Danmec og SQL-injections

Vi ser fremdeles mye aktivitet rundt mass SQL-injections, og det er tilsynelatende flere grupper som er med på denne bølgen.

Vi har tidligere sett at gjengen bak Zlob har benyttet denne teknikken for spre sin malware, og ikke minst har kinesiske "hacktivister" forsøkt å spre passordstjelende trojanere på denne måten (hovedsaklig rettet mot online-spill som World of Warcraft, ol).

Den siste uken har det tilsynelatende vært en tredje aktør inne i bildet som forsøker å spre en malware med navnet "Danmec".

De første variantene av Danmec ble visstnok oppdaget i slutten av 2005, og dette har vært en forholdsvis ukjent malware. Danmec har utviklet seg siden den gang, og har nå fått en del oppmerksomhet i det siste på grunn av nettopp måten den benytter SQL-injections for å spre seg videre. Det må forøvrig nevnes at selve SQL-angrepene utføres av et verktøy som blir pushet til en Danmec-infisert klient etter den "initielle infiseringen". SecureWorks har en god writeup på denne saken.

Vi har sett litt nærmere på Danmec, og her er noen av våre erfaringer:

Distribuering
Vi ser Danmec bli distribuert via kompromitterte nettsteder som inneholder script-tags, hvor src i skrivende stund hovedsaklig er:

www.adw95.com/b.js
www.banner82.com/b.js

Disse domene er fast-flux og har mange dns-records med korte TTL-verdier - noe som gjør det veldig vanskelig å ta ned.

Skriptet, b.js, inneholder kode som redirecter klienten til en ny side som inneholder en nyere versjon av Neosploit (en exploit-pakke med exploits for blant annet QuickTime, SuperBuddy, GomWebCtrl, CA BrightStor ArcServe Backup)

Hva gjør den?
Danmec installerer seg selv som en Service i Windows, og vil bli automatisk startet ved reboot. Denne servicen vil dukke opp som "Microsoft ASPI Manager" under Control Panel ->
Administrative Tools -> Services. Selve filen vil ligge under <WinDir>\system32\aspimgr.exe.



Ved oppstart så vil Danmec kontakte en av dens C&C-servere, som forøvrig er hardkodede IP-adresser i binaryen, og motta en obfuskert konfigurasjonsfil.

Adressene som var hardkodet i denne varianten var som følger:

66.199.241.98
82.103.140.75
72.21.63.114
66.232.102.169
66.197.168.5
203.117.175.124

Denne ip-listen ble skrevet til <WinDir>\s32.txt. Danmec vil også skrive versjonsinformasjon til <WinDir>\ws386.ini.

Alle konfigfilene som denne trojaneren benytter blir obfuskert ved å XOR'e alle bytene med 0x1B:



Etter at konfig ble hentet fra en av hostene over, ble s32.txt overskrevet med oppdatert ipliste fra konfig:

203.117.175.124
216.150.79.226
66.197.168.5
66.199.241.98
66.232.102.169

I tillegg til disse ip-adressene inneholder også konfigurasjonsfilen blant annet spam-template, liste over e-post-adresser og navn.

Spam'en som blir sendt ut gjennom dette botnettet ser ut til å være hovedsaklig phishing og "software scams". Se under for eksempel.





Litt interessant er det også at Danmec oppretter en tråd som lytter på port 80/tcp med proxyfunksjonalitet. Sannsynligvis kan dette brukes ifb med fast-flux og hosting av phishing-sites.

Anbefalinger
Det anbefales å blackliste www.adw95.com og www.banner82.com i DNS-servere og proxyer.

I tillegg vil vi anbefale å blokkere og logge all aktivitet mot C&C-serverne til Danmec:

66.199.241.98
82.103.140.75
72.21.63.114
66.232.102.169
66.197.168.5
203.117.175.124