脅威リサーチ

6 月 16 日～ 23 日の 1 週間のマルウェアに関するまとめ

TALOS Japan
2017年6月27日

本日の投稿では、6 月 16 日～ 6 月 23 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標、そしてシスコのお客様がこれらの脅威からどのように保護されるかに焦点を当てています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。以下の脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、FireSIGHT Management Center、Snort.org、または ClamAV.net を参照してください。

今週最も蔓延した脅威は次のとおりです。

Doc.Macro.StrObfuscation-6329879-0
VB マクロ
Microsoft Office マクロは、さまざまな方法で難読化されることがあります。最近再び増加している悪意のあるワード文書には、目的の機能をマスクするために文字列の難読化を使用しているものがあります。
Win.Dropper.skypee-6329923-0
ドロッパー
このマルウェアはトロイの木馬型ドロッパーで、バンキング情報やユーザ認証の盗取に使用されます。Visual Basic コードを活用して自身をインストールし、永続性を確立します。このマルウェアの特徴として、さまざまなドメインに接続し、/http/image.php または /admin/image.php のような URL パターンを使ってデータを POST 送信します。
Win.Worm.Untukmu-5949608-0
ワーム
Untukmu または Brontok と呼ばれるワームで、電子メールや感染した USB ドライブから拡散します。自身のコピーを複数作成して、ハードディスクの異なる場所にそれぞれ保存します。保存先にはシステムディレクトリが含まれます。レジストリ鍵を変更し、スタートアップディレクトリにエントリを作成することで永続性を取得します。IT も、いくつかのシステム設定のパラメータを変更してレジストリエディタとシェルを無効にするだけでなく、セーフモードシェルを変更してユーザがマシンをクリーンアップできないようにします。
Win.Trojan.Shifu-6330434-1
トロイの木馬
これは知名度の高いマルウェアファミリで、自身が解析の対象にならないための防衛手段を備えています。オンラインバンキングのユーザログイン認証を盗取することで、被害者の詳細情報を収集します。
Win.Trojan.Blackshades-6327385-1
トロイの木馬
Blackshades は蔓延しているトロイの木馬で、キーロギング、Web カメラのビデオ録画、その他のマルウェアのダウンロードと実行など、多くの機能を備えています。
Win.Ransomware.BTCWare-6329927-0
ランサムウェア
BTCWare は活発な Windows のランサムウェアで、数ヵ月前に初めて発見されました。それ以降、暗号化したファイルの拡張子の変更や、ファイルの暗号化に使用する暗号の変更など、さまざまな変容を遂げてきました。以前の亜種は、RC4 を含む弱い暗号化方式に依存していたため、ブルートフォース攻撃によってプライベート鍵を回復することができました。プライベート RSA 鍵がインターネットで漏えいした有名な亜種もありました。この最近の亜種は、プライベート鍵の生成方法に改善が加えられた AES-256 を使用しています。
Doc.Dropper.Agent-6330744-0
Office マクロダウンローダ
難読化された Office マクロダウンローダで、Powershell を使用して悪意のあるペイロードの実行可能ファイルをダウンロードします。これらのサンプルが次の段階のダウンロードを試みる元のホストは、現在解決されていません。
Win.Trojan.Yakes-6330794-0
トロイの木馬
Yakes は、「Startup」フォルダ内の .vbs スクリプトを使ってマシン上に自身をインストールし、パッケージャが感染マシンに接続することを許可します。CnC サーバの IP、ドメイン名と、ミューテックス名は、パッケージャによって異なります。
Win.Ransomware.Locky-6330799-0
ランサムウェア
2016 年のほとんどの期間において最も猛威を振るったランサムウェアが Locky でした。Windows ホストがネイティブで処理するスクリプト形式（.js、.wsf、.hta など）を使用する方法としては、Locky は初期のパイオニアです。これらのスクリプト形式は、電子メールキャンペーン経由でペイロードを配信する媒体となります。
最新の詳細説明：http://blog.talosintelligence.com/2017/06/necurs-locky-campaign.html
Win.Trojan.DownloaderJava-6330457-0
ダウンローダ
このサンプルは .NET ダウンローダです。ハードコーディングされた URL から追加の Java ファイルをダウンロード、実行します。このバイナリは、活動中のスパムキャンペーンの添付ファイルとして活発に送信されます。

脅威

Doc.Macro.StrObfuscation-6329879-0

侵害の兆候

レジストリ キー

ミューテックス

IP アドレス

185[.]165[.]29[.]36
52[.]173[.]193[.]166

ドメイン名

作成されたファイルやディレクトリ

%TEMP%\<random_string>.txt
%TEMP%\<random_string>.txt
%TEMP%\<random_string>.js
%TEMP%\<random_string>.txt
%TEMP%\<random_string>.txt

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

Umbrella

Screenshot