Darkleech感染事案についての補足情報

malware

昨日 (4/3)、多数の Webサイトが Darkleechによって感染している状況を Ciscoがブログで報告し、その内容をもとに Ars Technicaが記事を公開しました。この感染事案について、いくつか補足情報をまとめておきたいと思います。(主に自分用)


Exclusive: Ongoing malware attack targeting Apache hijacks 20,000 sites | Ars Technica
Apache Darkleech Compromises (Cisco Blogs)
Apache狙いの攻撃横行、48カ国で2万超のWebサイトが感染か - ITmedia エンタープライズ

DarkleechはApache 2.2.2以降を使っているWebサーバに感染し、攻撃者がSSHバックドアを通じてリモートから悪質なApacheモジュールをアップロードできる状態にしてしまう。このモジュールによって感染先サイトに不正なiFrameを仕込み、そのWebサイトを見たユーザーを気づかれないように別のWebサイトに誘導してマルウェアに感染させる。

国内感染事例

上記の記事では特に触れられていませんが、これは先月国内で多数の Webサイトでの感染が報告された件と同じです。

ニュース - 国内Webサイトの改ざん相次ぐ、アクセスするとウイルス感染の恐れ:ITpro
「ゆかしメディア」や「琴浦さん」などでも被害:おさまらぬWeb改ざん被害、Apacheモジュールの確認を - @IT

2013年3月中旬以降、複数のWebサイトで、Webサーバ「Apache」に不正なモジュール「Darkleech Apache Module」が仕込まれ、アクセスしてきたユーザーのPCをマルウェアに感染させる被害が相次いで報告されている。


国内での感染被害について最初に報告を行ったのは 0day.jpブログです。

0day.jp (ゼロデイ.JP): #OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます!
0day.jp (ゼロデイ.JP): DarkLeech Apache Moduleマルウェアのリバースエンジニアリング調査 (#OCJP-098について) (続報)

日本国内の285件ウェブサイトが「Darkleech Apache Module」マルウェアに感染し、もし感染されたサイトをInternet ExplorerブラウザでアクセスしたらBlackholeの感染サイトに転送されてしまいます。転送されたらパソコンにあるPDF/Java/Flash古いバーションの脆弱性を使われて、パソコンがBlackholeで提供されているマルウェアに感染されます、との恐ろしい状況が現状日本に発見いたしました。


IIJでもこの報告をもとに独自の調査結果をまとめています。

IIJ Security Diary: BHEK2 による大量改ざん
IIJ Security Diary: BHEK2を悪用した国内改ざん事件の続報

本日、0day.jp のブログにおいて、日本国内において BHEK2 (Blackhole Exploit Kit Version 2) の改ざんが多発しているとの報告がなされていたため、IIJ でも独自に調査を行いました。

海外感染事例

著名なサイトでの感染事例がいくつか報告されています。

Los Angels Times
avast! blog » Malware on LA Times
Exploit Sat on LA Times Website for 6 Weeks — Krebs on Security

Seagate
Seagate’s blog pushes malware on unsuspecting visitors via rogue Apache modules |

感染原因

はっきりとはしていないのですが、Plesk Panelの脆弱性などが悪用されているようです。(国内感染事例における Plesk Panelの利用状況)

CVE-2012-1557 (2012-03-12公開)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1557

SQL injection vulnerability in admin/plib/api-rpc/Agent.php in Parallels Plesk Panel 7.x and 8.x before 8.6 MU#2, 9.x before 9.5 MU#11, 10.0.x before MU#13, 10.1.x before MU#22, 10.2.x before MU#16, and 10.3.x before MU#5 allows remote attackers to execute arbitrary SQL commands via unspecified vectors, as exploited in the wild in March 2012.

http://kb.parallels.com/en/113321

Best Practices
In order to be on a safe side we recommend that you secure your server and your customers' subscriptions by resetting passwords for all Plesk accounts using the script from Plesk Service Team:

上記にもあるように Parallesは最新バージョンにするだけでなく、パスワードリセットも推奨しています。


CVE-2012-1557は 1年前に公開されたものなので、この脆弱性を悪用した攻撃事例が昨年多く観測されています。ただしこれとは別の脆弱性が悪用されているのではないかとの情報もあります。(これらの攻撃と Darkleechとの直接の関連性はありません。.jsファイルに不正なコードを挿入する手口が使われています。)

http://blog.sucuri.net/2012/06/plesk-vulnerability-leading-to-malware.html
http://blog.unmaskparasites.com/2012/06/22/runforestrun-and-pseudo-random-domains/
http://blog.unmaskparasites.com/2012/06/26/millions-of-website-passwords-stored-in-plain-text-in-plesk-panel/
http://blog.unmaskparasites.com/2012/07/26/runforestrun-now-encrypts-legitimate-js-files/
Plesk 0Day For Sale As Thousands of Sites Hacked — Krebs on Security
http://www.symantec.com/connect/blogs/blackhole-4

Plesk File Managerを悪用して不正なコードを挿入する事例 (Apacheのアクセスログ)
http://pastebin.com/kvc30bWV

下記によると、version 11より前の Plesk Panelはパスワードを平文でファイルに保存していたようです。
http://blog.unmaskparasites.com/2012/06/26/millions-of-website-passwords-stored-in-plain-text-in-plesk-panel/


(4/8 追記)
JPCERT/CCから旧バージョンの Plesk Panelの利用に関する注意喚起がでました。

旧バージョンの Parallels Plesk Panel の利用に関する注意喚起

JPCERT/CC では、サーバ上に不正な Apache モジュールが設置されたことにより、Web サイト閲覧時に意図しない JavaScript が挿入される Web 改ざんに関する報告を多数受けています。改ざんされたサイトを閲覧した場合、結果としてユーザの PC がマルウエアに感染する可能性があります。

弊センタ―にて入手した情報によると、これらのサイトでは、サポート期限切れのバージョンを含む旧バージョンの Parallels Plesk Panel が多く使われているとのことです。Parallels Plesk Panel が稼働しているサーバには、付随する様々なソフトウエア(MySQL、BIND、phpMyAdmin 等)がインストールされている可能性があり、ユーザはこれらのソフトウエアを使用している認識が薄いため、脆弱性を内在した古いバージョンで稼働している場合が多くあります。

マルウェア情報

Darkleechはロシアのアンダーグラウンド掲示板で売られていたことがわかっています。

スクリーンショット (Eric Romang Blogより)
f:id:ukky3:20130404154558p:plain

上記の英語翻訳はコチラ

DarkLeech - module Apache / 2 to insert IFRAME to all sites on the server

You want to have a steady stream of high-quality cores, but still ifreymish ftp-kites? Now in Public unique technology simplifies drain traffic from the server admins and complicates the work.

Module Apache / 2 is designed to be inserted into your frames all sites on the server. Features:

Insert frames in php / html / js
Periodic updating of the frame with the URL vkompilennogo
The frame is only granted users the unique (cookie + IP)
Option to frames only cores from search engines
The frame is not given to search engines, Google Chrome, Linux users, local IP, etc.
Option to produce a frame at once, or aggressive mode
Encryption row cache and traffic

Darkleechの古いバージョンのソースコード
http://pastebin.com/6wWVsstj

ロシアのセキュリティ研究者による解説資料 (PDF)
http://download.yandex.ru/company/experience/yac2012/volkov_yac_2012.pdf

VirusTotalサンプル
https://www.virustotal.com/en/file/345a86f839372db0ee7367be0b9df2d2d844cef406407695a2f869d6b3380ece/analysis/
https://www.virustotal.com/en/file/94ef407cc485989464dcf390fcea6e82218bc89f75394e41a95e0bb31830786b/analysis/
https://www.virustotal.com/en/file/ece16200fd54500a33d81f37a9f864148cbf8846514978413168ffacd46d28c3/analysis/


Darkleech関連情報

昨年 8月頃から Darkleech (Linux/Chapro) に関するセキュリティ研究者らの報告があがっています。

http://blog.unmaskparasites.com/2012/08/13/rfi-server-wide-iframe-injections/
http://blog.unmaskparasites.com/2012/09/10/malicious-apache-module-injects-iframes/
http://ondailybasis.com/blog/?p=1368
http://blog.webroot.com/2012/11/26/cybercriminals-release-stealthy-diy-mass-iframe-injecting-apache-2-modules/
http://www.welivesecurity.com/2012/12/18/malicious-apache-module-used-for-content-injection-linuxchapro-a/
http://www.welivesecurity.com/2012/12/20/malicious-apache-module-a-clarification/
http://eromang.zataz.com/2012/12/20/isnt-linuxchapro-a-only-darkleech-apache-module/
http://blog.sucuri.net/2013/01/web-server-attacks-apache-module-log-management-and-relm.html
http://blog.sucuri.net/2013/01/server-side-iframe-injections-via-apache-modules-and-sshd-backdoor.html
http://blog.sucuri.net/2013/02/web-server-compromise-debian-distro-identify-and-remove-corrupt-apache-modules.html
http://nakedsecurity.sophos.com/2013/03/05/rogue-apache-modules-iframe-blackhole-exploit-kit/
http://malwaremustdie.blogspot.jp/2013/03/the-evil-came-back-darkleechs-apache.html


なお以下は Darkleechと直接の関連はありませんが、Linuxに感染して iframeを挿入する類似の事例です。
http://seclists.org/fulldisclosure/2012/Nov/94
https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections
http://www.crowdstrike.com/blog/http-iframe-injecting-linux-rootkit/index.html


(更新履歴)

  • 4/4 PM 記事公開
  • 4/4 PM 類似の別の感染事例が混ざっていたので修正しました。
  • 4/4 PM マルウェアに関する情報を追加しました。
  • 4/8 PM JPCERT/CCからの注意喚起について追記しました。