#OCJP-133: Hancitorマルウェア感染 と ハッキングされたWordpress

■はじめに

今回は新しいマルウェアにハッキングされたWordpressサイトの報告を致します。

恐らく2017年1月25日から、Wordpressで作られたウェブサイト/ブログのハッキング事件が沢山発見されております。ハッキングされたサイトにZeus(Pony種類)若しくはVawtrakマルウェアファイルを発見されています。ハッカーが古い版Wordpressソフトウェア、若しくは、プラグインの脆弱性を狙い、「/wp-content/plugins/」ダイレクトリーの下に暗号化されたPonyやVawtrakマルウェアファイルを入れていた、との状況でいくつか確認をさせて頂きました。

ハッキングされたサイト一覧の中に日本国内のwordpressサイトもあります。

■Hancitorマルウェア感染仕組みについて

簡単にいうと、Hancitor（Chanitor / Hancitor Maldoc）とは、作り方によって少し動きが違うので、MS-Word(.doc)ファイルに書いたVBAスクリプトとシェルコードでの新しい技法「（１）ドロッパーマルウェア」若しくは「（２）プロセス・インジェクター・マルウェア」です。「ドロッパー」タイプですと感染PCのディスクにマルウェアファイルを保存する動きがあり、「プロセス・インジェクター」の場合はマルウェアを保存せず、メモリー上でターゲットされている「○○プロセス」を開き、その「○○プロセス」のバイナリーデータがマルウェア実行バイナリデータに上書きされます。

パソコンにHanictor .Docマルウェアを感染する仕組みの図


Hanictor .Docファイルに書いたVBAマクロが下記のイメージです↓

頭の分

※）この部分が簡単に変更されそうです。

WindowsシステムのDLLをコールされるの分

※）独特のコール仕方を使っているように見えます。

本事件、プロセスインテックターのHancitor種類のみの情報なので、ターゲットされているプロセスは「iexplore.exe」で、

...インジェックされたマルウェアファイルはDLLタイプのバイナリーです。　インジェックションの時に
コード上書きの書き込みの為↓この↓loopが重要で、「FAIR」と「GAME」が書き込みのコントロールFLAGになります↓


どんなシェルコードのコマンドを使ったのか？
シェルコードのクラッキング仕方が色んなやり方がありますが、本件の調査した時に時間がそんなに無かったので、私はwindwordのシェルコードデータを読み込みした時に全て情報を手に入れました。シェルコードの動きを全てここで書くのは良くないので、証拠としてスナップショット画像を取ったので、下記のように見せます↓


右側に書いたコマンドはシェルコードのコマンドなので、それを見たら大体どんな動きがあるのか分かると思います。今度もしHancitorが無くなったらこの情報を追加する積りです。

このHancitor DLLコードが実行されたらまた別途リモートサイトから2つファイルをダウンロードされ、PCに感染されてます。ダウンロードされたマルウェアは「Zeus系/Pony種類」のトロイ木馬で、他の事件にはVawtrakトロイマルウェアがダウンロードされた事もあります。

動き的にこんな感じ、Hancitor .Docファイルを開いたら、VBAスクリプトが実行され、.Docに保存されたシェルコードを読み込み⇒ロード⇒実行し、.Docファイルに添付されたマルウェアバイナリーデータをロードされ、データを解読してからシェルコードが決まっている「○○プロセス名」にそのマルウェアデータを書き込みします。本事件の上書きされたデータがHancitor DLLマルウェアで、上書きが終了したらそのままHancitor DLLマルウェアが実行されます。

下記の画像にはHanictorがiexplore.exeのプロセスにDLLコードをインジェクした時の状況です↓

↑マークされた所はインジェックされたiexplore.exeの中身ですけれども、通常のiexplore.exeの状態とはまるで違います。
見た通り全然関係ないのdllライブラリ一覧が実行されていて、その一覧自体はマルウェアが使っているdllになってしまい、iexplore.exeじゃなくなりますね。

もしインジェックされたHancitor DLLのバイナリーをデコードすれば、下記のようなCコードが見られますが、
マルウェアの部分が隠れていて直ぐには見られていません↓


但し、もしそのDLLが実行されたら、暗号化されているマルウェアファイルがリモートのURLからダウンロードされています。↓



インジェックされたiexplore.exeのプロセスをデバッグするとシェルコードのダウンロード動きが見えます。

↑HancitorのHTTPリクエストはWININET.DLL経由で投げたそうに見えます。

因みに、ダウンロードURLの実行の前に、Hancitor DLLマルウェアがHanictorのCNC(C2)サーバに感染の報告を送り、そして
CNC(C2)サーバから解読の情報が送られてきます↓


ハッキングされたサイトにあるマルウェアファイルの種類は殆ど「Pony/Zeus系」ですが、時々「Vawtrak」か「Fareit」マルウェアで、たまには「Zloader (zeus loader)」を発見しました、殆ど暗号化されている状況です。
Hanictor DLLマルウェアの感染が始めたら、その暗号化されたファイルがダウンロードされますが。感染が始まった時にほぼ全てのファイルがアンチウイルスとURLフィルター機能すり抜けていました。それは恐らく暗号化の目的だと思います。




これでメモリの上で暗号化されたZeusファイルが解読され、Zeus/Ponyマルウェアの感染が始めます。
!!TIPS!!: 行動分析調査の時に感染の確認証拠としては下記のZeusのCNCトラフィックとなります↓


そして、下記のトラフィックはHancitor DLL又はZeus/Ponyからではなくて、恐らくWin32/Fareitトロイのです。

これで全てダウンロードされたpayloadが分かります。

Hancitor DLLからの別途トラフィックも出ています。例えばIP確認APIのURLコールバックなどなど。

Hancitorの「.Doc」マルウェアの感染が始まってからの全体的なトラフィックは下記のようになっています↓


もしドメイン名とマルウェア情報を入れたら上記のトラフィック情報がこうなっています↓

※もっと細かいなトラフィック情報は【こちらへ】ご覧下さい。

Hancitorの「.Doc」ファイル自体はどうやって来るのか？
数週間前にスパムメールに添付されたパターンが多くて、最近はもっと複雑な仕組みで、スパムメールの文書に
「なりすましURL」で被害者を騙して、「.Doc」ファイルがダウンロードされてしまう感染パターンを発見致しました。
そのスパムとなりすましURLについては、イメージ的には下記の画像となります↓




■C2情報

本マルウェア感染キャンペーンのサイバー犯罪者２つCNCを運用したそうです↓

1. Hancitor感染モニターC2
ドメイン： howbetmarow.ru　(レジスター:r01.ru)
IP:　95.169.190.104　(km34714-26.keymachine.de)
目的 : Hancitor感染されたPCの管理データを保存するサーバ（+FareitトロイのC2）
場所 ASN 31103 | Prefix 95.169.190.0/23
ISP: KEYWEB keyweb.de Keyweb AG | Country: DE
最初の発見時間: 2017-01-26 16:37:26 -0000
ステータス：ドイツ警察に押収されました。

2. Zeus(Pony)感染パネル/C2
ドメイン： aningronbut.ru (レジスター:r01.ru)
IP: 46.166.172.105 (server1.)
目的：　盗んだ個人情報/アカウント認証情報/クレジットカードなどを保存するサーバ
場所 ASN16125 | Prefix: 46.166.168.0/21
ISP: BALTICSERVERS1, duomenucentras.lt, UAB Duomenu Centras | Country: LT
最初の発見時間: 2017-01-26 15:50:12 -0000
ステータス：捜査中
関係があるZeusドメイン：rowatterding.ru(レジスター:r01.ru)、同じIP HTTPS対応 2017-01-24 19:00:31-0000から

※わざっとZeusのC2サーバが押収されにくいホスティンッグ/IDCに運用したそうです。
※感染のブロックされないようにHancitor感染モニターC2はドイツで作ったの目的です。
※同じく（感染ブロッキングされない目的で）日本のWordpressサイトにマルウェアpayloadsファイルが用意されたそうですね。

■WordpressのマルウェアURLについて

HancitorがダウンロードするマルウェアURLを見たら、全部ハッキングされたWordpressのサイトで、
URLは下記のパターンように見えます↓


たまに別のパターンもあります↓

※）【重要】どんなパターンにも「https(SSL)」のURLがありません。原因は恐らくHancitor DLLマルウェアのダウンローダーがHTTPSに対応していません。

ハッキングの入り口はやはりWordpressソフトウェアやWordpressのプラグイン（若しくはTheme）の脆弱性です。
Wordpress（ソフト+プラグイン）のCVE脆弱性のリファレンスを確認したい場合【このサイトで見れます】。

■日本国内の影響について

2017年１月25日から、『Hancitor感染のマルウェアダウンロードURL事件』に影響されている日本国内のwordpressサイトがいくつかあります。これからも未だ出るかと思われますので、別途【画像サイトに】データを保存し、対応しながら情報を追加させて頂きます。

■結論

１. Wordpressのソフト/プラグイン/「theme」などのバージョン管理が必要で、必ず最新版のバージョンを運用してください。
２. 出来れば自分のWordpressサイトに脆弱性があるかどうかのチェックをして欲しいです。その為に無料版のWordpressスキャナーツールがあります。急いでチェックしたい場合オンラインのスキャナーもあり、WordpressサイトのURLを入力したらバージョンのアップデートが必要かどうか教えてくれます、例えば本事件のとあるWordpressサイトをスキャンしたら色々が分かります↓


３．Wordpressのサイトにマルウェアのファイルやコードを探すのは大変なので、ファイルの駆除作業するよりもバックアップでデータを取り戻す作業は手間が掛かりませんので、定期的にサイトのバックアップを取る事をお勧めします。
４．もしマルウェアファイルが発見されたら、直ぐに削除して欲しいです。もしやり方が分からなかったら、サイトのアクセスを一旦止めて、詳しい管理者に直ぐにご相談ください。
※）もしマルウェアをそのまま残した場合、恐らく発見されてから24時間後にはブラックリストに登録されてしまうので、大変な事になります。成るべく早めにご対応をください。

@unixfreaxjp/0day.jp Sat Jan 28 14:03:05 JST 2017