2018年11月8日 Leave a Comment

10 月 19 日から 10 月 26 日における脅威のまとめ

2 min read

TALOS Japan

本日（10 月 26 日）の投稿では、10 月 19 日～ 10 月 26 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC（セキュリティ侵害の証拠や痕跡）の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

この記事に関する IOC と、クラスタに関連するすべてのハッシュについては、こちらの JSON ファイルをご覧ください。本記事に含まれるハッシュ値は、25 個までとなっています。これまでと同様に、このドキュメントに含まれるすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があるとは見なされないことに留意してください。

今回紹介する最も一般的な脅威は次のとおりです。

Virus.Sality-6727001-0
ウイルス
Sality は、ピアツーピアボットネットを確立するファイルインフェクタです。10 年以上にわたって蔓延していますが、検出を免れるため、目に付きにくい新しいサンプルが日々登場しています。境界セキュリティをバイパスした Sality クライアントの目標は、その他のマルウェアを実行できるダウンローダコンポーネントを実行することです。
Malware.Nymaim-6726894-0
マルウェア
Nymaim は、ランサムウェアやその他の悪意のあるペイロードを配布するために使用されるマルウェアです。ドメイン生成アルゴリズムを利用し、別のペイロードに接続する潜在的なコマンドアンドコントロール（C2）ドメインを生成します。
Malware.Xcnfe-6725509-0
マルウェア
クラスタが標的マシンにダウンロードされると、一般的な環境ではバンキング型トロイの木馬「Dridex」として検出されます。
Dropper.Stratos-6724145-0
ドロッパー
難読化された Microsoft Office マクロのダウンローダで、悪意のあるペイロード（実行可能ファイル）のダウンロードを試みます。ダウンロード段階より先のサンプルをダウンロードできなかったので、これ以上の解析結果はありません。
Downloader.Upatre-6726679-0
ダウンローダ
エクスプロイトキットやフィッシングキャンペーンで多用される、悪意のあるダウンローダです。感染すると、バンキングマルウェアなどの悪質な実行ファイルをダウンロードして実行します。
Malware.Cerber-6725830-0
マルウェア
Cerber は、ファイル拡張子「”.cerber」を利用して、ドキュメント、写真、データベースなどの重要なファイルを暗号化するランサムウェアです。
Malware.00536d-6731394-0
マルウェア
Doc.Malware.00536d-6731394-0 は、悪意のある Word 文書であり、マルウェアをドロップします。数多く存在する既知の悪意のあるドメインと IP アドレスから、第 2 ステージの実行可能ファイルをダウンロードして実行しようとします。

脅威

Win.Virus.Sality-6727001-0

侵害の兆候

レジストリ キー

ミューテックス

uxJLpe1m
\BaseNamedObjects\uxJLpe1m

マルウェアから接触があった IP?アドレス（必ずしも悪意があるとは限りません）

206[.]189[.]61[.]126
195[.]38[.]137[.]100
213[.]202[.]229[.]103
217[.]74[.]65[.]23
199[.]59[.]242[.]151

マルウェアから接触があったドメイン名（必ずしも悪意があるとは限りません）

dewpoint-eg[.]com
suewyllie[.]com
724hizmetgrup[.]com
www[.]ceylanogullari[.]com
cevatpasa[.]com

作成されたファイルやディレクトリ

%SystemDrive%\autorun.inf
%System16%.ini
%LocalAppData%\Temp\ose00000.exe
%SystemDrive%\Documents and Settings\Administrator\Cookies\administrator@dewpoint-eg[1].txt
%SystemDrive%\Documents and Settings\Administrator\Cookies\administrator@dewpoint-eg[2].txt
%SystemDrive%\Documents and Settings\Administrator\Cookies\administrator@www.ceylanogullari[1].txt
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kokfo.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ogtfa.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\plkvrx.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qwet.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vfhqbt.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wdieh.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winauey.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winbmfbc.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winehogdk.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wineplbg.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winfeas.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wingwtgg.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winhsgjxg.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winiiff.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlamr.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winmucoe.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winoyjfrn.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winqvpnb.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winskeoqt.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintilmn.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winwlbet.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winwnwhq.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winybmal.exe
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wooydt.exe
%LocalAppData%\Temp\jlwdt.exe
%LocalAppData%\Temp\ssink.exe
%LocalAppData%\Temp\ukpvl.exe
%LocalAppData%\Temp\winlobd.exe
%LocalAppData%\Temp\winmjeu.exe
%LocalAppData%\Temp\wintqpup.exe
%AppData%\Microsoft\Windows\Cookies\XTNNC6UJ.txt
%LocalAppData%\Temp\winlobd.exe
\sgfdr.pif
\vqwf.exe

ファイルのハッシュ値

007474f524c04bcfef7bff656f7d673e22496caff0490a111596b5c1a60b61ef
0abf15a831537bd86b7e16ae5032a4813c6e9e9df4f1da7c074c4daa3672c3dd
0e82ae0199228f54e8308755024fa78e0a568f1423cec3cf21d9341a7c99dcb9
18a859dee990feefdcc6196052c1d2becba64fb43d07623e1e573b0f39e63095
18bce4611a9668a2660b0471459cd070361c85d71a4989c1bc967fe04bc54795
2642e382a6a216b518471ac182891b6973a4f4eb569ad4d13cb02b8a840d3f07
5b4c4e796a0e1c9344c3165af210d2b9edd2980de25bfec656bc918809b0be4c
689bdd8a91c2bfaa00de235933b38ca9477ea9aa2eaa880cba50235641376add
865e10fa2439380d7048a0ec2eebdef487f706239e464c47dadf930b22028b11
905e701032eaaa944ccb70d3db97a200d85befefe7faf99d525c9767e5c5d615
a2ca43843f5c03adbdb03b91e4cafc162781d8c7e707c7bc161b03f4163218e2
ad68745733f455935188c0100aaf057bf1d3454a24e0be0ffff262d2318f6265
b535ea6cc31dd9f8a66fbbedb61ed021520ff74f5b42f815eb84022cfb3e4435
c38b955f4a4eee3cca1c1bf1ae0f915f75080772c4ae597c2ed76649a056a5dc
c40d8c58cc63dc606a9fa854f1774d7f17546170fdfc2679c3b8f6387fa4be6d
c5fb97f7e577795bdc7a6076efca8f09e83bd4fb9e68c40916c6784040dbb485
d0381f5c52b605b7b43c8b9dce2341b622ed2528df6bd65d527104f3fc1f2f16
da77ddf6e01c4cb2694f055a5c69f48bf6546b6831f145297a5cfbb5f64c5563
f001f25a35fb04298750c58f37ca4158085c454d784778f9a9c601d9bbbf6b40
f0d47851346c738dd836fb6f43005a57305f04e078d07af3a6d84ee586dfdfc0

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella