日曜日, 8月 30, 2015

#OCJP-127: 「Shellshock」攻撃事件、日本国内40件以上の感染、Perlバックドアshellbotマルウェア

「Shellshock」攻撃が未だ沢山発見し、その攻撃からマルウェアに感染されたマシンも多いです。
本事件はその事件の報告ですので、本事件に感染されたマルウェアが多くて、
IRの対応参考情報と国内セキュリティの注意点為このブログに書きました。

ついさっき下記のshellshock攻撃が来ました↓

フルログはこちら⇒【pastebin

「Shellshock」攻撃元のIP↓
{
  "ip": "64.15.155.177",
  "hostname": "ns1.neodepo.com",
  "city": "Montrテゥal",
  "region": "Quebec",
  "country": "CA",
  "loc": "45.5000,-73.5833",
  "org": "AS32613 iWeb Technologies Inc.",
  "postal": "H3G"
}

shellshockのbash実行コマンドは下記となります↓

コマンドの説明は↓
shellshock脆弱性に影響されたマシンでperlを実行され、実行が可能マシンから「XSUCCESS!」アタッカーにHTTPの回答で送られます。そして「wget」で49.212.167.43からinfo.logファイルをダウンロードされ、perlで実行してから削除されます。

ファイルダウンロード元のIPは「49.212.167.43」さくらインターネット(日本国内)にあります↓
{
  "ip": "49.212.167.43",
  "hostname": "www13269uf.sakura.ne.jp",
  "city": "Osaka",
  "region": "Osaka",
  "country": "JP",
  "loc": "34.6864,135.5200",
  "org": "AS9371 SAKURA Internet Inc.",
  "postal": "540-0008"
}

ダウンロード証拠↓
--2015-08-30 17:00:01--  hxxp://49.212.167.43/info.log
Connecting to 49.212.167.43:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 41728 (41K) [text/plain]
Saving to: 'info.log'
100%[==============>]  40.75K  --.-KB/s   in 0.03s
2015-08-30 17:00:01 (1.17 MB/s) - 'info.log' saved [41728/41728]

ダウンロードされたファイル「info.log」はlogファイルじゃなくてperlの実行スクリプトファイルです。
$ myfile info.log
info.log: a /usr/bin/perl\015 script executable (binary data)
Name   : info.log
MD5    : 7154218e48436836eb87ceda43d871be
SHA256 : 83d467723edda5c2375a4361e5b929371e85ce5d7c885a045323f4dd42a90b3e

一般の方々だとウイルスチェックで確認したらIRC SHELLBOTマルウェアで確認が直ぐに出来ます、リンク⇒【VirusTotal

shellでのマルウェアチェックした結果は↓
$ date&&vt check ./info.log
Sun Aug 30 14:38:22 JST 2015
   File name: info.log
   Detection ratio: 24 / 56
   Analysis date: 2015-08-29 08:08:11 UTC ( 21 hours, 30 minutes ago )
   File size 40.8 KB ( 41728 bytes )
   File type Perl
   First submission 2015-08-27 18:10:56 UTC ( 2 days, 11 hours ago )
   Last submission 2015-08-29 08:08:11 UTC ( 21 hours, 30 minutes ago )
   ALYac                Backdoor.Perl.Shellbot.F      20150829
   AVG                  PERL/ShellBot                 20150829
   AVware               Backdoor.Perl.IRCBot.a (v)    20150829
   Ad-Aware             Backdoor.Perl.Shellbot.F      20150829
   Arcabit              Backdoor.Perl.Shellbot.F      20150829
   Avast                Perl:Shellbot-O [Trj]         20150829
   BitDefender          Backdoor.Perl.Shellbot.F      20150829
   CAT-QuickHeal        Perl/Shellbot.FS              20150829
   ClamAV               Perl.ShellBot-4               20150829
   Cyren                Trojan.QPVM-5                 20150829
   ESET-NOD32           Perl/Shellbot.NAK.Gen         20150829
   Emsisoft             Backdoor.Perl.Shellbot.F (B)  20150829
   F-Secure             Backdoor.Perl.Shellbot.F      20150829
   Fortinet             PossibleThreat.P0             20150829
   GData                Backdoor.Perl.Shellbot.F      20150829
   Ikarus               Trojan.Perl.Shellbot          20150829
   MicroWorld-eScan     Backdoor.Perl.Shellbot.F      20150829
   NANO-Antivirus       Trojan.Script.Shellbot.dnqthd 20150829
   Qihoo-360            Trojan.Generic                20150829
   Sophos               Mal/PerlBot-A                 20150829
   TrendMicro           PERL_SHELLBOT.SM              20150829
   TrendMicro-HouseCall PERL_SHELLBOT.SM              20150829
   VIPRE                Backdoor.Perl.IRCBot.a (v)    20150829
   nProtect             Backdoor.Perl.Shellbot.F      20150828

確認の為、本ファイルの中身はpastebinにアップロードし、現在見れます⇒【pastebin

危ない攻撃機能が沢山あります(DDOS攻撃、バックドアー、ダウンローダー、など)↓


このスクリプトは「213.186.118.35」にあるIRCサーバとチャンネルに接続する事になります、場所はKIEV、ウクライナ↓
{
  "ip": "213.186.118.35",
  "hostname": "awplanet.com",
  "city": Kiev,
  "country": "UA",
  "loc": "50.4500,30.5233",
  "org": "AS6849 JSC Ukrtelecom"
}

info.logにircのアクセス情報が書いてあります。調査と事件証拠集まりデータの為に必要で、下記の情報です↓


取り合えずIRCボットサーバ迄アクセスしましたので、本shellshockで感染されたホストを取りました。
結果の一覧は447がありますが、ここでフルデータのアクセスが出来ます⇒【pastebin

取ったデータの中に単純に「.jp」をegrepしたら39点の日本国内ホスト名が出ます↓
(157): >> :mailman!dracon@w250244.ppp.asahi-net.or.jp NOTICE organza : mIRC v6.15 Khaled Mardam-Bey 
(158): >> :winny!mu@ipbfn004-023.kcn.ne.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(163): >> :brigitta!tupac@58x159x136x10.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.2 Khaled Mardam-Bey 
(168): >> :kbee-1739!poesje@FL1-49-129-209-23.stm.mesh.ad.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(170): >> :tennis!smck@g059234.ppp.asahi-net.or.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(177): >> :xxx!secret@116.91.113.83.ap.gmobb-fix.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(181): >> :sweetlady!skylink@ntkngw495058.kngw.nt.ftth.ppp.infoweb.ne.jp NOTICE organza : VERSION - unknown command. 
(196): >> :borre-3666!andjela@www2.px.tsukuba.ac.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(205): >> :wp!hlios@pcwave3.ice.uec.ac.jp NOTICE organza : VERSION - unknown command. 
(207): >> :asmodizz-7031!joe@w0109-49-135-70-143.uqwimax.jp NOTICE organza : mIRC v6.2 Khaled Mardam-Bey 
(218): >> :wing-93!monroe@p8172-ipbfp603daianji.nara.ocn.ne.jp NOTICE organza : mIRC v6.15 Khaled Mardam-Bey 
(219): >> :imp-618!pshyche@i60-34-249-87.s41.a028.ap.plala.or.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(250): >> :vento-1421!kbee@ntmygi093099.mygi.nt.ngn2.ppp.infoweb.ne.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(264): >> :luny!szern@aquarius.citizen.co.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(279): >> :anjing-9056!blondenor@58x157x34x218.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.16 Khaled Mardam-Bey 
(311): >> :pszaah-8138!vodafone@i58-95-131-131.s10.a027.ap.plala.or.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(324): >> :marco!jason@FL1-60-236-8-130.tky.mesh.ad.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(327): >> :tato!raye@aa2002121314005.userreverse.dion.ne.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(328): >> :moladmin-2141!cread@KD113154079170.ppp-bb.dion.ne.jp NOTICE organza : VERSION - unknown command. 
(338): >> :willgood!clbiz@KD124210068121.ppp-bb.dion.ne.jp NOTICE organza : mIRC v6.17 Khaled Mardam-Bey 
(340): >> :mrx-3690!zinj@p7cdba55e.tokyff01.ap.so-net.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(341): >> :jockey!acrima@061204042226.rev.datacenter.ne.jp NOTICE organza : mIRC v6.17 Khaled Mardam-Bey 
(350): >> :dusica!johnny@61-194-77-193.gip-stap.canvas.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(367): >> :davide!anjing@58x12x20x139.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.03 Khaled Mardam-Bey 
(373): >> :cintat-7211!spanker@59x87x56x226.ap59.ftth.ucom.ne.jp NOTICE organza : mIRC v6.31 Khaled Mardam-Bey 
(375): >> :mythic!master@113x42x213x125.ap113.ftth.ucom.ne.jp NOTICE organza : VERSION - unknown command. 
(376): >> :psioncore!dragon@58x156x128x245.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(377): >> :zwsiew!terence@p2116-ipbf306koufu.yamanashi.ocn.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(380): >> :mephisto!luny@p337233-ipngn5801sapodori.hokkaido.ocn.ne.jp NOTICE organza : mIRC v6.15 Khaled Mardam-Bey 
(383): >> :venusguy!vodafone@zaq31fb8490.zaq.ne.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 
(385): >> :khan!vento@58x156x233x194.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(413): >> :sorceress!cruizer@58x80x3x227.ap58.ftth.ucom.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(420): >> :shekel!mpdike@110-133-182-65.rev.home.ne.jp NOTICE organza : VERSION - unknown command. 
(422): >> :whiskey-3252!gold@ns.kagiken.co.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(429): >> :kralj!sexbolek@KD106167135169.ppp-bb.dion.ne.jp NOTICE organza : mIRC v5.91 K.Mardam-Bey 
(430): >> :gili!aus@FL1-60-236-77-37.tky.mesh.ad.jp NOTICE organza : mIRC v7.15 Khaled Mardam-Bey 
(436): >> :dimkam!mooks@113x35x33x91.ap113.ftth.ucom.ne.jp NOTICE organza : mIRC v6.03 Khaled Mardam-Bey 
(442): >> :kasandra!jn@113x38x140x190.ap113.ftth.ucom.ne.jp NOTICE organza : mIRC v6.21 Khaled Mardam-Bey 
(443): >> :vanda!stinga@w218187.ppp.asahi-net.or.jp NOTICE organza : mIRC v6.14 Khaled Mardam-Bey 

尚、取ったデータの生IPアドレス情報のみをegrepしたら200以上があるので、GeoIPへ回すと下記の日本国内のIPも出ました↓
$ cat ip.txt |bash /malware/checkdomains/origin.sh jp
1.21.56.58||2519 | 1.21.0.0/16 | VECTANT | JP | cocospace.com | 21Company
116.91.113.83|116.91.113.83.ap.gmobb-fix.jp.|2519 | 116.91.0.0/16 | VECTANT | JP | gmo.jp | GMO Internet Inc.
124.33.149.134||17506 | 124.32.0.0/14 | UCOM | JP | directors.co.jp | Directors Company Co. Ltd.
219.122.47.91||17511 | 219.122.32.0/19 | K | JP | 2iij.net | Kyoto International Conference Center
49.143.242.14|bdb.14.s-port.biz.|18068 | 49.143.240.0/21 | ACROSS | JP | s-cnet.ne.jp | TOCOCHANNEL SHIZUOKA corporation
61.120.126.108||2516 | 61.120.0.0/17 | KDDI | JP | kddi.com | KDDI Corporation
61.206.239.157||9365 | 61.206.224.0/20 | ITSCOM | JP | itscom.jp | ITS Communications Inc.
$
本事件の報告をさくらインターネットさんとJP-CERTに送りました。

上記のホスト一覧はDDOSマシンとして悪用される積りです。
直接容疑者からの確認の証拠も取りました(そのバットマンは僕です)↓

危険なのでそのホストからperlマルウェアスクリプトを削除して欲しいです。

全て感染された日本国内のLinuxホストの一覧は下記のホスト名/IPとなります。合計:46台です↓
1.21.56.58 (vectant.ne.jp)
124.33.149.134 (directors.co.jp)
219.122.47.91 (2iij.net)
49.143.242.14 (s-cnet.ne.jp)
61.120.126.108 (KDDI)
61.206.239.157 (itscom.jp)
ns.kagiken.co.jp
www2.px.tsukuba.ac.jp
pcwave3.ice.uec.ac.jp
aquarius.citizen.co.jp
116.91.113.83.ap.gmobb-fix.jp
w250244.ppp.asahi-net.or.jp
ipbfn004-023.kcn.ne.jp
58x159x136x10.ap58.ftth.ucom.ne.jp
FL1-49-129-209-23.stm.mesh.ad.jp
g059234.ppp.asahi-net.or.jp
116.91.113.83.ap.gmobb-fix.jp
ntkngw495058.kngw.nt.ftth.ppp.infoweb.ne.jp
w0109-49-135-70-143.uqwimax.jp
p8172-ipbfp603daianji.nara.ocn.ne.jp
i60-34-249-87.s41.a028.ap.plala.or.jp
ntmygi093099.mygi.nt.ngn2.ppp.infoweb.ne.jp
58x157x34x218.ap58.ftth.ucom.ne.jp
i58-95-131-131.s10.a027.ap.plala.or.jp
FL1-60-236-8-130.tky.mesh.ad.jp
aa2002121314005.userreverse.dion.ne.jp
KD113154079170.ppp-bb.dion.ne.jp
KD124210068121.ppp-bb.dion.ne.jp
p7cdba55e.tokyff01.ap.so-net.ne.jp
061204042226.rev.datacenter.ne.jp
61-194-77-193.gip-stap.canvas.ne.jp
58x12x20x139.ap58.ftth.ucom.ne.jp
59x87x56x226.ap59.ftth.ucom.ne.jp
113x42x213x125.ap113.ftth.ucom.ne.jp
58x156x128x245.ap58.ftth.ucom.ne.jp
p2116-ipbf306koufu.yamanashi.ocn.ne.jp
p337233-ipngn5801sapodori.hokkaido.ocn.ne.jp
zaq31fb8490.zaq.ne.jp
58x156x233x194.ap58.ftth.ucom.ne.jp
58x80x3x227.ap58.ftth.ucom.ne.jp
110-133-182-65.rev.home.ne.jp
KD106167135169.ppp-bb.dion.ne.jp
FL1-60-236-77-37.tky.mesh.ad.jp
113x35x33x91.ap113.ftth.ucom.ne.jp
113x38x140x190.ap113.ftth.ucom.ne.jp
w218187.ppp.asahi-net.or.jp
クリーンアップの為に上記の情報をシェアさせて頂きます、最新情報を取れたらまたアップデートいたします。

「Tue Sep 1 12:03:16 JST 2015」のアップデート情報
皆様のお蔭でマルウェアファイルがクリーンアップされました。

GET /info.log HTTP/1.1
Accept: */*
Host: 49.212.167.43
Connection: Keep-Alive

HTTP/1.1 404 Not Found
Date: Tue, 01 Sep 2015 03:05:12 GMT
Server: xxx/x.x.x.x (xxx)
Content-Length: 285
Connection: close
Content-Type: text/html; charset=iso-8859-1
御協力頂き有難う御座いました。

「Tue Sep 1 15:35:23 JST 2015」のアップデート情報
先ほどの確認下、4台日本国内の新規感染されたマシンをCNCに発見しました↓
122-200-141-248.tlp.ne.jp
122x221x132x46.ap122.ftth.ucom.ne.jp
218-216-75-141.cust.bit-drive.ne.jp
ntkngw287164.kngw.nt.ngn2.ppp.infoweb.ne.jp
現時点日本国内感染されたマシンの合計は42台です↓
1.21.56.58 (vectant.ne.jp)
124.33.149.134 (directors.co.jp)
219.122.47.91 (2iij.net)
49.143.242.14 (s-cnet.ne.jp)
61.120.126.108 (KDDI)
61.206.239.157 (itscom.jp)
061204042226.rev.datacenter.ne.jp
110-133-182-65.rev.home.ne.jp
113x35x33x91.ap113.ftth.ucom.ne.jp
113x38x140x190.ap113.ftth.ucom.ne.jp
113x42x213x125.ap113.ftth.ucom.ne.jp
122-200-141-248.tlp.ne.jp
122x221x132x46.ap122.ftth.ucom.ne.jp
218-216-75-141.cust.bit-drive.ne.jp
58x12x20x139.ap58.ftth.ucom.ne.jp
58x156x128x245.ap58.ftth.ucom.ne.jp
58x156x233x194.ap58.ftth.ucom.ne.jp
58x157x34x218.ap58.ftth.ucom.ne.jp
58x159x136x10.ap58.ftth.ucom.ne.jp
58x80x3x227.ap58.ftth.ucom.ne.jp
59x87x56x226.ap59.ftth.ucom.ne.jp
61-194-77-193.gip-stap.canvas.ne.jp
FL1-60-236-77-37.tky.mesh.ad.jp
FL1-60-236-8-130.tky.mesh.ad.jp
KD106167135169.ppp-bb.dion.ne.jp
KD124210068121.ppp-bb.dion.ne.jp
aa2002121314005.userreverse.dion.ne.jp
aquarius.citizen.co.jp
g059234.ppp.asahi-net.or.jp
i58-95-131-131.s10.a027.ap.plala.or.jp
i60-34-249-87.s41.a028.ap.plala.or.jp
ipbfn004-023.kcn.ne.jp
kenmedia.jp
ns.kagiken.co.jp
ntkngw287164.kngw.nt.ngn2.ppp.infoweb.ne.jp
ntmygi093099.mygi.nt.ngn2.ppp.infoweb.ne.jp
p2116-ipbf306koufu.yamanashi.ocn.ne.jp
p7cdba55e.tokyff01.ap.so-net.ne.jp
p8172-ipbfp603daianji.nara.ocn.ne.jp
w218187.ppp.asahi-net.or.jp
w250244.ppp.asahi-net.or.jp
zaq31fb8490.zaq.ne.jp 
感染されたLinuxマシンの接続がコロコロ変わりますが、監視が非常に難しいですので、確実の情報(上記の一覧)しか報告していません。因みに最終確認では合計の感染されたLinuxマシンは587台で、新規感染=204台, 64台が無くなりました。一覧はJP-CERTさん、警察とInterpolサイバー犯罪の証拠よしてに送りました。

sortにながらcomm(UNIXコマンド)で前回と今回の感染数やホスト名の確認が出来す↓


本件はのインシデント番号は「#OCJP-127」です。

0 件のコメント:

コメントを投稿