2017年11月1日 Leave a Comment

10 月 20 日～ 10 月 27 日の 1 週間におけるマルウェアのまとめ

2 min read

TALOS Japan

本日（10 月 27 日）の投稿では、10 月 20 日～ 10 月 27 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標、そしてシスコのお客様がこれらの脅威からどのように保護されるかに焦点を当てています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。以下の脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

今回紹介する最も一般的な脅威は次のとおりです。

Doc.Macro.Downloader-6355564-0
Office マクロ
VBA マクロを含む Word ドキュメントで、侵害を拡大するため追加のバイナリをダウンロードします。外部の Win32 API をインポートし、難読化された URL を含むファイルをダウンロードして実行する VBA が中心です。
Doc.Macro.Obfuscation-6355576-0
Office マクロ
VBA マクロを含む Word ドキュメントで、検出を回避して迅速な分析を防止するためマクロが難読化されています。悪意のある文字列を作成するための部分文字列が暗号化（base64 でエンコード）されており、クラスタの中心機能はこのデータを繰り返し使用することです。
Win.Ransomware.Bucbi-6357228-0
ランサムウェア
データを暗号化して Bitcoin で身代金を要求するランサムウェアで、インジェクション攻撃を行い、レジストリキーを改ざんして常駐化します。今回のサンプルでは、分析を妨げるアンチデバッグ手法も使用されていました。
Win.Trojan.Msil-6358223-2
Trojan（トロイの木馬）
.NET ベースのトロイの木馬です。Windows のスタートアップフォルダにショートカットを作成して常駐化し、悪意のある VBScript と .bat ファイルをドロップして実行します。別の Web サイトから追加ファイルをダウンロードする機能も備えています。
Win.Trojan.Tinba-6357827-1
Trojan（トロイの木馬）
Tinba（別名「TinyBanker」、「Hupigon」）として知られる、情報の不正取得を狙ったバンキング型トロイの木馬です。いくつかの一般的な Web ブラウザにフッキングして資格情報を収集し、攻撃者が支配する C2 に送信します。このマルウェアはカスタムパッケージ化されており、侵害プロセスの終了前に、winver または Explorer のインスタンスに（または winver に続いて Explorer に）コードをインジェクトします。
Win.Trojan.Tovkater-6355575-0
Trojan（トロイの木馬）
ファイルをダウンロード/アップロードして悪意のあるコードをインジェクトし、追加のマルウェアをインストールします。
Win.Trojan.WillExec-6356235-0
Trojan（トロイの木馬）
他のプロセスに本体をインジェクトしてセキュリティ機能を無効化し、複数のドメインに接続して指示を待ちます。
Win.Trojan.Zusy-6357526-0
Trojan（トロイの木馬）
オンラインバンキングのパスワード、クレジットカード番号、納税者番号といった銀行関連のクレデンシャルを不正に収集します。このマルウェアは winver.exe と explorer.exe に本体をインジェクトします。

脅威

Doc.Macro.Downloader-6355564-0

侵害の兆候

レジストリ キー

ミューテックス

IP アドレス

239[.]255[.]255[.]250

ドメイン名

site[.]sitez3[.]com

作成されたファイルやディレクトリ

%WinDir%\SoftwareDistribution\DataStore\DataStore.edb
%AppData%\Microsoft\Windows\Cookies\7OT1LGP2.txt
%SystemDrive%\~$1334139.doc
\srvsvc
%AppData%\Microsoft\Office\Recent\SAT_Documento741929.LNK
\TEMP\SAT_Documento741929.doc

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella