本日(11 月 8 日)の投稿では、11 月 1 日~ 11 月 8 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちら
の JSON ファイルをご覧ください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
| 脅威名 | タイプ | 説明 |
| Win.Dropper.Remcos-7376444-0 | ドロッパー | Remcos はリモートアクセスのトロイの木馬(RAT)です。感染したシステムでは、攻撃者によるコマンドの実行、キーストロークの記録、Web カメラの操作、スクリーンショットの取得が可能になります。Remcos はマクロを含む Microsoft Office ドキュメントを介して配布されています。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 |
| Win.Dropper.Kovter-7376187-0 | ドロッパー | Kovter は永続化をファイルレスで確立させる手口で知られています。Kovter 系のマルウェアは、悪意のあるコードを格納する不正なレジストリエントリを複数作成します。また、ファイルシステムが感染から駆除された後でもシステムを再感染できます。過去にはランサムウェアやクリック詐欺のマルウェアを広めるために使用されてきました。 |
| Win.Dropper.Emotet-7375156-0 | ドロッパー | Emotet は、最近で最も活発なマルウェアファミリのひとつです。さまざまなペイロードを配布する非常に高度なモジュール型の脅威です。Emotet はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 |
| Win.Malware.Trickbot-7374019-1 | マルウェア | Trickbot は、一部の金融機関の機密情報を狙うバンキング型トロイの木馬です。複数のスパムキャンペーンを通じて頻繁に配布されています。これらのスパムキャンペーンの多くは、VB スクリプトといった配布型ダウンローダに依存しています。 |
| Win.Malware.Phorpiex-7373816-1 | マルウェア | Phorpiex はトロイの木馬として機能するワームです。感染したシステムで追加のマルウェアをダウンロードします。マルウェアやスパムメールから、ランサムウェア、暗号通貨マイナーに至るまで、幅広いペイロードをダウンロードすることが知られています。 |
| Win.Malware.Zbot-7373691-1 | マルウェア | Zbot(別名「Zeus」)はトロイの木馬です。キーロギングやフォームグラビング(form grabbing)などの方法により銀行のクレデンシャルといった情報を盗み出します。 |
| Win.Malware.DarkComet-7371375-1 | マルウェア | DarkComet とその亜種はリモートアクセスのトロイの木馬です。感染したシステムを攻撃者が制御できるようにします。感染したマシンからファイルをダウンロードする機能や、永続化と隠蔽の機能、および感染したシステムからユーザ名とパスワードを送り返す機能を備えています。 |
| Win.Packed.ZeroAccess-7370742-1 | パック処理済みマルウェア | ZeroAccess は Windows に感染するトロイの木馬です。感染したマシンにルートキットをインストールして潜伏し、クリック詐欺を実行するためのプラットフォームとして機能します。 |
脅威の内訳
Win.Dropper.Remcos-7376444-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Snk |
8 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ WINDOWS\CURRENTVERSION\RUN 値の名前: Snk |
8 |
| <HKCU>\SOFTWARE\XLR4615DFT-CRBSFT 値の名前: exepath |
6 |
| <HKCU>\SOFTWARE\XLR4615DFT-CRBSFT 値の名前: licence |
6 |
| ミューテックス | 発生回数 |
| Remcos_Mutex_Inj | 8 |
| XLR4615DFT-CRBSFT | 8 |
| Global\0e3e6d21-fc20-11e9-a007-00501e3ae7b5 | 1 |
| Global\96ab2081-00fe-11ea-a007-00501e3ae7b5 | 1 |
| Global\d24f50c1-00fe-11ea-a007-00501e3ae7b5 | 1 |
| Global\77238861-00fe-11ea-a007-00501e3ae7b5 | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 179[.]33[.]68[.]255 | 4 |
| 179[.]33[.]152[.]127 | 3 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| proyectobasevirtualcol[.]com | 8 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\install.vbs | 8 |
| %APPDATA%\System32 | 8 |
| %APPDATA%\System32\Snk.exe | 8 |
| %APPDATA%\Runtime3 | 6 |
| %APPDATA%\Runtime3\1627.dat | 6 |
| %TEMP%\<random, matching ‘[a-z]{4,9}’>.exe | 5 |
ファイルのハッシュ値
01f18d1d2a28f1fa3df286d745ebe04521031af989db17818db42f6118417f60 1c74e101e6c49184a2766afafc33ab421900927ca39bfb8afc6e0c29c1d4bc4a 2993970ed0df750fb8ead03397e7d209d50c790ccea889f8cd3a57a3257d229a 2a0933719e5f6762061641d337324fe2b9778e13ac4785dfce00b10e3134a7de 3a725a79cc91e882a52237eda542e29d44734c64fce0edd924e1fee62e69bead 44a4d693d208abf527c5d286fdb45791d6bc97fbda6857f2d952a659a39f02fd 46eb980bd84f49f16aab9a9af815caedfffe92ddf0db272b330f6a9b625716cf 5752b25814c46d5084fa204ab381a18ebfb75fd0229ddac048fc673607ae52c1 622bb6dc7e751fc9352e7a23c9bc3ccd2e1855f6d5c37656516a54fe63ae6230 70ee3b93a10475214f534c162c6923ccdff92873709e2912ffd208ad12d447fb 7df44706454b41154f074f55a4bb5c42942a7e4a2dd244dd3d979dd28f81c602 99f7c0b78dac66e3fb5c571c466004e97ef6a75662ed2b1a7e49d17f85fa66f0 a6f8cd54dcd6a563c2195964cf1a65ce0d558ef753d0d9d25618cf5bb24332d9 b1b18b3fb4c4da002c4f8449042569a53be13971036b2b15bccb8a31392e8ce8 d78ec2e34df6a80321bac318055f095f49f244117f0307e3c59aa7326f834ca7
カバレッジ
検出時のスクリーンショット
AMP
Win.Dropper.Kovter-7376187-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE 値の名前: DisableOSUpgrade |
25 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\OSUPGRADE 値の名前: ReservationsAllowed |
25 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: ssishoff |
25 |
| <HKCR>\.16A05D | 25 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: vrxzdhbyv |
25 |
| <HKCU>\SOFTWARE\XVYG | 25 |
| <HKLM>\SOFTWARE\WOW6432NODE\XVYG | 25 |
| <HKLM>\SOFTWARE\WOW6432NODE\XVYG 値の名前: tbqjcmuct |
25 |
| <HKCU>\SOFTWARE\XVYG 値の名前: tbqjcmuct |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\XVYG 値の名前: xedvpa |
25 |
| <HKCU>\SOFTWARE\XVYG 値の名前: xedvpa |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\XVYG 値の名前: svdjlvs |
25 |
| <HKCU>\SOFTWARE\XVYG 値の名前: svdjlvs |
25 |
| <HKCR>\7B507\SHELL\OPEN\COMMAND | 25 |
| <HKLM>\SOFTWARE\WOW6432NODE\XVYG 値の名前: lujyoqmfl |
25 |
| <HKCU>\SOFTWARE\XVYG 値の名前: lujyoqmfl |
25 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\ {E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101 値の名前: CheckSetting |
25 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\ {E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103 値の名前: CheckSetting |
25 |
| <HKCU>\SOFTWARE\XVYG 値の名前: tnzok |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\XVYG 値の名前: tnzok |
25 |
| <HKCU>\SOFTWARE\XVYG 値の名前: usukxpt |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\XVYG 値の名前: usukxpt |
25 |
| <HKCU>\SOFTWARE\<random, matching ‘[a-zA-Z0-9]{5,9}’> | 21 |
| <HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\ DAC9024F54D8F6DF94935FB1732638CA6AD77C13 値の名前: Blob |
7 |
| <HKCU>\SOFTWARE\YNRVKCYV3 値の名前: kwS6y5 |
1 |
| ミューテックス | 発生回数 |
| EA4EC370D1E573DA | 25 |
| A83BAA13F950654C | 25 |
| Global\7A7146875A8CDE1E | 25 |
| B3E8F6F86CDD9D8B | 25 |
| 408D8D94EC4F66FC | 20 |
| Global\350160F4882D1C98 | 20 |
| 053C7D611BC8DF3A | 20 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 48[.]35[.]9[.]231 | 2 |
| 24[.]6[.]47[.]86 | 2 |
| 53[.]51[.]100[.]34 | 2 |
| 103[.]72[.]170[.]215 | 2 |
| 100[.]65[.]74[.]134 | 2 |
| 214[.]157[.]80[.]109 | 2 |
| 53[.]189[.]39[.]167 | 2 |
| 171[.]50[.]101[.]82 | 2 |
| 186[.]88[.]125[.]16 | 2 |
| 103[.]3[.]144[.]29 | 2 |
| 191[.]63[.]106[.]220 | 2 |
| 132[.]142[.]20[.]146 | 2 |
| 185[.]144[.]48[.]120 | 2 |
| 74[.]188[.]12[.]194 | 2 |
| 151[.]185[.]129[.]250 | 2 |
| 123[.]193[.]218[.]247 | 2 |
| 7[.]184[.]47[.]209 | 2 |
| 11[.]19[.]158[.]101 | 2 |
| 89[.]73[.]101[.]218 | 2 |
| 104[.]7[.]70[.]162 | 2 |
| 111[.]104[.]240[.]101 | 2 |
| 187[.]41[.]98[.]16 | 2 |
| 39[.]158[.]228[.]212 | 2 |
| 67[.]110[.]140[.]230 | 2 |
| 87[.]88[.]172[.]42 | 2 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| cp[.]aliyun[.]com | 2 |
| netcn[.]console[.]aliyun[.]com | 2 |
| help[.]dreamhost[.]com | 1 |
| api[.]w[.]org | 1 |
| gmpg[.]org | 1 |
| panel[.]dreamhost[.]com | 1 |
| fonts[.]gstatic[.]com | 1 |
| www[.]cloudflare[.]com | 1 |
| httpd[.]apache[.]org | 1 |
| www[.]dreamhost[.]com | 1 |
| apps[.]digsigtrust[.]com | 1 |
| apps[.]identrust[.]com | 1 |
| cacerts[.]digicert[.]com | 1 |
| www[.]wdos[.]net | 1 |
| www[.]wddns[.]net | 1 |
| www[.]wdcdn[.]com | 1 |
| www[.]wdlinux[.]cn | 1 |
| community[.]cambiumnetworks[.]com | 1 |
| www[.]cambiumnetworks[.]com | 1 |
| x[.]ss2[.]us | 1 |
| www[.]wdcp[.]net | 1 |
| docs[.]atlassian[.]com | 1 |
| www[.]atlassian[.]com | 1 |
| staging[.]theplaylist[.]net | 1 |
| www[.]10dang[.]com | 1 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %LOCALAPPDATA%\39b03\6a5cc.16a05d | 25 |
| %LOCALAPPDATA%\39b03\7cbdf.bat | 25 |
| %HOMEPATH%\Local Settings\Application Data\2501\1ffa.41d68 | 20 |
| %HOMEPATH%\Local Settings\Application Data\2501\aae7.bat | 20 |
ファイルのハッシュ値
07f6d9e83f537600594c31b3602732e673876773d011ad3827d3b4bfd90263b3 09decefe05efe8d4de76c83d2d25b3688a7aa8a5b64a66d9beda52f1cb84d3e1 1034ec321ee9aacbac4c6eb13c9b7c337ee203f7690c75b03be96f45e7131854 1b027ad776520157003006129c70ffcb5a6df709784800abffc39e231cc35ba4 32ef3ff9e7f8879fac649e0bd47c943c5c9ae41f92ee11223bcdf3e735fcdd4d 4bfd91dbacfc04dd91dd43c00209141b6b33b3ce7d7fce5a40a39190e1020044 535870f540ccf5fa55b7d45b46e12c7f6cca475d7d1ed53a825bf4a74a8deaad 568ed4d9b0ecc820f370f364a9135cb99fe5cc61b953156c8abf2d8b4455ea35 5dc8da99651c7a508063c24d05724b8ce59ad6ae5a7b71d3acf27aa9a46937e0 6159c80c21256280b87b9be98bce4ce08a62712a5472ce88ab91ec58a889a998 670d2eef908fdaccbad25d40f7fc35deaa8a27667c8ae9c64c3c8c3f7b47715f 699f6b25a4d720eec442dab827192c5c3089da861c3c891f08c327918e0034c3 6e99630d9605ab0cdd26b273edc288e70b9b927fbd10bb4c531bdbaedb832842 716ca25938088e90d7529d396391ea45971e7716244684b7e431b46fae5d2f88 72301c500af238cd544b8208e3c5ea02d562143ab58a4fc7d429fb6dbdb5433a 77e117c5483524cd6bf8dcfa0b072d93644f71f15931b8f65be912dd2d4e0ac3 7803321e0e650f836a0260bd38dcac456e0bf822bd7d9159a03f509700f274a9 78bff6ee1f123cf5394c52b22f8bf282258684dc065d6fb3a6f7f11bb0dbb44c 7f9c7a64e9d7e46b31d842401064701c4cbaeee2d231b80e5221bc9b6dcad91c 886db07fb244827ecebfb8a0c807fc418d4e75699fe59d0a33203b2cacc30e08 94107471babcc12730005b1e70af6f59559229a0d2d325c18f88e8990c54a73b 9c3bc6fffc73ce25bd3f178daf44625b1ee681c7593ceef31e76fb5a2387ecb5 9d5304e56d130aeef6505442550c7cf49e3710f2ab7f31a7dd7db4a151fc5862 9f8721f77785853fded20778388a436d3ddc74a5200265a95ce7e168318b5f6c a1885a9e550677d9bdfbfa79590d9025c006940e540a795ab3700d3e960dc3e0
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Win.Dropper.Emotet-7375156-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS | 115 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: Type |
115 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: Start |
115 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: ErrorControl |
115 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: ImagePath |
115 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: DisplayName |
115 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: WOW64 |
115 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: ObjectName |
115 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: Description |
115 |
| ミューテックス | 発生回数 |
| Global\I98B68E3C | 115 |
| Global\M98B68E3C | 115 |
| Global\M3C28B0E4 | 42 |
| Global\I3C28B0E4 | 42 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 173[.]194[.]68[.]108/31 | 74 |
| 189[.]189[.]21[.]214 | 60 |
| 17[.]36[.]205[.]74/31 | 59 |
| 74[.]202[.]142[.]71 | 53 |
| 185[.]94[.]252[.]27 | 50 |
| 45[.]55[.]82[.]2 | 50 |
| 37[.]187[.]5[.]82 | 50 |
| 190[.]120[.]104[.]21 | 40 |
| 172[.]217[.]10[.]83 | 38 |
| 23[.]229[.]115[.]217 | 38 |
| 74[.]202[.]142[.]33 | 37 |
| 45[.]33[.]54[.]74 | 37 |
| 54[.]38[.]94[.]197 | 33 |
| 62[.]149[.]128[.]200/30 | 32 |
| 74[.]202[.]142[.]98/31 | 29 |
| 74[.]208[.]5[.]14/31 | 29 |
| 172[.]217[.]3[.]115 | 28 |
| 191[.]252[.]112[.]194/31 | 28 |
| 74[.]208[.]5[.]2 | 27 |
| 176[.]9[.]47[.]53 | 27 |
| 196[.]43[.]2[.]142 | 27 |
| 193[.]70[.]18[.]144 | 26 |
| 220[.]194[.]24[.]10/31 | 25 |
| 50[.]22[.]35[.]194 | 24 |
| 173[.]201[.]192[.]229 | 22 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| smtpout[.]secureserver[.]net | 69 |
| smtp[.]prodigy[.]net[.]mx | 54 |
| smtp[.]alestraune[.]net[.]mx | 37 |
| smtp[.]infinitummail[.]com | 33 |
| secure[.]emailsrvr[.]com | 32 |
| smtp[.]dsl[.]telkomsa[.]net | 30 |
| imail[.]dahnaylogix[.]com | 28 |
| smtp[.]orange[.]fr | 28 |
| smtp[.]mail[.]com | 27 |
| smtp[.]office365[.]com | 26 |
| mail[.]cemcol[.]hn | 25 |
| smtp[.]1and1[.]com | 24 |
| smtp-mail[.]outlook[.]com | 23 |
| smtp[.]mail[.]ru | 22 |
| mail[.]aruba[.]it | 21 |
| pop3s[.]aruba[.]it | 21 |
| correo[.]puertotuxpan[.]com[.]mx | 20 |
| smtp[.]zoho[.]com | 19 |
| smtp[.]techcommwireless[.]com | 19 |
| zmail2[.]tikona[.]co[.]in | 19 |
| smtpout[.]asia[.]secureserver[.]net | 18 |
| smtp[.]mail[.]me[.]com | 18 |
| smtp[.]qiye[.]163[.]com | 18 |
| mail[.]outlook[.]com | 17 |
| smtp[.]aol[.]com | 17 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %SystemRoot%\SysWOW64\spooleripspsb.exe | 2 |
| \TEMP\694.exe | 2 |
| %SystemRoot%\SysWOW64\spooleripspsa.exe | 1 |
| \TEMP\L6WtzMgB.exe | 1 |
| \TEMP\wdEnqutV.exe | 1 |
| \TEMP\pzcc3lk.exe | 1 |
| \TEMP\p1cvp.exe | 1 |
| \TEMP\ux68b0c6lxc0fow.exe | 1 |
| \TEMP\z825f3w9uh.exe | 1 |
| \TEMP\gcb5of4v1tlz.exe | 1 |
| \TEMP\ezxnt4.exe | 1 |
| \TEMP\39v3vti54d.exe | 1 |
| \TEMP\tdr3z0u10.exe | 1 |
| \TEMP\yqr4645h3g.exe | 1 |
| \TEMP\70vol09busiw7g.exe | 1 |
| \TEMP\2bn1wg8bam49.exe | 1 |
| \TEMP\afoly3.exe | 1 |
| \TEMP\yumjilsuex5ce.exe | 1 |
| \TEMP\2gb7kk6.exe | 1 |
| \TEMP\f80gj19dm6pg.exe | 1 |
| \TEMP\itb9yhf.exe | 1 |
| \TEMP\sd0ew7kemxl.exe | 1 |
| \TEMP\9b65hy6s.exe | 1 |
| \TEMP\5q1otsijpw2d6rr.exe | 1 |
| \TEMP\002109r7ga.exe | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
02fc8369a88b82e3f3071515dacd5d66dac4a7bbc30c0273ce94f1d1c17016c2 0358ed9153522829b222680b6308ca2bfbb9af02f7577527d290bd6b5a45741a 05813a34ed66ce894edfe1283dcbb4aac108a27a9d100cd1beda364c3a9a14d8 05cb5ec98746d64d138330942f339979762f3d9e2103176927e5298aab38b44d 068c95ddf6682151bfac5a348f3cdc83dd28dbb3636945893c40919e5c2529f6 06bee1b52d91c40d92e37313f5a41dd75ccfe06f4081c8d82cc150de85afa8fc 07ee440c02863990aa804fe41894616f5a660a07cea93bf9f4e21b379637cd04 08a60b24edee93c10a2f7f88f771cada9d5fdb220e236ac7685bc5467187cc7d 09b5cd03af0aeff661f64799a67a1e4b68fe95ed8c19f33b9f79c6ba891e1961 0aef359713281304cb60b92f7f9a4f046e7ae0902809830a306e683830c0621e 0cc6fb091ca3119744ef99cc1a75bf093351962ede75fe01d9689ad6e611eed7 10f54c55d5df2aba0a5f86addb10e2b6022040f9e30541e865e823456526d181 1360747298f09ad4a3231036c557fddae2e65e0544fa2bcd42847fd13793eeeb 15683fc25f400427b06f471235d0080d9b340760e1cf0e53b402cc3f92724904 179dcfe6679c7d9e7527dbc7280807c7abe2ab8b6cd74671ca3a240bdb9f9b13 197b6142da885afd536a49e192dd6259abdb324bd3a278850c74b54d3ad819a4 1ad1ff05930f27ef4b349c7a612235d1632ef7ceaa1a17adf7c7b3a97b40ca4d 1d92855b93ac6e841ca7afe057ceef7c6a52eb1aa511c47c523d25c7f542785b 2089c98c6d15a5c669795eea5a310ec83cbf7614be2aae5bc1ed1721e406360d 2175ae9fcf2321d5855a81146a650a9fe69d622a3d0303076fbfe32ddc645bd1 2275693f9a5b245d54030abaaa757f799c369df22b26cce4a8df84d1497b682b 23f18138a5aa4ff7284e25faa8490b14706170a7980b73a2cb69527fa19a9655 25da27f6d266e9986c93a48d93be82632fdfc607416d42e183c27b404591a808 26213f98dda98e08963a7a2934a6eadb665121a23aa14493cc45f5c6b23e7099 2a80f80c219f9554c9779e86c47a51a27858a767bb7b1c45b1d52055f6b9a30a
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
UMBRELLA
Win.Malware.Trickbot-7374019-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER 値の名前: DisableAntiSpyware |
26 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前: DeleteFlag |
26 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前: Start |
26 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\ REAL-TIME PROTECTION 値の名前: DisableBehaviorMonitoring |
26 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\ REAL-TIME PROTECTION 値の名前: DisableIOAVProtection |
26 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER | 26 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\ REAL-TIME PROTECTION |
26 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\ REAL-TIME PROTECTION 値の名前: DisableOnAccessProtection |
26 |
| <HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\ REAL-TIME PROTECTION 値の名前: DisableScanOnRealtimeEnable |
26 |
| <HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ AUTHROOT\CERTIFICATES\ DAC9024F54D8F6DF94935FB1732638CA6AD77C13 値の名前: Blob |
11 |
| ミューテックス | 発生回数 |
| Global\316D1C7871E10 | 26 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 72[.]22[.]185[.]208 | 17 |
| 72[.]22[.]185[.]200 | 9 |
| 116[.]203[.]16[.]95 | 5 |
| 216[.]239[.]32[.]21 | 4 |
| 216[.]239[.]36[.]21 | 3 |
| 82[.]146[.]46[.]153 | 3 |
| 107[.]173[.]6[.]251 | 3 |
| 78[.]155[.]207[.]139 | 3 |
| 216[.]239[.]34[.]21 | 2 |
| 176[.]58[.]123[.]25 | 2 |
| 177[.]124[.]37[.]208 | 2 |
| 201[.]184[.]69[.]50 | 2 |
| 179[.]189[.]241[.]254 | 2 |
| 36[.]66[.]115[.]180 | 2 |
| 177[.]36[.]5[.]7 | 2 |
| 185[.]86[.]150[.]130 | 2 |
| 149[.]154[.]70[.]202 | 2 |
| 195[.]123[.]246[.]188 | 2 |
| 185[.]117[.]119[.]163 | 2 |
| 172[.]217[.]12[.]179 | 1 |
| 104[.]20[.]17[.]242 | 1 |
| 185[.]248[.]87[.]88 | 1 |
| 80[.]173[.]224[.]81 | 1 |
| 103[.]122[.]33[.]58 | 1 |
| 177[.]107[.]51[.]162 | 1 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| ip[.]anysrc[.]net | 5 |
| myexternalip[.]com | 4 |
| ipecho[.]net | 4 |
| api[.]ipify[.]org | 4 |
| ident[.]me | 2 |
| checkip[.]amazonaws[.]com | 2 |
| www[.]myexternalip[.]com | 1 |
| icanhazip[.]com | 1 |
| api[.]ip[.]sb | 1 |
| wtfismyip[.]com | 1 |
| ipinfo[.]io | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\wnetwork\settings.ini | 26 |
| %System32%\Tasks\Windows Network | 26 |
| %APPDATA%\wnetwork | 26 |
| %APPDATA%\WNETWORK\<original file name>.exe | 26 |
ファイルのハッシュ値
0997acfd174ab60400f87700683b13a8e30003187a1ac95f8e03e7ef42722ed0 16a4034a84ee8568cb2f8eb5dadabc4602c0a8e8868f73672d50dfbf1a7f4d58 1b4e99fdce2dd1e3fec9d2544d998991b7db608fc546f3fcd095116c74abf5a6 1d004310b4da6128d37fbbc500fd2edaaac340ad0c02a6d955bb865b6bbf5a36 22a575f49efea2455bba405158a36e037ffb74a54d19a3594b9b91496235b94a 33174b58598cbfad8263865a35541f8cb45fb8c6bfef793fe8cf959386a01f5d 3614608cb133bd6ee5c664d32a70a4f6daabd51c5aa3e8305481a2c8e8e5e050 3be01a7decf86e147148172f9fd49a1dddb0fc61fa19f1f513200bef005d5621 533fbff0ab14351994eda4fdbfd54521f69b26aea55f1f4cbdc0a766ea665475 63fc0be214ba24b78e8af0c3fcc739bc65f2c93f47f2c0fd5fc36fab7c3b1ee9 6664ecbb04496f8769bd64664cc927aa5b3da2d8db2c90c74f9115d13611f2ee 690160e08d961b5eb173e8d83489182ff1bc593fbacc1ccef29d34b2c123f852 6f9d90e562dbc99bf48c6da0f62acca06483e4cc237f823fd420972e4cab8acb 84b2e1dadf6434fbd682ad5443c07fd584e9ba90ca78cff4e34453da08f9b1a0 8a8e4c0576135b4d7e53e8d371cbaa3044d04aa7487b5165d3a25c7ceb98ef40 8b3ce83864c0fe181a9dc5fc05db1ed0f5b8fa8afb21bf47e13cb42012f99d37 90343d4a110021355c361ba1187512cd992644f1f563451014c330b6100c31bb 918b82b76908de34fc26f1addda953604c608071d2e960aa7ac024dac36b445a 93c68821eea7086225918c163c8480f2f49f3a6b155a221af7211c795ce6b32e 977cc7fd45f54546066ab08ae04f31876d2347948b2631a011756f2a45f8588e 99aad62bb62905258fd7b9ee63811f16c0cb686dc86b49e5f33e0d465d2ecc0b a169e851112a15be3a17a6059e50cfedccd2928a7a2afde40aa21a13bbb31dd5 a77f072f98bba728809627c5cce0408dffd1e6277a5febf654f11c8e5a63f6c7 a94fb77c70d6d08e50aa251e619f7f6a2bd0983322677a5f0b38ba3cd2c46abb aa2709ee07f4479a85e0d64e8f4f08c87ff747fe658f8e93e30713ab6d46724c
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Win.Malware.Phorpiex-7373816-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\ PARAMETERS\FIREWALLPOLICY\ STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST |
13 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN 値の名前: Microsoft Windows Service |
12 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Microsoft Windows Service |
12 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\ PARAMETERS\FIREWALLPOLICY\ STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST 値の名前: C:\Windows\system32\rundll32.exe |
3 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY | 3 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\PIXEDFU | 3 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\PIXEDFU 値の名前: Impersonate |
3 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\PIXEDFU 値の名前: Asynchronous |
3 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\PIXEDFU 値の名前: MaxWait |
3 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\PIXEDFU 値の名前: DllName |
3 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\PIXEDFU 値の名前: Startup |
3 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: pixedfu |
3 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION 値の名前: FFC6F26321 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: BCC6F26321 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前: *BCC6F26321 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: 00FFC6F26321 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION 値の名前: C6F26321 |
1 |
| ミューテックス | 発生回数 |
| .:-Tldr-:. | 10 |
| A9MTX7ERFAMKLQ | 3 |
| A9ZLO3DAFRVH1WAE | 3 |
| AhY93G7iia | 3 |
| B81XZCHO7OLPA | 3 |
| BSKLZ1RVAUON | 3 |
| F-DAH77-LLP | 3 |
| FURLENTG3a | 3 |
| FstCNMutex | 3 |
| GJLAAZGJI156R | 3 |
| I-103-139-900557 | 3 |
| I106865886KMTX | 3 |
| IGBIASAARMOAIZ | 3 |
| J8OSEXAZLIYSQ8J | 3 |
| LXCV0IMGIXS0RTA1 | 3 |
| MKS8IUMZ13NOZ | 3 |
| OLZTR-AFHK11 | 3 |
| OPLXSDF19WRQ | 3 |
| PLAX7FASCI8AMNA | 3 |
| RGT70AXCNUUD3 | 3 |
| TEKL1AFHJ3 | 3 |
| TXA19EQZP13A6JTR | 3 |
| VSHBZL6SWAG0C | 3 |
| chimvietnong | 3 |
| drofyunfdou | 3 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 92[.]63[.]197[.]106 | 10 |
| 66[.]199[.]229[.]251 | 3 |
| 216[.]58[.]206[.]81 | 3 |
| 141[.]101[.]129[.]46 | 3 |
| 141[.]101[.]129[.]45 | 3 |
| 172[.]217[.]7[.]174 | 2 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| ofoanefubehauufdu[.]ru | 11 |
| osgohfoeaugfoauef[.]ru | 8 |
| dio[.]shojnoc[.]com | 3 |
| dia[.]shojnoc[.]com | 2 |
| ieguaoeuafhoauedg[.]ru | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| \_\DeviceManager.exe | 12 |
| \.lnk | 12 |
| E:\.lnk | 12 |
| E:\$RECYCLE.BIN | 12 |
| E:\_ | 12 |
| E:\_\DeviceManager.exe | 12 |
| %SystemRoot%\T-580580975794906058 | 12 |
| %APPDATA%\winsvcmgr.txt | 12 |
| %SystemRoot%\T-580580975794906058\winsvc.exe | 12 |
| %HOMEPATH%\Local Settings\Application Data\pixedfu.dll | 3 |
| %LOCALAPPDATA%\pixedfu.dll | 3 |
| %TEMP%\323221246224071.exe | 2 |
| \$Recycle.Bin\_HELP_INSTRUCTION.TXT | 1 |
| %HOMEPATH%\AppData\_HELP_INSTRUCTION.TXT | 1 |
| %APPDATA%\_HELP_INSTRUCTION.TXT | 1 |
| %HOMEPATH%\Desktop\_HELP_INSTRUCTION.TXT | 1 |
| %HOMEPATH%\Documents\_HELP_INSTRUCTION.TXT | 1 |
| %HOMEPATH%\Downloads\_HELP_INSTRUCTION.TXT | 1 |
| %HOMEPATH%\Favorites\_HELP_INSTRUCTION.TXT | 1 |
| %HOMEPATH%\Links\_HELP_INSTRUCTION.TXT | 1 |
| %HOMEPATH%\Saved Games\_HELP_INSTRUCTION.TXT | 1 |
| %HOMEPATH%\_HELP_INSTRUCTION.TXT | 1 |
| %PUBLIC%\Music\Sample Music\12EAEF0D255F4C3289F8C16727C42FE6.BACKUP | 1 |
| %PUBLIC%\Music\Sample Music\20410F1A046679B6EE5BB84B050B5D6A.BACKUP | 1 |
| %PUBLIC%\Music\Sample Music\CD5F520B00FF264246AA4685031109F6.BACKUP | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
01800a0b77486384e49b910debe10f7cee0b315bcf58fde71697f0dd4ec3540e 2032430a872c8bf354dcd1d6ae0f7aca4d02f5b4f0dcfa43ce3d1f795c8c9c72 43503180b734d83a724db448cd4d94b1b4a3096dabec6b9411af061337af8c35 5cf483ced208bc37ee1e71346a22615c88ee294a8b3b411b5d11e77571e2e4fd 7aa31bf90f13024bbcb547c126115b112b17a130fc8169712351c418f93516ca 86d2c77b7dc01092d3591f95f99a7ba79c06e06e83759b7965d18032102a823a 8e56d2ba3bf9e86c66e0eeafe453a8c36f692b4f22edb9e96fecaaef8e894d51 94179eab10b3a394790f3bfd5cf10c5bcabb16cd534997f6361064ac5e686342 af69f159ac7741ff8c72ea41fe76436512c84f7de6870caa6268ca28ac87aabd c6365099edb25124ad0ac0ffbe5a246d3d27a15c42e5bebb3a6a5994797611ef ca4a36212c31444ed2f0c173c0fb9a2ca43a8cfdf2ba7663b3eea52e150a02f3 cea3556aa39780fa88283ac4b89f75bb9e0070fc870f8c2f2940d74c124999ca d70bed520eccb3afa3ebaac4a1644e1b603e407c386a5a3dfeee864acc8be52d e1ef644770cf7cb312df7b2112a140386e246e6bb8c5fb607707e08bc1ad31ad e96f931910f1f64cadda65519f52c5ccd2311cd9d4aa705815b28a21559a4f18 f00fe52b605c93783f69f8ff95605484c73600a0c4ef33336b565e3adfd7bf8b f22b9841d6cfca96f89543e43f6dce478dbed764c3083b7a2dce8ba42e8a2b34
カバレッジ
検出時のスクリーンショット
AMP
Win.Malware.Zbot-7373691-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS 値の名前: LoadAppInit_DLLs |
48 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS 値の名前: AppInit_DLLs |
48 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %System32%\Tasks\aybbmte | 48 |
| %ProgramData%\Mozilla\thfirxd.exe | 48 |
| %ProgramData%\Mozilla\lygbwac.dll | 48 |
| %HOMEPATH%\APPLIC~1\Mozilla\kvlcuie.dll | 42 |
| %HOMEPATH%\APPLIC~1\Mozilla\tfbkpde.exe | 42 |
| %SystemRoot%\Tasks\kylaxsk.job | 42 |
ファイルのハッシュ値
0008d767954ff4cd48317862040f44a8550279d2f80730db9d8c9a6c3e6f69f7 01b1b04fd8af635ddc5953b9c3bd87d510c38476477f201fa59b6ac1ebc89265 02e089e46e5d3a515394aec09a6f8a37cb8be989730bc9a7c29660bfe8f2e1aa 0878a61c44c6f24ea9b7455e663c9ae1f059f5581067957564af8cc90d7bead1 08c3aed6e3b36b219a22d80947cb02a1da27cdd955dcab8938f366c938641d99 0a586547643e008b351990181c6434a4ad1b1d91e2d8cfd2dcc654459e415652 0be41d1d76850b8b1bd55121ecb12c43b20493e7ef00a83d366092998b126a66 1142bde6260aacc7770f40931f1b10a3d72e479e482536590df5c8af3fe7cdb2 11f76ef08d086a6e3f87466f8a77c7bc63dd754dbd5aaf27deaf4e78abe46c4e 12ccd85f6d507d2b558259c0e987c1c0d104dddd62af38b6597c21055bb35f7e 13235beb6e3d194b599cc7cb1eb82ced9cad5ee17ddac09ae13942aed2b4ff14 143471cc5a4f7299a4009841fb1b92ec52bec2f78b426281d0bacc02946855b7 171fdd6c8d3e43050ab23eb0327fd74094ec7d813c5fb4f2f5668a6650e5088a 1be73946fc11127b9587440b45b8ba9452273c1b47698060562f5d6b0c914514 1ed93147bbaf222006509898c620b1cb65866d1f57d12c7f69a0db49cb459730 20a5e8c87d9d5f9c4f212c8324e1c51941c2c92e4193bb460454451c43763c65 23a1c96747d375ef9098389078a48ffe53305fce872ae8d056697aa1f4aee4bf 23f6e421ea4cdb20ba4d0f1b94100847dd67537fa438d0b0579579bca2aa9e64 249534c79cd24e2d4f756ee051f5fa3da34a85ac4d60b24afc19d0d01b03f446 24cfdb52074fedadb316ec85968e36576f44660b618edc8582c4a9d1134a4344 25bac99d7d11cb4a6da8d9a1742da2e31bc59751ed7d557677a11c5ec251a149 285c4a1f783602c538395337b0724f384806f308be12fef1654f77f667762412 29286b6965a37a18bb510f2ceff996456133395c0af62e2d87e58c86877b7a5b 296d4d39691aa73e5392b57a1dff3cf34f7f1e3548ab38d22e7c1bcceb30fc11 2bf03d005dc768b24c4a27218e41c5781902edd872f934d24c02958fd172fbc0
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Win.Malware.DarkComet-7371375-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\DC3_FEXEC | 16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\ FIREWALLPOLICY\STANDARDPROFILE 値の名前: EnableFirewall |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ SYSTEM 値の名前: DisableTaskMgr |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\ FIREWALLPOLICY\STANDARDPROFILE 値の名前: DisableNotifications |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ SYSTEM 値の名前: EnableLUA |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前: AntiVirusDisableNotify |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前: UpdatesDisableNotify |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前: Start |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ CURRENTVERSION\EXPLORERN 値の名前: NoControlPanel |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ SYSTEM 値の名前: DisableRegistryTools |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ SYSTEM |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ CURRENTVERSION |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ CURRENTVERSION\EXPLORERN |
1 |
| ミューテックス | 発生回数 |
| DC_MUTEX-F54S21D | 10 |
| DC_MUTEX-<random, matching [A-Z0-9]{7}> | 6 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 88[.]67[.]72[.]218 | 5 |
| 189[.]24[.]196[.]171 | 3 |
| 187[.]14[.]155[.]193 | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\dclogs | 12 |
| %TEMP%\tmpcmd.bat | 1 |
ファイルのハッシュ値
198fd0be4b6734556acf2ac56b3caff28d402ef10c0875180ab02a62d320b9c1 3201cfb883cd1c3b8f13b639a40cd08b3a701df41d6488228b586d7909a6f9c3 384fb4c37f5649edff99a8ce89b65b66a74fffe0e27dc8ad0abc6b949391e7e6 386a72805830c4e97a5970ab2c50e973394d2f0c2d89f1be33219a79ae988ab5 3ca6b7c42876362f7c1b27c86e45f5d95443a385ffa01226ab25cea998176219 42b444b7738492be745183895147d005f825dfa44c4b2cb1e256f6a146e3fa63 54f3ab508247399214721d27e61b5f9be1797cf54e1f80590a6075f1086df697 6283cb17aa670de5710f160fe411ba49cd8d6f12ec96141c787311f03d3dbfa0 7175a539ad4450790dcb7fc70b3a83c8fb85001b2fca89e5bdef6b106175c586 7d82900300161ba47eb3ec68e9ebea0f55986a33affff5bbe43e0dd5fee2d907 a7b843e8ece17f12410ed58e1de94c03126d74192d3732dae6071aefb6b190f2 b18d500a121437df8d1170fdf315b8dbe53d0f69214963a665c484bc47a1d3cd b7cfcc21847f1be733342c7c635d30152e3cbc7ac456d44faeb3d0d61933f02d d4c3d0934d55956d694a8097bcd0b69c4743e681ab1985e689d71827514fdd63 dcfc58bbe29cd4d7634c21ac390cca9c3f12becaf8584ac3d3a90da2cd329585 fbaf7fd94f82e6f9dc6de640564350f00b0901763249e14ad29748a79bc41a43
カバレッジ
検出時のスクリーンショット
AMP
Win.Packed.ZeroAccess-7370742-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC 値の名前: Start |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS 値の名前: DeleteFlag |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前: DeleteFlag |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前: DeleteFlag |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\BROWSER 値の名前: Start |
8 |
| <HKCR>\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32 値の名前: ThreadingModel |
8 |
| <HKCR>\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32 | 8 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Windows Defender |
8 |
| <HKLM>\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32 | 8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS 値の名前: Type |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS 値の名前: ErrorControl |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC 値の名前: Type |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC 値の名前: ErrorControl |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC 値の名前: DeleteFlag |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前: Type |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前: ErrorControl |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前: Type |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前: ErrorControl |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\ PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000010 値の名前: PackedCatalogItem |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\ PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000009 値の名前: PackedCatalogItem |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\ PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000008 値の名前: PackedCatalogItem |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\ PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000007 値の名前: PackedCatalogItem |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\ PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000006 値の名前: PackedCatalogItem |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\ PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000005 値の名前: PackedCatalogItem |
8 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\ PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000004 値の名前: PackedCatalogItem |
8 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 180[.]254[.]253[.]254 | 8 |
| 166[.]254[.]253[.]254 | 8 |
| 135[.]254[.]253[.]254 | 8 |
| 117[.]254[.]253[.]254 | 8 |
| 119[.]254[.]253[.]254 | 8 |
| 134[.]254[.]253[.]254 | 8 |
| 206[.]254[.]253[.]254 | 8 |
| 222[.]254[.]253[.]254 | 8 |
| 182[.]254[.]253[.]254 | 8 |
| 190[.]254[.]253[.]254 | 8 |
| 184[.]254[.]253[.]254 | 8 |
| 197[.]254[.]253[.]254 | 8 |
| 66[.]44[.]141[.]253 | 8 |
| 183[.]254[.]253[.]254 | 8 |
| 158[.]254[.]253[.]254 | 8 |
| 204[.]254[.]253[.]254 | 8 |
| 230[.]254[.]253[.]254 | 8 |
| 71[.]17[.]221[.]85 | 7 |
| 217[.]209[.]16[.]149 | 7 |
| 84[.]40[.]68[.]14 | 7 |
| 75[.]64[.]4[.]243 | 7 |
| 24[.]145[.]85[.]120 | 7 |
| 83[.]233[.]106[.]6 | 7 |
| 24[.]176[.]111[.]7 | 7 |
| 24[.]92[.]71[.]93 | 7 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| \systemroot\assembly\GAC_32\Desktop.ini | 8 |
| \systemroot\assembly\GAC_64\Desktop.ini | 8 |
| %System32%\LogFiles\Scm\e22a8667-f75b-4ba9-ba46-067ed4429de8 | 8 |
| %SystemRoot%\assembly\GAC_32\Desktop.ini | 8 |
| %SystemRoot%\assembly\GAC_64\Desktop.ini | 8 |
| \$Recycle.Bin\S-1-5-18 | 8 |
| \$Recycle.Bin\S-1-5-18\$0f210b532df043a6b654d5b43088f74f | 8 |
| \$Recycle.Bin\S-1-5-18\$0f210b532df043a6b654d5b43088f74f\@ | 8 |
| \$Recycle.Bin\S-1-5-18\$0f210b532df043a6b654d5b43088f74f\L | 8 |
| \$Recycle.Bin\S-1-5-18\$0f210b532df043a6b654d5b43088f74f\U | 8 |
| \$Recycle.Bin\S-1-5-18\$0f210b532df043a6b654d5b43088f74f\n | 8 |
| \$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$0f210b532df043a6b654d5b43088f74f | 8 |
| \$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$0f210b532df043a6b654d5b43088f74f\@ | 8 |
| \$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$0f210b532df043a6b654d5b43088f74f\L | 8 |
| \$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$0f210b532df043a6b654d5b43088f74f\U | 8 |
| \$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$0f210b532df043a6b654d5b43088f74f\n | 8 |
| %ProgramFiles%\Windows Defender\MSASCui.exe:! | 8 |
| %ProgramFiles%\Windows Defender\MpAsDesc.dll:! | 8 |
| %ProgramFiles%\Windows Defender\MpClient.dll:! | 8 |
| %ProgramFiles%\Windows Defender\MpCmdRun.exe:! | 8 |
| %ProgramFiles%\Windows Defender\MpCommu.dll:! | 8 |
| %ProgramFiles%\Windows Defender\MpEvMsg.dll:! | 8 |
| %ProgramFiles%\Windows Defender\MpOAV.dll:! | 8 |
| %ProgramFiles%\Windows Defender\MpRTP.dll:! | 8 |
| %ProgramFiles%\Windows Defender\MpSvc.dll:! | 8 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
1d2d42263d68f09b1946be33971dcc04706ccc597993007b59806c3a23f1ffac 4f59080cc3450aab4dbfae69f1223e79069e3c315bac2df45ea845a68439bcde 559ecb68cce08a6d1d5b27d96295fc81ddc3df2edf1dbf3d765a9831262402c5 907c8629bcd73adf85f6163bacf17831830f0410f7e9840a146b364fb0bb2945 9117e953fe785d1b5c2f350921bd8ec6e14f1e34c0a26059c66c4abfb98e7a55 a026a103b42e4fd2a1b1b21931983d477e53b94210900f2a464cf71dd4868f27 b05d35fe02909b09b6a2c347f619430498000617f209ddba7b357db26cd154d1 d038daa7418565e12cd449a5c13d9f36eef7c3cf76c7739db4f41df68649837f e8a06267aade079e638ab09d0ca9b2697079be1292c237846f93bf802d9c8746 ec683faba46071aa2c11667714ee9d1abbbc1b4a6d6d024b77fc97e497eb5673
カバレッジ
検出時のスクリーンショット
AMP
エクスプロイト防止
Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。
| CVE-2019-0708 を検出 -(47418) |
| CVE-2019-0708 のエクスプロイト試行が検出されました。「BlueKeep」と呼ばれる脆弱性はヒープメモリの破損に起因しています。細工されたリモート デスクトップ プロトコル(RDP)要求の送信によりエクスプロイトされる可能性があります。エクスプロイトには認証が不要であり、かつ任意コードのリモート実行を許すことを踏まえると、自動拡散するワームとして使用されることも考えられます。 |
| コードインジェクション手口の「Atom Bombing」を検出 -(522) |
| プロセスが疑わしい Atom を作成した場合は、「Atom Bombing」と呼ばれる既知のプロセスインジェクション手口の兆候です。Atoms は、文字列を 16 ビット整数に関連付ける Windows 識別子です。これらの Atoms は、グローバル Atom テーブルに配置することで、プロセス間でアクセスできます。マルウェアはこの仕組みをエクスプロイトするため、シェルコードをグローバルな Atom として配置し、Asynchronous Process Call(APC)を介してアクセスします。ターゲットプロセスは、シェルコードをロードして実行する APC 関数を実行します。Dridex のマルウェアファミリは Atom Bombing の使用で知られていますが、他のマルウェアも同じ手口を利用している可能性があります。 |
| プロセスの空洞化を検出 -(244) |
| プロセスハロウイング(Process Hollowing)は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。 |
| Kovter インジェクションを検出 -(196) |
| プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter には「ファイルレス」マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパムキャンペーンを通じて拡散しています。 |
| Installcore アドウェアを検出 -(99) |
| Installcore は正規のアプリケーションにバンドルされるインストーラで、インストール時に望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。 |
| 過度に長い PowerShell コマンドを検出 -(90) |
| 非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティソフトウェアなどからの検出を回避できることにあります。 |
| Gamarue マルウェアを検出 -(89) |
| Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。ワームファミリ「Gamarue」の亜種は、感染したシステムに接続されている USB ドライブやポータブルハードディスクを介してさらに拡散する可能性があります。 |
| Fusion アドウェアを検出 -(43) |
| Fusion(または FusionPlayer)はアドウェアファミリです。ポップアップ形式で、あるいはブラウザ上で Web ページの広告を変更する方法で、望ましくない広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。 |
| リバース HTTP ペイロードを検出 -(33) |
| 攻撃者が制御するホストに HTTP 経由で接続するためのエクスプロイトペイロードが検出されました。 |
| Dealply アドウェアを検出 -(31) |
| DealPly は、オンライン ショッピングの利用体験を向上させると主張するアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。 |
本稿は 2019年11月8日に Talos Group
Authors
コメントを書く