Cisco Japan Blog
Share

9 月 27 日から 10 月 4 日における脅威のまとめ


2019年10月15日


本日の投稿では、9 月 27 日 ~ 10 月 4 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

本記事では、脅威カテゴリごとに 25 個の関連ファイル ハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。
今回ご紹介する最も一般的な脅威は次のとおりです。

 

脅威名 脅威の種類 説明
Win.Malware.Zusy-7191579-1 マルウェア 「Zusy」はトロイの木馬で、中間者攻撃(MITM)により銀行情報を窃取します。実行されると、「explorer.exe」や「winver.exe」などの正当な Windows プロセスに自身を挿入します。ユーザが銀行の Web サイトにアクセスすると、個人情報の入力を促す偽のフォームを表示します。
Win.Malware.Osiris-7191711-1 マルウェア Osiris はバンキング型トロイの木馬「Kronos」の亜種です。Tor を介してコマンドアンドコントロール(C2)サーバと通信する機能や、Web フォームに入力されたログイン情報を傍受する機能などを備えています。
Win.Dropper.Cerber-7192026-0 ドロッパー Cerber は、ドキュメント、写真、データベースなどの重要なファイルを暗号化するランサムウェアです。これまではファイルを暗号化し、ファイル拡張子に「.cerber」を追加していましたが、最近のキャンペーンでは現象が一変しています。
Win.Virus.Expiro-7192043-0 ウイルス Expiro は既知のファイル インフェクタで、情報窃取型ウィルスです。デバッグ回避と分析回避により分析を妨害します。
Win.Malware.Neurevt-7192122-0 マルウェア NeuBott (別名 BetaBot)はリモート アクセスのトロイの木馬です。複数のデバッグ回避手口や分析回避手口を備えています。
Doc.Dropper.Emotet-7181950-0 ドロッパー Emotet はバンキング型トロイの木馬です。検出を回避するために継続的に進化しており、依然として注意が必要です。一般に、悪意のある電子メールを介して拡散しています。2019 年の夏季は鳴りを潜めていましたが、最近になって再び活発化しています。

脅威の内訳

Win.Malware.Zusy-7191579-1

侵害の兆候

レジストリ キー 発生回数
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:EEFEB657
82

 

ミューテックス 発生回数
EEFEB657 87

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
216[.]218[.]185[.]162 54

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
brureservtestot[.]cc 57

 

作成されたファイルやディレクトリ 発生回数
%HOMEPATH%\AppData\LocalLow\EEFEB657 84
%APPDATA%\EEFEB657 82
%APPDATA%\EEFEB657\bin.exe 82

ファイルのハッシュ値

Set WXWYKNRG = CreateObject(“Wscript.Shell”)
027ecc7f1e2d38d420486e9e0fe9d50bdceb8b50512258a922e69f55e0c18ec7
0a72c56814a288218c9346115935828be03e870fa858a721f738af4dab311205
0a9fd449b13193c771c2d401dd6538cab6dbb2c37e0573b05cc72802b90687cf 
0b1fa36c3ae5bdb7c52c40e08566cceac37965265e5b2552fdf121add431ce45 
0ce401aa748f86238016408aa5c7b082a83499a2cbf2d5a1370b3bef8b983be1 
1266c2bccc5fa61af8b611d3c7f210b11fed7d22dbb24305bf6003b1891399fe 
12ef657ff31b48b90fbb20b212643f7aa62b66dae80cd19feed7356089f18451 
149e17e85475bf4f6b4be6c0f1924e8554ec982f949fcb833c8c6bc3a7673669 
1a0d6dda8e405f9342fadc87a1a6b395250bfcf910f5e2e4cfba806de2b58eee 
1b3ddf7b2a71290a0a86e974a323dde16999e7eaa2be2b8cd63c066a7ba6a052 
1fa747673986b53ed65fa0a6b39a024ef02191966184a6fd8844e742fdbc3d58 
22b172ead1618e0c49a6d94c4da6c7ba1d401549276bc3a7f3d78c18909e6793 
2b9b82e7ee0d8661b2268f83a010e8379e28930cc7f9f224d06fcd37b48f566d 
2ba984bf6a2e039225b78faf309d087db56a6a2eac5efc73f5f20ff941c58442 
2c33aa852da4527f49dae1e6bb1940b4c7cd2c814da0a90ab8a2a5de5fee6726 
2c594bcf891b90e24c8bd445d5ddbe9cb50f5d101d559d564ab8246535d2af53 
306774877254b8ca51a2bf446834cc34126ac56ebaf9d935442c25e533485fc1 
38efe6d2c2e264e83d54cebc4bb14766c344741e39b510b027882d1ef2bbb798 
43aee0e0761a3e90aa35d3401634397be8d1691d88ed2bdaaf2f60c915de53e2 
467e66e8fc95c740cc3beee432d6a5e85bc533aa6dd609865376dacf0a0ef6e7 
47bc6db08ad7826b5a68644d6f013405e4e6842525b8a4d05a2abdabfd735fc4 
484f52c4598eddc67147f8558c9bf9701d1c4d2f5bcc1b619a43422863d1e8ce 
48624a37bd7f3faacc3d56c106a40189c413dc4ec4407c00a1034578cfb6a9b3 
4a3a67a893cf7e49a5aef587d840867589841e93ae7f418019d6f94daba58c47 
4bd1deaa13a4a9cef75f84dba895645a24ac7f4b4bd69d22ea5800a3c682cc54

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

AMP

THREATGRID

UMBRELLA

Win.Malware.Osiris-7191711-1

侵害の兆候

レジストリ キー 発生回数
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
値の名前:Hidden
11
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
値の名前:HideFileExt
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION
値の名前:d41d8cd9
11
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION
値の名前:d41d8cd9
11
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:d41d8cd9
11
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:d41d8cd9
11

 

ミューテックス 発生回数
Global\d41d8cd98f00b204e9800998ecf8427e 11
Global\{B1F6EFF9-6297-200E-B1F6-F9EF29AA7A00} 11
Global\{BF6093C4-5FBA-D878-BF60-C4933C20A000} 9
Global\dd4b21e9ef71e1291183a46b913ae6f2 9

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
updateserver4[.]top 11
updateserver7[.]top 11
updateserver5[.]top 11
updateserver9[.]top 11
updateserver2[.]top 11
updateserver8[.]top 11
updateserver10[.]top 11
updateserver6[.]top 11
updateserver3[.]top 11

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\Mozilla\Firefox\Profiles\<profile ID>.default\user.js 11
%System32%\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb 9
%APPDATA%\Microsoft\{56984C2C-8905-4BFA-8553-0BE17726FCD5} 4
%APPDATA%\Microsoft\{56984C2C-8905-4BFA-8553-0BE17726FCD5}\d41d8cd9.exe 4
%APPDATA%\Microsoft\{56984C2C-8905-4BE2-8553-13E17726E4D5} 2
%APPDATA%\Microsoft\{56984C2C-8905-4BE2-8553-13E17726E4D5}\d41d8cd9.exe 2
%APPDATA%\Microsoft\{9A96A2D0-FE36-485E-B81C-0132628C474C}\dd4b21e9.exe 1
%APPDATA%\Microsoft\{03FFB58D-7238-49DA-9378-5224CBD1F546}\dd4b21e9.exe 1
%APPDATA%\Microsoft\{575A5E0A-FD63-4DF1-BF50-033349A4ADA1}\dd4b21e9.exe 1
%APPDATA%\Microsoft\{33C67668-6248-47D0-8FDF-197713CA89A1}\dd4b21e9.exe 1
%APPDATA%\Microsoft\{FA144B4E-77DF-4C1F-A472-60E20FF489C2}\dd4b21e9.exe 1
%APPDATA%\Microsoft\{507C47B0-1E13-4926-92BC-C40E8A4CB040}\dd4b21e9.exe 1
%APPDATA%\Microsoft\{F807BD90-CAC5-40B0-828A-CA06ED52C5F4}\dd4b21e9.exe 1
%APPDATA%\Microsoft\{780EBCFD-EADA-4438-9DC3-324538311844}\dd4b21e9.exe 1

ファイルのハッシュ値

05ba5705db7ff502d4422ea7d4ef32422d9b2c0966a42b6b3d76c126d51e846d 
0aae22c6557c43cf199421eb6b367d23469909b5f860468c1e42b0e5730808d5 
2c5fdc198324cc33dc93d20dc58195608661ed5c83cf10619efdbc1fddeb51e5 
4c6f284b0be38d51af26ee87e687cbba32184e0b21203758419953e1f476e841 
4f645f4ae3dcf8bfebf4dde1b6d20497ce25fbbc1f6f691d40a95d7bff7a2d6c 
5ba866dbb2ace005cfa32382404ac0927695f52bedce0804564549e633be8318 
6478b2ce18a6a7671a39aa254ba0c4aaf123a0f5b27e9c86e323b663332f18f8 
6f2add6401f59d813de66bc1152240f2e7622e293a0b10c5a804790b7068195b 
6f9d45cf7571949de6db54d2e4c642ae63e30ba0eaf4f3075b8cd36749171377 
919d3b68ee264053ae4f0f3d9caf93c055c421dabdc419d5d52d09d089142498 
f7ce779ae0308c0c0da8280d3182506eda97778e91969eb4ea86dc3bfddb12df

カバレッジ

検出時のスクリーンショット

AMP

THREATGRID

UMBRELLA

 

Win.Dropper.Cerber-7192026-0

侵害の兆候

レジストリ キー 発生回数
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER
値の名前:Run
25
<HKCU>\SOFTWARE\MICROSOFT\COMMAND PROCESSOR
値の名前:AutoRun
25
<HKCU>\CONTROL PANEL\DESKTOP
値の名前:SCRNSAVE.EXE
25
<HKCU>\PRINTERS\DEFAULTS\{21A3D5EE-E123-244A-98A1-8E36C26EFF6D} 25
<HKCU>\PRINTERS\DEFAULTS 25
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Magnify
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:Magnify
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:wusa
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:wusa
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:LocationNotifications
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:FlashPlayerApp
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:FlashPlayerApp
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:DWWIN
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:DWWIN
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:mshta
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:mshta
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:autoconv
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:autoconv
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:RMActivate_isv
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:RMActivate_isv
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:eventcreate
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:eventcreate
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:w32tm
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:w32tm
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:netbtugc
1

 

ミューテックス 発生回数
shell.{381828AA-8B28-3374-1B67-35680555C5EF} 25
shell.{785F99DE-E95E-3921-EE78-D7777849AA01} 1
shell.{967822DD-7042-E624-BEA7-C7EF520E90F5} 1
shell.{A92873EC-3840-982A-DA5D-DDDC12AA8495} 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
31[.]184[.]234[.]0/25 25
216[.]239[.]34[.]21 8
216[.]239[.]32[.]21 7
216[.]239[.]36[.]21 5
216[.]239[.]38[.]21 5
54[.]88[.]175[.]149 3

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
ipinfo[.]io 25

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2} 25
%TEMP%\# DECRYPT MY FILES #.html 3
%TEMP%\# DECRYPT MY FILES #.txt 3
%TEMP%\# DECRYPT MY FILES #.url 3
%TEMP%\# DECRYPT MY FILES #.vbs 3
%HOMEPATH%\# DECRYPT MY FILES #.html 2
%HOMEPATH%\# DECRYPT MY FILES #.txt 2
%HOMEPATH%\# DECRYPT MY FILES #.url 2
%HOMEPATH%\# DECRYPT MY FILES #.vbs 2
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\Magnify.lnk 2
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\Magnify.exe 2
%System32%\Tasks\Magnify 2
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\wusa.lnk 2
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\wusa.exe 2
%System32%\Tasks\wusa 2
%System32%\Tasks\mtstocom 1
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\odbcconf.lnk 1
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\odbcconf.exe 1
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\netbtugc.lnk 1
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\netbtugc.exe 1
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\expand.lnk 1
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\expand.exe 1
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\AdapterTroubleshooter.lnk 1
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\AdapterTroubleshooter.exe 1
%System32%\Tasks\autoconv 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

151143935c4283f66a837eca1761400ab0573929e04217a5be0286b28eeb9d15 
1736c692db984e5ceb7e15a127f2478400a78c30785fd3c195ae4d9468b80259 
185f85a2fbc3e27f87b099ff50a1f03f89e724e7927ec9edac4c4416dc87c109 
1da732e9670f73e980723ea167abb29c5b553603c3804ec4bb9a03a4d506e8a4 
3a6ca5a46ac5ac3ef7972b22e2fa5cdc4af2e137150691ed1b7a15b1ce9030a4 
3c7e1a50d31138b53165e98d7bc2ba570304359bb4f7baab7ded17cc3fb3bc4c 
4574e5aeda39aadfadb399654d2a6db00884be85b0882fb0acc4dbf14153ca0e 
4e242ff308fc31ada637861fed73373c30eb2d5ecfda92760498fcbe30a9bb07 
503baff89f763142c5b49a527972c7119be3f95fcc8cc2a1cde8bb71fd76cd02 
561caadf62f59ee8dfd6d9c97e5692875458c55b3e2d53ba43e9496c40ee0824 
5dbfa76bd1edb0ae7a516a08c760e2234506d64ae7c905f8e0e8830d74ef8613 
65afc018d8cdcc9ec4756e98000265e3ecc3e394b7e5d493dfd6d106cc15118a 
6971a5b1aa7e57abad2939f4be1a92651ea7ac12251b804ae17f2ecb1e1bf200 
70b5c51e692dcd2f432c05170f7f823fdfd5b6857267117a92fe9d358a7026ed 
84a45eec021015ee2eeb5acb7251f3c50c626b41bf47b8fce7c822253e175c64 
999a1e5659ac864771ad420c7cad50de5b5118adb5abb80ffe18ad28c932f5a0 
a51de392aae3ade74991dd86b1d205c2cc5ecb0752cac2a02c95d61ff14a558c 
a80ace30082b76edb75d6c9a4f9165af721a8f8b13ac0862bc438589e0af01bd 
a8fe11512ba3e48b178ad9ef994f48ec581394e69cbdb808f15c1432a762c636 
b1e46c28ddff91c0d586933b500ce29bcf83fc094864c4227b6e70fa1981f064 
b7cf83e8596736ced202a1de5e67fbaa5bdf9074697d548fdd83800802732ec4 
b8c85a34ed5ccfe058c8ba65606add1efdcfe694d0f32e6b91e4b977da1392a8 
bd68985801dd6b820c3a0c21883aa4ace809b2a62cbba278ac3a4d53166bcf85 
cc1efac0bf7786ea4bbd4963d78aee4498e034dd778adce6977eca3d78666483 
d3080983742d3deacdbc53a43b1482cfe1573ec8d957fba0f456a676dca3bd90

カバレッジ

検出時のスクリーンショット

AMP

THREATGRID

Win.Virus.Expiro-7192043-0

侵害の兆候

レジストリ キー 発生回数
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_32
値の名前:Type
8
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_32
値の名前:Start
8
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:AntiVirusOverride
5
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:AntiVirusDisableNotify
5
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:FirewallDisableNotify
5
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:FirewallOverride
5
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:UpdatesDisableNotify
5
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:UacDisableNotify
5
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:EnableLUA
5
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE
値の名前:EnableFirewall
5
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE
値の名前:DoNotAllowExceptions
5
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE
値の名前:DisableNotifications
5
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC
値の名前:Start
5
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND
値の名前:Start
5
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC
値の名前:Start
5
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION
値の名前:jfghdug_ooetvtgk
5
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:JudCsgdy
5
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV
値の名前:Start
5
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Windows Defender
5
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:Userinit
5
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:Userinit
5
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_64
値の名前:Type
3
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_64
値の名前:Start
3
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V4.0.30319_32
値の名前:Type
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V4.0.30319_32
値の名前:Start
1

 

ミューテックス 発生回数
SetupLauncher 12
Global\<random guid> 11
gazavat-svc 8
kkq-vx_mtx<number, matching [0-9]{1,2}> 8
{7930D12C-1D38-EB63-89CF-4C8161B79ED4} 5
{79345B6A-421F-2958-EA08-07396ADB9E27} 5

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
172[.]217[.]10[.]110 5
87[.]106[.]190[.]153 4
18[.]213[.]250[.]117 2
91[.]195[.]240[.]126 2
208[.]100[.]26[.]251 1
18[.]215[.]128[.]143 1
46[.]165[.]220[.]145 1
46[.]165[.]254[.]198 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
atw82ye63ymdp[.]com 3
xxsmtenwak[.]com 3
grbjgfprk[.]com 3
ydchosmhwljjrq[.]com 3
ygqqaluei[.]com 3
wwyreaohjbdyrajxif[.]com 3
bekvfkxfh[.]com 3
caosusubld[.]com 3
warylmiwgo[.]com 3
xomeommdilsq[.]com 3
mdofetubarhorbvauf[.]com 3
gfaronvw[.]com 1
wstujheiancyv[.]com 1
kbivgyaakcntdet[.]com 1
dvwtcefqgfnixlrdb[.]com 1
yrkbpnnlxrxrbpett[.]com 1
oawvuycoy[.]com 1
citnngljfbhbqtlqlrn[.]com 1
bungetragecomedy9238[.]com 1
oeuwldhkrnvxg[.]com 1
kbodfwsbgfmoneuoj[.]com 1
wdgqvaya[.]com 1
ypwosgnjytynbqin[.]com 1
jlaabpmergjoflssyg[.]com 1
ausprcogpngdpkaf[.]com 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe 8
%System32%\alg.exe 8
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ngen_service.log 8
%SystemRoot%\SysWOW64\svchost.exe 8
%System32%\<random, matching ‘[a-z]{8}’>.tmp 8
%SystemRoot%\microsoft.net\framework\v2.0.50727\<random, matching ‘[a-z]{8}’>.tmp 8
%LOCALAPPDATA%\bolpidti\judcsgdy.exe 5
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\judcsgdy.exe 5
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ngen_service.lock 5
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ngenservicelock.dat 5
%LOCALAPPDATA%\bolpidti 4
%SystemRoot%\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe 3
%SystemRoot%\Microsoft.NET\Framework64\v2.0.50727\ngen_service.log 3
\TEMP\ShMnr23 3
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe 1
%SystemRoot%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe 1
%SystemRoot%\SysWOW64\cjnnhbik.tmp 1
%SystemRoot%\SysWOW64\hmdklpnd.tmp 1
%SystemRoot%\SysWOW64\ghnjiafh.tmp 1
%SystemRoot%\SysWOW64\nojnfemc.tmp 1
\TEMP\emf 1
\TEMP\J3OHIb3 1
%SystemRoot%\SysWOW64\ggaiaabg.tmp 1
%SystemRoot%\SysWOW64\elmmpkjb.tmp 1
%SystemRoot%\microsoft.net\framework64\v2.0.50727\jjicllfe.tmp 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

08c199483a9569dbe74565c65ab0dfe038338ffe0c37061316a3a45116a9adb0 
0b75593bf5cec1a4e6beecce8927ba895307c03d22387611fb6ced7805c2fa7b 
293263135eb196a8027f6aea0f74038d60b848103f09db6d39e55b763d6bf26a 
29ec1dfc85cfed46ccf8a53ca2e9f207cb126f6cec92a3b829ae61590bea1b1c 
32ed07783188242c60837a208a6ebab9e37fa69fb69da9b28629c3e3971ccfa6 
36e5bd8e4a5c7758dd28acda1ad479bfbfb268ca1c5339b4e9953daea48392ac 
63530b594d1605211d405951823a3f5ac249660aa0ca542cb00247652dc3b544 
664bd013762c59a6f0b0c8fbd7dbed06f971d2dfbc2921e10faf8b5e8aba2e8a 
c075f037fea0578197e56a520708152779a9332195b96a52bac64ff10a914d82 
d28f2744b436cb2816ee6a63a44e2cfd4f952483b65c026ea8b4f384cc6b7e5e 
ea5a419cb19fc22c11d3751f0560f049631571b99c33d37482ddbca1ee4e3d6f 
f2fffb85b3e49c138128ef141b69a49fd09e3c7362ed8beed43dc6c46deadbcb 
f5fec4cf85c3e2c936455b0f0ec8a6cbbb138dfa5e31db4920037f9baf46ab65

カバレッジ

検出時のスクリーンショット

AMP

THREATGRID

UMBRELLA

 

Win.Malware.Neurevt-7192122-0

侵害の兆候

レジストリ キー 発生回数
<HKCU>\SOFTWARE\WIN7ZIP
値の名前:Uuid
26
<HKCU>\SOFTWARE\WIN7ZIP 26
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101
値の名前:CheckSetting
26
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103
値の名前:CheckSetting
26
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100
値の名前:CheckSetting
26
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102
値の名前:CheckSetting
26
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104
値の名前:CheckSetting
26
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE
値の名前:EnableFirewall
9
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\PUBLICPROFILE
値の名前:EnableFirewall
9
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SSDPSRV
値の名前:Start
9
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\RSTRUI.EXE 9
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\RSTRUI.EXE
値の名前:Debugger
9
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:random
2
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\10DF0332\CG1
値の名前:GLA
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\OMYLCQKSW.EXE
値の名前:Debugger
1
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\6EDA084A\CS1 1
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\6EDA084A\CW1 1
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\6EDA084A\CW1
値の名前:1916
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Javaupdate
1
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\6EDA084A\CG1
値の名前:GLA
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\BZSBKOTIU.EXE
値の名前:Debugger
1
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\5BDD0726 1
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\5BDD0726\CS1 1
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\5BDD0726\CW1 1
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\5BDD0726\CG1 1

 

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
239[.]255[.]255[.]250 9
52[.]185[.]71[.]28 5
208[.]100[.]26[.]251 1
40[.]76[.]4[.]15 1
20[.]41[.]46[.]145 1
40[.]67[.]189[.]14 1
94[.]130[.]148[.]39 1
176[.]56[.]236[.]180 1
143[.]215[.]215[.]205 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
update-silo[.]com 1
frizzcams[.]com 1
fapncam[.]com 1
theafam[.]info 1
pl1[.]co[.]vu 1
kasn5[.]name 1
up-windows[.]in 1
myssfii[.]eu 1
emicrosoft[.]eu 1
allegro[.]ga 1
frky7[.]name 1
marklou1[.]eu 1
s1allegro[.]net 1
b[.]dqwjnewkwefewaaaaa3[.]com 1
fe298c697c247af42926ae65f504cbab[.]380d71f68b776c687229362c8017cfd4[.]
sink1[.]doombringer[.]pw
1
b[.]2uandmearevideos2k2[.]com 1
e4afed3b6057875d3cab2c8acadf19b0[.]9079efdb6bd50d249cecbf60d0cf8a59[.]
sink1[.]doombringer[.]pw
1
b[.]12thegamejuststarted10k12[.]com 1
9f1338aaa955b14adce82b28456563dd[.]8e38e1a12b675dd8ad0879ac9df9dd43[.]
sink1[.]doombringer[.]pw
1
0a3871225132117b6a5a3ca80e3637e7[.]bd822b74f0f09fe15387a4e573dfd4b8[.]
sink1[.]doombringer[.]pw
1
5fa5dd9e6db7852950c1d75652840205[.]d30bfb82739133ccfd1a869f816afd1e[.]
sink1[.]doombringer[.]pw
1
a289b7027c3a8ccd97e35492ec62c4a7[.]79c70407c7e6ecfca660191065cb2e91[.]
sink1[.]doombringer[.]pw
1
82ffe6077d09c53372a2f4177b3a00fd[.]2418805ba4dbdf2b323c3ee2d28fd899[.]
sink1[.]doombringer[.]pw
1
b[.]6worldwipemek6[.]com 1
ce5ccbd7434dc4f3e00d5d615c8f1cfe[.]f919bc55f255fc49078e2b0e54e60b5e[.]s
ink1[.]doombringer[.]pw
1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%HOMEPATH%\My Documents\My Videos\Desktop.ini 18
%System32%\Tasks\Windows Update Check – 0x00000000 17
%ProgramData%\riaiccape 3
%ProgramData%\riaiccape\desktop.ini 3
%ProgramData%\ubvhynpxh 2
%ProgramData%\ubvhynpxh\desktop.ini 2
%ProgramData%\hemxccape 2
%ProgramData%\hemxccape\desktop.ini 2
%ProgramData%\randomfolder\desktop.ini 2
%ProgramData%\rpeulaaql\desktop.ini 1
%ProgramData%\odoaztybt\desktop.ini 1
%ProgramData%\mwvaztybt\desktop.ini 1
%ProgramData%\safpdndnn\desktop.ini 1
%ProgramData%\Javaupdate\desktop.ini 1
%System32%\Tasks\Windows Update Check – 0x6EDA084A 1
%ProgramData%\dtdasndku\desktop.ini 1
%ProgramData%\Winrar_Update\desktop.ini 1
%System32%\Tasks\Windows Update Check – 0x6E3308B1 1
%ProgramData%\omylcqksw\desktop.ini 1
%System32%\Tasks\Windows Update Check – 0x5FF907D6 1
%ProgramData%\svchost\desktop.ini 1
%System32%\Tasks\Windows Update Check – 0x19CF045A 1
%System32%\Tasks\Windows Update Check – 0x0E7302EC 1
%ProgramData%\skskjbpjx\desktop.ini 1

ファイルのハッシュ値

00922eea9dc5d3b1d91cf0e5b244d86957e0a5dab9f22b37db91983d154849f5 
00e830529982d3b12b63616473f8e77b1e9f59d26d7464a916ab4ccb7d252338 
0f9b382f50574eb1da03ab59cc0138d0cdddbcccdbf4fb04377235377e2bce60 
19a17d03eaa9d66aee48704b368513cb4ce2ea571004561046897e5fe194fcb5 
1d5a814d7034b2ffc16acb036e10021410d1592b491fd4e3c6737ffa48c19f55 
205a780668f504064a7a326217529d3dd585fefe2c91b9ee141aa0c0411c88d6 
2252337eb1ee8bfcdc05cdd90533c4f9c73326c3c38438730feffb47a67dde13 
228cdf170c3b7f8c4b08f89def8b979c147aada601d7e1d0708916a3101732fc 
23b79c36c6c5b9b35e11159486bf8f1e0a2366af780c9508bfee93de63fdeb86 
2b55f40e873b564258185612ea6518761ab9393f271d1acd3908d65dda91c3f2 
2d6b0b02396b515544d508ace60ef5de186961843c6fda12c311716c63b631b4 
47fce8ed6989d5946ef8b4a10898d103ded7ffe6d5046d1583aefa21218cbe49 
48b4df7d8192fb653ca5d4ef80903794b6cf7baa25bca70624acbcafd1c5f4e1 
514e41ef73aa0e6b581168304fc5e4c11a81706d4a00e8dadd8c5e604493e85f 
5822b7304c297b694c9826e07c653d1a5071af711f24abf374213dbf73df99d8 
69808dfac8e39bb71644ca5b9a354c8407d713e723c49a2bb54ba6a6f54e52d3 
699b83596749933b26e4a8cd79df7e961859dce598a28b0a09a7d1a6ef051ba5 
714042e00adf37f5772ade261d283e66bfd787ba4622ff188ec9befc05817bcb 
82fd5b23902d7114095c356c9820e65b89d7c4dd5da1312e262373608e536e4e 
8f0ab0d5a8d06ffb54e69dec00c3d2e920794be65cb3b9f316a04af9c3d3ed35 
96e0342a3295906bf604f8fcffb8845e3d4a72ceb8ca34443f54216616467ddc 
97f3a82738d8dc6703828c406ecafd16acbc019bf8c810516912302ec1d2b553 
a925cb47ff812a85faee0d1a39c2f16ac6b99dff405d01741fc253ec76cf29aa 
ac2c823fe5be07bc030e77510922ec076642c5ef5966b0ec56b6dfefcba06e34 
aee901442f82ad32986e1c36969d48d76d4cc88bb8b084d0a2749220a86a26b5

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

AMP

THREATGRID

 

Doc.Dropper.Emotet-7181950-0

侵害の兆候

レジストリ キー 発生回数
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JS\OPENWITHPROGIDS
値の名前: JSFile
38
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JS 38
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JS\OPENWITHPROGIDS 38
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JS\OPENWITHLIST 38
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER
値の名前: Name
37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER
値の名前:Path
37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER
値の名前:Extensions
37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS
値の名前:Name
37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS
値の名前:Path
37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS
値の名前:Extensions
37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X
値の名前:Name
37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X
値の名前:Path
37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X
値の名前:Extensions
37
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS
値の名前:Type
37
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS
値の名前:Start
37
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS
値の名前:ErrorControl
37
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS
値の名前:ImagePath
37
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS
値の名前:DisplayName
37
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS
値の名前:WOW64
37
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS
値の名前:ObjectName
37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS 37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT 37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER 37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS 37
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X 37

 

ミューテックス 発生回数
Global\I98B68E3C 37
Global\M98B68E3C 37
Global\M3C28B0E4 19
Global\I3C28B0E4 19

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
181[.]123[.]0[.]125 15
18[.]217[.]99[.]164 15
119[.]159[.]150[.]176 13
80[.]240[.]141[.]141 13
184[.]69[.]214[.]94 13
186[.]75[.]241[.]230 11
124[.]240[.]198[.]66 11
209[.]182[.]195[.]22 9
173[.]194[.]68[.]108/31 8
69[.]43[.]168[.]232 8
104[.]31[.]71[.]182 8
110[.]36[.]234[.]146 8
197[.]211[.]244[.]6 8
125[.]99[.]61[.]162 8
115[.]88[.]70[.]226 8
207[.]204[.]50[.]44 7
217[.]116[.]0[.]228 7
162[.]251[.]80[.]26 6
104[.]31[.]70[.]182 6
72[.]167[.]238[.]29 5
74[.]208[.]5[.]15 5
196[.]25[.]211[.]150 5
17[.]36[.]205[.]74 5
217[.]116[.]0[.]237 5
148[.]72[.]198[.]247 5

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
themodifiedzone[.]com 15
www[.]pics4game[.]com 14
www[.]creativespad[.]com 9
smtpout[.]secureserver[.]net 8
smtp[.]secureserver[.]net 7
mail[.]secureserver[.]net 6
mail[.]apnabazar[.]co[.]in 6
smtp[.]1and1[.]es 5
smtp[.]mail[.]com 5
pop[.]secureserver[.]net 5
secure[.]emailsrvr[.]com 5
mail[.]heraldsopenaccess[.]com 5
mail[.]heraldsopenaccess[.]us 5
smtp[.]mail[.]me[.]com 4
pop3[.]telkomsa[.]net 4
smtp[.]telkomsa[.]net 4
outlook[.]office365[.]com 4
smtp[.]orange[.]fr 4
remote[.]jubileelife[.]com 4
mail[.]keycargroup[.]es 4
server[.]isnstores[.]com 4
mail[.]r10networks[.]com 4
smtp-mail[.]outlook[.]com 3
smtp[.]comcast[.]net 3
mail[.]rediffmailpro[.]com 3

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%LOCALAPPDATA%\Microsoft\Schemas\MS Word_restart.xml 38
%TEMP%\0.7055475.js 38
%TEMP%\<random, matching ‘[a-z]{3}[A-F0-9]{3,4}’>.tmp 38
%System32%\adjustmove.exe (copy) 19
%SystemRoot%\SysWOW64\yellowreportsb.exe 5
%SystemRoot%\SysWOW64\<random, matching ‘[a-zA-Z0-9]{4,19}’>.exe 4
%TEMP%\inq6vpuc4.exe 1
%TEMP%\llh1np4ba.exe 1
%TEMP%\x5ra7abr9.exe 1
%TEMP%\tlcebiev2.exe 1
%TEMP%\qy2w0i9c1.exe 1
%TEMP%\jrtj6nk6o.exe 1
%TEMP%\fe2zt4mrb.exe 1
%TEMP%\zmmkb0j7x.exe 1
%TEMP%\ns8q8axim.exe 1
%TEMP%\s1ucq6p8d.exe 1
%TEMP%\fxmnkq4qt.exe 1
%TEMP%\4l4u8k8s6.exe 1
%TEMP%\lvn7pj1tq.exe 1
%TEMP%\qz03ja0fx.exe 1
%TEMP%\o2a6n5yed.exe 1
%TEMP%\h04mv88ph.exe 1
%TEMP%\9m0sfw639.exe 1
%TEMP%\waymo412t.exe 1
%TEMP%\9611f6amr.exe 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

04506f92dbebbdad34850d0344014c9acf170a1f532660d18512975d62756fbd 
16a9929e17b9fcc99f8d2eb5ec86b365239b0f957b187594f77319540ce5e5f1 
1b5fd4653bdbb88ef0615c3a4b38e642630fddfd738ceafb893b6c860beb117a 
1be7caaba5194edf4387892d03521e968be5fa4b784a833b0c6321285694a660 
1cfe976389fe9d737b7419de0fac59fa4dce4e78c73714124b1689011e3ce732 
1f8d4a7a30a8f819c87095b98c10328764b56a877915105815442f4192804571 
26706d48f23fdb7c40aca350271921e8050870ce4f6d957d94ad308dd3f409a2 
298762d4a2ff39b2de5427c13ff95e75a4f4ac07b5f64c46d82ee1043fc52ed8 
2b05fd27faf1cc06b2db7e25b67e19ce5ff5c7852e61bf122eaae92345b54a77 
2e8ec9034066e25159978c9c8429e0b2762a2e193a48a0d14fe5a45518c5b5a8 
3643f64d1633ebca53e1f94f6aba030cc495b68942b532afae9c74f8016d631f 
4331d5382007c68ac994c5a45e86985d8fcde1fb478aa69b394a19058d807f67 
471ebd4880bf8cfee1920152ea36f170cf9331f37e45bf52f5b9bcfcbd326ffb 
4781987ed5962518144b03612044b8dea7e5a29107a2ad2f7a2c0738313586ee 
4e2f28c6260342e1d56264f6cb861d81987fff70905700660034a240c59d75d9 
4ebd8502f68223342be072867f79338fb13dfe6b68b209bfdb27f5effef40d05 
5fae5b96569a4759bd5cc6494b24edef1639bcc28ed105bc3eb8f9fa09bca4c9 
7362434686fb62fe3ce77a4ea84886f0f82768112b6f9832cc86bbdfc83bdef9 
7c067959175e72df745b86f91dd1fa402f4b3b3c0ad17ca70b77a1f6185a285c 
7d06e0759eafca0709823dadb15c5d37c7a3cada38bad9bcb4ca678d3895bfb0 
807cfe5cb5d6075af492a911fd096b0a3705f9fe7cd0a7263d94e4efa21a50f4 
857f05b3df88059eeeaecea4da6901ad6e45e5cbb9be21d1ae7d17b946cba355 
86c47685c49f4d0cec1c54b0b6cc8247ebd8c17b01a63da2ac19c0b02d426ebd 
89763a9eefa6606d925392aa2718facb16958916ee2564025edcd1d74712536b 
a0703d7150ce06752f04e53ea2ad6f102551e1bdb8588fdc2e6bf90668e1de7e

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

AMP

THREATGRID

UMBRELLA

マルウェア

 

エクスプロイト防止

Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。

CVE-2019-0708 を検出 -(12639)
CVE-2019-0708 のエクスプロイト試行が検出されました。「BlueKeep」と呼ばれる脆弱性はヒープメモリの破損に起因しています。細工されたリモート デスクトップ プロトコル(RDP)要求を攻撃者から送られるとエクスプロイト可能になる場合があります。エクスプロイトには認証が不要で、リモートからの任意コードの実行を許す可能性があるため、自動拡散するワームとして使用されることも考えられます。
過度に長い PowerShell コマンドを検出 -(5242)
非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティ ソフトウェアなどからの検出を回避することにあります。
Madshi インジェクションを検出 -(2444)
Madshi は、プロセス内でスレッドを開始する他の方法が失敗した場合に、プロセス インジェクションを使用して新しいスレッドを開始するコード インジェクション フレームワークです。このフレームワークは多数のセキュリティ ソリューションで採用されていますが、マルウェアで悪用される可能性もあります。
Kovter インジェクションを検出 -(933)
プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter にはファイルレス マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパム キャンペーンを通じて拡散しています。
プロセスの空洞化を検出 -(443)
プロセスの空洞化は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。
コード インジェクション手口の「Atom Bombing」を検出 -(389)
プロセスが疑わしい Atom を作成した場合は、「Atom Bombing」と呼ばれる既知のプロセス インジェクション手口の兆候です。Atoms は、文字列を 16 ビット整数に関連付ける Windows 識別子です。これらの Atoms は、グローバル Atom テーブルに配置することで、プロセス間でアクセスできます。マルウェアはこれをエクスプロイトするため、シェル コードをグローバルな Atom として配置し、Asynchronous Process Call(APC)を介してアクセスします。ターゲット プロセスは、シェル コードをロードして実行する APC 関数を実行します。Dridex のマルウェア ファミリは Atom Bombing の使用で知られていますが、他のマルウェアも同じ手口を利用している可能性があります。
Gamarue マルウェアを検出 -(195)
Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。Gamarue ファミリのワームの亜種は、感染したシステムに接続されている USB ドライブやポータブル ハードディスクを介してさらに拡散する可能性があります。
Dealply アドウェアを検出 -(186)
DealPly は、オンライン ショッピングの利用体験を向上させると主張したアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。
Trickbot マルウェアを検出 -(174)
Trickbot は 2016 年後半に登場したバンキング型トロイの木馬です。Trickbot と Dyre の類似性により、Dyre の貢献者の一部が今では Trickbot にも関与していることがうかがえます。Trickbot は登場してから数ヵ月で急速に進化していますが、依然として Dyre の機能の一部が欠けています。現在のところ、DLL インジェクション、システム情報収集、電子メール検索などを担うモジュールが含まれています。
Installcore アドウェアを検出 -(116)
Installcore は正規のアプリケーションをバンドルするインストーラで、望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。

 

本稿は 2019年9月15日に Talos Grouppopup_icon のブログに投稿された「Ransomware: Because OpSec is Hard?popup_icon」の抄訳です。

Tags:
コメントを書く