2017年4月20日 Leave a Comment

4 月 7 日～ 4 月 14 日の 1 週間のマルウェアに関するまとめ

3 min read

TALOS Japan

本日の投稿では、4 月 7 日～ 4 月 14 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、Talos が確認した脅威のまとめとして、脅威の主な行動特性、セキュリティ侵害の指標、そしてシスコのお客様がこれらの脅威からどのように保護されるかに焦点を当てていきます。

下記の脅威に関してここで記載する情報は、すべてを網羅しているわけではないこと、また公開日の時点では最新のものであることに留意してください。以下の脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、FireSIGHT Management Center、Snort.org、または ClamAV.net を参照してください。

今週最も蔓延した脅威は次のとおりです。

Trojan.Adwind-6260775-0
リモートアクセスのトロイの木馬
AlienSpy、Frutas、JRat などとも呼ばれる Adwind は、Java をベースとするリモートアクセスのトロイの木馬で、通常は電子メールで配布されます。Java ベースであるため、各種のオペレーティングシステムや、モバイルデバイスにも感染できます。キーストロークのキャプチャ、ビデオの録画やオーディオの録音、キャッシュされたパスワードおよび保存されたデータの取得などを可能にします。

Trojan.VBSinkDropper
Dropper
このサンプルは Visual Basic で作成されており、第 2 段階のペイロードをドロップして実行することが主な目標です。ドメインがトロイの木馬「Zeus」に関連しているため、おそらくは Zeus の亜種であると考えられます。このサンプルには高度な難読化が施され、分析を回避するためのデバッグ対策および VM 対策テクニックを備え、他のプロセスアドレス空間でコードインジェクションを実行します。このサンプルは現在、大規模スパムキャンペーンで添付ファイルとして配信されています。

Trojan.AutoIt-6260345-0
トロイの木馬 – Dropper
初期バイナリには AutoIt スクリプトが含まれています。スクリプトは難読化されています。AutoIt の DllStructCreate と DllStructSetData によって、複数のインメモリ DLL 構造体を作成します。スクリプトは、これらの DLL 構造に挿入されたシェルコードを実行します。

Ransomware.Cerber-6267996-1
ランサムウェアファミリ
「Cerber」は流行しているランサムウェアファミリです。開発も盛んに行われているため、今後も蔓延が続く見通しです。このランサムウェアは、デスクトップの壁紙や警告表示などの形で複数の身代金要求メッセージを表示します。

Virus.Hematite-6232506-0
ファイルインフェクタ
Hematite は、実行可能ファイルを通じて拡散する、シンプルながら効果的なウイルスです。攻撃対象のマシンに拡張子 .exe のファイルがないか、スキャンします。Hmatite は各ファイルの末尾に 3,000 バイトの悪意のあるシェルコードを付加します。そして元の実行可能ファイルのエントリポイントを変更し、シェルコードを読み込んで実行します。

Dropper.Agent-6249585-0
Office VBA/PowerShell ダウンローダ/Dropper
このサンプルは、マクロを使用して PowerShell スクリプトを起動する Microsoft Word 文書です。スクリプトが実行されると別の実行可能ペイロードをダウンロードして実行します。

Virus.Sality-6193004-1
Windows ファイルインフェクタ
Sality は、ピアツーピアボットネットを確立するファイルインフェクタです。10 年以上にわたって蔓延していますが、検出を免れるため、目に付きにくい新しいサンプルが日々登場しています。境界セキュリティをバイパスした Sality クライアントの最終目標は、その他のマルウェアを実行できるダウンローダコンポーネントを実行することです。

Dropper.Dridex-6260340-0
Office マクロベースのダウンローダ
Dridex ドキュメントは Microsoft Office を利用してマルウェアのペイロードを配信します。これらは CryptXXX および Locky のような銀行を狙ったトロイの木馬やランサムウェアによく使用されています。今週、Dropper.Dridex-6260340-0 で Cerber が redchip2.exe として配信されました。

Macro.CmdC-6249572-0
Office マクロ難読化ヒューリスティック
Office マクロコードを使用して、ターゲットシステムにさらなる侵害を与えます。このヒューリスティックは、シェルコマンドを難読化するマクロ技法を強化しています。シェルコマンドは、システムをさらに侵害するために実行されます。

File.MaliciousHeuristic-6260279-2
JavaScript 難読化ヒューリスティック
javascript の署名、検出、手動での分析を困難にするため、機能を小規模な関数に分割することで、難読化を実装しています。

脅威

Java.Trojan.Adwind-6260775-0

侵入の痕跡

レジストリ キー

MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[application name].exe
- 値：MAXIMUM ALLOWED
USER\[uuid]\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- 値：[a-zA-Z]+
- データ：“C:\Users\[user]\AppData\Roaming\Oracle\bin\javaw.exe” -jar “C:\Users\[user]\[a-zA-Z]+\[a-zA-Z]+.[a-zA-Z]+”
USER\[uuid]\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS
- 値：LowRiskFileTypes
- データ：.avi;.bat;.com;.cmd;.exe;.htm;.html;.lnk;.mpg;.mpeg;.mov;.mp3;.msi;.m3u;.rar;.reg;.txt;.vbs;.wav;.zip;.jar;
MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS NT\SYSTEMRESTORE
- 値：DisableConfig
- データ：1
MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
- 値：EnableLUA
- データ：0

ミューテックス

該当なし

IP アドレス

127.99[.]134:2888

ドメイン名

作成されたファイルやディレクトリ

\Users\[user]\AppData\Local\Temp\Retrive[0-9]+.vbs

その他

AV ソリューション/セキュリティツールを終了させる
- exe taskkill /IM K7AVScan.exe /T /F
- exe taskkill /IM V3Proxy.exe /T /F
- exe taskkill /IM mbam.exe /T /F
- exe taskkill /IM text2pcap.exe /T /F
- exe taskkill /IM FPWin.exe /T /F
- exe taskkill /IM FSM32.EXE /T /F
- exe taskkill /IM cmdagent.exe /T /F
- exe taskkill /IM ClamWin.exe /T /F
- exe taskkill /IM MpCmdRun.exe /T /F
- exe taskkill /IM V3Svc.exe /T /F
- exe taskkill /IM GdBgInx64.exe /T /F
- exe taskkill /IM freshclamwrap.exe /T /F
- exe taskkill /IM rawshark.exe /T /F
- exe taskkill /IM MsMpEng.exe /T /F
- exe taskkill /IM PSANHost.exe /T /F
- exe taskkill /IM NisSrv.exe /T /F
- exe taskkill /IM BullGuardUpdate.exe /T /F
- exe taskkill /IM procexp.exe /T /F
- exe taskkill /IM nfservice.exe /T /F
- exe taskkill /IM VIEWTCP.EXE /T /F
- exe taskkill /IM K7TSecurity.exe /T /F
- exe taskkill /IM UserAccountControlSettings.exe /T /F
- exe taskkill /IM QUHLPSVC.EXE /T /F
- exe taskkill /IM V3Up.exe /T /F
- exe taskkill /IM CONSCTLX.EXE /T /F
- exe taskkill /IM K7AVScan.exe /T /F
- exe taskkill /IM MWASER.EXE /T /F
- exe taskkill /IM K7CrvSvc.exe /T /F
- exe taskkill /IM editcap.exe /T /F
- exe taskkill /IM LittleHook.exe /T /F
- exe taskkill /IM ProcessHacker.exe /T /F
- exe taskkill /IM cis.exe /T /F
- exe taskkill /IM MSASCui.exe /T /F
- exe taskkill /IM SSUpdate64.exe /T /F
- exe taskkill /IM mergecap.exe /T /F
- exe taskkill /IM FSHDLL64.exe /T /F
- exe taskkill /IM AdAwareTray.exe /T /F
- exe taskkill /IM guardxkickoff_x64.exe /T /F
- exe taskkill /IM econceal.exe /T /F
ファイルシステム内にファイルを隠す
- exe attrib +h “C:\Users\[user]\[a-zA-Z]+\*.*”

ファイルのハッシュ値

e084341b5149d62ebd26f311e51725d3e630f5d1c154568b717d79aa0b72c441

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid