脅威リサーチ
7 月 13 日~ 7 月 20 日の 1 週間における脅威のまとめ
前回と同様、7 月 13 日から 7 月 20 日の 1 週間に最も蔓延した脅威を、Talos の観察結果を踏まえて公開します。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性とセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
今回紹介する最も一般的な脅威は次のとおりです。
- Trojan.Generickdv
トロイの木馬
これらの DarkComet 関連サンプルは、感染したシステム上に永続的に存在し、そのようなシステムでバックドア アクセスとログオンを可能にするマルウェアをインストールします。 - Malware.Valyria-6615927-0
マルウェア
これは Microsoft Office のマクロベース ファイルのドロッパーです。 - Packed.Razy-6615989-0
パック処理済み
「Razy」は、Windows 向けトロイの木馬の一般的な検出名として頻出します。これらのサンプルは、ショートカット ファイル(.lnk)を使って USB 感染で拡散を試みます。感染したホストから機密情報を収集し、データをフォーマットし暗号化してコマンド アンド コントロール(C2)サーバに送信します。収集される情報には、スクリーン ショットと自動実行用のサンプル インストールが含まれます。その際、「%AppData%\<company name>\<company name>.exe」のパターンが使用されます。 - Trojan.Darkkomet-6615953-0
トロイの木馬
Darkkomet(または DarkComet) は、リモート アクセスのトロイの木馬(フリーウェア)で、独立したソフトウェア開発者によってリリースされました。このフリーウェアは、リモート アクセス ツールの一般的な機能、特に、キーロギング、Web カメラ アクセス、マイク アクセス、リモート デスクトップ、URL ダウンロード、プログラム実行などの機能を提供します。
https://blog.talosintelligence.com/2015/07/ding-your-rat-has-been-delivered.html https://blog.talosintelligence.com/2014/11/reversing-multilayer-net-malware.html - Malware.Gamarue-6615948-0
マルウェア
これらのファイルが Windows とブラウザから認証情報を収集します。LokiBot に関連していることがわかっている C2 に接続します。
脅威
Win.Trojan.Generickdv
侵害の兆候
レジストリ キー
- <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- Value Name: internat.exe
- <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- Value Name: HKLM
- <HKCU>\SOFTWARE\vitima
ミューテックス
- _x_X_BLOCKMOUSE_X_x_
- _x_X_PASSWORDLIST_X_x_
- kingofthedead_PERSIST
IP アドレス
- N/A
ドメイン名
- N/A
作成されたファイルやディレクトリ
- %LocalAppData%\Temp\XX–XX–XX.txt
- %LocalAppData%\Temp\XxX.xXx
- %AppData%\logs.dat
- %SystemDrive%\dir\instal\win32\svchost.exe
ファイルのハッシュ値
- 8c87d29fc3fae2fa8f5056a2c02686c901cd79cc4529bf5a29ae08042aaab746
- c2fba20c7753baf7616eddbf784f4f4ff67891b0e578c0209e264a4a477cb6cf
- c857b44b7591ede89b6bf8899aacf155f15cf92c95af494a0f8d3df202124f73
- ddab332853644fd0d13c87f93c1a05caa1de7396c7da03650b2de1a812b6f156
- e85321b89e3f28bfca8049e0a25f819c8e9897db956056df3b8e65f825d898db
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Doc.Malware.Valyria-6615927-0
侵害の兆候
レジストリ キー
- N/A
ミューテックス
- N/A
IP アドレス
- N/A
ドメイン名
- N/A
作成されたファイルやディレクトリ
- %LocalAppData%\Temp\320.exe
- %LocalAppData%\Temp\es1uuzqu.xfn.ps1
ファイルのハッシュ値
- 00592b51236463fc3e8b7d530a555e55dc46eaf0d741f2c6a06bf1016a8fe6ca
- 04f46cc8eea2154477cdfc3b893ae9f625e662cd401c3bd172dd9943e92032d4
- 053363bf7d81a002ab526c913be41803c7eadfa958fc1e94a28f440c9707ce6c
- 060f8741f10f260d0103a93b3242235fbbcaee823259d86b5eb6ff339b8c23d8
- 1440592b86f68fb240ec526a026f10b2db953f5ea946280aabf2e97ee1022211
- 167de913f71eff1ac2aa1e1d1ecb60ae113d2b47cc6848584235d6f76c17f2c4
- 1b35d8b84c971ec3563ee2021b26e318f199894228831ca9749196000679c8d3
- 25d000f24e86937a202b12dcce7edfdacd42dbb967c76829eb94d5965590e5c1
- 2ab506076a0f2bd1b3971285b5b90b859dec3ad1e2ff0a0b117824ca16c55cab
- 3708636d74732da211c6a27d4919e81bf092deecbe3127cafabada1825756d34
- 471d40b6df9e40c64f49eb73903840a6d01a6a5a8df5350a89312c6355fc5f28
- 4d5ce5b8a4729716cadf818b0eeaaa94694147d72377b2618a0832d6878cba51
- 523986d86f1d157dc7c0ee71fef4b7db3d603cfc8290ec8e477d530825421709
- 559bad49d16cf86b0904f0413fe987fde19cebf88c5f8cf343c0fd5fc029c668
- 5836e5d29581870a533010f4e83ff5a5241b253330fc058c5610004e874b0f4e
- 660d4a7fbb3a9b2cda39dd9cf070b23487a150d7eaac569d1dcd5e658b5b3e73
- 759f6aa2a7105f84a4857ea959402c348719c920adede9f1b525b926f680619f
- 84db21d753f64d64f83c378ba344e19600d1467543a22a64af790407179208c3
- 85027897d5c0608e88483ae483079d16dc3851e746b6ae18f8cf335c10334f5a
- 8611f5f17e11d5180cc162509aaf2623196d44d09a80813ce21336f3cb0be4a0
- 925ca30ebfb42ee1a9dcf7e567397f3a266f70cc6d20158929c905642a94917b
- 965b382513154b06f1cbfdb0a9214fabeb204954e106af0abc9fe7b279ee3479
- b658943488d9fd1886d7848cad19322293558eb62648ca60c54083c8e710b710
- e49851a85e17e21159a43fbbd1bdc1183a95202a86bd328769e2049a9dd9a886
- e7db2087ef7f0f80640c7f62a493da43eadb8db5f5af90ef1cb55e68a465696a
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Packed.Razy-6615989-0
侵害の兆候
レジストリ キー
- <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- Value Name: internat.exe
- <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- Value Name: Pactiv Corp
ミューテックス
- N/A
IP アドレス
- 146.43.71
- 163.124.20
ドメイン名
- dyndns.org
- papgon10.ru
作成されたファイルやディレクトリ
- %AppData%\Pactiv Corp\Pactiv Corp.exe
- %AppData%\ScreenShot\screen.jpeg
- \??\E:\$RECYCLE .lnk
- \??\E:\scr.exe
- \$RECYCLE .lnk
- \scr.exe
ファイルのハッシュ値
- 03517ae084fa51e60f9f71ed80993adf8ff104eb44225377b8cd6e7fc3a9d663
- 0b83306197f922b8a89054be66ecce742b166457c9b22118ec0adf256e1ee6a1
- 0c2aae41be90b95f45a3845afc90626f995f8ec9b56529f09ac66a7983748abd
- 0d2c77209a75a0f78e751a07653078e7e2ca6e04830d89389d3b483bb09cd139
- 0d8d7edc72504fad53c5b46f6d74a37160474356d69418241a47c0fcddc9ac4e
- 11be51ab233c8b4e6261dd2e336c8b3f404cbd6b4e4c45abc9d3e95751151d3c
- 1b2f67ba7f479e6bc061dbf5f9ba983963f436a3cc64d99b6a8b5240db165ab0
- 1d0d2b945f206f3dc068c12b78c57def633b9aba4866ab11afb191264195e33b
- 1dfce6d161a6ebf19fc77feb10123b721c92125d2b899e51411346986febc71e
- 1f17c7a22259c8da0510c7b0aff257bf031621ed6745a5b8d60cde153057a91a
- 1fe7a461de250c6149cecacc7efce60cb6532ac139d426e59a9ca9ac978e9626
- 234886ab9eed46dbe1751cdaf9e1f0b53637aacb4c81877b44af818efd038c36
- 23f7178047915b7c2130c0cec7a98675ee4dd02d10491b7966599296d97cc1f9
- 2a9a5d363e0b7bc059577dfee812927ea3408955d532f40bae2c524d18814f78
- 2b7ac5ebcbd34434ba3b78849022346ac3e1a20339e7046740439750e3271295
- 31b695748122457b592bbdba8e832ea16451ed43b41bba88090b91c99b14e565
- 3cf6b0c34bb13e2532cbcbaa424d0ce06286c02025e2613d0e2e71662705ba75
- 3fb1cb1530b46c77b60d3225bebcbe33bafba69eb67ee659f1107a68c9c9da5c
- 407a9edc6ea979673f4f65741c6c7b55387fea59012be25073ec5c9c1993e30e
- 408eeb5088f25d51e9acc96d5d2d2a41eee87c1e53456065af70c7481fc9427d
- 41b3ceb6e29b3958032245d78e17100b255d2db8180e11ac3f4efe0e5a609b0c
- 43d7b9dd5c8441079308aa79cdbd300ae94836f97e6a02d8122e895ebd82f9de
- 4db761271220b7a4a9469570ab470f3303588b2201c2d5971b27259769d9e06e
- 5285379abf7be3d20375f077c4e251364a291f5634ad24db59999a187b2bb321
- 538f1559eeced8c9a3e088b6e700edad0f86919eb790084638e1c051a37272d6
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Umbrella
Win.Trojan.Darkkomet-6615953-0
侵害の兆候
レジストリ キー
- <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- Value Name: internat.exe
- <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN
- Value Name: Policies
- <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- Value Name: Avgnt
- <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{M0VU6C11-0FI1-AFG5-1IVW-7R8T24K13MKV}
- Value Name: StubPath
- <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\PLUGUIN_RASAPI32
- Value Name: EnableFileTracing
ミューテックス
- _x_X_BLOCKMOUSE_X_x_
- _x_X_PASSWORDLIST_X_x_
- _x_X_UPDATE_X_x_
- Pluguin
- Pluguin_PERSIST
- Pluguin_SAIR
IP アドレス
- N/A
ドメイン名
- no-ip.org
作成されたファイルやディレクトリ
- %LocalAppData%\Temp\XX–XX–XX.txt
- %AppData%\logs.dat
- %LocalAppData%\Temp\UuU.uUu
- %WinDir%\Microsoft\Pluguin.exe
ファイルのハッシュ値
- 02cc0b650b55aeb6be4d18da928a9991b4c3730391979d8f8b67501867aed8e0
- 072df24ab3e41e1ed93e49429d86b4051903a7975018dafb1edf5af952ade6ec
- 0883c9976aef73092fa17769b97945eae82f991f07ac681938ab2e16b597b861
- 115f6b1a6b33e394826c0fdf77b8fdb7087e8737b42fde1cd31e894eda670563
- 11fb3c84ab7c9122266aa4020454f4110c48992068197ba430c1a7d2086129a3
- 18e363cd178037c5b6407635d5c61784e0603eded5f0051cbc540ac47d61a8f6
- 22804ba41fb3ee8ee121af5821df4df5bda36e194e0d8683013dd8e0b1ec71ca
- 263175c9a3e5d16c3bcd661a56b70786da11e263a02c6f12d2278ec1ebfca0b8
- 27d3bc3bc2eaa3934c27665feda1b75893148309cf7b19818f58c31db22be625
- 2e1c2f41704f487779cc6dc4132ee9db933af3a3c9e93692f34e231c4f27d820
- 3267e3ad1d0518d1ee6510b3e94d7b2f19252e779d08e644738fbb7648181f1d
- 3d1748d38b40300e81c077df971040a564b81f0c0cbdd299417a7690e48e21a0
- 3d28e808850728796ca6b96c6cfd94c003e70f12024ac4090c8f68175be61614
- 4194529ebac0afda1a468befd4534edcc196b737e62ceae1bf02a4c73f8d079b
- 49b3c5991721fcb0ad9b2e65151c37d35c48fee9558acbb9652265417f06e566
- 4baeffdf44452fc62f5c9c14f99329a0d44245c14b5f2cddfcb113a8e09a5dcb
- 4fed4a7ade1fe8c0c3f76788dac4499cb769cd25aaa5556fefb268dbcdfd08be
- 510bd585e1a49af7ded8a0cc996783a93042cc4492c3e4bbac03befc2f2b8e62
- 51336b2caef3dd95e9b2c54dd9d9fddeed47fdac5c31163cf2b291446e42f329
- 53feb1987eba78c921a683a57a75b6a455b7ad3087a7ddc287a33fbdf9c93c9a
- 5c5112540e79c47806dd35fc65bd351c82dfa6ff97faf0759330191fc54bd52e
- 63723f92c8c6121e428646c937b40745f4122748d9c949493d28e6b5542feefc
- 6990bd74cd90afa10eae1867763c2c0d83b88e27ebec7536039bc5567fe241d6
- 6a0ee362d1d633d42769865e14d2eb776903ebdaea809f08f048e0a79bcf0744
- 7464f1c4e20b3eb4bf4894a1ae0659e7898f276b48565a55c03b4b3b517c5fcf
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Umbrella
Win.Malware.Gamarue-6615948-0
侵害の兆候
レジストリ キー
- N/A
ミューテックス
- 3749282D282E1E80C56CAE5A
IP アドレス
- N/A
ドメイン名
- com
作成されたファイルやディレクトリ
- %AppData%\D282E1
- %AppData%\D282E1\1E80C5.lck
- %AllUsersProfile%\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204\Policy.vpol
- %LocalAppData%\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28\Policy.vpol
- \PC*\MAILSLOT\NET\NETLOGON
ファイルのハッシュ値
- 12f9752a1b9a35d5c8caecc5c8d0a443bf54aad5470bd7d00ee75fc018a39cdf
- 1e4d5ed6676259a1664729528025d741638c7294a7bf4145559893e004933ee2
- 6532e8315e7fd4a5e82bba7971f4c434e3c3c417dba41fee512fa51245686fd1
- bff1dbf4c514881537694fd27bf3baac1bc52c5a6c617b5d28b526e0ecd62aee
- c79e2c39343f78b05a45509bd8e407e9c7ea92456905b4d392a1a425d3dfce11
- d180cd252c0d7574a0805a8c2bb3f4a9ca6b0a85ef8d46a0b3941e6ce8b514a4
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Umbrella
Tags:本稿は 2018年7月20日に Talos Group
のブログに投稿された「Threat Roundup for July 13-20
コメントを書く
