Exploit Kit経由のKelihosトロイ新キャンペーンについて、追加情報：新規８５件アップされているKelihosの.RUランダムドメインを発見しました。 http://t.co/28ns63TyCl ←IP+ドメインblockが必要

— (@unixfreaxjp) August 3, 2013