Spodziewałem się więcej jajek w mailach, w których złośliwe oprogramowanie robi sobie ze mnie jaja myśląc, że uruchomię „pocztówkę” przysłaną od miliarda moich botnetowych przyjaciół. A tu zostałem zalany spamem o temacie: moja_domena.com account notification. I rozumiem, że miał taki mail zadziałać w moje uczucie troski o bezpieczeństwo tak ważnego tematu jakim jest domena, ale w święta?! W święta powinienem otrzymać jajko i zajączka wyskakującego z pięknym .exe. Uwzględniając jednak fakt, że otrzymałem tych maili sporo i dla kilku domen, skuteczność zapewne była jak zawsze na odpowiednio zadowalającym poziomie :]
Różne pola From, różne nagłówki X-mailer, różne adresy IP, a treść wiadomości wygląda tak:
Dear Customer,
This e-mail was send by moja_domena.com to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions
(C) moja_domena.com
W załączniku w każdym przypadku:
Application/ZIP (Name: „Instructions.zip”) 122 KB
Po rozpakowaniu:
instructions.exe: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
A po wrzuceniu do serwisu VirusTotal.com raport wygląda tak:
MD5: 5d5a3c1669421ce94f6f15e917c150db
First received: 2010.04.05 11:53:02 UTC
Date: 2010.04.05 13:01:28 UTC [<1D]
Results: 3/39
Czyli 3 silniki antywirusowe wykryły szkodliwość pliku i w zasadzie mogę śmiało stwierdzić, że to na pewno informacja dotycząca blokady mojego konta, a nie żadne zuo ;] W takim razie uruchamiam.
W pierwszej kolejności zauważymy zapytanie o domenę i odpowiedź:
DNS Standard query A newsafetyplace_com
DNS Standard query response A 204.12.226.170
By po chwili udając zgłosić się udając przeglądarkę stron WWW do centrali:
GET /httpss/ldr123.php?v=21&step=1&hostid=2E8A9B60D0E4CD9A72FB8E2B2954CC71 HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MS-RTC LM 8)
Host: newsafetyplace_com
Connection: Keep-Alive
Niestety chyba już ktoś wyłączył tudzież popsuł centralę gdyż odpowiada błędem braku strony 404 (lub sprytnie udaje, że tak odpowiada)
Not Found
The requested URL /httpss/ldr123.php was not found on this server.
Apache/2.2.9 (Debian) PHP/5.3.2-0.dotdeb.1 with Suhosin-Patch Server at newsafetyplace_com Port 80
Odnoszę jednak wrażenie, że strony nie ma dlatego, że po chwili następuje ponowne wysłanie tego samego zapytania i tak 4 razy.
I nagle pobieramy teoretycznie plik, który poprawnie zwraca odpowiedź od serwera (tak na prawdę nie jest przesyłany plik, a jedynie odpowiedź OK):
/getfile.php?r=-107945997&p=TUFDSElORT0yRThBOUI2MEQwRTRDRDlBNzJGQjhFMkIyOTU0Q0M3MQ0KT1A9SU5GTw0KVFJLPTI0
który to parametr „p” po zdekodowaniu base64 wygląda:
MACHINE=2E8A9B60D0E4CD9A72FB8E2B2954CC71
OP=INFO
TRK=24
Po tym wszysktim następuje punkt kulminacyjny i przesyłane zostają informacje o moim systemie operacyjnym (znów niestety w miejsce, którego, być może rzekomo – nie ma):
POST /logs2/log.php?hostid=2E8A9B60D0E4CD9A72FB8E2B2954CC71&tm=1170378637&affid=24 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Internet Exloprer
Host: newsafetyplace_com
Content-Length: 19744
Cache-Control: no-cache
Informacje zawierają listę procesów, wersję procesora, systemu itp.:
[05/04/10 16:43:53:183 01a0] Iteration 1
[05/04/10 16:43:53:183 01a0] Version: OS:5.1, BLD:xxxx, PLTF:x, SPS:Dodatek Service Pack 3, SP:xxxxx.xx, STMSK:xxxxx, PROD:xx
[05/04/10 16:43:53:183 01a0] Platform:AMD Sempron(tm) Processor xxxx+(x86 Family 15 Model 44 Stepping 2)
[05/04/10 16:43:53:183 01a0] Dumping processes {
[05/04/10 16:43:53:203 01a0] N:[System Process].P:0
[05/04/10 16:43:53:203 01a0] N:System.P:4
[05/04/10 16:43:53:203 01a0] N:SMSS.EXE.P:324
[05/04/10 16:43:53:203 01a0] N:CSRSS.EXE.P:612
…
[05/04/10 16:43:53:213 01a0] Installed soft dump {
[05/04/10 16:43:53:213 01a0] K:Adobe Flash Player ActiveX.N:Adobe Flash Player 10 ActiveX
[05/04/10 16:43:53:213 01a0] K:Connection Manager.N:
[05/04/10 16:43:53:213 01a0] K:DirectAnimation.N:
[05/04/10 16:43:53:213 01a0] K:DirectDrawEx.N:
[05/04/10 16:43:53:213 01a0] K:KB923561.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB923561)
[05/04/10 16:43:53:213 01a0] K:KB938464.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB938464)
[05/04/10 16:43:53:213 01a0] K:KB946648.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB946648)
[05/04/10 16:43:53:213 01a0] K:KB950760.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB950760)
[05/04/10 16:43:53:213 01a0] K:KB950762.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB950762)
[05/04/10 16:43:53:213 01a0] K:KB950974.N:Aktualizacja zabezpiecze. dla systemu Windows XP (KB950974)
…
[05/04/10 16:43:53:223 01a0] Installed soft dump }
[05/04/10 16:43:53:223 01a0] Startup loader [C:\instructions.exe], hostid [2E8A9B60D0E4CD9A72FB8E2B2954CC71]
[05/04/10 16:43:53:223 01a0] WinMain.Waiting for mutex.GLE:00000000
[05/04/10 16:43:53:834 01a0] WinMain.Mutex owned, creating loader object.GLE:00000006
[05/04/10 16:43:53:834 01a0] CSpreadingManager::CSpreadingManager.Checking event is c_6DD753CC456B3D28FCF3B8B72C6D073B.GLE:00000006
[05/04/10 16:43:53:834 01a0] CMultiLoader::CMultiLoader
[05/04/10 16:43:53:834 01a0] IsAdmin: 1
[05/04/10 16:43:53:834 01a0] === begin loading config ===
[05/04/10 16:43:53:834 01a0] === end loading config ===
[05/04/10 16:43:53:834 01a0] Loaded config: tracking [24], magic [LDRCFG]
[05/04/10 16:43:53:834 01a0] Additional url parameter: [affid=24]
[05/04/10 16:43:53:834 01a0] CAutorunManager::CAutorunManager.Loading HKLM\Run.GLE:00000000
[05/04/10 16:43:54:475 01a0] CMultiLoader::Work
[05/04/10 16:43:54:475 01a0] get url [http://windowsupdate.microsoft.com] {
[05/04/10 16:43:54:766 0524] autorun
[05/04/10 16:43:55:266 0524] spreading
[05/04/10 16:43:55:667 01a0] InternetOpenUrlW ok
[05/04/10 16:43:55:667 01a0] Download started. Content length 3191
[05/04/10 16:43:55:687 01a0] Recv finished, 3191 recvd, ret 1
[05/04/10 16:43:55:687 01a0] } get url return 1
[05/04/10 16:43:55:687 01a0] CMultiLoader::Work.Loading file info.GLE:00000006
[05/04/10 16:43:56:298 01a0] GetLink: trk[24] machine[2E8A9B60D0E4CD9A72FB8E2B2954CC71] op[INFO]
[05/04/10 16:43:56:298 01a0] Url: [http://newsafetyplace_com/getfile.php?r=-107955996&p=TUFDSElORT0yRThBOUI2MEQwRTRDRDlBNzJGQjhFMkIyOTU0Q0M3MQ0KT1A9SU5GTw0KVFJLPTI0]
[05/04/10 16:43:56:298 01a0] get url [http://newsafetyplace_com/getfile.php?r=-107955996&p=TUFDSElORT0yRThBOUI2MEQwRTRDRDlBNzJGQjhFMkIyOTU0Q0M3MQ0KT1A9SU5GTw0KVFJLPTI0] {
[05/04/10 16:43:56:949 01a0] InternetOpenUrlW ok
[05/04/10 16:43:56:949 01a0] Download started. Content length 2
[05/04/10 16:43:56:949 01a0] Recv finished, 2 recvd, ret 1
[05/04/10 16:43:56:949 01a0] } get url return 1
[05/04/10 16:43:57:560 01a0] CMultiLoader::Work.Server return OK.GLE:00000006
[05/04/10 16:43:57:560 01a0] CMultiLoader::Work.sleep 1800000 ms.GLE:00000006
[05/04/10 16:43:57:560 01a0] ====== endlog ======
Niestety otrzymujemy ponownie odpowiedź 404 aby następnie znów spróbować posłać te dane by na samiutkim końcu otrzymać HTTP/1.1 504 Gateway Time-out :]
Co wesołe do mojego rejestru startowego dodało się wiele usług uruchamiających tę aplikacje. Nie dość, że masowo bo w liczbie sztuk kilku, zarówno do klucza Run jak i RunServices, to do tego bardzo sprytnie, gdyż w nazwach usług zostały wykorzystane aplikacje, które faktycznie mam zainstalowane w systemie. A każde nowe zarażenie to losowe wybranie nowych nazw. Najs :]
I trochę danych WHOISowych dla potomności:
whois NEWSAFETYPLACE_COM
Domain Name: NEWSAFETYPLACE_COM
Registrar: DOMAINCONTEXT, INC.
Whois Server: whois.domaincontext.com
Referral URL: http://www.domaincontext.com
Name Server: NS1.NEWSAFETYPLACE_COM
Name Server: NS2.NEWSAFETYPLACE_COM
Status: clientTransferProhibited
Updated Date: 26-mar-2010
Creation Date: 25-mar-2010
Expiration Date: 25-mar-2011
Registrant:
N/A
Karassartova Indira (elizqybon@hotmail.com)
17 Zholobasbekov
Tastak
Almaty,480012
KZ
Tel. +800.5011067Creation Date: 25-Mar-2010
Expiration Date: 25-Mar-2011
whois 204.12.226.170
WholeSale Internet, Inc. WHOLESALEINTERNET-3 (NET-204-12-192-0-1)
204.12.192.0 – 204.12.255.255
Krutik Servers WII-2012-10040894 (NET-204-12-226-168-1)
204.12.226.168 – 204.12.226.175
Nie klikajcie tego ;]]]]]]]]
7 komentarzy do
6 kwietnia, 2010 o godzinie 15:29
Dostałem właśnie nową wersję:
Please click on the following link (or copy & paste it into your web browser):
http://katjusza.home.pl/instructions.exe
Wesołą domenę utrafili :] Sprawdźcie co tam normalnie klika…
I plik jest nowy :}
http://www.virustotal.com/pl/analisis/323836aa134b2b66d8e33802f961b82a88bcc385b4427f46f90005d733218e0e-1270560290
7 kwietnia, 2010 o godzinie 09:21
Po zgłoszeniu do działu BOK firmy home.pl (zwyczajowy formularz na ich stronie) – w ciągu kilku godzin zostały podjęte odpowiednie działania.
I to mi się podoba. Czy nie mogłoby tak być wszędzie?
Kolejne miliony ocalone ;]
14 kwietnia, 2010 o godzinie 22:08
Rozwalam sobie łindołsa.
Masz ten pliczek :]?
15 kwietnia, 2010 o godzinie 09:01
Wersja bodajże 1 przed tym opisywanym:
http://rapidshare.com/files/376068953/Instructions.exe.html
15 kwietnia, 2010 o godzinie 13:17
Dzięki. Zaraz wszystko przetestuje :)
4 sierpnia, 2014 o godzinie 19:06
Otrzymałem coś podobnego. Wersja z 2014.08.04
Wszystkie dotyczące mnie adresy IP zostały zagwiazdkowane…
A public NTP server on your network, running on IP address ***.***.***.*** and UDP port 123, participated in a very large-scale attack against a customer of ours, generating UDP responses to spoofed „monlist” requests that claimed to be from the attack target.
Please consider reconfiguring this NTP server in one or more of these ways:
1. If you run ntpd, upgrading to the latest version, which removes the „monlist” command that is used for these attacks; alternately, disabling the monitoring function by adding „disable monitor” to your /etc/ntp.conf file.
2. Setting the NTP installation to act as a client only. With ntpd, that can be done with „restrict default ignore” in /etc/ntp.conf; other daemons should have a similar configuration option. More information on configuring different devices can be found here: https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html.
3. Adjusting your firewall or NTP server configuration so that it only serves your users and does not respond to outside IP addresses.
If you don’t mean to run a public NTP server, we recommend #1 and #2. If you do mean to run a public NTP server, we recommend #1, and also that you rate-limit responses to individual source IP addresses — silently discarding those that exceed a low number, such as one request per IP address per second. Rate-limit functionality is built into many recently-released NTP daemons, including ntpd, but needs to be enabled; it would help with different types of attacks than this one.
Fixing open NTP servers is important; with the 1000x+ amplification factor of NTP DRDoS attacks — one 40-byte-long request can generate up to 46800 bytes worth of response traffic — it only takes one machine on an unfiltered 100 Mbps link to create a 100+ Gbps attack!
If you are an ISP, please also look at your network configuration and make sure that you do not allow spoofed traffic (that pretends to be from external IP addresses) to leave the network. Hosts that allow spoofed traffic make possible this type of attack.
Further reading:
https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks
https://isc.sans.org/forums/diary/NTP+reflection+attack/17300
http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&smlogin=true
You can find more vulnerable servers on a network through this site: http://openntpproject.org/
Example NTP responses from the host during this attack are given below.
Timestamps (far left) are PDT (UTC-7), and the date is 2014-08-04.
07:39:29.571470 IP ***.***.***.***.123 > 31.186.251.x.9987: NTPv2, Reserved, length 440
0x0000: 4500 01d4 0000 0000 3911 08ae 5bc0 0084 E…….9…[…
0x0010: 1fba fb6d 007b 2703 01c0 70e1 d700 032a …m.{’…p….*
0x0020: 0006 0048 0000 0000 0000 0000 0000 0000 …H…………
0x0030: 0000 00f4 1fba fb6d 0a38 38b6 0000 0001 …….m.88…..
0x0040: 2703 0702 0000 0000 0000 0000 0000 0000 '……………
0x0050: 0000 ..
07:39:29.571485 IP ***.***.***.***.123 > 31.186.251.x.9987: NTPv2, Reserved, length 440
0x0000: 4500 01d4 0000 0000 3911 08ae 5bc0 0084 E…….9…[…
0x0010: 1fba fb6d 007b 2703 01c0 e00e d701 032a …m.{’……..*
0x0020: 0006 0048 0000 0007 0000 0006 0000 0000 …H…………
0x0030: 0000 0a1b c0df 1e0b 0a38 38b6 0000 0001 ………88…..
0x0040: 6987 0702 0000 0000 0000 0000 0000 0000 i……………
0x0050: 0000 ..
07:39:29.571715 IP ***.***.***.***.123 > 31.186.251.x.9987: NTPv2, Reserved, length 440
0x0000: 4500 01d4 0000 0000 3911 08ae 5bc0 0084 E…….9…[…
0x0010: 1fba fb6d 007b 2703 01c0 7699 d702 032a …m.{’…v….*
0x0020: 0006 0048 0000 0040 0000 0022 0000 0000 …H…@…”….
0x0030: 0000 0045 59ab 0b1e 0a38 38b6 0000 0001 …EY….88…..
0x0040: 007b 0404 0000 0000 0000 0000 0000 0000 .{…………..
0x0050: 0000 ..
(The final octet of our customer’s IP address is masked in the above output because some automatic parsers become confused when multiple IP addresses are included. The value of that octet is „109”.)
-John
President
Nuclearfallout, Enterprises, Inc. (NFOservers.com)
(We’re sending out so many of these notices, and seeing so many auto-responses, that we can’t go through this email inbox effectively. If you have follow-up questions, please contact us at noc@nfoe.net.)
12 marca, 2018 o godzinie 07:02
Dobrze opisane dziki >Zamiast witecznych jajek otrzymaem informacje o blokadzie konta: account notification | Bothunters.pl blog <;) !