昨日の時点で「CookieBomb」の新しいコードを発見したので、ここに報告させて頂きます。
全体的な感染しくみが変わっていませんが、ブラウザの「cookie」は転送条件になって、次の段階「CookieBomb」のサーバに転送されます。
下記は感染されたページとなります。未だ感染されている最中なので、セキュリティ調査以外の目的でアクセスしないでください。
![](https://lh4.googleusercontent.com/--KlapxNxlzg/UwiGCKBPRII/AAAAAAAAOq0/hHRsV1Tui9Y/s580/Screen%2520Shot%25202014-02-21%2520at%252011.28.08%2520PM.png)
どんなコードかというと↓
![](https://lh6.googleusercontent.com/-wBxGp6PDyJ0/UwiGClc7pUI/AAAAAAAAOqw/z5PL29P7gV8/s580/Screen%2520Shot%25202014-02-22%2520at%25207.54.05%2520PM.png)
そのコードを分析。新しいコードのデサインが下記になります↓
![](https://lh5.googleusercontent.com/-1f5X_Jy25xQ/UwiGCEEceII/AAAAAAAAOqg/V-Hh0so7cuY/s580/Screen%2520Shot%25202014-02-22%2520at%25207.47.28%2520PM.png)
今回は2段階のcatchクッションが使われていると分かりました。オートメーションツールに検知が出来ないように細工したようですね。
続いて調査をし、decodeしたらCookieBomb(受側)のリダイレクションマルウェア新サーバに向いると分かりましたので...
![](https://lh5.googleusercontent.com/-Gbf4nhX6qfk/UwiGCIeoh0I/AAAAAAAAOqo/1k32mJL8QMc/s580/Screen%2520Shot%25202014-02-22%2520at%25201.54.42%2520AM.png)
すぐにあちこちのブロックの手続きをやっていました。
New #CookieBomb server side in action #NOW, #BLOCK this: biznes,bz/counter.php
Verdict = see pic
#MalwareMustDie! pic.twitter.com/N1avit62a5
— Hendrik ADRIAN (@unixfreaxjp) February 21, 2014
ポイントは上記の感染コードがGoogle検索で「grep」をすると出来るので、国内のI.R.(Incident and Response)の皆様はご確認して下さい。
0 件のコメント:
コメントを投稿