понедельник, 19 марта 2012 г.

Drive-by FTP: новый вектор атаки CVE-2011-3544

Не так давно нам стало известно, об интересной активности с использованием Java/Exploit.CVE-2011-3544. Собственно основной интерес скрывался в том, что помимо стандартной активности по HTTP протоколу, была замечена загрузка полезной нагрузки через FTP. Причем эксплойт CVE-2011-3544 использовавшийся для этой атаки не подходил не под один шаблон, который  был известен в составе распространенных эксплойт паков.

Сразу после посещения вредоносной веб-страницы начиналась атака с использованием Java/Exploit.CVE-2011-3544:


Проанализировав сетевую активность сразу бросается в глаза загрузка /1/s.hml по протоколу FTP, а в дальнейшем и загрузка /1/exp.jar тем же способом.  

При дальнейшем анализе оказалось все просто и при посещении страницы в iFrame запускается вредоносный JavaScript при помощи которого и осуществляется FTP активность.


После деобфускации все выглядит гораздо понятнее:


Интересная часть, которая касается подключение к не публичному FTP-серверу (особенно пароль :)):




После успешного FTP-соединения происходит атака эксплойтом Java/Exploit.CVE-2011-3544,   скачивается исполняемый файл и сохраняется в директории %TEMP%.


Проанализировав этот исполняемый файл им оказался ранее известный троянец Win32/TrojanClicker.Agent.NII, которы активно используется для Black Hat SEO. Собственно он умеет скликивать контекстную рекламу (clickjacking), подменять поисковую систему по умолчанию и перенаправлять пользователя на сторонние ресурсы.


При взаимодействии с командным центром,нами были замечены следующие домены (хранятся в виде строковых констант в самом троянце):
  • gerla.be/nconfirm.php?rev=367&code=3&param=0&num=251011548122112
  • gerla.be/njob.php?num=11272479403879762944&rev=367
  • eksyghskgsbakrys.com/nconfirm.php?rev=367&code=3&param=0&num=251011548122112
  • eksyghskgsbakrys.com /njob.php?num=11272479403879762944&rev=367
  • msrgejsdyvekadh.com/nconfirm.php?rev=367&code=3&param=0&num=251011548122112 msrgejsdyvekadh.com /njob.php?num=11272479403879762944&rev=367
  • alsiatern.be/nconfirm.php?rev=367&code=3&param=0&num=251011548122112
  • alsiatern.be/njob.php?num=11272479403879762944&rev=367&ncrp=1
А список возможных задач/команд бота выглядит следующим образом:


P.S.: Отдельное спасибо Володе Кропотову, который первым заметил это аномальное поведение!

5 комментариев:

  1. Добрый день. А что было в файле 1/s.html ?

    И могли бы Вы написать пост о конференциях, которые стоит посетить.

    Я только ещё учусь и выбрал в своей жизни направление в комп. безопасности и много что ещё непонятно.

    Заранее благодарю.

    ОтветитьУдалить
    Ответы
    1. В 1/s.html, то что вы видите на 2 и 3 скриншотах.

      По поводу конференций по ИБ в РФ все очень грустно, есть ZeroNights, PHDays и разве что еще СС. Все остальное рекламный шлак ;) По поводу западных о тех, что у меня уже сложилось мнение ищите в блоге, а на всех остальных еще не был и сам высказаться не могу =)

      Удалить
    2. Спасио за ответ. Поищу

      Меня как раз интересовали зарубежные. Как-то мне кажется там больше информации, да и вообще намного лучше не в своем ментальном окружении находиться, а в более широком, чтобы видеть на чем сконцентрировано больше внимание в мире.

      По поводу поста, непонятно зачем скачивать по фтп страницу. Мне не удалось повторить последовательность заражения. Да и мне кажется, что загрузка через фтп или подстановка напрямую в ифрейме эксплойт пака, все равно при скомпрометированном криптокоде будет остановлена АВ, или же не остановлена.

      Выбор в пользу фтп пока непонятен.

      Удалить
    3. Ждите в ближайшее время еще отчеты с CARO, PHD и RECON ;)

      По поводу блокировки защитным ПО, тут собственно зависит от продукта. На мой взгляд трюк был использован для обхода различных IPS и AV. Атака, была в несколько этапов, как вы наверное заметили. А сам эксплойт злоумышленниками довольно часто заменялся на немного измененную версию, что убирало практически все его детекты.

      На момент публикации, атака по прежнему воспроизводилась с ресурса на котором был размещен вредоносный iFrame.

      Удалить
  2. Спасибо за пост, очень помогло мне при анализе связать некоторые факты в единую цепь.

    ОтветитьУдалить