Categories: 脅威リサーチ

2 月 9 日～ 2 月 16 日の 1 週間におけるマルウェアのまとめ

本日（2 月 16 日）の投稿では、2 月 9 日～ 2 月 16 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標、そしてシスコのお客様がこれらの脅威からどのように保護されるかに焦点を当てています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。以下の脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

今回紹介する最も一般的な脅威は次のとおりです。

Win.Packer.VBashcan-6450053-1
パッカー
VBashcan は Visual Basic で書かれたパッカーで、Umbra や Bozok などのトロイの木馬で使用されています。
Ransomware.Gandcrab-6450061-1
ランサムウェア
Gandcrab はドキュメント、写真やデータベースなどの重要ファイルを暗号化し、「.GDCB」の拡張子を追加するランサムウェアです。
Win.Ransomware.Godju-6450274-0
Trojan（トロイの木馬）
ファイルに拡張子「.cypher」を付加して削除するランサムウェアです。%AppData% ディレクトリに「encryption_key」というファイルを作成する機能も備えており、他のランサムウェアファミリと同様に、コマンドアンドコントロール通信に Tor を使用します。
Win.Trojan.DNSLock-6449722-0
Trojan（トロイの木馬）
このマルウェアファミリに感染すると、DNS 設定が変更されてトラフィックが悪意のある Web サイトにリダイレクトされ、被害者のブラウザに広告が追加されるようになります。ドメインに接続して感染を通知し、コマンドを取得する機能も備えています。メインプロセスは別のアドレス空間にコードを挿入し、PowerShell コマンドを実行しようと試みます。
Win.Trojan.Generic-2-6449654-0
Trojan（トロイの木馬）
Win.Trojan.Generic-2 は、さまざまな悪質行為を実行できるサンプルです。サンプルは Web ブラウザのパスワードストアからパスワードを盗み、正当な SMTP サービスを通じてパスワードを漏洩します。使用されているドメインは本レポートに記載されていますが、多くのユーザが正当な目的で使用しているため、シスコ製品ではブロックされていません。
Win.Virus.VMProtBad-6450060-0
ウイルス
VMProtBad は複数の VM 環境を検出できる、パックされたファイル感染ウイルスです。Web ブラウザのツールバーをインストールし、不要な広告トラフィックを生成することで知られています。

脅威

Win.Packer.VBashcan-6450053-1

侵害の兆候

レジストリ キー

<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- 値：internat.exe
<HKCU>\SOFTWARE\MICROSOFT\SLAYER616WASD
- 値：UID
<HKU>\Software\Microsoft\Windows\CurrentVersion\Run
<HKLM>\SOFTWARE\Microsoft\slayer616wasd
<HKCU>\SOFTWARE\MICROSOFT\slayer616wasd

ミューテックス

\BaseNamedObjects\slayer616wasd
Local\ZonesCacheCounterMutex
slayer616wasd
DBWinMutex

IP アドレス

ドメイン名

ilovetehpussay[.]host4star[.]com

作成されたファイルやディレクトリ

%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QGTPN.txt
%AppData%\SystemWindows\WindowsService.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QGTPN.bat

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Win.Ransomware.Gandcrab-6450061-1

侵害の兆候

レジストリ キー

<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
- 値：isnnswathsi
<HKU>\Software\Microsoft\Windows\CurrentVersion\RunOnce

ミューテックス

\BaseNamedObjects\Global\pc_group=WORKGROUP&ransom_id=359814f23c28b0e4
Global\pc_group=WORKGROUP&ransom_id=4a6a799098b68e3c

IP アドレス

95[.]142[.]39[.]101
66[.]171[.]248[.]178
193[.]0[.]179[.]152
94[.]103[.]82[.]89

ドメイン名

nomoreransom[.]bit
nomoreransom[.]coin
gandcrab[.]bit

作成されたファイルやディレクトリ

\Win32Pipes.00000490.00000017
%AppData%\Microsoft\bkxmfm.exe
%AppData%\Microsoft\kqrnbq.exe

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella

Win.Ransomware.Godju-6450274-0

侵害の兆候

レジストリ キー

<HKU>\S-1-5-21-2580483871-590521980-3826313501-500_CLASSES\LOCAL SETTINGS\MUICACHE\3A\52C64B7E
- 値：LanguageList
<HKU>\S-1-5-21-2580483871-590521980-3826313501-500_CLASSES\LOCAL SETTINGS\MUICACHE\3A\52C64B7E
- 値：LanguageList
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\NETWORK\{4D36E972-E325-11CE-BFC1-08002BE10318}\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}\CONNECTION
- 値：PnpInstanceID

ミューテックス

IP アドレス

185[.]100[.]85[.]150

ドメイン名

kdvm5fd6tn6jsbwh[.]onion[.]to

作成されたファイルやディレクトリ

\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I0Y9SM6.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I0Y9SM6.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I0ZU5JT.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I0ZU5JT.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I478AKJ.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I478AKJ.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I4FI238.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I4FI238.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I4FKVBH.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I4FKVBH.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I4QK3KJ.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I4QK3KJ.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I5QX7W9.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I5QX7W9.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I77RW1L.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I77RW1L.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I7J37KF.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I7J37KF.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I9NSD58.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I9NSD58.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IANXEE8.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IANXEE8.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IBC53OO.xml
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IBC53OO.xml.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IC5NB1M.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IC5NB1M.txt.cypher
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$ID60W3E.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$ID60W3E.txt.cypher
%AppData%\encryption_key
%AppData%\lock_file
%AppData%\uuid_file

ファイルのハッシュ値

36bba27b1fffbecb4f37400ec3368995e39dfabbce61422531a55a36c7696c33
0622fcb172773d8939b451c43902095b0f91877ae05e562c60d0ca0c237a2e9c
412ce2fea4821c63074f3cd6223c9e9d7f074f18d5cd88dc1d7a36a1bb2f919c
4f888e9b613765653355f7dc2be015e7f32d677ae25fa7ff0298dc252339dce4
7005535e034576fdb66b5b32eb198b48d7755758e77bd66909f8dd7288c1e069
9690fec193714171652f8e0c7498d8ee3581fd0b074693a3a0ba07e5d95a141e
9a1794d3ae09b0a8c7a36fb27514760bb0227943d1ee37a7e81ffdfa9f36ec48

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella

Win.Trojan.DNSLock-6449722-0

侵害の兆候

レジストリ キー

<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：AddressType
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：Lease
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpDomain
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：LeaseObtainedTime
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES
- 値：26D9E607FFF0C58C7844B47FF8B6E079E5A2220E
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\NETBT\PARAMETERS\INTERFACES\TCPIP_{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpNameServerList
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{C2614C30-28EE-47BC-B044-C1025E72F15A}
- 値：Hash
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{553E2A9B-C5DC-4F54-9BDD-0DC2B010EC33}
- 値：DynamicInfo
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\43191B4E617CFE98
- 値：1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\COMPATIBILITYADAPTER\SIGNATURES
- 値：{BD2E97E1-0A85-204A-AB40-40B403D0844F}.job.fp
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{553E2A9B-C5DC-4F54-9BDD-0DC2B010EC33}
- 値：Hash
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\3013565826223049618
- 値：config
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{1C8E1F51-8675-4AF0-A985-1A0086FCB8EA}
- 値：Triggers
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{3B84A94B-68D0-41DF-9C58-9CD44ABFE648}
- 値：data
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{C2614C30-28EE-47BC-B044-C1025E72F15A}
- 値：DynamicInfo
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC\PARAMETERS\PORTKEYWORDS\DHCP
- 値：Collection
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BITS
- 値：Start
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpNameServer
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\NETWORK\{4D36E972-E325-11CE-BFC1-08002BE10318}\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}\CONNECTION
- 値：PnpInstanceID
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{B3797BAB}
- 値：nt
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER
- 値：PendingFileRenameOperations
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\26D9E607FFF0C58C7844B47FF8B6E079E5A2220E
- 値：Blob
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS
- 値：NameServer
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{C2614C30-28EE-47BC-B044-C1025E72F15A}
- 値：Path
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\COMPATIBILITYADAPTER\SIGNATURES
- 値：{4797FAD9-D20B-54DC-98FE-7C614E1B1943}.job
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\3013565826223049618
- 値：rs
<HKCU>\CONSOLE\%SYSTEMROOT%_SYSTEM32_SVCHOST.EXE
- 値：WindowPosition
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\{050B0847-7A0B-787D-0511-780E0C7E1109}
- 値：Index
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpInterfaceOptions
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS
- 値：DhcpNameServer
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\11598763487076930564
- 値：0
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\3013565826223049618
- 値：rd
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{C2614C30-28EE-47BC-B044-C1025E72F15A}
- 値：Triggers
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：NameServer
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：T1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{1C8E1F51-8675-4AF0-A985-1A0086FCB8EA}
- 値：Hash
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpSubnetMaskOpt
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DHCPNameServer
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\NETWORKLIST\NLA\CACHE\INTRANET
- 値：{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{553E2A9B-C5DC-4F54-9BDD-0DC2B010EC33}
- 値：Path
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\COMPATIBILITYADAPTER\SIGNATURES
- 値：{4797FAD9-D20B-54DC-98FE-7C614E1B1943}.job.fp
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{1C8E1F51-8675-4AF0-A985-1A0086FCB8EA}
- 値：DynamicInfo
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\43191B4E617CFE98
- 値：0
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpConnForceBroadcastFlag
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\COMPATIBILITYADAPTER\SIGNATURES
- 値：{050B0847-7A0B-787D-0511-780E0C7E1109}.job.fp
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpClassIdBin
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\COMPATIBILITYADAPTER\SIGNATURES
- 値：{BD2E97E1-0A85-204A-AB40-40B403D0844F}.job
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\{BD2E97E1-0A85-204A-AB40-40B403D0844F}
- 値：Id
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：IsServerNapAware
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{B3797BAB}
- 値：0
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\{4797FAD9-D20B-54DC-98FE-7C614E1B1943}
- 値：Index
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\{050B0847-7A0B-787D-0511-780E0C7E1109}
- 値：Id
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：LeaseTerminatesTime
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{1C8E1F51-8675-4AF0-A985-1A0086FCB8EA}
- 値：Path
<HKCU>\CONSOLE\%SYSTEMROOT%_SYSTEM32_WINDOWSPOWERSHELL_V1.0_POWERSHELL.EXE
- 値：WindowPosition
<HKLM>\SYSTEM\ControlSet001\Services\Tcpip\Parameters
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpServer
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：T2
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\{4797FAD9-D20B-54DC-98FE-7C614E1B1943}
- 値：Id
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\COMPATIBILITYADAPTER\SIGNATURES
- 値：{050B0847-7A0B-787D-0511-780E0C7E1109}.job
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS
- 値：DhcpDomain
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpIPAddress
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\{BD2E97E1-0A85-204A-AB40-40B403D0844F}
- 値：Index
<HKU>\S-1-5-21-2580483871-590521980-3826313501-500_CLASSES\LOCAL SETTINGS\MUICACHE\3A\52C64B7E
- 値：LanguageList
<HKCU>\CONSOLE\TASKENG.EXE
- 値：WindowPosition
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\NETBT\PARAMETERS\INTERFACES\TCPIP_{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpNetbiosOptions
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\BITS
- 値：StateIndex
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\3013565826223049618
- 値：jc
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpSubnetMask
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS
- 値：DHCPNameServer
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\NETBT\PARAMETERS
- 値：DhcpScopeID
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{553E2A9B-C5DC-4F54-9BDD-0DC2B010EC33}
- 値：Triggers
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
- 値：DhcpDefaultGateway
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CTLs
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CRLs
<HKLM>\System\CurrentControlSet\Control\Session Manager
<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\3013565826223049618
<HKLM>\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\BITS
<HKLM>\System\CurrentControlSet\Services\Tcpip\Parameters
<HKLM>\Software\Wow6432Node\Microsoft\SystemCertificates\AuthRoot
<HKLM>\SYSTEM\ControlSet001\services\NetBT
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CTLs
<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{b3797bab}
<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{29017980}
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\Certificates
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\Interfaces
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\HANDSHAKE\{3B84A94B-68D0-41DF-9C58-9CD44ABFE648}
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\Certificates
<HKU>\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_powershell.exe
<HKCU>\Console\%SystemRoot%_System32_svchost.exe
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\26D9E607FFF0C58C7844B47FF8B6E079E5A2220E
<HKU>\Console\%SystemRoot%_System32_svchost.exe
<HKLM>\SYSTEM\ControlSet001\Control\Session Manager
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\15233773854796355610
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\NETWORKLIST\NLA\CACHE\Intranet
<HKLM>\Software\Wow6432Node\Microsoft\SystemCertificates\ROOT
<HKCU>\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_powershell.exe
<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564
<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\6aead233391fa002
<HKLM>\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\26D9E607FFF0C58C7844B47FF8B6E079E5A2220E
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\NETWORKLIST\NLA\CACHE\INTRANET\
<HKCU>\Console\taskeng.exe
<HKU>\Console\taskeng.exe
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CRLs

ミューテックス

X29d2562703480b92

IP アドレス

54[.]236[.]192[.]172
81[.]171[.]14[.]67
52[.]77[.]199[.]193
52[.]206[.]149[.]50
18[.]220[.]249[.]233
82[.]163[.]143[.]176

ドメイン名

zambi[.]info
amous[.]net
listcool[.]info
monoset[.]info
riyah[.]net
dyn[.]com
listcool[.]net
www[.]hostgator[.]com
dynarunner[.]info
passportinfo[.]info
bubblesetter[.]info
hostgator[.]com

作成されたファイルやディレクトリ

%AppData%\{39C4A9FA-8E6F-1E51-87DB-35E186454CDD}\B063E134-07C8-569F-D402-4219FE2A8B75.exe
%System32%\Tasks\{050B0847-7A0B-787D-0511-780E0C7E1109}
%System32%\Tasks\{BD2E97E1-0A85-204A-AB40-40B403D0844F}
%WinDir%\Tasks\{ED590CE3-5AF2-BB48-A127-A8DCDA9B22BE}.job
%AllUsersProfile%\617cfe98-5007-0\BITBA2F.tmp
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\72909457.t.exe
%AllUsersProfile%\{BB098D39-0CA2-3A92-C225-C429A39F94EC}\61CC9F6E-D667-28C5-AA39-29C86F125189.exe
%AllUsersProfile%\b3797bab\9c3ac369.dll
%AllUsersProfile%\{37454187-212c-0}\BITA113.tmp
%WinDir%\AppCompat\Programs\RecentFileCache.bcf
%AllUsersProfile%\{769e331d-612c-1}\BITA0B4.tmp
%AppData%\29017980\2fff851b.dll
%System32%\Tasks\{4797FAD9-D20B-54DC-98FE-7C614E1B1943}
%WinDir%\Tasks\{780B0A47-790C-7D0A-0F11-080D7808110D}.job
%System32%\config\TxR\{016888cc-6c6f-11de-8d1d-001e0bcde3ec}.TxR.blf
%TEMP%\{006714f4}
%WinDir%\Tasks\{67D0E6A3-41D4-1B09-02A0-1F3933D2EA6A}.job

ファイルのハッシュ値

4d675c5cd24ad1fb31b0e7f69527ff5bee4fb456f981cd71423bc967af6eed38
1886e03f7c9fa7160333467eb61afd49521477c246db67a4cd77eb328315bbe7
b0c8ca8e4d3ecaa3f77760b7e7cac04185a96ed9001b563f969b8f24378da737
99b86f98266db8238315609f850af04f32967782f78470ab655217da79ade490
bb448628a9c7f39f1704705c8bd27bf3b01ecca76ad1e540e511dbd72c520ae3
1749e2cac4f7c526e1dc32f0e96093cc823c581954e25ace5a479f1e19ef222d
f9e0b981c4e51303f4b6f0199222e95b1d9a822dcf28f6d8ed27733d70e5448d
e59262af5fa77645cb9c081efd5c9f95dc929a5211624528289413bdf21e86b1
871a9d8a090dc17a0f7f49e2aa382aadf7633530c53b4b9e77318d0dc7464d6b
e802bb930657a5fad11f6f493f081f11c12b88859037636ab6aa5595af53a371

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella

Win.Trojan.Generic-2-6449654-0

侵害の兆候

レジストリ キー

ミューテックス

IP アドレス

173[.]194[.]175[.]108
173[.]194[.]175[.]109

ドメイン名

smtp[.]gmail[.]com

作成されたファイルやディレクトリ

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Win.Virus.VMProtBad-6450060-0

侵害の兆候

レジストリ キー

ミューテックス

IP アドレス

ドメイン名

作成されたファイルやディレクトリ

\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$RUI79S5.html
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$RANXEE8.txt
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IDBK7UZ.html
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$R9SCMWR.lnk
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$R7QS1I3.lnk

ファイルのハッシュ値

66c9cd00579297128b36295f8c13cffb5a6d805f73e3086cabceaedfb361c37c
8ee03ed6082b418b4ea91cc8e63848ac8113ed29c65ec9e3403e8f1f90c41b4a
a6660d922577539a08e5dc02984affea031b7bfea22b6bba53113fe2177fab06
7312bd55e79b5813ae8b064e0f1bc11592a79494a79e854626391e26dd2b6b7e
a4cc65474efd0b0e3aeaee8614b397dbc9bd3ecf7a95a8526d8ac84ed3848ee4
4e2624a133a42107d3def6ae7ffcb5e1a5c372ca2d8638438a03a4a040802517
b2e43a6ac8301d5304715b8528c40da58c5e2f473995738178d9f5444d52785a
135f254c202229f708d7e4d0eb36d4d14ed8b43029b994a0401327efb9f63461
f9225972bdc9d23e545a4f530f79760913eba49f8a78e53fc6b361cee499547e
246569246bb8a4694f7b48e9c7abdc6e732b7e1c73b2c802c045d5cda03ef3da
67694e083c8b54090afe2a580da0242d9d05746953832b34af1c11290efe544e
ecb1e4e860ea7612793420677588c7411fc5717825470c956f1e21c30b5325d6
59880ac464244c14deea6569d4d79377fec91f63b7951f137bd457985528f3f7
e70aa134607b6e5c85dad94749e382afd11052d789dad93027756a8ad9c1b5cf
fd7fe9120abfd3da2124357680acaf010d1768fdaa570e471b30207a4e8d9dae
28d599079555f858bb7496dc8fe8fec7fb450aa083f039e90a1c9e11ed7d9094
2e20f3dc237275d5579b96c46195aa05f79b206a356918a0e1bc990a42979111
aeab4107c498f7ebb963452b3157c70fa36f7c0c6936067b89d6d2f2fdd7dd09
c55447abc07f82e59c4573b50038117d494bc8069bd868e2f4755cea405ec104
81e852b22956bea616f384424f2ccbc60224bd497e0885b3472e1019ecd941aa
5aad686faa09afc69b067b67cb3db992820f96d3cadb5e160878255510194dc5
09c953e9fcc681daee3f311513308988048049bc687f3d10d9ae4e6462cdd4b8
0507d30d8ae08a46acbfd85e6c945530505509df8b4658a5d7b846c8eec51d0a
e8e31878a125c47e835ceea2f783fe7938bc9882869a98d9d2cb67c756c8cf97
0412d1da28e300a2677e46ea1af64d664ee47f845336d1081d15df58d3e9016a

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

本稿は 2018年2月16日に Talos Group のブログに投稿された「Threat Round Up for Feb 9 – Feb 16 」の抄訳です。

Tags: AMPThreatGridUmbrellaカバレッジ脆弱性のまとめ

2018年2月21日

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。

Next 今日から始める Cisco Spark デスクトップアプリ 2018年版 »

Previous « データセンターに明かりをともす

脅威環境に関するサマリーレポート：Cisco Talos 2022 年の総括
ウクライナへの継続的な支援と Log4j の脆弱性への対応は、2022 年における特に広範で影響の大きい取り組みでしたが、Talos は他にも数多くの脅威に対応しました。セキュリティコミュニティが攻撃者とマルウェアの増加に直面していたことが背景にあります。
Talos の『一年の総括』2022 年版
本レポートは、さまざまなデータと専門知識を交えながら一年間の成果を網羅的に紹介しようという、シスコ社内のかつてない取り組みから生まれたものです。
10 月 7 日から 10 月 14 日の 1 週間における脅威のまとめ
本日の投稿では、10 月 7 日～ 10 月 14 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

2 月 9 日 ～ 2 月 16 日の 1 週間におけるマルウェアのまとめ

脅威

Win.Packer.VBashcan-6450053-1

侵害の兆候

カバレッジ

検出時のスクリーンショット

Win.Ransomware.Gandcrab-6450061-1

侵害の兆候

カバレッジ

検出時のスクリーンショット

Win.Ransomware.Godju-6450274-0

侵害の兆候

カバレッジ

検出時のスクリーンショット

Win.Trojan.DNSLock-6449722-0

侵害の兆候

カバレッジ

検出時のスクリーンショット

Win.Trojan.Generic-2-6449654-0

侵害の兆候

カバレッジ

検出時のスクリーンショット

Win.Virus.VMProtBad-6450060-0

侵害の兆候

カバレッジ

検出時のスクリーンショット

Related Post

Cisco Consent Manager

2 月 9 日～ 2 月 16 日の 1 週間におけるマルウェアのまとめ