Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 26. mai 2008

Danmec og SQL-injections

Vi ser fremdeles mye aktivitet rundt mass SQL-injections, og det er tilsynelatende flere grupper som er med på denne bølgen.

Vi har tidligere sett at gjengen bak Zlob har benyttet denne teknikken for spre sin malware, og ikke minst har kinesiske "hacktivister" forsøkt å spre passordstjelende trojanere på denne måten (hovedsaklig rettet mot online-spill som World of Warcraft, ol).

Den siste uken har det tilsynelatende vært en tredje aktør inne i bildet som forsøker å spre en malware med navnet "Danmec".

De første variantene av Danmec ble visstnok oppdaget i slutten av 2005, og dette har vært en forholdsvis ukjent malware. Danmec har utviklet seg siden den gang, og har nå fått en del oppmerksomhet i det siste på grunn av nettopp måten den benytter SQL-injections for å spre seg videre. Det må forøvrig nevnes at selve SQL-angrepene utføres av et verktøy som blir pushet til en Danmec-infisert klient etter den "initielle infiseringen". SecureWorks har en god writeup på denne saken.

Vi har sett litt nærmere på Danmec, og her er noen av våre erfaringer:

Distribuering
Vi ser Danmec bli distribuert via kompromitterte nettsteder som inneholder script-tags, hvor src i skrivende stund hovedsaklig er:

www.adw95.com/b.js
www.banner82.com/b.js

Disse domene er fast-flux og har mange dns-records med korte TTL-verdier - noe som gjør det veldig vanskelig å ta ned.

Skriptet, b.js, inneholder kode som redirecter klienten til en ny side som inneholder en nyere versjon av Neosploit (en exploit-pakke med exploits for blant annet QuickTime, SuperBuddy, GomWebCtrl, CA BrightStor ArcServe Backup)

Hva gjør den?
Danmec installerer seg selv som en Service i Windows, og vil bli automatisk startet ved reboot. Denne servicen vil dukke opp som "Microsoft ASPI Manager" under Control Panel ->
Administrative Tools -> Services. Selve filen vil ligge under <WinDir>\system32\aspimgr.exe.



Ved oppstart så vil Danmec kontakte en av dens C&C-servere, som forøvrig er hardkodede IP-adresser i binaryen, og motta en obfuskert konfigurasjonsfil.

Adressene som var hardkodet i denne varianten var som følger:

66.199.241.98
82.103.140.75
72.21.63.114
66.232.102.169
66.197.168.5
203.117.175.124

Denne ip-listen ble skrevet til <WinDir>\s32.txt. Danmec vil også skrive versjonsinformasjon til <WinDir>\ws386.ini.

Alle konfigfilene som denne trojaneren benytter blir obfuskert ved å XOR'e alle bytene med 0x1B:



Etter at konfig ble hentet fra en av hostene over, ble s32.txt overskrevet med oppdatert ipliste fra konfig:

203.117.175.124
216.150.79.226
66.197.168.5
66.199.241.98
66.232.102.169

I tillegg til disse ip-adressene inneholder også konfigurasjonsfilen blant annet spam-template, liste over e-post-adresser og navn.

Spam'en som blir sendt ut gjennom dette botnettet ser ut til å være hovedsaklig phishing og "software scams". Se under for eksempel.





Litt interessant er det også at Danmec oppretter en tråd som lytter på port 80/tcp med proxyfunksjonalitet. Sannsynligvis kan dette brukes ifb med fast-flux og hosting av phishing-sites.

Anbefalinger
Det anbefales å blackliste www.adw95.com og www.banner82.com i DNS-servere og proxyer.

I tillegg vil vi anbefale å blokkere og logge all aktivitet mot C&C-serverne til Danmec:

66.199.241.98
82.103.140.75
72.21.63.114
66.232.102.169
66.197.168.5
203.117.175.124

mandag 19. mai 2008

SQL-injections fortsetter

Det oppdages stadig flere og flere kompromitterte nettsteder om dagen, som følge av alle SQL-injections. Dessverre er det også en del norske nettsteder som blir kompromittert og redirecter brukere til siter som inneholder exploitkode.

Denne helga har vi blant annet sett følgende nye domener hoste ondsinnet kode:

hxxp://www.qiqigm.com
hxxp://www.qiuxuegm.com



Disse angrepene antas å være automatisert ved hjelp av et verktøy som benytter Google i første steg for å finne potensielt sårbare webapplikasjoner, og deretter forsøke å utnytte disse. ISC har en egen sak på dette her.

De siste dagene har vi sett denne typen aktivitet fra følgende hoster:


58.215.65.253 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
59.188.0.101 | HK | NWT-AS-AP AS number for New World Telephone Ltd.
61.152.245.41 | CN | CHINANET-SH-AP China Telecom (Group)
74.86.88.108 | US | SOFTLAYER - SoftLayer Technologies Inc.
117.22.93.78 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
125.123.25.1 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
203.186.54.26 | HK | CTIHK-AS-AP City Telecom (H.K.) Ltd.
205.209.175.4 | US | ASN-NA-MSG-01 - Managed Solutions Group, Inc.
221.130.185.24 | CN | CMNET-V4SHANGHAI-AS-AP Shanghai Mobile Communications Co.,Ltd.
221.206.20.143 | CN | CHINA169-BACKBONE CNCGROUP China169 Backbone
222.191.251.232 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
222.90.113.53 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
222.91.169.64 | CN | CHINANET-BACKBONE No.31,Jin-rong Street



En annen interessant sak er at i tillegg til at de fleste adressene tilhører Kina, så vil også denne koden, som oftest, ikke angripe brukere som har språket satt til kinesisk.



Vi har forøvrig også sett tilfeller hvor kinesiske brukere får andre typer exploits og malware mot seg, kontra ikke-kinesiske brukere.

Det anbefales å blokkere følgende adresser i brannmur/proxy:

www.qiuxuegm.com. 1800 IN A 60.169.3.130
www.qiqigm.com. 1800 IN A 221.206.20.143

mandag 12. mai 2008

Zlob mass SQL-injections

Det har i den siste tiden vært flere "mass SQL injection"-angrep som utnytter sårbare webapplikasjoner (phpbb, mambo, osv). Og sist denne helga har vi sett at flere hundre tusen nettsteder har blitt kompromittert og fått lagt inn ondsinnet kode - og denne gangen er det tilsynelatende gjengen bak Zlob som står bak.

Kodesnutten som blir lagt inn på de kompromitterte nettstedene laster xprmn4u.info/f.js eller free.hostpinoy.info/f.js. Disse skriptene redirecter brukeren til hxxp://freedd.albhost.info/go.php?sid=1, som via flere redirects, til slutt forsøker å lure brukeren til å laste ned hxxp://codecmega.com/download/codecmega4254.exe (eller hxxp://codecmega.com/download/codecmega1000.dmg hvis man bruker Safari/Mac), ved å vise følgende nettside:



xprmn4u.info. 14400 IN A 217.199.217.9
freedd.albhost.info. 86400 IN A 209.51.196.252
free.hostpinoy.info. 86400 IN A 209.51.196.254
codecmega.com. 86400 IN A 64.28.184.188

AS | IP | CC | AS Name
34221 | 217.199.217.9 | RU | QL-AS JSC QUICKLINE Autonomous System
10297 | 209.51.196.252 | US | COLUMBUSNAP - The Columbus Network Access Point, Inc.
10297 | 209.51.196.254 | US | COLUMBUSNAP - The Columbus Network Access Point, Inc.
27595 | 64.28.184.188 | US | INTERCAGE - InterCage, Inc.

 
>