Published: 2006-04-30,
:2006-04 - 30を発表しました、
Last Updated: 2006-04-30 18:26:20 UTC by Scott Fendley (Version: 2(click to highlight changes) )
最新アップデート:2006-04-30 スコット Fendley によっての18:26:20の UTC (バージョン:2(変更を強調するクリック))
:2006-04 - 30を発表しました、
Last Updated: 2006-04-30 18:26:20 UTC by Scott Fendley (Version: 2(click to highlight changes) )
最新アップデート:2006-04-30 スコット Fendley によっての18:26:20の UTC (バージョン:2(変更を強調するクリック))
The below was sent to us as well as some of the ISACs around the net tonight. As there is quite a bit of information being conveyed by the author, I am going to leave the majority of the advisory as originally written. I will note that this started with a click happy user on AIM to the best of our knowledge.
下はネットの周りに今晩、アイザック家の人たちの若干と同様、我々に送られました。 著者によって伝えられている相当のインフォメーションがある(とき・から・につれて・ように)、私は同じぐらい元来大多数の助言が書かれる状態にしておくつもりです。 私はこれが我々の知る限りでは狙い打ちでクリックの幸せなユーザーで始まったことを指摘するでしょう。
---snip---
---切断---
A bot was seen spreading via AOL Instant Messenger (AIM) earlier today that appears to be using "encrypted"[1] peer-to-peer (P2P - possibly Waste?) as the Command and Control (C&C) mechanism. The bots communicate with each other via port 8/TCP.
「暗号化される」[ 1] 「対等者への対等者」(P2P - 多分廃物ですか?)をコマンドとコントロール(C&C)メカニズムとして使用しているように思われるロボットが今日早く AOL インスタントメッセンジャー(狙い打ち)によって広まっているのを見られました。 ロボットはポート8 / TCP によってお互いとコミュニケートします。
The bot does not use DNS to find any C&C. It also does not use any human readable strings in its client/server communication. Therefore, many IDS measures will not help you detect infected hosts on your network. Flow analysis and/or tcpdump looking for mysterious port 8/TCP traffic seems to be the best way to detect these infections on your network.
ロボットは DNS をC&Cを見いだすために使いません。 それは同じくそのクライアント/サーバコミュニケーションで人間が読むことができるストリングを使いません。 そのために、処置があなたが検出するのを助けないであろう多くのIDがあなたのネットワーク上でホストに伝染しました。 流れ分析そして/あるいは神秘的なポート8 / TCP トラフィックを探している tcpdump があなたのネットワーク上でこれらの伝染病を検出する最も良い方法であるように思われます。
I realize that phatbot has been able to use Waste as the C&C for several years. However, I remember finding these botnets years ago, and the bots involved, and they typically were 600KB or more in size. The bot involved here is comparatively lean at 173KB.
私は phatbot が(今まで)数年間廃棄物をC&Cとして使うことが可能であったことを悟ります。 しかしながら、私は何年も前にこれらの botnets を見いだしたことを覚えています、そして関係しているロボットと(彼・それ)らは典型的に600KB、あるいはいっそうサイズのでした。 ここで関係しているロボットは173KBにおいて比較的貧弱です。
Info about the sample I obtained:
私が得たサンプルについてのインフォメーション:
MD5: 74600e5bc19538a3b6a0b4086f4e0053
MD5 : 74600e5bc19538a3b6a0b4086f4e0053
Installation Location (when run): %WINDIR%\System32\mstc.exe
インストレーションの場所(走らせられるとき):% WINDIR%\System32\mstc.exe
WinXP Firewall: Grants itself an exception called "null", which allows inbound 8/tcp from anywhere. This was done without the user notification pop-up (it likely edited the registry entry directly).
WinXP ファイアウォール:それ自身にどこからでも内行きの8 / tcp を許す「空である」と呼ばれる例外を与えます。 これはユーザー通知ポップアップ(それは直接多分レジストリ項目をエディットしました)なしでされました。
The file distributed via the AIM link and %WINDIR%\System32\mstc.exe are identical - no other files are dropped, etc.
リンクの目的によって配布されたファイルと% WINDIR%\System32\mstc.exe は同一です - 他のどのようなファイルも落とされるなどしません。
I infected a test computer with the binary. It tried to connect to port 8/tcp on 22 different IP addresses. (Note that these are most likely the "seeds" of the P2P network that were coded into the version of the binary that I downloaded.) Only four of the IP addresses responded that they were listening on 8/tcp.
私は2進数を持っているテストコンピュータを感染させました。 それは22の異なった IP アドレスの上にポート8 / tcp に接続しようとしました。 (これらが最も見込みが高く私がダウンロードしたという2進のバージョンの中にコードされた P2P ネットワークの「種」であることに注意を払ってください。) IP アドレスのたった4が(彼・それ)らが8 / tcp の上に聞いていたと応えました。
My lab computer tried to contact each of the 22 IP addresses many times (I left it infected for about 15 minutes with a firewall in place that blocked all incoming packets, solicited or otherwise). Since it tried to contact each of these many times, and not any other IP addresses, I feel it is fairly safe to guess it was not randomly selecting IPs to obscure "the real C&Cs".
私のラボコンピュータは何度も22の IP アドレスのそれぞれと接触しようとしました(私はそれをおよそ15分間要請されたか、あるいは違っているすべての入ってくるパケットをふさいだ配置されるファイアウォールに感染しているままにしておきました)。 それが他のいかなるも IP アドレスではなく、これらの多くの回数のそれぞれと連絡を取ろうとしましたから、私はそれがランダムに不明瞭にするべき IPs 「本当の C & Cs」を選択していなかったと思うことはかなり安全であると感じます。
Anyhow, after 15 minutes of firewalling off all inbound packets altogether (even SYN/ACKs) to my infected lab computer, I lifted the incoming IP restriction. The first host my lab computer connected to on 8/tcp started a relatively short connection (10-12 packets each way), and nothing was in cleartext. In the middle of the TCP conversation, that same host connected to port 8/tcp on my host (the malware holds that port open). The connection from them to me was simply a three-way handshake, immediately followed by FIN/ACKs from them then me. It then closed my connection to it altogether, via FIN/ACKs again.
いずれにしても、15分のまったくすべての内行きのパケットから離れてファイアウォールを使うこと(SYN / ACKs さえ)の後に私の感染しているラボコンピュータに、私は入ってくる IP 制限を撤廃しました。 私のラボコンピュータが8 / tcp の上に接続した最初のホストは(10-12パケットそれぞれの方法で)比較的短い接続を始動させました、そして何も cleartext にありませんでした。 TCP 会話の真ん中で、その同じホストは私のホスト(悪性ソフトはそのポートを開いたままにしておきます)の上にポート8 / tcp に接続しました。 接続は(彼・それ)らから私まで(彼・それ)ら それから私からただすぐにひれ / ACKs によって後に続かれた三者の握手でした。 それはひれ / ACKs を経由して再び、まったく、それからそれに私の接続を閉ざしました。
My host then tried several other IPs (still in the list of 22, with only four of them online), and this time, connected successfully to a different host. The connection lasted for a couple of minutes before I pulled the plug.
私のホストは(まだ22のリストで、(彼・それ)らのたった4がオンラインであるという状態で、)それから数匹の他の IPs を裁いて、そして今回は、成功裏に異なったホストに接続しました。 私が最後通牒を渡す前に、接続は2分の間続きました。
There was more communication this time around. During the connection, the remote host connected to 8/tcp on me just like the other one did (three-way handshake, then FIN/ACK, just like before). The initial connection from my host to theirs continued afterward. One of the packets from the remote host contained a full 1460 bytes of data. (Other packets to/from 8/tcp on infected hosts thus far had contained 64 bytes of data or less.) There was no SSL/TLS negotiation evident, and again, the contents were not human readable. I haven't taken the time yet to see if it's something simple like XOR or Base64. I suspect the content was an updated list of other infected hosts.
今回の場合もっと多くのコミュニケーションがありました。 接続の間に、私の上に他の(の・もの・人)とまったく同じように8 / tcp に関係した遠いホストはそうしました(三者の握手、それからひれ / ACK が、ただ前に好みます)。 最初の接続は 私のホストから(彼・それ)らのまでその後継続しました。 遠いホストからのパケットの1つが完全な1460バイトのデータを含みました。 (他のパケットが8 / tcp から / まで感染しているホストの上にこれまでのところ(すでに)データの64バイトかそれ以下を含んでいました。) 明白な SSL / TLS 交渉がありませんでした、そして再び、内容は人間が読むことができませんでした。 私はまだそれが XOR あるいは Base64 のように単純な何かであるかどうか見るのに時間をかけませんでした。 私は内容が他の感染しているホストの更新されたリストであったと思います。
While still connected to that host, my bot still tried connecting to others (not common for a traditional botnet, but expected for a P2P connection). It connected successfully to a third host. My host did to that host as the others above did to it - complete the three-way handshake, then ended it with FIN ACKs. It then connected to another host that was NOT on the initial seed list. (My theory is that my host learned of this one from another bot) After that, I turned it off, so that I could write this.
まだそのホストにつながれる間に、私のロボットはまだ(伝統的な botnet のために普通ではないが、 P2P 接続に待っていられた)他の人たちに接続しようとしました。 それは成功裏に3番目のホストに接続しました。 他の人たちが上にそれに - 三者の握手を完了した(とき・から・につれて・ように)、私のホストはそれにホストをして、それからひれ ACKs でそれを終わらせました。 それはそれから最初の種リストに載っていなかったもう1つのホストに接続しました。 (私の理論は私のホストがもう1つのロボットからこれを知ったということです)それの後に、私がこれを書くことができるように、私はそれを止めました。
Moral of the story: Prepare to watch for 8/tcp flows for a while. Unless I'm wrong, this botnet should be able to stick around for a while.
物語の教訓:しばらくの間8 / tcp 流れを見張る準備をしてください。 私が間違っていないなら、この botnet はしばらくの間近くで待つことが可能であるべきです。
[1] I am using "encrypted" in quotes because I have not identified the protocol - but it is not human-readable. I'm sorry if this sounds FUD-like, but I wanted to get the word out sometime *before* I had done hours of analysis!
[1]私がプロトコルを識別しなかったから、私はクォートで「暗号化される」を使っています - しかしそれは人間が読むことができません。 私はもしこれが FUD のように聞こえる、しかし私がワードを提出することを望んだなら、いつか * 前に * 私が(すでに)何時間もの分析をしていたことを遺憾に思います!
-------Snip-------
-------切断-------
Update 1:
最新情報1:
Earlier Sunday, Symantec has posted a write-up about this particular binary. It is located at http://www.sarc.com/avcenter/venc/data/w32.nugache.a@mm.html . Please note that they do not have any mention about the P2P traffic noted above. There is more analysis being done on malware by the various AV companies and others in our malware analysis team.
日曜日により以前に、 Symantec はこの特定の2進について批評記事を公表しました。 それは http://www.sarc.com/avcenter/venc/data/w32.nugache.a@mm.html に位置しています。 どうか(彼・それ)らが上に指摘された P2P トラフィックについて言及を持っていないことを指摘してください。 我々の悪性ソフト分析チームで種々のAV会社と他の人たちのそばに悪性ソフトの上にされているもっと多くの分析があります。
I expect that this binary will be detected by most AV companies quickly (today I hope) and slow its spread tremendously. However, I also expect that this is a signal that the botnet writers are entering a new generation of development and capabilities. Those of us that are tasked with defending our various networks will need to find a new and better game plan to spot and counter these encrypted/p2p based botnets.
I この2進が速くたいていのAV会社によって検出されると思ってください(今日私は希望します)そしてものすごくその普及を遅くします. しかしながら、私は同じくこれが botnet 著者が 発達と能力の新しい世代に入っているというシグナルであると思います。 我々の種々のネットワークを弁護するという仕事を与えられる我々の人たちはこれらの暗号化された / p2p ベースの botnets を見つけて、そしてそれに対処する新しい、そしてもっと良い作戦を見いだす必要があるでしょう。
--
-
Scott Fendley
スコット Fendley
Handler on Duty
勤務中の調教師
下はネットの周りに今晩、アイザック家の人たちの若干と同様、我々に送られました。 著者によって伝えられている相当のインフォメーションがある(とき・から・につれて・ように)、私は同じぐらい元来大多数の助言が書かれる状態にしておくつもりです。 私はこれが我々の知る限りでは狙い打ちでクリックの幸せなユーザーで始まったことを指摘するでしょう。
---snip---
---切断---
A bot was seen spreading via AOL Instant Messenger (AIM) earlier today that appears to be using "encrypted"[1] peer-to-peer (P2P - possibly Waste?) as the Command and Control (C&C) mechanism. The bots communicate with each other via port 8/TCP.
「暗号化される」[ 1] 「対等者への対等者」(P2P - 多分廃物ですか?)をコマンドとコントロール(C&C)メカニズムとして使用しているように思われるロボットが今日早く AOL インスタントメッセンジャー(狙い打ち)によって広まっているのを見られました。 ロボットはポート8 / TCP によってお互いとコミュニケートします。
The bot does not use DNS to find any C&C. It also does not use any human readable strings in its client/server communication. Therefore, many IDS measures will not help you detect infected hosts on your network. Flow analysis and/or tcpdump looking for mysterious port 8/TCP traffic seems to be the best way to detect these infections on your network.
ロボットは DNS をC&Cを見いだすために使いません。 それは同じくそのクライアント/サーバコミュニケーションで人間が読むことができるストリングを使いません。 そのために、処置があなたが検出するのを助けないであろう多くのIDがあなたのネットワーク上でホストに伝染しました。 流れ分析そして/あるいは神秘的なポート8 / TCP トラフィックを探している tcpdump があなたのネットワーク上でこれらの伝染病を検出する最も良い方法であるように思われます。
I realize that phatbot has been able to use Waste as the C&C for several years. However, I remember finding these botnets years ago, and the bots involved, and they typically were 600KB or more in size. The bot involved here is comparatively lean at 173KB.
私は phatbot が(今まで)数年間廃棄物をC&Cとして使うことが可能であったことを悟ります。 しかしながら、私は何年も前にこれらの botnets を見いだしたことを覚えています、そして関係しているロボットと(彼・それ)らは典型的に600KB、あるいはいっそうサイズのでした。 ここで関係しているロボットは173KBにおいて比較的貧弱です。
Info about the sample I obtained:
私が得たサンプルについてのインフォメーション:
MD5: 74600e5bc19538a3b6a0b4086f4e0053
MD5 : 74600e5bc19538a3b6a0b4086f4e0053
Installation Location (when run): %WINDIR%\System32\mstc.exe
インストレーションの場所(走らせられるとき):% WINDIR%\System32\mstc.exe
WinXP Firewall: Grants itself an exception called "null", which allows inbound 8/tcp from anywhere. This was done without the user notification pop-up (it likely edited the registry entry directly).
WinXP ファイアウォール:それ自身にどこからでも内行きの8 / tcp を許す「空である」と呼ばれる例外を与えます。 これはユーザー通知ポップアップ(それは直接多分レジストリ項目をエディットしました)なしでされました。
The file distributed via the AIM link and %WINDIR%\System32\mstc.exe are identical - no other files are dropped, etc.
リンクの目的によって配布されたファイルと% WINDIR%\System32\mstc.exe は同一です - 他のどのようなファイルも落とされるなどしません。
I infected a test computer with the binary. It tried to connect to port 8/tcp on 22 different IP addresses. (Note that these are most likely the "seeds" of the P2P network that were coded into the version of the binary that I downloaded.) Only four of the IP addresses responded that they were listening on 8/tcp.
私は2進数を持っているテストコンピュータを感染させました。 それは22の異なった IP アドレスの上にポート8 / tcp に接続しようとしました。 (これらが最も見込みが高く私がダウンロードしたという2進のバージョンの中にコードされた P2P ネットワークの「種」であることに注意を払ってください。) IP アドレスのたった4が(彼・それ)らが8 / tcp の上に聞いていたと応えました。
My lab computer tried to contact each of the 22 IP addresses many times (I left it infected for about 15 minutes with a firewall in place that blocked all incoming packets, solicited or otherwise). Since it tried to contact each of these many times, and not any other IP addresses, I feel it is fairly safe to guess it was not randomly selecting IPs to obscure "the real C&Cs".
私のラボコンピュータは何度も22の IP アドレスのそれぞれと接触しようとしました(私はそれをおよそ15分間要請されたか、あるいは違っているすべての入ってくるパケットをふさいだ配置されるファイアウォールに感染しているままにしておきました)。 それが他のいかなるも IP アドレスではなく、これらの多くの回数のそれぞれと連絡を取ろうとしましたから、私はそれがランダムに不明瞭にするべき IPs 「本当の C & Cs」を選択していなかったと思うことはかなり安全であると感じます。
Anyhow, after 15 minutes of firewalling off all inbound packets altogether (even SYN/ACKs) to my infected lab computer, I lifted the incoming IP restriction. The first host my lab computer connected to on 8/tcp started a relatively short connection (10-12 packets each way), and nothing was in cleartext. In the middle of the TCP conversation, that same host connected to port 8/tcp on my host (the malware holds that port open). The connection from them to me was simply a three-way handshake, immediately followed by FIN/ACKs from them then me. It then closed my connection to it altogether, via FIN/ACKs again.
いずれにしても、15分のまったくすべての内行きのパケットから離れてファイアウォールを使うこと(SYN / ACKs さえ)の後に私の感染しているラボコンピュータに、私は入ってくる IP 制限を撤廃しました。 私のラボコンピュータが8 / tcp の上に接続した最初のホストは(10-12パケットそれぞれの方法で)比較的短い接続を始動させました、そして何も cleartext にありませんでした。 TCP 会話の真ん中で、その同じホストは私のホスト(悪性ソフトはそのポートを開いたままにしておきます)の上にポート8 / tcp に接続しました。 接続は(彼・それ)らから私まで(彼・それ)ら それから私からただすぐにひれ / ACKs によって後に続かれた三者の握手でした。 それはひれ / ACKs を経由して再び、まったく、それからそれに私の接続を閉ざしました。
My host then tried several other IPs (still in the list of 22, with only four of them online), and this time, connected successfully to a different host. The connection lasted for a couple of minutes before I pulled the plug.
私のホストは(まだ22のリストで、(彼・それ)らのたった4がオンラインであるという状態で、)それから数匹の他の IPs を裁いて、そして今回は、成功裏に異なったホストに接続しました。 私が最後通牒を渡す前に、接続は2分の間続きました。
There was more communication this time around. During the connection, the remote host connected to 8/tcp on me just like the other one did (three-way handshake, then FIN/ACK, just like before). The initial connection from my host to theirs continued afterward. One of the packets from the remote host contained a full 1460 bytes of data. (Other packets to/from 8/tcp on infected hosts thus far had contained 64 bytes of data or less.) There was no SSL/TLS negotiation evident, and again, the contents were not human readable. I haven't taken the time yet to see if it's something simple like XOR or Base64. I suspect the content was an updated list of other infected hosts.
今回の場合もっと多くのコミュニケーションがありました。 接続の間に、私の上に他の(の・もの・人)とまったく同じように8 / tcp に関係した遠いホストはそうしました(三者の握手、それからひれ / ACK が、ただ前に好みます)。 最初の接続は 私のホストから(彼・それ)らのまでその後継続しました。 遠いホストからのパケットの1つが完全な1460バイトのデータを含みました。 (他のパケットが8 / tcp から / まで感染しているホストの上にこれまでのところ(すでに)データの64バイトかそれ以下を含んでいました。) 明白な SSL / TLS 交渉がありませんでした、そして再び、内容は人間が読むことができませんでした。 私はまだそれが XOR あるいは Base64 のように単純な何かであるかどうか見るのに時間をかけませんでした。 私は内容が他の感染しているホストの更新されたリストであったと思います。
While still connected to that host, my bot still tried connecting to others (not common for a traditional botnet, but expected for a P2P connection). It connected successfully to a third host. My host did to that host as the others above did to it - complete the three-way handshake, then ended it with FIN ACKs. It then connected to another host that was NOT on the initial seed list. (My theory is that my host learned of this one from another bot) After that, I turned it off, so that I could write this.
まだそのホストにつながれる間に、私のロボットはまだ(伝統的な botnet のために普通ではないが、 P2P 接続に待っていられた)他の人たちに接続しようとしました。 それは成功裏に3番目のホストに接続しました。 他の人たちが上にそれに - 三者の握手を完了した(とき・から・につれて・ように)、私のホストはそれにホストをして、それからひれ ACKs でそれを終わらせました。 それはそれから最初の種リストに載っていなかったもう1つのホストに接続しました。 (私の理論は私のホストがもう1つのロボットからこれを知ったということです)それの後に、私がこれを書くことができるように、私はそれを止めました。
Moral of the story: Prepare to watch for 8/tcp flows for a while. Unless I'm wrong, this botnet should be able to stick around for a while.
物語の教訓:しばらくの間8 / tcp 流れを見張る準備をしてください。 私が間違っていないなら、この botnet はしばらくの間近くで待つことが可能であるべきです。
[1] I am using "encrypted" in quotes because I have not identified the protocol - but it is not human-readable. I'm sorry if this sounds FUD-like, but I wanted to get the word out sometime *before* I had done hours of analysis!
[1]私がプロトコルを識別しなかったから、私はクォートで「暗号化される」を使っています - しかしそれは人間が読むことができません。 私はもしこれが FUD のように聞こえる、しかし私がワードを提出することを望んだなら、いつか * 前に * 私が(すでに)何時間もの分析をしていたことを遺憾に思います!
-------Snip-------
-------切断-------
Update 1:
最新情報1:
Earlier Sunday, Symantec has posted a write-up about this particular binary. It is located at http://www.sarc.com/avcenter/venc/data/w32.nugache.a@mm.html . Please note that they do not have any mention about the P2P traffic noted above. There is more analysis being done on malware by the various AV companies and others in our malware analysis team.
日曜日により以前に、 Symantec はこの特定の2進について批評記事を公表しました。 それは http://www.sarc.com/avcenter/venc/data/w32.nugache.a@mm.html に位置しています。 どうか(彼・それ)らが上に指摘された P2P トラフィックについて言及を持っていないことを指摘してください。 我々の悪性ソフト分析チームで種々のAV会社と他の人たちのそばに悪性ソフトの上にされているもっと多くの分析があります。
I expect that this binary will be detected by most AV companies quickly (today I hope) and slow its spread tremendously. However, I also expect that this is a signal that the botnet writers are entering a new generation of development and capabilities. Those of us that are tasked with defending our various networks will need to find a new and better game plan to spot and counter these encrypted/p2p based botnets.
I この2進が速くたいていのAV会社によって検出されると思ってください(今日私は希望します)そしてものすごくその普及を遅くします. しかしながら、私は同じくこれが botnet 著者が 発達と能力の新しい世代に入っているというシグナルであると思います。 我々の種々のネットワークを弁護するという仕事を与えられる我々の人たちはこれらの暗号化された / p2p ベースの botnets を見つけて、そしてそれに対処する新しい、そしてもっと良い作戦を見いだす必要があるでしょう。
--
-
Scott Fendley
スコット Fendley
Handler on Duty
勤務中の調教師
(出展:SANS)