2018年12月25日 Leave a Comment

12 月 7 日～ 12 月 14 日の 1 週間における脅威のまとめ

2 min read

TALOS Japan

本日の投稿では、12 月 7 日～ 12 月 14 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、および公開日の時点に限り最新のものであることに留意してください。また、IOC（セキュリティ侵害の証拠や痕跡）の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

この記事に記載されている IOC と、クラスタに関連するすべてのハッシュについては、こちらの JSON ファイルをご覧ください。本記事のハッシュ値のリストには、最大で 25 個までしか含まれていません。これまでと同様に、このドキュメントに記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは必ずしも悪意があるとは限らないことに留意してください。

今回紹介する最も一般的な脅威は次のとおりです。

Doc.Malware.Dkvn-6781497-0
マルウェア
悪意のある実行ファイルを取得し、PowerShell コマンドを実行するトロイの木馬です。Emotet 用のダウンローダ（ドロッパー）として使用されています。
Txt.Malware.Nemucod-6780827-0
マルウェア
被害者のコンピュータ上でランサムウェアを実行するトロイの木馬です。
Win.Virus.Parite-6780568-0
ウイルス
他のファイルに感染するポリモーフィック型のファイル感染ウイルスです。ローカルマシンとネットワークドライブ上にある実行可能ファイルに感染します。
Xls.Downloader.Jums-6779285-0
ダウンローダ
PowerShell を起動し、悪意のある実行可能ファイルを作成して実行するトロイの木馬です。大量のシステム情報を収集し、感染後にリモートサーバにアクセスします。
Win.Virus.Sality-6780277-0
ウイルス
ピアツーピアのボットネットを確立させるファイル感染型ウイルスです。10 年以上にわたって蔓延していますが、目立たないことで検出を回避しようとする新しいサンプルが日々登場しています。Salityクライアントが境界セキュリティを回避すると、その目標は追加のマルウェアを実行できるダウンローダコンポーネントを実行することです。
Doc.Malware.Powload-6775735-0
マルウェア
PowerShell を使用してマルウェアをダウンロードする、悪意のあるドキュメントです。現在のキャンペーンは「Emotet」マルウェアを配布しています。
PUA.Win.Trojan.Hupigon-6776762-0
トロイの木馬
感染した PC でバックドアとして機能するトロイの木馬です。

脅威

Doc.Malware.Dkvn-6781497-0

侵害の兆候

レジストリ キー

<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PRINT\PRINTERS\Canon PIXMA MG2520\PrinterDriverData

ミューテックス

Local\10MU_ACB10_S-1-5-5-0-57527
Local\10MU_ACBPIDS_S-1-5-5-0-57527
Local\WinSpl64To32Mutex_e162_0_3000

マルウェアから接触があった IP?アドレス（必ずしも悪意があるとは限りません）

45[.]40[.]183[.]1
66[.]198[.]240[.]4
103[.]18[.]109[.]178
192[.]169[.]140[.]162
209[.]151[.]241[.]184

マルウェアから接触があったドメイン名（必ずしも悪意があるとは限りません）

enthos[.]net
shofar[.]com
shawktech[.]com
thecreativeshop[.]com[.]au
burlingtonadvertising[.]com

作成されたファイルやディレクトリ

%UserProfile%\Documents\20181212
%LocalAppData%\Temp\109.exe
%SystemDrive%\~$6889120.doc
%LocalAppData%\Temp\2vuqj0ws.zbs.ps1
%LocalAppData%\Temp\4ezh4c4j.esn.psm1
%LocalAppData%\Temp\CVR95F8.tmp
%LocalAppData%\Temp\~DF78CDE2D9B1588659.TMP

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella

マルウェア