#OCJP-126: マルウェア調査：Potukorp.A、中国の銀行トロイ＠KDDI（DION）ダイアルアップネットワーク

*) English explanation is--> here

本日、日本国内ネットワークに中国銀行トロイを発見しました↓


ネットワークは日本国内のDIONですね↓


こんなハッシュ↓

Sample : ./str.exe
MD5    : cba7742b3016aa4aa037a191ea93b4e6
SHA256 : 9b3ec0f9a079a1954dbadbe6a0f5ac0a628732748c46f04bbe014b22a91e42ec
URL    : https://www.virustotal.com/latest-scan/9b3ec0f9a079a1954dbadbe6a0f5ac0a628732748c46f04bbe014b22a91e42ec

そのサーバを見たらHFS、Windows系のウェブサーバですね↓

HTTP/1.1 200 OK
Content-Type: application/octet-stream
Content-Length: 29184
Accept-Ranges: bytes
Server: HFS 2.3 beta
Set-Cookie: HFS_SID=0.623836916638538; path=/
Last-Modified: Sun, 23 Mar 2014 14:25:15 GMT
Content-Disposition: attachment; filename="str.exe";

このマルウェアを実行したら、IEを起動されてしまいます↓


そしてIEが立ち上がり↓


そして韓国と中国のページのアクセスが出てきました↓


韓国のアクセスは404でヒットされたが。。。

hxxp://ssapong .mireene .kr/ssd.html
hxxp://404 .mireene .com/error/404.html

中国のアクセスは「qq」のサイトにアクセスして、ログイン迄もやっていたそうですね、ソース：user.qzone.qq.com/2393583645
下記はFORENSICSのログ↓

Source: 2393583645[1].htm: hxxp://ui.ptlogin2.qq.com/cgi-bin/login?hide_title_bar=1&low_login=0&qlogin_auto_login=1&no_verifyim
Source: 2393583645[1].htm: hxxp://connect.qq.com/
Source: 2393583645[1].htm: hxxp://connect.qq.com/intro/login/
Source: 2393583645[1].htm: hxxp://connect.qq.com/intro/share/
Source: 2393583645[1].htm: hxxp://ctc.qzs.qq.com/
Source: 2393583645[1].htm: hxxp://my.qzone.qq.com/
Source: 2393583645[1].htm: hxxp://qlogo4.store.qq.com/qzone/2393583645/2393583645/100
Source: 2393583645[1].htm: hxxp://qlogo4.store.qq.com/qzone/2393583645/2393583645/50
Source: 2393583645[1].htm: hxxp://qzone.qq.com/
Source: 2393583645[1].htm: hxxp://qzone.qzone.qq.com/
Source: 2393583645[1].htm: hxxp://support.qq.com/discuss/46_1.shtml
Source: 2393583645[1].htm: hxxp://t.qq.com/qzone
Source: 2393583645[1].htm: hxxp://ui.ptlogin2.qq.com/cgi-bin/login?hide_title_bar=1&low_login=0&qlogin_auto_login=1&no_verifyim
Source: 2393583645[1].htm: hxxp://wiki.open.qq.com/wiki/%e6%8a%95%e8%af%89%e6%8c%87%e5%bc%95
Source: 2393583645[1].htm: hxxp://wiki.open.qq.com/wiki/tencent_open_platform_complaint_guidelines
Source: 2393583645[1].htm: hxxp://www.qq.com/culture.shtml

もっと詳しく見れば下記のURLがバイナリーに発見しました。。。

27.114.98.151 standardchartered.co.kr equals www.standardchartered.com (Standard Chartered Bank)
27.114.98.151 www.standardchartered.co.kr equals www.standardchartered.com (Standard Chartered Bank)

↑韓国銀行のURLですね。良くない、よくない。

ウイルストータルでチェックをすると下記のマルウェア名が出たそうですので、当たる名前をマークしました。
Microsoftさん経由の名前、「TrojanProxy:Win32/Potukorp.A」は参考となります。マークしないメーカーの名前は殆ど他のマルウェアシグネチャーの誤検知です。

Antivirus        Result                   　　　　　　　　　　Update
   AVG                  SHeur4.BSQO                              20140324
   AntiVir              TR/Crypt.FKM.Gen                         20140324
  "Baidu-International  Trojan.Win32.Banker.OW                   20140324"
   Bkav                 HW32.CDB.44b3                            20140322
   CMC                  Trojan.Win32.Krap.1!O                    20140319
   Commtouch            W32/SysVenFak.B.gen!Eldorado             20140324
   DrWeb                Trojan.Click3.6101                       20140324
  "ESET-NOD32           a variant of Win32/Qhost.Banker.OW       20140324"
   F-Prot               W32/SysVenFak.B.gen!Eldorado             20140324
   Fortinet             W32/OnLineGames.AJN!tr                   20140324
   Ikarus               Backdoor.Win32.FlyAgent                  20140324
   K7AntiVirus          Trojan ( 00361abb1 )                     20140321
   K7GW                 Trojan ( 00361abb1 )                     20140321
  "Kaspersky            Trojan-Banker.Win32.Qhost.adcc           20140324"
   McAfee               Flyagent                                 20140324
   McAfee-GW-Edition    Heuristic.LooksLike.Win32.SuspiciousPE.C 20140324
  "Microsoft            TrojanProxy:Win32/Potukorp.A             20140324"
   Norman               Troj_Generic.TDLLW                       20140324
   Panda                Trj/CI.A                                 20140323
   Qihoo-360            Malware.QVM18.Gen                        20140324
   Rising               PE:Packer.Win32.Agent.f!1075136883       20140324
   Sophos               Mal/Behav-160                            20140324
   Symantec             Suspicious.BredoLab                      20140324
   TrendMicro           Cryp_Xin1                                20140324
   TrendMicro-HouseCall TROJ_GEN.F47V0323                        20140324
   VIPRE                Trojan.Win32.Generic!BT                  20140324
   ViRobot              Trojan.Win32.S.Agent.29184.BD            20140324

少しリバースしましたが、暗号されている状態ですので、時間が足りなかった。
一応下記の情報は明確に分かりました。

スタートはこっち↓


この「blob」で暗号データがあります↓


Microsoft Cryptoっぽい、下記はダウンロードのコード↓


確かに（ダウンロード）そうだったwww

残念ですが。。。そのMicrosoftのURLからCryptoのファイルが取れなさそうで、今回私はdecrypt作業が出来ません(T T);;;

CryptoファイルのURLはダウンロードされたファイルから発見しました↓


他のマルウェア動きは、下記の情報です↓

ホストの上書き　C:\Windows\System32\drivers\etc\hosts
IEのスタートページ変更　HKEY_USERS\Software\Microsoft\Internet Explorer\Main Start Page
自動実行設定　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run koreaautoup
Windowsドライバーにホストのファイルを保存　C:\Windows\System32\drivers\etc\hosts.ics
VMチェック、Debuggerチェック　NtQuerySystemInformation(SystemKernelDebuggerInformationなど
パソコンのCrypto GUID依頼　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography MachineGuid
ルートにこのファイルが保存された　C:\koreaautoup.bmp
%Temp%環境のパスは　%Temp%/173184665\TemporaryFile\TemporaryFile

ダウンロードされたBMPファイルの中身は、マルウェアファイル名ですね↓

HOSTファイルが結構いじられたので、下記のファイルとなります（Forensics）

↑プロキシとして感染されたパソコンが悪用されるじゃないかと思われます。

【結論】

The scheme is excellent, a Chinese runs HFS server in JP to spread this trojan, infected PC runs as Proxy then attack Korean Bank! WTF..

— MalwareMustDie, NPO (@MalwareMustDie) March 24, 2014

@MalwareMustDie @curtw @_BugTracK malwr online analysis https://t.co/N6rWMIi0oL

— Hangover Security (@hangoversec) March 24, 2014

とりあえず、そのサーバがまだアップされている状態なので、KDDIさんの連絡先が持っている方々は連絡の手伝いをお願いしたいと思います。

【追加情報】

(1) 狙われている韓国銀行のURL一覧 & HTTPヘッダ↓ credit: @hFireF0X (twitter)

    www.wooribank.com
    www.standardchartered.co.kr
    www.shinhan.com
    www.scfiirstdank.com
    www.nonghyup.com
    www.naver.com
    www.kfcc.co.kr
    www.keb.co.kr
    www.kbstar.com
    www.ibk.co.kr
    www.hanadank.com
    www.hanacbs.com
    www.hanabank.com
    www.epostdank.go.kr
    www.epostbank.kr
    www.epostbank.go.kr
    www.epostbank.co.kr
    www.daum.net
    u.wooribank.com
    standardchartered.co.kr
    shinhan.com
    scfirstdank.com
    scfirstbank.com
    pib.wooribank.com
    open.wooridank.com
    open.wooribank.com
    open.shinhan.com
    open.scfirstdank.com
    open.nonghyup.com
    open.kfcc.co.kr
    open.keb.co.kr
    open.kbstar.com
    open.ibk.co.kr
    open.hanadank.com
    open.hanabank.com
    online.keb.co.kr
    odank1.kdstar.com
    odank.kdstar.com
    obank1.kbstar.com
    obank.kbstar.com
    nonghyup.com
    naver.com
    mydank.ibk.go.kr
    mybank.ibk.co.kr
    kiup.ibk.co.kr
    kfcc.co.kr
    keb.co.kr
    kbstar.com
    ibz.nonghyup.com
    ibs.kfcc.co.kr
    ibk.co.kr
    ib.scfirstbank.com
    hanmail.net
    hanabank.com
    epostdank.go.kr
    epostbank.go.kr
    edank.keb.co.kr
    ebank.keb.co.kr
    daum.net
    danking.sinhan.com
    danking.nonghuyp.com
    bizbank.shinhan.com
    banking.shinhan.com
    banking.nonghyup.com 

(2) 【重要】本マルウェアについて＠韓国のセキュリティ情報↓　Credit: @360Tencent (KM)

http://training.nshc.net/KOR/Document/virus/20140310_Internet_Bank_Pharming_-_BlackMoon_Ver_2.0_External.pdf
http://training.nshc.net/KOR/Document/virus/20140226_Internet_Bank_Pharming_with_CVE-2013-3897_Ver_1.0_External.pdf
http://viruslab.tistory.com/3066

以上

TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.