2019年2月13日 Leave a Comment

1 月 25 日から 2 月 1 日に 1 週間における脅威のまとめ

1 min read

TALOS Japan

本日（2 月 1 日）の投稿では、1 月 25 日～ 2 月 1 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、および公開日の時点に限り最新のものであることに留意してください。また、IOC（セキュリティ侵害の証拠や痕跡）の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

本記事のハッシュ値のリストには、最大で 25 個までしか含まれていません。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。

今回紹介する最も一般的な脅威は次のとおりです。

Malware.Ircbot-6832631-0
マルウェア
「Ircbot」（別名「Eldorado」）は、プロセスへのインジェクション、リムーバブルメディアへの伝播、Autorun.inf ファイル経由での実行で知られています。
Malware.Mikey-6832636-0
マルウェア
このクラスタは、永続化を達成できるマルウェアに焦点を当てています。サンプルは分析を複雑にする手口を備えています。このマルウェアファミリは、プラグインアーキテクチャと強力なネットワークアクティビティで知られています。今週、Win.Malware.Mikey が認証情報とデータを盗み出すマルウェア（Vidar と Lokibot など）を配布していたことが確認されました。
Ransomware.Generickdz-6832954-0
ランサムウェア
Win.Ransomware.Generickdz は、Windows を標的とするトロイの木馬の一般的な検出名として頻出します。この特定のシグネチャは、Ursnif ファミリのマルウェアを検出します。Ursnif は感染先から機密情報を盗むだけでなく、マルウェアのダウンローダとしても機能します。
Malware.Nymaim-6832988-0
マルウェア
Nymaim は、ランサムウェアやその他の悪意のあるペイロードを配布するために使用されるマルウェアです。ドメイン生成アルゴリズムを利用して、別のペイロードに接続するための潜在的なコマンドアンドコントロール（C2）ドメインを生成します。
Malware.Razy-6836342-0
マルウェア
「Razy」は、Windows を標的としたトロイの木馬の一般的な検出名として頻出します。感染したホストから機密情報を収集し、データをフォーマットし暗号化して C2 サーバに送信します。
Dropper.Sload-6835718-0
Dropper
Sload ダウンローダは PowerShell を起動し、感染したシステムに関する情報を収集します。PowerShell により、最終的なペイロードまたは別のダウンローダがダウンロードされる可能性があります。

脅威

Win.Malware.Ircbot-6832631-0

侵害の兆候

レジストリ キー

<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
- 値名：Microsoft Windows Manager

ミューテックス

マルウェアから接触があった IP?アドレス（必ずしも悪意があるとは限りません）

192 [.]42 [.]119 [.]41

マルウェアから接触があったドメイン名（必ずしも悪意があるとは限りません）

mokoaehaeihgiaheih[.]ru

作成されたファイルやディレクトリ

%SystemDrive%\autorun.inf
%AppData%\winmgr.txt
\_\DeviceConfigManager.exe
%SystemDrive%\DeviceConfigManager.vbs
%LocalAppData%\Temp\edakubnfgu
%LocalAppData%\Temp\gwhroqkhwu
%LocalAppData%\Temp\rgjqmvnkyr
%LocalAppData%\Temp\phqghumeay
%WinDir%\M-505079372036270397590263040\winmgr.exe
%LocalAppData%\Temp\akfbuwqisx.bat
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\plyfxhcodr.bat

ファイルのハッシュ値

0155016685ec96cc0d9e032e57da2b16052f06bd5ea8a5fb448744405d8d1ace
023d3a287d1bde943a50ed487db4622072f402e49c0e9c08c832927b68d5cf40
0a2780abfe422e7bf4fdd117d4b2610b4e0f439893040615e18989f2238b1a52
18149c8dc18edef48582007a00d96ed443427305f7d8b416d9e324f0e265bc88
194e2936fd8619b889830e9dea05e3d2cbba81ed4fcc6466cc60bdecaa468d6f
1bdbb51379c9a251842b8d82dd09c9feb1ca122c69f35a3ce971233a26cff3bb
204b9ddd234085b28443bc1962ccc2fc4751529972593619fd1f8416f5f46dd1
22a200305586a9d023edbe62ce72ce33d5800537c28071ea2b2d1e1173a1e429
3335e5f96b84ba3ba92acf70f868340875856a5fc4d9fbb20a1fb8783e2a4d5f
355c1a0b0acab5c0f981338a00195aca24391e030bf2b5dc86d40b0a6be8d9db
385d96319115bbb45d56433998e760c8e91fa3b18cdad9e13e7ff5aac8cd18fa
3cdede79cbbb84a194e8cc8b7a4e773fb7ac7422dba189c97e182b60cf5dc3e9
416c4f95ec6425c7e10dbbf76aad05555581ce2afcd463312196488108a19d49
458b83abe7158987c36e9adc7b53302a9f2c3a32515187aab2ab8a94547416eb
47ff491c3eaf993620053967094442d55a7171a7392b20be5887b6df47923bfe
495f52061c57729619359397a0727a5ac7292b4f4460293f2e73b1b57b21ddf7
4c7a2291c7d7bec4c0c6f4a88365de272558e3468fe8792530fb437a9505866c
4da013c828fda6709236939355624832f6cd5a881ce74d0e8ef62cbbb80a14e7
4e15c0dfd45c1389bd5a242a06b1f6811f3ef12964cbb5d842733543f3c37461
4f94991e91530687b0edd128f5032b8f5b689a5bcd86e50bb02a6202f2546a06
5c4f4750c1d7ccbd0f28e4e19a427f70aeef6914e039e07907175ec72f7b55ab
6b6283f336de2e90aaba477e95806875a750cd4d320ff76032b674b0664048b3
7ba9e9ce4e5a4e2e96f01e2ae5726ca7449893df71ba9395834486a003f9db20
7eea4d9381e165b9200410d56b7d3e52dae2261147d259837ab88c5297c6c157
88955e642b622659964daae8899209553f3f90abe4454e043d7cbe05a48b23ec

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella