2017年12月13日 Leave a Comment

12 月 1 日～ 12 月 8 日の 1 週間におけるマルウェアのまとめ

7 min read

TALOS Japan

本日（12 月 8 日）の投稿では、12 月 1 日～ 12 月 8 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標、そしてシスコのお客様がこれらの脅威からどのように保護されるかに焦点を当てています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。以下の脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

今回紹介する最も一般的な脅威は次のとおりです。

Doc.Dropper.Agent-6394293-0
Office マクロダウンローダ
難読化された Office マクロのダウンローダで、悪意のあるペイロード（実行可能ファイル）のダウンロードを試みます。ダウンロード段階より先のサンプルをダウンロードできなかったので、これ以上の解析結果はありません。しかし興味深い点ですが、このサンプルでは onion.link プロキシサービスを使用して Tor サービスによるコールバックを試みています。
Doc.Macro.Obfuscation-6389653-0
Office マクロ
Emotet は VBA マクロ難読化手法を少し変更しており、中に含まれる PowerShell コマンドを難読化して存在を隠しています。難読化手法では、未使用の VBA API を（コード全体の量と比べて）多数活用しています。
>Doc.Macro.Obfuscation-6394435-0
ダウンローダ
悪意のある電子メールスパムを通じて配信される Valyria ダウンローダについて、これまでとは異なるパターンが特定されました。新パターンのマクロコードは、「AutoOpen」や「Shell」といった一部のキーワードを除けば、一般的な VBA コードとほとんど似ていません。悪意のあるコードの大部分は、長い一連のキャスト配列を通じて難読化されています。このキャスト配列には、Mid 関数によって大文字化された文字列や分割された文字列が含まれています。
Win.Packed.Agent-6395107-0
悪意のあるパッカー
この手の実行可能ファイルでは、Firefox のクレデンシャルを不正窃取する複数のマルウェアや「Zuzy」（銀行口座情報を盗み出すマルウェア）を送り込むことが最近確認されています。
Win.Trojan.CeeInject-6394235-0
Trojan（トロイの木馬）
これらのサンプルには「PoSeidon」マルウェアが含まれています。PoSeidon は、クレジットカード情報を収集する Point of Sale（PoS）マルウェアです。
Win.Trojan.Delf-6394424-2
Infostealer（情報窃取のマルウェア）
この種のマルウェアは、ブラジル国内のユーザを標的にしています。Adobe Acrobat Reader の更新ソフトウェアを装っており、クリップボード内部のデータを不正に取得します。キーボードやマウスを不正操作する機能も持ち合わせています。
Win.Trojan.GenCNs
Trojan（トロイの木馬）
典型的なトロイの木馬で、アドウェアとして振る舞うだけでなく、Dropper としても動作します。今回のサンプルでは、中国などの遠隔地にある Web サイトと通信して追加ファイルをダウンロード・実行し、別のプロセスのアドレス空間にコードを注入しようと試みることが確認されています。
Win.Trojan.Tinba-6390856-0
Trojan（トロイの木馬）
バンキング型トロイの木馬です。マンインザブラウザ（MITB）、Web インジェクション、トラフィック傍受などの攻撃手口により秘密情報（銀行口座のログイン情報など）を窃取します。

脅威

Doc.Dropper.Agent-6394293-0

侵害の兆候

レジストリ キー

ミューテックス

IP アドレス

ドメイン名

6vt4gbkwnjfnyo6g[.]onion[.]link
ypg7rfjvfywj7jhp[.]onion[.]link
yztnv4ha5rapf6gj[.]onion[.]link

作成されたファイルやディレクトリ

ファイルのハッシュ値

0099b9221eb92408f0b8bead5d703b5c7ecb11962f49f5e67f60725427318236
094842414f8029ea69cca6237b7758c2559dd553c98990cb4e8474e6653e0b9f
0b81075cc3ef1121f3eca801d2f821719a7cfa31e5d95081ec3feb195f44d8c6
0e9b2c7a5526c8d469c3e2183cd52a38d862773118d2401467c59472aaf17263
14a415384df11be5271c58e66474cb4326aaeb4af0035afce1d61f75eaf53db3
2e6523b856a9f40bf3cf851407f3003a6564a7fb5d86657781a03bbd30d63966
365d356b6d8d463ee4d6924b37acfecf16624a58d8d2e6a783a9ef289e74ace3
3ac9e97344506f3e443490eb6b0d5f877e0c8d4462ab9bf9544b5128aafc78bb
3cae4325b4b559431dba511779feadeff19433aed194511e4ea8f4ef676ac6c7
3cc669528549cc7394074ac3ffbaa6cf3eed14436a1653d70f54ca2b3d5cdead

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella

Screenshot