本日の投稿では、5 月 24 日~ 5 月 31 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、および公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
本記事では、脅威カテゴリごとに 25 個の関連ファイル ハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。
今回紹介する最も一般的な脅威は次のとおりです。
- Malware.Remcos-6978637-1
マルウェア
Remcos はリモート アクセスのトロイの木馬(RAT)です。感染したシステムでは、攻撃者によるコマンドの実行、キーストロークの記録、Web カメラの操作、スクリーンショットの取得が可能になります。Remcos はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 - Dropper.LokiBot-6978650-0
ドロッパー
LokiBot は情報窃取型のマルウェアです。感染したデバイスに保存されている機密情報を吸い上げるように作られています。モジュール型の性質があり、人気のある多くのアプリケーションから機密情報を盗む機能を手助けします。一般に、スパムメールを介して配信される悪意のあるドキュメントによって送り込まれます。 - Dropper.Kovter-6978831-0
ドロッパー
Kovter は永続化をファイル レスで確立させる手口で知られています。Kovter 系のマルウェアは、悪意のあるコードを格納する不正レジストリ エントリをいくつか作成します。また、ファイル システムが感染から駆除された後でもシステムを再感染させることができます。過去にはランサムウェアやクリック詐欺のマルウェアを広めるために使用されてきました。 - Downloader.Emotet-6978977-0
Downloader
Emotet は、現在、最も拡散され活発になっているマルウェア ファミリのひとつです。さまざまなペイロードを配布する非常に高度なモジュール型の脅威です。Emotet はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 - Downloader.Nemucod-6979968-0
ダウンローダ
Nemucod は、被害者のコンピュータ上でランサムウェアを実行するトロイの木馬です。 - Dropper.Qakbot-6984556-0
ドロッパー
Qakbot(別名 Qbot)は少なくとも 2008 年から出回っています。Qbot は主に銀行のログイン情報などの機密情報を標的にしますが、FTP のログイン情報を盗み、SMB を使用してネットワーク全体に拡散する機能も備えています。 - Malware.Kryptik-6983260-1
マルウェア
Kryptik は Windows を標的とするトロイの木馬の一般的な検出名です。これらのサンプルはユーザに気付かれることなく、システム情報の収集、ファイルのダウンロード/アップロード、他のマルウェアの取得などを行う可能性があります。 - Ransomware.Gandcrab-6984356-1
ランサムウェア
GandCrab は、ドキュメント、写真、データベースなどの重要ファイルを、「GDCB」、「CRAB」や「KRAB」の拡張子で暗号化するランサムウェアです。複数のエクスプロイト キット(Rig や GrandSoft など)に加えて、従来のスパム キャンペーンでも拡散しています。 - Malware.DarkComet-6983986-1
Malware
DarkComet とその亜種は、感染したシステムを攻撃者が制御できるようにする、リモート アクセスのトロイの木馬です。このマルウェアは、感染したマシンからファイルをダウンロードする機能、永続化と隠蔽の手段、および感染したシステムからユーザ名とパスワードを送り返す機能を備えています。
脅威
Win.Malware.Remcos-6978637-1
侵害の兆候
レジストリ キー | 発生 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Mozilla |
9 |
<HKCU>\Software\Microsoft\Windows Script Host\Settings | 1 |
<HKCU>\Software\Remcos-8L6ET9 | 1 |
<HKCU>\SOFTWARE\REMCOS-8L6ET9 値の名前: exepath |
1 |
<HKCU>\SOFTWARE\REMCOS-8L6ET9 値の名前: licence |
1 |
<HKCU>\Software\Remcos-DMGAK8 | 1 |
<HKCU>\SOFTWARE\REMCOS-DMGAK8 値の名前: exepath |
1 |
<HKCU>\SOFTWARE\REMCOS-DMGAK8 値の名前: licence |
1 |
<HKCU>\Software\explorer-N7CBD4 | 1 |
<HKCU>\SOFTWARE\EXPLORER-N7CBD4 値の名前: EXEpath |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: explorer |
1 |
<HKCU>\SOFTWARE\EXPLORER-N7CBD4 値の名前: WD |
1 |
<HKCU>\Software\Microsoft\Windows\CurrentVersion\Explorer\34ONMET3ZF | 1 |
<HKCU>\Software\Remcos-LMBBE5 | 1 |
<HKCU>\SOFTWARE\REMCOS-LMBBE5 値の名前: exepath |
1 |
<HKCU>\SOFTWARE\REMCOS-LMBBE5 値の名前: licence |
1 |
<HKCU>\Software\Remcos-A2GPXU | 1 |
<HKCU>\SOFTWARE\REMCOS-A2GPXU 値の名前: exepath |
1 |
<HKCU>\SOFTWARE\REMCOS-A2GPXU 値の名前: licence |
1 |
<HKCU>\Software\Remcos-4ACKPE | 1 |
<HKCU>\SOFTWARE\REMCOS-4ACKPE 値の名前: exepath |
1 |
<HKCU>\SOFTWARE\REMCOS-4ACKPE 値の名前: licence |
1 |
<HKCU>\SOFTWARE\REMCOS-4ACKPE 値の名前: FR |
1 |
ミューテックス | 発生 |
Remcos_Mutex_Inj | 6 |
3749282D282E1E80C56CAE5A | 1 |
A16467FA-7343A2EC-6F235135-4B9A74AC-F1DC8406A | 1 |
eed3bd3a-a1ad-4e99-987b-d7cb3fcfa7f0 – S-1-5-21-2580483871-590521980-3826313501-500 | 1 |
\BaseNamedObjects\Mutex_RemWatchdog | 1 |
\BaseNamedObjects\3BA87BBD1CC40F3583D46680 | 1 |
Remcos-8L6ET9 | 1 |
Remcos-DMGAK8 | 1 |
explorer-N7CBD4 | 1 |
Remcos-LMBBE5 | 1 |
Remcos-A2GPXU | 1 |
Remcos-4ACKPE | 1 |
\BaseNamedObjects\explorer-N7CBD4 | 1 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
91[.]193[.]75[.]9 | 2 |
184[.]75[.]209[.]157 | 1 |
91[.]193[.]75[.]115 | 1 |
46[.]105[.]127[.]143 | 1 |
185[.]244[.]31[.]63 | 1 |
47[.]254[.]172[.]117 | 1 |
185[.]247[.]228[.]210 | 1 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
uaeoffice999[.]warzonedns[.]com | 2 |
ml[.]warzonedns[.]com | 1 |
begurtyut[.]info | 1 |
ableyahweh[.]ddns[.]net | 1 |
kingmethod111[.]duckdns[.]org | 1 |
amblessed[.]ddns[.]net | 1 |
kobiremcos2[.]punkdns[.]top | 1 |
bio4kobs[.]geekgalaxy[.]com | 1 |
kobiremcos3[.]punkdns[.]top | 1 |
kobiremcos[.]punkdns[.]top | 1 |
作成されたファイルやディレクトリ | 発生 |
%LOCALAPPDATA%\TVcard.exe | 9 |
%LOCALAPPDATA%\Mozilla\StatsReader.exe | 9 |
%LOCALAPPDATA%\Thex.bmp | 9 |
%APPDATA%\remcos | 5 |
%APPDATA%\remcos\logs.dat | 5 |
E:\TVcard.exe | 5 |
\TVcard.exe | 5 |
%HOMEPATH%\Local Settings\Application Data\TVcard.exe | 5 |
%HOMEPATH%\Local Settings\Application Data\Mozilla\StatsReader.exe | 5 |
%LOCALAPPDATA%\Mozilla\MiniConvert.exe | 5 |
%LOCALAPPDATA%\Sys.ocx | 5 |
%HOMEPATH%\Local Settings\Application Data\Thex.bmp | 5 |
%ProgramData%\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204\Policy.vpol | 3 |
%LOCALAPPDATA%\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28\Policy.vpol | 3 |
%HOMEPATH%\Local Settings\Application Data\Mozilla\MiniConvert.exe | 3 |
%HOMEPATH%\Local Settings\Application Data\Sys.ocx | 3 |
%APPDATA%\D282E1\1E80C5.lck | 1 |
%APPDATA%\D1CC40\0F3583.hdb | 1 |
%APPDATA%\D1CC40\0F3583.lck | 1 |
\??\E:\explorer.exe | 1 |
\explorer.exe | 1 |
%ProgramFiles%\Microsoft DN1 | 1 |
%APPDATA%\D1CC40\0F3583.exe (copy) | 1 |
%LOCALAPPDATA%\Microsoft Vision | 1 |
%TEMP%\install.vbs | 1 |
IOC の詳細については JSON を参照してください |
ファイルのハッシュ値
- 254cc60f64f6db8b54b2033d95f57f6a7f5c8ceea890ccc85f74570eab725b56
- 5246657574c87126f2bd268b17f5a4bc44e4dd256cf6eff493c2250c7b1c3d3e
- 5325269f4a381c1c7815863de0dd50b208944993d1f61c38a9f521be609827de
- 585f0d663b32f025514e3740e5ac8dd007f777ce0c384fe664b3266c4159289d
- 9484de151f507a81bb04f24b8bccbe4a63bfe0a1df7ea40ba5a076a52599af63
- a233e5ce1fc0df70599f3fe8de20d512aac0b59d9d99df58894a34bba89ec81f
- a969c6228f0de0426084c36c27615dbfa864c71a61c7c4f413fd862fc821db95
- c71a6c05644b6fa09da4dc8c8d808bc7b0eaa3cac989d5f414cbbb79abea9b37
- c916075ef74d579828ecb7fb1805076ac3929daac5b43b3c9d22c36d2239cbba
- d8b92e14d57fb295a1102e9e89c2bdee0e332d87a003d3721b76e1e9eeaa7eb5
- d9b94599e186e1c3a2507f1672a4a1b9492b4eb3c1a3547b3498c54275306765
カバレッジ
検出時のスクリーンショット
Threat Grid
Umbrella
Win.Dropper.LokiBot-6978650-0
侵害の兆候
レジストリ キー | 発生 |
<HKCU>\Software\WinRAR | 1 |
<HKLM>\http://45.67.14.182/slk8/b/cat.php | 1 |
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000003E9 値の名前: F |
1 |
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000001F5 値の名前: F |
1 |
<HKLM>\SAM\SAM\DOMAINS\ACCOUNT\USERS\000003EC 値の名前: F |
1 |
<HKCU>\SOFTWARE\WINRAR 値の名前: HWID |
1 |
ミューテックス | 発生 |
A16467FA-7343A2EC-6F235135-4B9A74AC-F1DC8406A | 6 |
3749282D282E1E80C56CAE5A | 5 |
\BaseNamedObjects\3BA87BBD1CC40F3583D46680 | 4 |
\BaseNamedObjects\A238FB80-2231ABE6-BF235135-4DF622E2-F156829B3 | 1 |
\BaseNamedObjects\A238FB80-2231ABE6-BF235135-47749B25-DB14F8DE1 | 1 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
185[.]79[.]156[.]24 | 3 |
185[.]79[.]156[.]18 | 3 |
185[.]79[.]156[.]23 | 2 |
45[.]67[.]14[.]182 | 2 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 | |
該当なし | – | |
作成されたファイルやディレクトリ | 発生 | |
%ProgramData%\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204\Policy.vpol | 6 | |
%LOCALAPPDATA%\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28\Policy.vpol | 6 | |
%APPDATA%\D282E1\1E80C5.lck | 5 | |
%APPDATA%\wfsgsybinp\spflmbuwjdxpyke.exe | 5 | |
%TEMP%\2fda\api-ms-win-core-heap-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-interlocked-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-libraryloader-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-localization-l1-2-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-memory-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-namedpipe-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-processenvironment-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-processthreads-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-processthreads-l1-1-1.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-profile-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-rtlsupport-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-string-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-synch-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-synch-l1-2-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-sysinfo-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-timezone-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-core-util-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-crt-conio-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-crt-convert-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-crt-environment-l1-1-0.dll | 4 | |
%TEMP%\2fda\api-ms-win-crt-filesystem-l1-1-0.dll | 4 | |
IOC の詳細については JSON を参照してください |
ファイルのハッシュ値
- 1efb2130e792e899d3fee5b0582e61b54f9bdafd00ae43e727d618d462a64a42
- 316522e4f97f2d4f6d568093a043624cbb02d46eb5a7e0f6accfdb188cf1528f
- 319d22b549bcbabce103c5d1359ac65f8e8ae49bff6287de21f3f9ef3138646d
- 36ba85a2d278fb599de9dd36adbe289c39264055996b764d8979f45bcf123535
- 39b14c7b01c68dbd67963156b813ff89c3755b4f12643e6bc92f6ff4b14f40ee
- 680d1d8de9f13d9763a6bc8b2585840b70b7ca6c0f45470bed65f0ce5ca8f908
- 737b0f10471e7d73ec2227dba9250c5130f16b083bc34773e112d72ded4f9e8b
- 7ccb34bd9651f6f27d531128d839d8d0c1853f2b6f29fed69b7e19448bfd3024
- 8772387a55e177ff01fa20b6941dddde054c594eee8098cdf96a57e2ccb78b7d
- 8a4d4491deaea94a51586c5098055c335831b37c17f3d8449fba197dfe73a83d
- 98ece7de8b60e356d6a965c8fecc089b86e67e2c29faa941f7cae0a64537abb9
- ba11b9b4c9e0084e5ae5d0de45761b6bd6ebbb62d41c93c7a23ceeda8461d4b1
- bda55e17c599b80c688e93249375fb027754aef373ecf8a05f205f1ff4bbf21d
- e650008c2c991f8064942ff5609617d07b4589d40a3e9e37c3c4885898f29f54
- ea123c9b6299186b1319ec6572bd16fb6a28185f2e9ddb9aa1bf3e52f1911b5d
- efa28604a547613b68480f7e8ac59f8d02931f5b8d4be6971ea96aff253d5d1a
カバレッジ
検出時のスクリーンショット
Threat Grid
Win.Dropper.Kovter-6978831-0
侵害の兆候
レジストリ キー | 発生 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE 値の名前: DisableOSUpgrade |
25 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\OSUPGRADE 値の名前: ReservationsAllowed |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | 25 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WindowsUpdate | 25 |
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\OSUpgrade | 25 |
<HKCU>\SOFTWARE\3a91c13ab1 | 25 |
<HKLM>\SOFTWARE\WOW6432NODE\3a91c13ab1 | 25 |
<HKLM>\SOFTWARE\WOW6432NODE\3A91C13AB1 値の名前: 656f27d6 |
25 |
<HKCU>\SOFTWARE\3A91C13AB1 値の名前: 656f27d6 |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\3A91C13AB1 値の名前: 96f717b3 |
25 |
<HKCU>\SOFTWARE\3A91C13AB1 値の名前: 96f717b3 |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\3A91C13AB1 値の名前: ffcfae7b |
25 |
<HKCU>\SOFTWARE\3A91C13AB1 値の名前: ffcfae7b |
25 |
<HKLM>\SOFTWARE\WOW6432NODE\3A91C13AB1 値の名前: 01b2a448 |
20 |
<HKCU>\SOFTWARE\3A91C13AB1 値の名前: 01b2a448 |
20 |
<HKLM>\SOFTWARE\WOW6432NODE\RDAW2P1XI 値の名前: tnzJBB |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\XBZ0H3 値の名前: Emk9DIqKS |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\RDAW2P1XI 値の名前: yw6yqsnsb |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\765B49A5A77BF31D | 1 |
<HKLM>\SOFTWARE\WOW6432NODE\byvWyhji | 1 |
<HKLM>\SOFTWARE\WOW6432NODE\765B49A5A77BF31D 値の名前: D347D67C3DAC5505 |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\BYVWYHJI 値の名前: aL0JVbstG |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\BYVWYHJI 値の名前: ESqO4Lrhe |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\062D56AB77939C4FB63 | 1 |
<HKLM>\SOFTWARE\WOW6432NODE\1ZBB6iJuv | 1 |
ミューテックス | 発生 |
B3E8F6F86CDD9D8B | 25 |
A83BAA13F950654C | 25 |
EA4EC370D1E573DA | 25 |
Global\7A7146875A8CDE1E | 25 |
\BaseNamedObjects\408D8D94EC4F66FC | 15 |
\BaseNamedObjects\Global\350160F4882D1C98 | 15 |
\BaseNamedObjects\053C7D611BC8DF3A | 15 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
104[.]170[.]60[.]26 | 1 |
144[.]193[.]156[.]187 | 1 |
88[.]105[.]164[.]83 | 1 |
169[.]202[.]2[.]58 | 1 |
208[.]229[.]136[.]68 | 1 |
186[.]120[.]237[.]204 | 1 |
28[.]237[.]185[.]18 | 1 |
216[.]21[.]9[.]183 | 1 |
217[.]156[.]137[.]119 | 1 |
11[.]136[.]96[.]41 | 1 |
90[.]235[.]33[.]244 | 1 |
189[.]30[.]93[.]102 | 1 |
85[.]82[.]241[.]240 | 1 |
87[.]213[.]1[.]121 | 1 |
42[.]75[.]114[.]211 | 1 |
204[.]6[.]62[.]16 | 1 |
112[.]78[.]74[.]19 | 1 |
163[.]112[.]153[.]66 | 1 |
17[.]210[.]26[.]114 | 1 |
27[.]3[.]105[.]38 | 1 |
100[.]27[.]228[.]124 | 1 |
130[.]139[.]163[.]141 | 1 |
128[.]215[.]237[.]245 | 1 |
23[.]138[.]20[.]236 | 1 |
167[.]165[.]229[.]191 | 1 |
IOC の詳細については JSON を参照してください |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
www[.]cloudflare[.]com | 1 |
demo[.]wylynx[.]com | 1 |
aviators-auth[.]coxhn[.]net | 1 |
作成されたファイルやディレクトリ | 発生 |
\InitShutdown | 18 |
\winreg | 18 |
%SystemRoot%\SysWOW64\tzres.dll | 1 |
ファイルのハッシュ値
- 0715f9f01ebbe56625dd3e970d7437d97564648e85990c9bdf142b4ecdaca3f1
- 07285e9593636743a333a3338ab93bf095fa0907451e471084cd609e7c938281
- 097d7d04e897eca987e28fa7f65a0c3ade12a71de1c758a9a4f5f925c5c602d8
- 0a297b9d84a638e994b2c7fec6df3b3847404731fb7c71562f1ccc0ae75506ab
- 0c8b9fa3bbdce9c015b000de00360c16203166088f2e7221af3e790e73095403
- 11bc7f1f1a3cda33e2f6240ab1e88e468c3a63e5ea3a329946992b737e296136
- 16e7c3a7b2a49e61db54ac870d796c37f9e671f64647887f1489ad3bd5ff626c
- 260572ea7138b64d15936143a9a547bab095151cc4d2ee8e2e9b7daf305fb2be
- 26f53bfdf087e36f3d13e5277b12e38ddb1b4989dd009f3f092d1954da0b8717
- 28766b46246a485e4c226ff90d93392cf2c706ed3bc60aa0d67fd2772130a985
- 2c32a26d84981b540b5fac0d466092c9a72c93723c2a36d643e6ff8cb8a8067d
- 2cfaede6d177df3e4eff37f5f99cb6a3353d76eac59a708f553abf8269dd2aca
- 30ae1dda31fe6473f13e54e01ad124ad3ea919ceaf196cb9f240ca1dfd79ed4a
- 3509a633922b3ede20640ffff30ffa13785f3972c4228bce33d631458825fe24
- 37bc5d2235c55b03d1b3270f88dac6f210400a192d85c85405593424af5c4c60
- 3a105a570eab21e12a4895a0ccf65b0d4b2bff313567e3e52119b1c14e8ea750
- 3c3166135909f4e982f313d6f28cbd44057f96a9ace0b1ffc9fd085d577fc4aa
- 3ea71c0fcc071c4eb5195f17a6b35156a5cc3602b2e1f5a6e90f9cb2ea315a07
- 3eb27755726ae476869cd8054527c1d0f6f49365c9efda8887013af895146c05
- 42561fe7ca1b2322cbe4d910d4c6d7d74a7089a33974a0bef7a45f7235267cd6
- 42ac2333962667d01a4296c64cfd907880c64dfbb9439a3a471f8080024e9d07
- 53dc0aee9d383c234bf9ffd2a49a25ae2affc2275b8806a72e343744f0a9e2ad
- 56ac99cd20dce48020e300dd3b46e9813552ad890b5e52e3d1c46247f6bb8cae
- 5700b5bfde766173f1dce5ccceb7ba015c22cb327f9591e700b8ebacfd158ed5
- 597f778320e6a1a30ab8905f7abdc796c490bd0a87f09c0a02f7849eb0b80585
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Doc.Downloader.Emotet-6978977-0
侵害の兆候
レジストリ キー | 発生 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\sourcebulk | 38 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK 値の名前: Type |
38 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK 値の名前: Start |
38 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK 値の名前: ErrorControl |
38 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK 値の名前: ImagePath |
38 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK 値の名前: DisplayName |
38 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK 値の名前: WOW64 |
38 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK 値の名前: ObjectName |
38 |
ミューテックス | 発生 |
Global\I98B68E3C | 38 |
Global\M98B68E3C | 38 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
115[.]71[.]233[.]127 | 35 |
74[.]207[.]227[.]96 | 28 |
23[.]95[.]95[.]18 | 28 |
172[.]217[.]6[.]211 | 24 |
65[.]55[.]72[.]183 | 23 |
74[.]6[.]136[.]150 | 21 |
69[.]147[.]92[.]11 | 18 |
74[.]6[.]141[.]50 | 17 |
212[.]77[.]101[.]141 | 17 |
69[.]147[.]92[.]12 | 17 |
196[.]25[.]211[.]150 | 16 |
212[.]227[.]17[.]168 | 16 |
212[.]77[.]101[.]1 | 16 |
172[.]217[.]12[.]211 | 15 |
159[.]127[.]187[.]12 | 15 |
173[.]194[.]207[.]108 | 15 |
72[.]167[.]238[.]29 | 13 |
104[.]131[.]11[.]150 | 13 |
64[.]91[.]228[.]45 | 13 |
200[.]27[.]156[.]230 | 13 |
64[.]4[.]244[.]68 | 12 |
200[.]27[.]156[.]160 | 12 |
207[.]204[.]50[.]10 | 11 |
68[.]178[.]213[.]203 | 11 |
213[.]165[.]67[.]108 | 11 |
IOC の詳細については JSON を参照してください |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
blog[.]laviajeria[.]com | 25 |
smtp[.]aol[.]com | 17 |
mail[.]wp[.]pl | 17 |
smtp[.]wp[.]pl | 16 |
mail[.]aol[.]com | 15 |
mail[.]paypal[.]com | 15 |
smtp[.]telkomsa[.]net | 14 |
pop3[.]telkomsa[.]net | 13 |
golfingtrail[.]com | 13 |
smtpout[.]secureserver[.]net | 12 |
smtp[.]mail[.]ru | 12 |
mail[.]web[.]de | 12 |
smtp[.]paypal[.]com | 12 |
imap[.]secureserver[.]net | 11 |
smtp[.]orange[.]fr | 11 |
mail[.]secureserver[.]net | 10 |
smtp[.]1und1[.]de | 10 |
smtp[.]outlook[.]com | 9 |
smtp[.]yahoo[.]co[.]uk | 9 |
smtp[.]secureserver[.]net | 8 |
mail[.]rochester[.]rr[.]com | 8 |
mail[.]ccsu[.]edu | 8 |
premium68[.]web-hosting[.]com | 8 |
mail[.]gmx[.]de | 7 |
mail[.]msn[.]com | 7 |
IOC の詳細については JSON を参照してください |
作成されたファイルやディレクトリ | 発生 |
%HOMEPATH%\905.exe | 25 |
%HOMEPATH%\985.exe | 13 |
%SystemRoot%\Registration\R000000000005.clb | 1 |
%SystemRoot%\SysWOW64\sourcebulka.exe | 1 |
%SystemRoot%\SysWOW64\RaIsI.exe | 1 |
%SystemRoot%\SysWOW64\b7CLyYeMYOz.exe | 1 |
%SystemRoot%\SysWOW64\JAfDaABdFwDwQOmU.exe | 1 |
%SystemRoot%\SysWOW64\XsURGMXS03AY8k5H.exe | 1 |
%SystemRoot%\SysWOW64\B3G3HJkHw.exe | 1 |
%SystemRoot%\SysWOW64\OACv5sbfWOqW.exe | 1 |
%SystemRoot%\SysWOW64\vQPrd2DqNc.exe | 1 |
%SystemRoot%\SysWOW64\eZctuX442LBnjCR.exe | 1 |
%SystemRoot%\SysWOW64\G4gruKLDsT8Hqq.exe | 1 |
%SystemRoot%\SysWOW64\H2TI.exe | 1 |
%SystemRoot%\SysWOW64\0UiKEdt.exe | 1 |
%SystemRoot%\SysWOW64\lI7hCDdPp88lp9wc9FI.exe | 1 |
%SystemRoot%\SysWOW64\jvfRQuzTShGWsLy.exe | 1 |
%SystemRoot%\SysWOW64\pFZeNxzUSolEMyg5jlf.exe | 1 |
%TEMP%\CVR99F.tmp | 1 |
%SystemRoot%\SysWOW64\s5nWep8.exe | 1 |
%SystemRoot%\SysWOW64\OBG55Zcwc0ZIAIzMsrO.exe | 1 |
%SystemRoot%\SysWOW64\rrLgU5ygLqi.exe | 1 |
%SystemRoot%\SysWOW64\Bbnxe2ZT28fYyG.exe | 1 |
%SystemRoot%\SysWOW64\4CrV663kwXBhNO.exe | 1 |
%SystemRoot%\SysWOW64\rnrtEbeM2u.exe | 1 |
IOC の詳細については JSON を参照してください |
ファイルのハッシュ値
- 08891649a39702f90e11f8ff3035fd16c8f2431d16eeb4919382414735a342be
- 10b5e211a2e7f00f87d2074a183f9870459e588772f2434ae2e597f800f8522a
- 173f2078c872504912c5878cac192ab6e7aee9da8f2b76505a7c201eec5af2f2
- 17dbcd96af456b87e928609743c3a232e438e3b7f31be3f82d9912605a17e7e5
- 1a1c4b3314857aed3c55053968fa6260693577ee18e59f29be78e9add0e52840
- 1afd12fda74676381f591b7e2dd6dd2510e603308504a73c880ab6990bd49d32
- 28398ed10fb49cc49f2cf4559ccbd2b5ce7213c0d62694dd637a5ec8d304352b
- 286d190e59b9fea171a55e2d99f2c4c5a66560c2e919199a67a6a960f5acd079
- 2875510d0044c059a8f554aa8401cacd69f806a46205632a11c02096ecb6a0e8
- 29a3ee36c05e27f07958695833e5f49f2579ce005fabd6048d74285b9dfc40e9
- 40abbe8ec1e3c31efdedfabaeadc4cdcb88e918f7a0ed7dd3092e26fb2dd676e
- 4e82b20ca98af17b4361fe688bce991cd907e25c139b9da39340fd758a6bd22b
- 4f65fb3713b36e2c0eb64e8e77a3aa6bd3e4367ffd3184b179da869ff094cacc
- 510f007b77f469f04508b716ab447ce6b2bdcb592aaf4854d236410e61009ee4
- 598ec9fc1bede336d31abbeaa17ee90fec033e46ca742d16e17b25efa2bfe8dc
- 5a217e950f27df7da794e729b22980c2aa1417696ffa1ee861ce9e657fd35bbb
- 5c0a12520509cc3dced61c92a635e06dc369f5fe537f6dd74cde28a383beaaf8
- 6850221b3ed9b438b4959fac2fa86ef2731267ecef2c539e128621a145f8f0b1
- 720d9323f66abad23ddc1a0274f13ada330575fa1566fc87c81faad0983b2a72
- 74b11951254ac75489460f573845fc5ddc84110b02585520cc175b02162c212e
- 74bf67c7c1ed3eafd43b099b40d537ea115190c49e4e3e956e42702ea9aa904b
- 7db9895829ef195f34659278d7f47618703cb2c535183f41dfc51a8263c7b4c5
- 83b3bc37bf99bc56096c76ecfd19cb34a70d0d9656f926598625417b5c425fc7
- 8691ab6505118b9ca2818db4e3ece4edcd40cedc4ba3b5a00dfbc7a1c12d58e6
- 86a50c8e8f5d300f3731ebdce8b98be02696e2ff1d7e979abd873354bfd87006
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Umbrella
マルウェア
Txt.Downloader.Nemucod-6979968-0
侵害の兆候
レジストリ キー | 発生 |
<HKLM>\SOFTWARE\WOW6432NODE\System32 | 18 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\Configuration | 18 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\CONFIGURATION 値の名前: xi |
18 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Client Server Runtime Subsystem |
18 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\CONFIGURATION 値の名前: xVersion |
18 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\CONFIGURATION 値の名前: xmode |
16 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\CONFIGURATION 値の名前: xpk |
16 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\CONFIGURATION 値の名前: xstate |
16 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\CONFIGURATION 値の名前: xcnt |
16 |
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\DAC9024F54D8F6DF94935FB1732638CA6AD77C13 値の名前: Blob |
14 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\CONFIGURATION 値の名前: shst |
14 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\CONFIGURATION 値の名前: sh1 |
14 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\CONFIGURATION 値の名前: xmail |
9 |
<HKLM>\SOFTWARE\WOW6432NODE\SYSTEM32\CONFIGURATION 値の名前: shsnt |
9 |
ミューテックス | 発生 |
該当なし | – |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
194[.]109[.]206[.]212 | 9 |
95[.]216[.]12[.]141 | 9 |
104[.]18[.]35[.]131 | 9 |
104[.]16[.]154[.]36 | 8 |
104[.]16[.]155[.]36 | 8 |
86[.]59[.]21[.]38 | 7 |
104[.]18[.]34[.]131 | 7 |
208[.]83[.]223[.]34 | 6 |
154[.]35[.]32[.]5 | 6 |
171[.]25[.]193[.]9 | 6 |
128[.]31[.]0[.]39 | 5 |
193[.]23[.]244[.]244 | 5 |
76[.]73[.]17[.]194 | 5 |
62[.]173[.]145[.]104 | 3 |
85[.]93[.]145[.]251 | 3 |
131[.]188[.]40[.]189 | 3 |
138[.]201[.]169[.]12 | 2 |
78[.]129[.]150[.]54 | 2 |
82[.]192[.]94[.]125 | 2 |
134[.]19[.]177[.]109 | 2 |
109[.]234[.]165[.]77 | 2 |
173[.]254[.]213[.]13 | 2 |
94[.]73[.]147[.]165 | 1 |
148[.]251[.]155[.]108 | 1 |
212[.]237[.]210[.]8 | 1 |
IOC の詳細については JSON を参照してください |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
whatismyipaddress[.]com | 16 |
opengraphprotocol[.]org | 16 |
wsrs[.]net | 16 |
whatsmyip[.]net | 16 |
aff[.]ironsocket[.]com | 16 |
cmsgear[.]com | 16 |
www[.]zagogulina[.]com | 2 |
api[.]w[.]org | 1 |
gmpg[.]org | 1 |
t[.]co | 1 |
www[.]lagerpartner[.]dk | 1 |
adasnature[.]rodevdesign[.]com | 1 |
toolingguru[.]com | 1 |
specialsedu[.]com | 1 |
tuttyguru[.]com | 1 |
hoiquanarsenal[.]000webhostapp[.]com | 1 |
stakesedu[.]com | 1 |
techjoomo[.]com | 1 |
tbuild[.]2tstelecom[.]com | 1 |
fruityytech[.]com | 1 |
techyoun[.]com | 1 |
www[.]adasnature[.]rodevdesign[.]com | 1 |
trutthedu[.]com | 1 |
essexweldmex[.]com | 1 |
ashleyharrison[.]tech | 1 |
IOC の詳細については JSON を参照してください |
作成されたファイルやディレクトリ | 発生 |
%ProgramData%\Windows | 18 |
%TEMP%\6893A5D897 | 18 |
%TEMP%\6893A5~1\lock | 18 |
%ProgramData%\Windows\csrss.exe | 18 |
%TEMP%\6893A5~1\state.tmp | 18 |
%TEMP%\6893A5~1\unverified-microdesc-consensus.tmp | 18 |
%TEMP%\6893A5~1\cached-certs.tmp | 17 |
%TEMP%\6893A5~1\cached-microdesc-consensus.tmp | 17 |
%TEMP%\6893A5~1\cached-microdescs.new | 17 |
%TEMP%\6893A5~1\unverified-microdesc-consensus | 17 |
E:\README10.txt | 16 |
E:\README2.txt | 16 |
E:\README5.txt | 16 |
E:\README6.txt | 16 |
E:\README7.txt | 16 |
E:\README8.txt | 16 |
E:\README9.txt | 16 |
\README1.txt | 16 |
\README10.txt | 16 |
\README2.txt | 16 |
\README3.txt | 16 |
\README4.txt | 16 |
\README5.txt | 16 |
\README6.txt | 16 |
\README7.txt | 16 |
IOC の詳細については JSON を参照してください |
ファイルのハッシュ値
- 01446b1b8130f7e962e12ff9a50d5da8acb394be437f000d77f54e39527b7ab8
- 0aa15df3fca9a49cf616d6ee3dbc9d29fde8f272466788a217e15c28ec6ef3f5
- 19c6c4e0d94e88f3460549dca47715ba9f0f0e928f127eb45706c38d9979163b
- 1e91a7eb97063517cb8798dafe93fb2f20eec7f4100b4175ec26c7f975aa6965
- 1ed50005b56e0fd4828799e74bc5f78d2cc887934b891c23eb28d5b5cff14139
- 37134b5f952e7c0108685d16963663687637ec006a86a15feee1afca36e8b765
- 38be93101842cd74079121d4864d37f971cbad305c993ef2d465bb2bb6706d3d
- 43d78a497d4fc7a500e33d09bda1b93097727c703b7a0ed698bda3b417efd7c4
- 467be08133e9e2c683444bb21eef42864df9603cf22cde4ddf777a7d1c242362
- 47b28eea9dc3aea93a1c361b3e5db6d1cf88021225c43ba364f11959a834049e
- 54a6d6b359a4119a0009c2fec6f430a06df2aa6a0793b79feafe1a89b0e09010
- 640f7ee70f167a82e02a174c8f084ecec19b7a5481b6f7e399dfd25ad64f4da5
- 7b1d29992c3c9be33294af41981d48ba92a773f2d6bab6142d625aa5b7d96a7d
- 856b8aed7661ec632ccdba1e738e990703a53dd241c99a1627df99ad5bd3a478
- 869daf9d7e0ba9da47e604ca310022fa7aeb7a3a2ca7c1dc976958b634ab9cc5
- 94c3139cb64e42264c87afd46f879702b45c33e6711d1777a4ce3faa134faecf
- 986a7e2a2199640a2b156ad35a9313070bab0f89402bf9f6daff03c76748c76e
- a3c8f9e92437fc83ad502f12eeb5aa97828b060168e50914aef6504961c82263
- ab05542f803dfe04d1941ca646a3c9f10d04037475655bb1b9495dc82279fcd3
- af66d0c9ab90be7dee01a389e351dc52a025be4579a7ef9cb290c4348c499cb6
- be77578b063aeb67fa49b17d0474229e4573ab79e48d9d68e4250a063884d7c6
- c22bb64479d12c5322e20c8cf88d7ddd68157d81b9211764a7f46e9096c56594
- cf86b58dcc90b88df0f81d7e4db87e2c687baae11058924a74e91594ee8a0965
- d6b029b0280f7c3e1a9be0dff1d9ce58e173b4fca568a80e62c69248398eed53
- d93ad8604d87827ce1312c1640df2a49ba9f3c592ef9f779ae38eb76a9d95739
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Umbrella
Win.Dropper.Qakbot-6984556-0
侵害の兆候
レジストリ キー | 発生 |
該当なし | – |
ミューテックス | 発生 |
ocmwn | 36 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
該当なし | – |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
該当なし | – |
作成されたファイルやディレクトリ | 発生 |
該当なし | – |
ファイルのハッシュ値
- 0416a1f1118ca4e50afdee9c1e76cdca0b19e374d2be21ed1ea6cf96eadc6033
- 0f70dc9c66a9bc37b7edfa1cb2d3566c53b63d67b8e8fd4c78f0f9ac08fc7a7b
- 0fbd8df6ea3398aa3c7a139679fe60ab90766a4dd81e3ae6feface7a24061b31
- 0fc09554d5f6f9059e6c251108caf5921db41ce23e791d418b4587108aae62db
- 122f88c01202cc59a9cbb11b8eff11e4b1ff98b8a9e7956db2c0161bd633e451
- 1df18b6c34f6eab5ba1de274793f94f6168016cfe00008db3a38d79031936b81
- 25194a4d3d7b860d1c2a722eeccd45d7c6bedb3fe2967e83bd28e9b3ea6bb033
- 2c738330714e592259d090d03400fa3cc4f2ae7f16b2e3616a5b8bc16e29c72e
- 2de648c80d9122fc3081aabf4d6257e03fecb57d9fe6e1b98b4e79f28516b8a2
- 2f769a70e02699e161593dc619e354028e3f3b23ea76cb8b493ef68595bc2b67
- 3b24ecd81735aaa4c459aa8e5378595eb6bc043d607eeb90b56ba89a962f56a8
- 40a186d85f12a21d4b65650ab513e723d0ebac79256307b6772257d4d9364188
- 43b8424bdd21dfbfd81cfc4b2f31706f2bfd21c5d5dd99b17be2b78ceb3a98e2
- 47d0d80d31c6b02e009585b97702fac60a958c5443a07ac62a68ef24b39bfcf4
- 4a961cc37b6f6c9e650d4aefa99de46a564679783b5ebaf631b10ac0e891191d
- 4ac3ceb7094c7c2a5edd95bb21a5b87e6f644cb03b0b72bb9f436623ec2b11d1
- 4af9db7adad64a3ccffb37a051672cbd119524999968837300763d1f0143d218
- 4b1becbe4702e8e370a3c0ba0d1ae6c3b0794de26b1db1730c609d2675f7edbd
- 4c36e499054de9b6a674a54d809083b90ffef539a33f76ef49d7a1bfe89ddfd2
- 56d8a1d419389fc826ca627bd62b90d8c1c78c1de9c906d73cc2f9a90aace0a6
- 5931e1ea80e1b82dbf84db29d4bcdf01feecc7a0efb3fac05bc187abf29a588c
- 61e2e922cae2ebed761d7ebc4e43e48821097821213216a17ec7690325c18f6f
- 62679544133ce6ec6a09ac7b374cb3c51e82ad5486499467ad58b4115850f110
- 66ef03a7d4628f9c40801b5ffd192376dce602214947e29f32d676f908c41d18
- 70d91dbb7fb60dfcee3cfa585eed0efcdd25620bdb5ffffd8431e02876ee65dd
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Malware.Kryptik-6983260-1
侵害の兆候
レジストリ キー | 発生 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: drippt |
25 |
ミューテックス | 発生 |
3G1S91V5ZA5fB56W | 25 |
8AZB70HDFK0WOZIZ | 25 |
ATYNKAJP30Z9AQ | 25 |
JKLSXX1ZA1QRLER | 25 |
NHO9AZB7HDK0WAZMM | 25 |
OMXBJSJ3WA1ZIN | 25 |
PJOQT7WD1SAOM | 25 |
PSHZ73VLLOAFB | 25 |
VHO9AZB7HDK0WAZMM | 25 |
VRK1AlIXBJDA5U3A | 25 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
該当なし | – |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
該当なし | – |
作成されたファイルやディレクトリ | 発生 |
該当なし | – |
ファイルのハッシュ値
- 037a8cc036ef9b395300b6e56deb931f411d1fb498aefa1417fc5905f5a355b7
- 0e699ed4adcd822951f647d9d34873eb45436d8e08f273c6edc271b3a28a63b3
- 1693124dbb76c552ea96d94aeb56bcf673b29a4207be877743bc8e5b7404a9c5
- 1c3eb8b78b435fb261296e5afe7eca9d2f898e75a953edad8eb4b8788875e5b6
- 1cc0c215b78bc42e9926e822e8b3c05fca8dddfa23e6cbd245087309a9ac114c
- 233dd554a6e99d66c3c5b03a60c25c5737b1da6a6fa13b3e594da1deb5c47dcd
- 337b52e708905c51d83d570edd07379322270d6ef25a981a801776b2e60cf82a
- 37ae2b35640423e3074277bf9c6f6e0f25d47251418b66ce9b37c76154164023
- 3d2017ed5b3f99c43cc17ea72e95a4209be22d7cd0ed8c6b9d43add50628d6cc
- 432ce20272510c1a6112aa246b0cb321976a299b054d2b82b94598ed59ee7f44
- 4ac6c836b35945108c53f863e441e659baaf099279f06e0aa01d41f1739a980d
- 4f2333d05cdb8293b85e64bbb891eb5a8ad1ab322babf8993b854e37135a8677
- 513171233ab20f2e5f474ec0e00498a7e800c8c6d31f575ace21677e9a834667
- 571cfa598f094ad73ff6237ae66c938cb2832bf04196442608107fc3b46a967f
- 59010e05103e93fcb5bd33a0f13b8780720ac23694a1d12e4a5d59e3e8aa0984
- 6067621b4ecf4018e42e5ed195a8e179a3e6c259025b6f248e6b8bbd2b205704
- 6a73e94427c84a3e16e9c2c7ee4404ae93137cd08852fbb33dda67bacebbf0a6
- 6c2c7bab2520d774d6054b789047916f59f741b561db2710351b96e36b10f000
- 710436e038f3406ba539b2fdf91478ba44b4ac14e4738ef9dbc25fc0b2fe7105
- 712119bcb97d93941e5668fe8977fdbf5a06eb435d7b611094a87caf54fffb72
- 747c08074c51758e03b550d571830cbcdaaf0ce6ad6721d7d07de7f0f3df0b62
- 8662a730cdb3d3303e5ae5ef9beafd74473487fac7f06542f0154cbbe56284f9
- 8a5f573dd497c0d1adc337bf71f6a37b9b9cb0ba79607950c7fc92cc45508c16
- 94bceae74cc733290eaa6830bfc61bfdeeafaf1d609439d5d9bc718b8ffc668a
- 989eaa8e832dee1ea28452e91c30556ed1b84cb38d1381361770469c599db4ce
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Ransomware.Gandcrab-6984356-1
侵害の兆候
レジストリ キー | 発生 |
<HKCU>\CONTROL PANEL\DESKTOP 値の名前: Wallpaper |
3 |
<HKLM>\SOFTWARE\WOW6432NODE\ex_data | 3 |
<HKLM>\SOFTWARE\WOW6432NODE\EX_DATA\data | 3 |
<HKLM>\SOFTWARE\WOW6432NODE\keys_data | 3 |
<HKLM>\SOFTWARE\WOW6432NODE\KEYS_DATA\data | 3 |
<HKLM>\SOFTWARE\WOW6432NODE\EX_DATA\DATA 値の名前: ext |
3 |
<HKLM>\SOFTWARE\WOW6432NODE\KEYS_DATA\DATA 値の名前: public |
3 |
<HKLM>\SOFTWARE\WOW6432NODE\KEYS_DATA\DATA 値の名前: private |
3 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\Notify | 2 |
<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | 2 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST 値の名前: C:\Windows\system32\rundll32.exe |
2 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\gctilof | 2 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\GCTILOF 値の名前: Impersonate |
2 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\GCTILOF 値の名前: Asynchronous |
2 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\GCTILOF 値の名前: MaxWait |
2 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\GCTILOF 値の名前: DllName |
2 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\GCTILOF 値の名前: Startup |
2 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: gctilof |
2 |
ミューテックス | 発生 |
A16467FA7-343A2EC6-F2351354-B9A74ACF-1DC8406A | 20 |
Global\8B5BAAB9E36E4507C5F5.lock | 3 |
Global\XlAKFoxSKGOfSGOoSFOOFNOLPE | 3 |
A9MTX7ERFAMKLQ | 2 |
A9ZLO3DAFRVH1WAE | 2 |
AhY93G7iia | 2 |
B81XZCHO7OLPA | 2 |
BSKLZ1RVAUON | 2 |
DRBCXMtx | 2 |
F-DAH77-LLP | 2 |
FNZIMLL1 | 2 |
FURLENTG3a | 2 |
FstCNMutex | 2 |
GJLAAZGJI156R | 2 |
I-103-139-900557 | 2 |
I106865886KMTX | 2 |
IGBIASAARMOAIZ | 2 |
IGMJIA3OX | 2 |
J8OSEXAZLIYSQ8J | 2 |
LXCV0IMGIXS0RTA1 | 2 |
MKS8IUMZ13NOZ | 2 |
NLYOPPSTY | 2 |
OLZTR-AFHK11 | 2 |
OPLXSDF19WRQ | 2 |
PLAX7FASCI8AMNA | 2 |
IOC の詳細については JSON を参照してください |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
104[.]31[.]71[.]122 | 10 |
192[.]42[.]119[.]41 | 4 |
185[.]62[.]170[.]1 | 3 |
52[.]17[.]9[.]185 | 3 |
217[.]26[.]54[.]189 | 3 |
83[.]166[.]148[.]69 | 3 |
217[.]26[.]53[.]37 | 3 |
213[.]186[.]33[.]5 | 3 |
136[.]243[.]162[.]140 | 3 |
195[.]201[.]207[.]213 | 3 |
188[.]165[.]40[.]130 | 3 |
46[.]32[.]228[.]22 | 3 |
185[.]58[.]214[.]106 | 3 |
185[.]51[.]191[.]29 | 3 |
149[.]126[.]4[.]15 | 3 |
193[.]200[.]231[.]4 | 3 |
194[.]51[.]187[.]23 | 3 |
83[.]166[.]138[.]8 | 3 |
5[.]144[.]168[.]210 | 3 |
136[.]243[.]13[.]215 | 3 |
83[.]138[.]82[.]107 | 3 |
192[.]185[.]159[.]253 | 3 |
193[.]246[.]63[.]157 | 3 |
149[.]126[.]4[.]89 | 3 |
194[.]51[.]187[.]22 | 3 |
IOC の詳細については JSON を参照してください |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
electrumscoin[.]org | 10 |
PALKANKA[.]SITE | 6 |
doa[.]wolexsal[.]at | 5 |
www[.]cantinesurcoux[.]net | 3 |
www[.]pizcam[.]com | 3 |
www[.]hotel-blumental[.]com | 3 |
www[.]arbezie[.]com | 3 |
www[.]holzbock[.]biz | 3 |
www[.]disch[.]mehrmarken[.]net | 3 |
www[.]alpenlodge[.]com | 3 |
www[.]hotelolden[.]com | 3 |
www[.]hotellido-lugano[.]com | 3 |
www[.]petit-paradis[.]com | 3 |
www[.]hotelrotonde[.]com | 3 |
www[.]2mmotorsport[.]biz | 3 |
www[.]flemings-hotels[.]com | 3 |
www[.]hardrockhoteldavos[.]com | 3 |
www[.]bnbdelacolline[.]com | 3 |
www[.]arbezie-hotel[.]com | 3 |
www[.]mountainhostel[.]com | 3 |
www[.]lassalle-haus[.]org | 3 |
www[.]alimentarium[.]org | 3 |
www[.]bellevuewiesen[.]com | 3 |
www[.]kroneregensberg[.]com | 3 |
www[.]waageglarus[.]com | 3 |
IOC の詳細については JSON を参照してください |
作成されたファイルやディレクトリ | 発生 |
%TEMP%\pidor.bmp | 3 |
%HOMEPATH%\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\AppData\98b689da98b68e3f316.lock | 3 |
%APPDATA%\Media Center Programs\98b689da98b68e3f316.lock | 3 |
%APPDATA%\Microsoft\98b689da98b68e3f316.lock | 3 |
%APPDATA%\Microsoft\Internet Explorer\98b689da98b68e3f316.lock | 3 |
%APPDATA%\Microsoft\Internet Explorer\Quick Launch\98b689da98b68e3f316.lock | 3 |
%APPDATA%\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Cookies\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Desktop\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Documents\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Documents\My Music\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Documents\My Pictures\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Documents\My Videos\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Downloads\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Favorites\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Links\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Music\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\My Documents\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\NetHood\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Pictures\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\PrintHood\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Recent\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\Saved Games\98b689da98b68e3f316.lock | 3 |
%HOMEPATH%\SendTo\98b689da98b68e3f316.lock | 3 |
IOC の詳細については JSON を参照してください |
ファイルのハッシュ値
- 0056173ac7818058a9ef3025473fceff24386f8dd61c23b3ca53f332b7b8b756
- 010dd10aebe976dbf2473a656f0449c0a91aff6732d82fa605974d5452a1f882
- 0c3a00f9adfbb35f60aa3a67e02ee7fe5f01464d08825c2a0b181c5553809484
- 0cd7b76e663ef841a0468a4542f9594a212f682bda4fd13ac596c8dc375a70a1
- 0dd538728ed3de4c0f112e503825028c6de6a19d176093b4f8ee2aba784e96e4
- 12a9b70fb4e43716b450c37120a63c2da29e7a3c8657a95a1f318a4853550968
- 157f96de23735d1c41df83f0a4deba3a4c64d7d0b15d4cce28a9166131e085bc
- 19d7bab5cc8305e6fa1b248ceda3fb40dfe9d5256b1f8897350ccd2110c235d5
- 259220ed0a5fadd095aee079bf2fb8fa27f2204f3ebe95b588014bf4654d925d
- 411d66336a7a62138158211a0c9d47760cf072a86ea27cddfb173a59a4839a6e
- 4446a42ec66656956467df28df5c1e587d4c4cfd804201ba9912fd5729bb8f64
- 4b4f963ed8910f44f75ca75a2c21f7a31f600761bd97517246f7aa8f2ab5c4ff
- 4c9cb943f1efb719c8bb4907d89fa296bb53f010e53fd8f1da09667be0055aaf
- 50e6406dd568defee6835b152a2af2b82956004a87011d9da202648197dfaafe
- 510fd9535d75bf55e09028dc6f015798c7050d39f60b9ed86f7ce392d08ccc36
- 53248110e4f2ffb57520d2bbedc2cd4efe486c2a05243eb60807242bbfcbdd0e
- 5a70e3f4169bfc369c5d6686eb5f6a3170b39dc4fa5196d39d2d9409075665cf
- 5c562a47c8bb34f90f70377862dad9f134d6d5ae2d01595ea8225f51f8c7ed99
- 618d93da49f253e9ece275eaf87c9639489d5f876dec9b1ce6fb14fc22d1c175
- 66ef34785cdbbccb9cc46e69902d4e4f227134ddd2f8275430e3656480d79caa
- 729c6ae5d8415d8b49c646807a4b95ddef38626bce3303cf08c4cdcc505196cf
- 76151d8b9598ed85a90c04ce2b8c19fb93efc435b9982dd37565bdc92a494ad3
- 7872ffcf0a320ec62c57954bb55158876958adf3c9a41ff470da476a13cbbef7
- 796b0898478bb8ba453d4d974ab43aacf5c7e85bafa8e86133a284f47ab214d9
- 8775ce35c810ebe3d2e0f8a9c84b77e38bd5d2d682a4e65a3fc9f9a86df52aa1
- IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Umbrella
Win.Malware.DarkComet-6983986-1
侵害の兆候
レジストリ キー | 発生 |
<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | 1 |
<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | 1 |
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{16E11FA4-EASQ-57E4-QPP4-4B4EE7V76IQ4} | 1 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: system32 |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: system32 |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{16E11FA4-EASQ-57E4-QPP4-4B4EE7V76IQ4} 値の名前: StubPath |
1 |
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{0D285L58-7O12-HSU1-C880-04J8UU718520} | 1 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN 値の名前: WinUpdate |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN 値の名前: WinUpdate |
1 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{0D285L58-7O12-HSU1-C880-04J8UU718520} 値の名前: StubPath |
1 |
<HKCU>\SOFTWARE\Cofer2 | 1 |
<HKCU>\SOFTWARE\COFER2 値の名前: FirstExecution |
1 |
<HKCU>\SOFTWARE\COFER2 値の名前: NewIdentification |
1 |
ミューテックス | 発生 |
\BaseNamedObjects\_x_X_UPDATE_X_x_ | 13 |
\BaseNamedObjects\_x_X_PASSWORDLIST_X_x_ | 13 |
\BaseNamedObjects\_x_X_BLOCKMOUSE_X_x_ | 13 |
\BaseNamedObjects\***MUTEX*** | 4 |
\BaseNamedObjects\***MUTEX***_SAIR | 4 |
\BaseNamedObjects\***MUTEX***_PERSIST | 4 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生 |
該当なし | – |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生 |
loucao22[.]no-ip[.]org | 1 |
作成されたファイルやディレクトリ | 発生 |
%TEMP%\UuU.uUu | 4 |
%TEMP%\XX–XX–XX.txt | 4 |
%TEMP%\XxX.xXx | 4 |
%APPDATA%\logs.dat | 4 |
%System32%\install\server.exe | 2 |
%SystemRoot%\SysWOW64\install | 1 |
%SystemRoot%\install | 1 |
%SystemRoot%\SysWOW64\install\explore.exe | 1 |
%System32%\install\explore.exe | 1 |
%SystemRoot%\install\flashplayer.exe | 1 |
ファイルのハッシュ値
- 001dadb87b55db69aaab1edcbf7c38bba929732e83c16d84278c992687d157fc
- 4ca9b2f8018dd2789f91fca2ad5a2281875bd3a6239a56ec29ff3ce366265d98
- 5780956f6411277398daf452baa75bdfcad2bd93c4a97af4e07ac0e20fbb9f0c
- 7ad5f208199b49bd14cbb26a1d8888c07692830d84b9be29920bc1db37c0b1e1
- 8a006d694bf6d30e2f711fce6e612d2880fba6d95085e41c57d0b76b88392b44
- 95728734cc57a788f44b2c8a7cf6601b0f4b7b2c05b85aa893a926d1c4c799d7
- a9a09f58cc3dc6d6d097ee2ffcab7ec256c157d778979f5e80c1212ff68f3eb3
- d2211069cc40d43f81d9c81274976aff64ff52e5858ed573d26cd5503dd563ee
- d90b4a4ade207ebf768af252cf8d9b032158122670c50eb6bfafeec74d695f58
- eb914c411fdc043c690ed0d1361d82d73dca6e764150c0bce4a20d9439df9c8b
- ef2dae7f7d3a706a766ac41478adb9dd2dd871f88d458ace41e9813670cc99bd
- f094dbe9dc2bbc7337e2aa1317317f1a7833bad9d966f01ebb582d51ce8d3b23
- f1a0dda889f3af093b9092b8652fd7847de05015dee0914d36937c2ef641fa46
- f51b96ebe4242a34754e14d0d2bc0dcd5ccd446f0eeb5fcdb9b7e03686dc40cc
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
EXPREV
Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。
- Madshi インジェクションを検出(3512)
Madshi は、プロセス内でスレッドを開始する他の方法が失敗した場合に、プロセス インジェクションを使用して新しいスレッドを開始するコード インジェクション フレームワークです。このフレームワークは多数のセキュリティ ソリューションで採用されていますが、マルウェアで悪用される可能性もあります。 - Kovter インジェクションを検出(1779)
プロセスが注入されました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter にはファイルレス マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパム キャンペーンを通じて拡散しています。 - PowerShell ファイルレス感染を検出(513)
PowerShell コマンドが環境変数に格納され、実行されました。環境変数は通常、以前に実行したスクリプトによって設定され、回避手口として使用されます。この手口は、Kovter および Poweliks のマルウェア ファミリで使用が確認されています。 - プロセスの空洞化が検出(478)
プロセスの空洞化は、静的分析を回避するために一部のプログラムで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。 - Gamarue マルウェアを検出(288)
Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。Gamarue ファミリのワームの亜種は、感染したシステムに接続されている USB ドライブやポータブル ハードディスクを介してさらに拡散する可能性があります。 - Dealply アドウェアを検出(285)
DealPly は、オンライン ショッピングの利用体験を向上させると主張したアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。 - Atom Bombing コード インジェクション手口を検出(60)
プロセスが疑わしい Atom を作成した場合は、「Atom Bombing」と呼ばれる既知のプロセス インジェクション手口の兆候です。Atoms は、文字列を 16 ビット整数に関連付ける Windows 識別子です。これらの Atoms は、グローバル Atom テーブルに配置することで、プロセス間でアクセスできます。マルウェアはこれをエクスプロイトするため、シェル コードをグローバルな Atom として配置し、Asynchronous Process Call(APC)を介してアクセスします。ターゲット プロセスは、シェル コードをロードして実行する APC 関数を実行します。Dridex のマルウェア ファミリは Atom Bombing の使用で知られていますが、他のマルウェアも同じ手口を利用している可能性があります。 - Installcore アドウェアを検出(59)
Installcore は正規のアプリケーションをバンドルするインストーラで、望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。 - 疑わしい PowerShell の実行を検出(55)
PowerShell コマンドが、未署名の(または信頼できない)スクリプト コンテンツを実行するために実行ポリシーを回避しようとしました。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティ ソフトウェアなどからの検出を回避することにあります。 - 過度に長い PowerShell コマンドを検出(54)
非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティ ソフトウェアなどからの検出を回避することにあります。
本稿は 2019年5月31日に Talos Group のブログに投稿された「Threat Roundup for May 24 to May 31」の抄訳です。