病毒通告:北韓木馬程式Volgmer 調查結果,建議請管理者儘速回溯查找是否有連線軌跡,清查是否資訊外洩或感染病毒!
2017/11/17
風險等級: 高度威脅
摘  要:

Volgmer 木馬軟體調查結果出爐,C2 Server 遍及全球各地,並由美國FBI與DHS (Department of Homeland Security) 調查後確認為北韓政府網軍所為。

Volgmer 通常透過魚叉式攻擊,鎖定攻擊目標,並在感染後快速擴展內部受害區域,在本次FBI報告中釋出大約94 組IP 與12 組惡意軟體檢查結果,Volgmer 如感染成功將提供駭客控制受害電腦內的所有資訊,包含DLL、process、資料複製等,並可作為殭屍網路之發動點。Volgmer 通常利用8088 或8080 以SSL 方式傳送加密訊息,HiNet SOC 建議管理者盡速查明過去半年是否有曾到這94 個IP 的連線紀錄,並確認是否有更新最新病毒碼。

影響系統:
  • 所有主機
  • 解決辦法:

    查明是否有過往連線紀錄,並盡早更新病毒碼。

    細節描述:

    Volgmer 通常利用8088 或8080 以SSL 方式傳送加密訊息,HiNet SOC 建議管理者盡速查明過去半年是否有曾到這94個IP的連線紀錄,如下表 IP列表如下:
    199[.]68[.]196[.]125
    103[.]16[.]223[.]35
    113[.]28[.]244[.]194
    116[.]48[.]145[.]179
    186[.]116[.]9[.]20
    186[.]149[.]198[.]172
    195[.]28[.]91[.]232
    195[.]97[.]97[.]148
    199[.]15[.]234[.]120
    200[.]42[.]69[.]133
    203[.]131[.]222[.]99
    210[.]187[.]87[.]181
    83[.]231[.]204[.]157
    84[.]232[.]224[.]218
    89[.]190[.]188[.]42
    109[.]68[.]120[.]179
    85[.]132[.]123[.]50
    80[.]95[.]219[.]72
    88[.]201[.]64[.]185
    103[.]10[.]55[.]35
    45[.]124[.]169[.]36
    222[.]44[.]80[.]138
    61[.]153[.]146[.]207
    41[.]131[.]164[.]156
    82[.]129[.]240[.]148
    82[.]201[.]131[.]124
    31[.]146[.]82[.]22
    103[.]27[.]164[.]10
    103[.]27[.]164[.]42
    112[.]133[.]214[.]38
    114[.]79[.]141[.]59
    115[.]115[.]174[.]67
    115[.]178[.]96[.]66
    115[.]249[.]29[.]78
    117[.]211[.]164[.]245
    117[.]218[.]84[.]197
    117[.]239[.]102[.]132
    117[.]239[.]144[.]203
    117[.]240[.]190[.]226
    117[.]247[.]63[.]127
    117[.]247[.]8[.]239
    118[.]67[.]237[.]124
    125[.]17[.]79[.]35
    125[.]18[.]9[.]228
    14[.]102[.]46[.]3
    14[.]139[.]125[.]214
    14[.]141[.]129[.]116
    180[.]211[.]97[.]186
    182[.]156[.]76[.]122
    182[.]72[.]113[.]90
    182[.]73[.]165[.]58
    182[.]73[.]245[.]46
    182[.]74[.]42[.]194
    182[.]77[.]61[.]231
    183[.]82[.]199[.]174
    183[.]82[.]33[.]102
    203[.]110[.]91[.]252
    203[.]196[.]136[.]60
    203[.]88[.]138[.]79
    43[.]249[.]216[.]6
    45[.]118[.]34[.]215
    139[.]255[.]62[.]10
    128[.]65[.]184[.]131
    128[.]65[.]187[.]94
    178[.]248[.]41[.]117
    185[.]113[.]149[.]239
    185[.]115[.]164[.]86
    185[.]46[.]218[.]77
    213[.]207[.]209[.]36
    217[.]218[.]90[.]124
    217[.]219[.]193[.]158
    217[.]219[.]202[.]199
    37[.]235[.]21[.]166
    37[.]98[.]114[.]90
    78[.]38[.]114[.]15
    78[.]38[.]182[.]242
    78[.]39[.]125[.]67
    80[.]191[.]171[.]32
    85[.]185[.]30[.]195
    85[.]9[.]74[.]159
    89[.]165[.]119[.]105
    91[.]106[.]77[.]7
    91[.]98[.]112[.]196
    91[.]98[.]126[.]92
    91[.]98[.]36[.]66
    94[.]183[.]177[.]90
    95[.]38[.]16[.]188
    27[.]114[.]187[.]37
    116[.]90[.]226[.]67
    113[.]203[.]238[.]98
    115[.]186[.]133[.]195
    182[.]176[.]121[.]244
    182[.]187[.]139[.]132
    37[.]216[.]67[.]155
    84[.]235[.]85[.]86
    103[.]241[.]106[.]15
    203[.]118[.]42[.]155
    58[.]185[.]197[.]210
    123[.]231[.]112[.]147
    222[.]165[.]146[.]86
    122[.]146[.]157[.]141
    140[.]136[.]205[.]209
    110[.]77[.]137[.]38
    118[.]175[.]22[.]10
    125[.]25[.]206[.]15
    203[.]147[.]10[.]65
    58[.]82[.]155[.]98
    61[.]91[.]47[.]142
    185[.]134[.]98[.]141

    惡意檔案雜湊值如下:
    2D2B88AE9F7E5B49B728AD7A1D220E84
    9A5FA5C5F3915B2297A1C379BE9979F0
    BA8C717088A00999F08984408D0C5288
    1B8AD5872662A03F4EC08F6750C89ABC
    E034BA76BEB43B04D2CA6785AA76F007
    EB9DB98914207815D763E2E5CFBE96B9
    143cb4f16dcfc16a02812718acd32c8f
    1ecd83ee7e4cfc8fed7ceb998e75b996
    35f9cfe5110471a82e330d904c97466a
    5dd1ccc8fb2a5615bf5656721339efed
    81180bf9c7b282c6b8411f8f315bc422
    e3d03829cbec1a8cca56c6ae730ba9a8

    管理者可透過自定Snort Rule 或Yara Rule進行偵測,偵測規則如下:

    Snort : alert tcp any any -> any any (msg:"Malformed_UA"; content:"User-Agent: Mozillar/"; depth:500; sid:99999999;)
    Yara :
    rule volgmer
    {
    meta:
    description = "Malformed User Agent"
    strings:
    $s = "Mozillar/"
    condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $s
    }
    HiNet SOC 建議管理者先查明過往半年內是否有以上IP的連線紀錄,並儘速更新病毒碼,或可使用HiNet 資安服務 - 防駭守門員進行攔阻,以降低受駭風險。

    參考資訊:

    US-CERT (2017/11/15)