近年特に「○○○のウェブサイトがハッキングされ、マルウェアファイルが発見されていた」という情報で耳にされていた方が多いので、この報告もゼロデイ.JPにもいくつかお書き致しましたが、今回は新しいマルウェア感染関係のハッキングされたWordpressサイトの報告を致します。
恐らく2017年1月25日からWordpressで作られたウェブサイト/ブログのハッキング事件が沢山発見されております。ハッキングされたサイトにZeus(Pony種類)若しくはVawtrakマルウェアファイルを発見れています。ハッカーが古い版Wordpressソフトウェア、若しくは、プラグインの脆弱性を狙い、「/wp-content/plugins/」ダイレクトリーの下に暗号化されたPonyやVawtrakマルウェアファイルを入れていた、との状況でいくつか確認をさせて頂きました。
ハッキングされたサイト一覧の中に日本国内のwordpressサイトもあります。
■Hancitorマルウェア感染仕組みについて
簡単にいうと、Hancitor(Chanitor / Hancitor Maldoc)とは、作り方よって少し動きが違うので、MS-Word(.doc)ファイルに書いたVBAスクリプトとシェルコードでの新しい技法「(1)ドロッパーマルウェア」若しくは「(2)マルウェアプロセスインジェクター」です。「ドロッパー」タイプですと感染PCのディスクにマルウェアファイルを保存する動きがあり、「プロセス・インジェクター」の場合は保存せず、メモリー上で○○ターゲットされているのプロセスを開き、その○○プロセスのバイナリがマルウェア実行バイナリデータに上書きされます。
本事件について、プロセスインテックターのHancitor種類のみの情報なので、ターゲットされているプロセスは「iexplore.exe」で、インジェックされたマルウェアファイルはDLLタイプのバイナリーです。そのDLLが実行されたらまた別途リモートサイトから2つファイルをダウンロードされて、PCに感染されてます。確認しました事件にはダウンロードされたマルウェア種類は「Zeus/Pony種類」のトロイ木馬で、他の事件にはVawtrakトロイマルウェアがダウンロードされた事もあります。
下記の画像にはHanictorがiexplorer.exeのプロセスをDLLコードをインジェクした時の状況です↓
インジェックされたDLLマルウェアをデコードすれば下記のCコードを見えますが、マルウェアの部分を直ぐには見えない状態です↓
..実行されたら、暗号化されたマルウェアファイルがリモートサイトのURLからダウンロードされます。↓
因みに、マルウェアのダウンロードの前にHanictorがCNC(C2)サーバにも『感染が出来た』みたいな報告が送られて、そして暗号情報がC2から送ってくれました↓
メモリの上で暗号化されたZeusをデコードされてからZeusのマルウェア感染が始めます、感染証拠としてはこのZeusのCNCトラフィックとなります↓
※感染した段階でその他HancitorのDLLの動きもありますので、例えばIP確認APIのコールバックなど、もっと細かいなので、本事件のもっと詳しい情報はこちらへご覧下さい。
Hancitorの「.Doc」ファイル自体はどうやって来るのか?
数週間前にスパムメールに添付されたパターンが多くて、最近はもっと複雑な仕組みで、スパムメールの文書に「なりすましURL」で被害者を騙して、「.Doc」ファイルがダウンロードされてしまう感染パターンを発見致しました。
イメージ的には下記の画像となります↓
■WordpressのマルウェアURLについて
HancitorがダウンロードするマルウェアURLを見たら、全部ハッキングされたWordpressのサイトで、URIはこのパターンように見えます↓
たまに下記のパターンもあります↓
※)【重要】httpsのサイトがありません。
ハッキングの入り口はやはりWordpressやWordpressのプラグイン(若しくはTheme)の脆弱性です。Wordpress+プラヅインのCVE脆弱性のリファレンスを確認したい場合このサイトに見えます。
■日本国内の影響について
2017年1月25日から、『Hancitor感染のマルウェアダウンロードURL事件』に影響されている日本国内のwordpressサイトがいくつかあります。
これからも未だ出るかと思われますので、別途画像サイトにデータを保存し、手続きしながら情報を追加します。
■結論
1. Wordpressのソフトウェア、プラグイン、「theme」などのバーション管理が必要です。必ず最新版のバーションを運用してください。
2. 出来れば自分のWordpressサイトに脆弱性があるかどうかのチェックも必要です。その為にいくつかWordpressスキャナーツールがあります。
3.マルウェア感染ファイルやコードをWPサイトに探すのは大変なので、定期的にサイトのデータをバックアップ取る事もお勧めです。
4.マルウェアファイルが発見されたら、直ぐに削除して欲しいです。分からなかったら直ぐに詳しい管理者にご相談をお願いします。マルウェアファイルが残す場合、恐らく発見されたからの24時間後にブラックリストの登録動きが始まりそうですね、ブロックされないように早めにご対応してください。
@unixfreaxjp/0day.jp Sat Jan 28 14:03:05 JST 2017
0 件のコメント:
コメントを投稿