2018年2月28日 Leave a Comment

2 月 16 日～ 2 月 23 日の 1 週間におけるマルウェアのまとめ

3 min read

TALOS Japan

本日（2 月 23 日）の投稿では、2 月 16 日～ 2 月 23 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標、そしてシスコのお客様がこれらの脅威からどのように保護されるかに焦点を当てています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。以下の脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

今回紹介する最も一般的な脅威は次のとおりです。

Win.Packer.Givelet-6454616-0
パッカー
マルウェアのペイロードを圧縮して難読化するパッカーです。GandCrab のようなランサムウェアをパックするのに使われています。
Packer.WizzPack-6454612-0
パッカー
.NET パッカーです。不要なアプリケーションをインストールする Wizzcaster アドウェアによって使用されています。
Win.Trojan.Generic-6454586-1
Dropper
この種のサンプルは、感染したシステムに悪質なファイル（cryptominers を含む）を追加でドロップします。また、レジストリキーを変更することで永続化し、サンドボックスを回避するために特定のホスト環境を確認する機能も備えています。
Trojan.Generic-6454615-0
ワーム
CnC サーバーに接続し、感染したホストから情報を盗み出すトロイの木馬です。
Win.Trojan.GenInjector-6443827-0
Trojan（トロイの木馬）
このファミリーのマルウェアは、非常に高いポリモーフィック性と悪意を有しています。マルウェアは別のアドレス空間にインジェクトされ、Process Hollowing（プロセスハロウイング）を使用します。また、Windows のレジストリを変更して永続化し、複数のデバッグ対策により分析を困難にします。サンプルのクラスタは、SMTP サーバに接続してスパムメッセージを送信する機能を備えています。
Win_Trojan_Regrun_6454954_0
Trojan（トロイの木馬）
自身をインストールすることで永続化するトロイの木馬です。侵入したマシンでは一部の設定（ファイル拡張子や隠しファイルの設定）を変更して感染を隠します。また、特定の操作をフック（自身をファイルハンドラとして登録する）する、Windowsシェルを無効化する、自身を SafeBoot 代替シェルとして登録する、レジストリエディタを無効化する、などの手口により感染したシステムの修復を阻止します。
Win.Trojan.Startpage-6455053-0
Trojan（トロイの木馬）
ブラウザのスタートページを変更します。ブラウザのスタートページとは、ブラウザを最初に起動すると表示される単一の（または一連の）Web サイトです。
Xls.Dropper.Powershell-6454576-0
Office マクロの Dropper
イタリア語のメッセージ「FARE CLIC SU “ATTIVA CONTENUTO” NELLA BARRA DEI MESSAGGI」を表示する Excel のワークブックです。判読不可能な画像が含まれており、マクロを実行すれば判読可能になるとしてユーザにマクロの実行を促します。Powershell により悪意のある実行ファイルをダウンロードして実行します。

脅威

Win.Packer.Givelet-6454616-0

侵害の兆候

レジストリ キー

<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
- 値：qdobxoamsza

ミューテックス

Global\pc_group=WORKGROUP&ransom_id=4a6a799098b68e3c

IP アドレス

193[.]0[.]179[.]152
151[.]248[.]118[.]75
5[.]154[.]191[.]67

ドメイン名

gandcrab[.]bit

作成されたファイルやディレクトリ

%AppData%\Microsoft\motopn.exe

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Win.Packer.WizzPack-6454612-0