月曜日, 7月 06, 2015

【研究情報】 KINS v2 = ZeusVM v2だぞ

先週末にやった事、KINS/ZeusVM 2.0.0.0マルウェアビルダー+パネルコードがリークされ、全世界に警告を流しました。
KINS1とKINS2のバイナリー形が全然違うし、分析したらマルウェアの機能も違うので、
どう見てもZeusVM++っぽいと考えています。

では、確認の為にそのビルダーを使いJPG画像にちゃんと暗号化されたconfigのインジェクトが出来るかどうかを再現の上で確認しました。再現が出来ました、下記再現ビデオ(証拠)



結果、ZeusVM2のビルダーが全然見た事が無いので、KINS2はZeusVM2ですね!
KINS v3は今調査中で、また今度ね!

本KINS 2/ZeusVM 2のボットネットは現在どのぐらい流行っているのか?



2015年7月7日の夜23時:10件を発見、6件有効、4件潰しました、下記証拠↓



2015年7月9日の朝10時:6件を発見、5件有効、1件潰しました、下記証拠↓



リークの警告発表40時間後に合わせて上記16件のボットネットを発見しました!このペースで続くと一ヶ月以内に100件迄出る可能性が高いだと思います

【参考】
詳しい警告の内容はMalwareMustDieのブログに書きましたのでアクセスはこちら
KINS1のソースコード警告と調査はこちら

【US Homeland Security Daily Open Source Infrastructure Report 7 July 2015 (pg 6)】
http://www.dhs.gov/sites/default/files/publications/nppd/ip/daily-report/dhs-daily-report-2015-07-07.pdf

【インタービュー】
http://www.cso.com.au/article/579079/expect-surge-new-banking-malware-after-software-leak/

【全世界のセキュリティニュースになった】※そろそろ日本国内のニュースにも出るかと…
http://www.securityweek.com/source-code-kins-malware-toolkit-leaked-online
http://www.computerworld.com/article/2944041/security/leak-of-zeusvm-malware-building-tool-might-cause-botnet-surge.html
http://news.softpedia.com/news/infections-with-zeusvm-banking-malware-expected-to-spike-as-building-kit-is-leaked-486149.shtml
http://www.net-security.org/malware_news.php?id=3071
http://www.scmagazineuk.com/researchers-warn-of-flood-of-zeusvm-banking-trojans/article/424955/
https://www.pcrisk.com/internet-threat-news/9158-new-zeusvm-tool-allows-anyone-to-build-a-botnet
http://thestack.com/zeusvm-trojan-leak-botnet-wave-060715
http://securityaffairs.co/wordpress/38372/cyber-crime/kins-malware-builder-leaked.html
http://www.theregister.co.uk/2015/07/07/bot_geddon_coming_after_zeusvz_leak_hacker_warns/
http://www.csoonline.com/article/2944220/malware-cybercrime/leak-of-zeusvm-malware-building-tool-might-cause-botnet-surge.html
http://malwarebattle.blogspot.com/2015/07/building-kit-of-malware-that-dutch.html

ロシア語のニュース
https://threatpost.ru/2015/07/06/tulkit_kins-zeusvm_v2_utek_v_set/

中国語のニュース
http://www.freebuf.com/news/71832.html
http://tw.hdrich.com/itcontent-119948.html

【ISC StormCast for Tue, July 7th 2015】に載りました



「Watchguard Daily Security Byte」ビデオキャストに載りました

Posted by unixfreaxjp at 8:29 午前

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)