tag:blogger.com,1999:blog-318164582024-03-22T03:27:48.696+09:000day.jp (ゼロデイ.JP){ マルウェア | 脆弱性 | スパム | 0day | ボットネット } のセキュリティ・ブログUnknownnoreply@blogger.comBlogger875125tag:blogger.com,1999:blog-31816458.post-15423720327966543102017-03-15T01:09:00.001+09:002017-03-25T21:29:07.997+09:00#OCJP-136: 「FHAPPI」 Geocities.jpとPoison Ivy(スパイウェア)のAPT事件Please click here to read the translation in English, translated by the El Kentaro
1.はじめに
*)本APT攻撃の目標をもっと知りたいなら、私の Q & A (英文)インタビュー内容をご確認ください。
ついさっき VXRL(credit)から連絡があり、あるAPTフィッシングメールのURLでマルウェアをダウンロードしているようです。URLは国内のGeocitiesさんのお客様サイトで、早く削除が欲しいとの問い合わせでした。
サンプル/証拠:
※)APT攻撃のフィッシングメールですので、ここで全てのメール情報を見せる事が出来ません。
どんなマルウェアを聞いていたら、情報が不明で、僕の方で色んなシグネチャーを確認したら検知率はゼロとの事で、これじゃマルウェアの証明が無いと多分GeocitiesさんもUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-87835357545523307852017-03-02T07:29:00.003+09:002017-10-09T13:44:52.275+09:00#OCJP-135: SSH TCP ポートフォワーディング経由でのSMTP(とHTTP)ハッキング事件について昨日、「MalwareMustDie」のブログで昨年10月からの SSH での TCP フォワーディングを使うハッキングの仕組みを
報告しました。
SSHでのTCPポートフォワーディングとは日本語では「SSHでのポートフォワーディング」ですね。ようは、確立している SSH 接続をトンネルとして利用し、任意の通信をトンネルを経由させて転送することで、転送先ネットワークやサーバとは、透過的な通信が可能となります。
報告内容の中にSSHでのポートフォワーディングの上でSMTP経由のハッキングの動きがあり、回数も多く、2016年10月24日から2017年2月27日の段階では 8,000件以上 の SMTP 不正なアクセスの動きを発見しました。
スクリーンショットは下記となります↓
↑その中に74件は国内のメールサーバのIPを発見致しました。
報告しましたSSHでのポートフォワーUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-3761648655383451932017-01-31T01:45:00.002+09:002017-02-03T03:55:45.747+09:00#OCJP-134: ダブル「sh」ELFのリバーシング (Linuxハッキング事件調査)■はじめに
今回Linuxのハッキング事件のレポートを書かせて頂きます。
内容的には「Linux OS x86」、「ELFバイナリリバーシング」と「シェルコード」の絡みとなります。
この記事を読むだけでもOKですし、もし再現したい場合ASM、gccとLinuxリバーシングのノウハウが必要だと思います。環境的にLinuxのシェルですので解析は全てradare2でやりました。
取り合えず簡単に書きますので、リラックスしながら楽しくに読んで下さい。
■ハッキングされた情報
とあるLinuxマシンに怪しいプロセスが発見されました↓
28641 ? S 0:00 [kworker/2:0]
30514 ? S 0:00 [kworker/1:0]
30518 pts/1 S+ 0:00 [sh]
31544 ?Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-88561120943947972982017-01-28T13:57:00.000+09:002018-11-26T01:49:15.575+09:00#OCJP-133: Hancitorマルウェア感染 と ハッキングされたWordpress■はじめに
今回は新しいマルウェアにハッキングされたWordpressサイトの報告を致します。
恐らく2017年1月25日から、Wordpressで作られたウェブサイト/ブログのハッキング事件が沢山発見されております。
ハッキングされたサイトにZeus(Pony種類)若しくはVawtrakなどのマルウェアファイルを発見されています。ハッカーが古い版Wordpressソフトウェア、若しくは、プラグインの脆弱性を狙い、「/wp-content/plugins/」ダイレクトリーの下に暗号化されたPonyやVawtrakマルウェアファイルを入れていた、との状況でいくつか確認をさせて頂きました。
ハッキングされたサイト一覧の中に日本国内のwordpressサイトもあります。
■Hancitorマルウェア感染仕組みについて
簡単にいうと、Hancitor(Chanitor / Unknownnoreply@blogger.com6tag:blogger.com,1999:blog-31816458.post-27427388187341966082016-11-02T22:24:00.001+09:002016-11-02T23:31:16.505+09:00#OCJP-132: Linux IoTのマルウェア、国内の感染について■はじめに
Linux IoTマルウェアについて、僕が書いている英語のブログ/MalwareMustDieで最近結構研究しています。色んなマルウェア種類を発見し、そのマルウェアの感染目的は殆どボットネット、DDoS、ハッキング踏み台、スパムのプロキシ、など。
一つの種類は2年前MalwareMustDieのチームで「ShellShock」の時代にはじめて発見しましたELF/DDoSトロイ「GayFgt/Torlus/LizKebab/Qbot/Bashdoor/Bash0day/Bashlite」のマルウェアですね。名前が沢山ありますが同じ物で、「LizardSquad」が作ったマルウェアです。
当時僕がそのGayFgtのマルウェアをリバーシングしながらそのままでVirusTotalにレポートを書きました。その時の調査実績の証拠はこのゼロデイジャパンのブログに残しました。
今はUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-64375031284375728732016-10-16T16:25:00.000+09:002016-10-16T18:36:11.162+09:00#OCJP-131: 日本国内で悪用された「DNSアンプ攻撃」について■はじめに
まず、「DNSアンプ攻撃」が分からない方はこちらをご覧下さい。そしてDNS「オープンリゾルバ/Open Resolvers」についてはこちらのリンクに纏めて説明しています。
「DNSアンプ攻撃」と「オープンリゾルバ」の関係は↓
Open Resolvers pose a significant threat to the global network infrastructure
by answering recursive queries for hosts outside of its domain.
They are utilized in DNS Amplification attacks リファレンス: Open Resolver Project openresolverproject.org
大体4月中旬から少しずつ日本国内に悪用された「DNSアンプ攻撃」Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-31816458.post-30752854146217232182016-07-06T12:21:00.002+09:002016-07-10T20:10:29.002+09:00#OCJP-130: スパムボットに感染されたPCからのスパムメール(マルウェアurl)昨日このスパムメールが届きました
そのメールを見たら、あれ?「JCOM」って「ZAQ.ne.jp」だっけ?とても怪しい…
さらに内容も英文で、そして海外のマルウェア転送URLが書いてあります…
ヘッターはこんな感じ↓
メールのルーティングと
MessageID<201607041021.u64AKeew025468@po.dcn.ne.jp>
を確認したら、「dcn.ne.jp」外部送信MTA(po.dcn.ne.jp / 219.105.32.8)から送信されたメールですね。
そして「dcn.ne.jp」さんの内部IP(ppp018.fc.pas.mobilenet.ne.jp / 219.105.46.50])経由でこのメールがリレーされていたそうです。
スパムメールのヘッターを見ると、送信元の情報は偽者ですが↓
J:COM <inf@JCOM.ZAQ.ne.jp>
↑Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-1740774620981650772016-07-05T09:26:00.001+09:002016-07-06T19:26:01.054+09:00Lockyランサムウェア: インフェックション仕組みのモニタリング・レコード「カムバック」してからのLockyランサムウェアの感染をフォローし、ディストリビューション仕組みのデータをレコードしました。レコードしたのデータは日本国内に届いたスパムメールのみです。
レコードの目的は(1)ウェブサイトのハッキング攻撃モニター、(2)CNCの移動情報、(3)使われているスパムボットネットの動き、と、(4)LockyのDGAのモニター
毎日の仕事が終わってから他のマルウェアを調査しながらこのレコードを少しずつ書きますので、もし情報が足りなかったらすみません。
レコードは下記となります。
6月23日
6月24日
6月25日
6月27日
6月27日-2
6月28日
6月29日
6月30日
7月4日
7月5日~6日
※)本データの更新を続けておりますUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-32913764854006083442016-06-30T07:07:00.001+09:002016-07-02T01:30:22.475+09:00#OCJP-129: Lockyランサムウェアの感染 via 日本国内のハッキングされたウェブサイト昨日から始まり、日本国内のウェブサイトがハッキングされ、そしてそのサイトにLockyランサムウェアのバイナリーを発見しました。いくつか証拠をオンラインで見たら狙われている脆弱性がばらばらで、恐らくハッカーはウェブ脆弱性スキャナーを使ったと考えています。
Lockyランサムウェアの最終感染キャンペーンで日本ウェブサイトからの感染URLが現在2番目となります↓
最新情報の更新> 6月30日の感染キャンペーンの時点で悪用されているハッキングされたウェブサイトの一番は....
...日本のです。
ランサムウェアの感染ファイルが悪用されている状況は良くない状況なので、早めにクリーンアップの対応をしてほしい、そして脆弱性を直してください。その他のウェブサイトの管理者の方々にはサイトの「hardening」テストを実行した方がいいと思います。
下記はスナップショットとなります↓
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-55281854163186098462016-02-04T16:34:00.001+09:002019-03-30T17:32:17.597+09:00バイナリ検体を送りたい場合もし0day.jp又はMalwareMustDieにバイナリ検体を送りたい場合【このリンク】から「ファイル送る便」のアクセスが出来ます。「ファイル送る便」というもので、そのページに組み込んだファイルのアップローダーからとあるクラウド環境にバイナリ検体を送信されてから我々は取りに行く事が出来ます。
ページの画像は下記のように↓、古い画像なのでurlが「http://to.0day.jp/sendsamplejp.html」に変わりました↓
送信したい場合の手順が書いてあります。手順の通りで作成すれば無事に検体を遅れますよ。
なお、英語版のページも存在していて、同じ手順です。
【重要】もし不思議な検体でしたら必ず 7zip 形式で検体をアーカイブにして、「infected」のパスワードを設定してからアップロードしてください、出来たら少しテキスト説明を入れたら助かります。
ぜひ、使Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-65625111353845020042016-01-13T07:17:00.002+09:002016-01-13T07:21:34.785+09:00【警告】ランサムウェアによるウェブサイトの暗号化現在グーグルで検索したら6,000以上のウェブサイトがLinuxランサムウェアに感染されたそうです。
今すぐにウェブサイトのデータをバックアップして下さい。
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-38960706481473237772015-11-17T15:37:00.003+09:002015-11-25T00:25:56.117+09:00ELF Linuxランサムウェア:復号機能の解析メモ #reversing《 ELFマルウェアワークショップの方々へ 》
AVTOKYO-2015でELFマルウェアワークショップ「Swimming in the Sea of ELF」を開催しました。来てくれた皆さんに有難う御座いました。丁度最近Linuxランサムウェアが流行ったので、ワークショップ上でunix shellでリバーシングが必要な理由を説明しました。ワークショップで説明したr2をセットアップした後、下記のリバーシングメモを参考に練習が出来ると思います。
=> >English version is here and here目次
(1)感染のバックグラウンド
(2)どんなソースコードを使用しているのか
(3)何処から何処まで暗号化されているのか
(4)復号機能のリバーシング
(5)なぜPolarSSLのソースコードが沢山使われたのか
(6)ずっと最初から「PolarSSL」を使われたのか
(Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-82315723466901478102015-11-16T12:34:00.001+09:002015-11-16T15:53:59.337+09:00【イベント】 ELFマルウェア解析ワークショップ - AVTOKYO 2015平成27年11月14日の16時半から「AVTOKYO 2015」のイベントでELFマルウェア解析ワークショップを開きました。ELFバイナリーについてのマルウェアの調査・解析の話ばかりなのでワークショップのタイトルは「Swimming in the Sea of ELF」でした。タイムテーブルはこちらです。本イベントはおそらく、世界初のELFマルウェア解析のワークショップだと思います。マルチarchitectureのELFバイナリー解析とマルチOSでのELFマルウェア調査・解析・デバッグングをデモする事となります。
.@avtokyo I'm sure it was THE WORLD's FIRST workshop on dissecting multiple arc #ELF #malware w/multiplatform OS (Windows,Mac,Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-12052124664667923352015-10-11T22:22:00.002+09:002016-07-05T09:38:56.340+09:00#OCJP-128: ロシア系マルウェアボットネットのカムバック以前の0day.jp記事にも日本国内に対して「Kelihosマルウェア・ボットネット」の感染を報告しましたが
今回このロシア系マルウェア感染ボットネットが「カムバック」しましたので、
今日我々「MalwareMustDie」が12時間モニターしたら、日本国内の感染IP11件を発見しました。
全国の感染されたPC/IPは合計164IPを発見しました。これから情報が増えると思っています(監視し始めたばかり)。
感染されたIPの一覧は下記となります↓
116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd
126.48.37.45|softbank126048037045.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-69437308412593502402015-08-30T15:33:00.005+09:002015-09-02T05:05:58.837+09:00#OCJP-127: 「Shellshock」攻撃事件、日本国内40件以上の感染、Perlバックドアshellbotマルウェア「Shellshock」攻撃が未だ沢山発見し、その攻撃からマルウェアに感染されたマシンも多いです。
本事件はその事件の報告ですので、本事件に感染されたマルウェアが多くて、
IRの対応参考情報と国内セキュリティの注意点為このブログに書きました。
ついさっき下記のshellshock攻撃が来ました↓
フルログはこちら⇒【pastebin】
「Shellshock」攻撃元のIP↓
{
"ip": "64.15.155.177",
"hostname": "ns1.neodepo.com",
"city": "Montrテゥal",
"region": "Quebec",
"country": "CA",
"loc": "45.5000,-73.5833",
"org": "AS32613 iWeb Technologies Inc.",
"postal":Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-41363494180957280852015-07-06T08:29:00.002+09:002015-07-09T12:36:16.525+09:00【研究情報】 KINS v2 = ZeusVM v2だぞ先週末にやった事、KINS/ZeusVM 2.0.0.0マルウェアビルダー+パネルコードがリークされ、全世界に警告を流しました。
KINS1とKINS2のバイナリー形が全然違うし、分析したらマルウェアの機能も違うので、
どう見てもZeusVM++っぽいと考えています。
では、確認の為にそのビルダーを使いJPG画像にちゃんと暗号化されたconfigのインジェクトが出来るかどうかを再現の上で確認しました。再現が出来ました、下記再現ビデオ(証拠)
結果、ZeusVM2のビルダーが全然見た事が無いので、KINS2はZeusVM2ですね!
KINS v3は今調査中で、また今度ね!
本KINS 2/ZeusVM 2のボットネットは現在どのぐらい流行っているのか?
2015年7月7日の夜23時:10件を発見、6件有効、4件潰しました、下記証拠↓
2015年7月9日の朝10時:6件をUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-46709572949668924272015-07-03T09:54:00.001+09:002015-08-31T08:36:02.892+09:00「Linux/AES.DDoS」MIPS/ARMルーターマルウェア感染攻撃日本国内の某ルーターに下記のsshログイン攻撃が沢山来ました↓
[attacker: 61.139.5.22] [2015-07-03 02:54:44]: New connection: 61.139.5.22:63692
[attacker: 61.139.5.22] [2015-07-03 02:54:54]: Connection lost
[attacker: 61.139.5.22] [2015-07-03 03:21:08]: New connection: 61.160.213.58:2523
[attacker: 61.139.5.22] [2015-07-03 03:21:08]: Client version: [SSH-2.0-libssh2_1.4.3]
[attacker: 61.139.5.22] [2015-07-03 03:21:08]: Login Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-21180863879862814382015-06-27T03:27:00.000+09:002015-06-27T09:53:54.020+09:00【研究情報】暗号化されているマルウェアデータが何とかPythonで…ElasticsearchのCVE-2015-1427脆弱性を狙っているマルウェアの調査をしました、書いたレポートは下記のURLに確認が出来ます。この記事の参考として後でご覧下さい↓
http://blog.malwaremustdie.org/2015/06/mmd-0034-2015-new-elf.html
↑新規マルウェアですので、参考情報がゼロ、2件暗号化機能を発見しましたが、2DESとXORですので、全部pythonで解決しました。情報公開の為に国内のコミュニティーに情報を公開します。
まずはXORの件、ELFマルウェアが7kBのGIF画像ファイルをダウンロードし、7kBの最後の5kBはXORで暗号化されたマルウェアスクリプトです。キーがバイナリーにリバーシングしたら分かりましたので、本件はpythonで解決しました、decrypt方法は下記のビデオ↓
次は同じマルUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-34665448767878498972015-06-24T05:37:00.001+09:002015-06-24T05:41:48.943+09:00【警告】 Linux/Xor.DDoSマルウェアの感染下記のIPアドレスから↓
104.143.5.15||36114 | 104.143.0.0/20 | VERSAWEB-ASN | US | versaweb.com | Versaweb LLC
107.182.141.40|40-141-182-107-static.reverse.queryfoundry.net.|62638 | 107.182.140.0/23 | QUERY-FOUNDRY | US | queryfoundry.net | Shanghe Yang
下記のログは参考で↓
2015-06-23 01:29:42+0900 connection: 107.182.141.40:41625 [session: 5899]
2015-06-23 01:29:42+0900 connection: 104.143.5.15:51433 [session: 5900]Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-11154211821200548782015-06-22T06:16:00.000+09:002018-11-26T02:16:44.216+09:00【警告】新規Linux/Mayhemマルウェアの感染先ずはMayhemボットネットを発見した時にここで書きましたので、なお、本攻撃の情報(Wordpress経由)はここで書きました。
その↑2件を先に読んで頂ければ以下の情報をもっと理解が出来ると考えています。
下記のIPアドレスからLinux/Mayhemマルウェアの感染動きを発見、wordpressのサイトが狙われています。
wordpressの安全性が低いパスワードを狙いbruteで攻撃され、クラッキングされるとPHPマルウェアインストーラーファイルをサーバーにアップロードされてしまいます。その後、別のIPからアップロードされたPHPインストーラーファイルを実行されてしまい、ELFと.shマルウェアインストーラーが実行されてしまいます。
マルウェアがインストールされたらマルウェアコントロールセンター(documents-live .com)にPOST HTTP/1.0のリクエストをUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-91228603554316057192015-01-08T00:10:00.000+09:002015-01-08T00:10:11.059+09:00明けましておめでとう御座います!Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-76845709599714027372014-11-19T18:57:00.001+09:002014-11-20T13:55:33.584+09:00【研究情報】 ELFマルウェアの研究についてWindowsマルウェア研究の内容はインターネットで沢山公開されていますが、ELFマルウェアのリファレンスは少ないですね。
最近はほぼ「Microsoft Word」マルウェアと同じ数のELF/Linuxマルウェアが発見されていて、VirusTotalのデータでは”11月上旬の1週間だけでも、3万5000件超の疑わしいELFファイルがVirusTotalに提出された。これは、疑わしい「Microsoft Word」ファイルのアップロード件数である4万4000件をわずかに下回る数だ”と発表されております。
その情報が分かった上で、私は最近の研究で国内「0day.jp」と海外「malwaremustdie.org/チームリーダーとして」でもELFマルウェアの研究を中心に活動しています。新規ELFマルウェアとELFマルウェアの新しい感染仕組みの感染/発見実績をしました。
例えば2013年の「Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-70580645192728397132014-10-10T12:42:00.001+09:002017-02-23T03:01:02.534+09:00新型「Mayhem Shellshock」のLinuxマルウェア感染についてShellshockでのマルウェア感染について、本問題が未だ続いております。ELF、Perlと「shell script」新しい感染仕組みをほぼ毎日発見します。二日前に新型「MAYHEM」(メイヘム)ボットネットマルウェアの感染仕組みを発見しましたので、この記事で報告します。
「Mayhem」とはどんな物か。このリファレンスで確認が出来ます→ 《1》 《2》 《3》
今回発見した新型「Mayhem」では感染の仕組みが変わりました。前回はPHPのログイン脆弱性を狙い感染を行いましたが、今回はwget(ダウンロード)でリモートサーバからPerlインストーラーをサーバーの/tmpにダウンロード&実行し、Mayhemボットネットマルウェアの「.so」ELFインストーラーファイルをシステムに保存&LD_PRELOADで実行されてしまいます。そのPerlのコードは下記の画像です↓
↑そのUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-31816458.post-16250419956472487002014-09-27T16:31:00.002+09:002020-03-17T00:18:18.743+09:00bash 0dayマルウェア感染の「real time」リバースエンジニアリングゼロデイが出るといつも大忙し。
特にリバースエンジニアリングの僕らの手が回らない状態です。
《一日目》
CVE-2014-6271(bash 0day)の発表後24時間以内にMalwareMustDieのチームメートから連絡があり、私が調査してマルウェア感染攻撃を発見しました。
https://t.co/CO9AOtHglO Shit is real now. First in-wild attack to hit my sensors CVE-2014-6271 #shellshock #bash ping @MalwareMustDie— Yinette (@yinettesys) September 25, 2014↑調査してくれっていう事で、当時自分は外出中でしたが危なそうだったので急いでPCを開いてバイナリーの分析調査を始めました。
「早く!早く!」とあちこちUnknownnoreply@blogger.com2tag:blogger.com,1999:blog-31816458.post-37122048286239504482014-09-17T18:36:00.002+09:002014-09-22T11:29:54.417+09:00新種マルウェアを発見。名づけて「Linux/GoARM.Bot」にしました。私達は今日新種マルウェアを発見しました。名づけて「Linux/GoARM.Bot」にしました。
本マルウェアはELF/ARM系のマルウェアですが、ARMルーター商品感染専用のマルウェアである。
マルウェアサンプルをVirusTotalにアップロードしましたので、リンクは下記となります↓
81c9fcf4f8c8d08c9ad13b5973a039d2e21d73e5e424d94507fb035a47448834
27d4a7989b9af86e9ebddb25cbfc9dfcf6800141f476d6a76041a3d8fb437115
c665453c6d8dd3723b4f7505e61ee6d02e5100b7de547127e1f5d593b06a894c
それぞれの本サンプルは中国ネットワークにあるHFSウェブサーバで提供したそうです。画像(クリックで拡大)↓
GoUnknownnoreply@blogger.com0