Cisco Japan Blog

1 月 3 日 ~ 1 月 10 日の 1 週間における脅威のまとめ

7 min read



本日の投稿では、1 月 3 日 ~ 1 月 10 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。
今回ご紹介する、最も蔓延している脅威は次のとおりです。

脅威名 タイプ 説明
Win.Trojan.Razy-7505643-0 トロイの木馬 「Razy」は多くの場合、Windows を標的としたトロイの木馬の一般的な検出名です。感染したホストから機密情報を収集し、データを暗号化してコマンドアンドコントロール(C2)サーバに送信します。収集される情報にはスクリーンショットが含まれる場合もあります。Talos が確認したサンプルでは、レジストリに自動起動の値を追加することで永続性を確立します。
Win.Dropper.Tofsee-7492214-1 ドロッパー Tofsee は、多数のモジュールにより多様なアクティビティを実行する多目的マルウェアです。それらのアクティビティには、スパムメッセージの送信、クリック詐欺の実行、暗号通貨の不正マイニングなどが含まれます。いったん感染すると、システムが Tofsee スパムボットネットの一部と化し、大量のスパムメールを送信するために悪用されます。これにより他のシステムにも感染が広がり、ボットネットの全体数が増えていきます。
Win.Packed.Ursnif-7489213-0 パック処理済みマルウェア Ursnif は感染先から機密情報を盗むだけでなく、マルウェアのダウンローダとしても機能します。一般に、悪意のある電子メールやエクスプロイトキットを介して拡散しています。
Win.Packed.ZeroAccess-7489468-1 パック処理済みマルウェア ZeroAccess は Windows に感染するトロイの木馬です。感染したマシンにルートキットをインストールして潜伏し、クリック詐欺を実行するためのプラットフォームとして機能します。
Win.Ransomware.TeslaCrypt-7501245-1 ランサムウェア TeslaCrypt は被害者のファイルを強力な暗号で暗号化し、身代金としてビットコインを要求する、よく知られたランサムウェアファミリです。ただし暗号化アルゴリズムに弱点が発見されたことで、身代金を支払うことなくファイルを復号できるようになりました。最終的には、すべての暗号化ファイルを簡単に復元できるマスターキーをマルウェアの作成者が公開しています。
Win.Dropper.Upatre-7491797-0 ドロッパー Upatre はエクスプロイトキットやフィッシングキャンペーンで多用される、悪意のあるダウンローダです。感染すると、バンキングマルウェアなどの悪質な実行ファイルをダウンロードして実行します。
Win.Dropper.TrickBot-7490964-0 ドロッパー Trickbot は、特定の金融機関の利用者を狙ったバンキング型トロイの木馬です。複数のスパムキャンペーンを通じて頻繁に配布されています。これらのスパムキャンペーンの多くは、VB スクリプトといった配布型ダウンローダに依存しています。
Win.Packed.Formbook-7491272-1 パック処理済みマルウェア Formbook は情報詐取型のマルウェアです。キーストロークを記録し、Web ブラウザに保存されたログイン情報を盗み、クリップボードの内容を監視するなどの手口により、感染したシステムから機密情報を収集します。

脅威の内訳

Win.Trojan.Razy-7505643-0

侵害の兆候

レジストリキー 発生回数
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\
AUTHROOT\CERTIFICATES\
75E0ABB6138512271C04F85FDDDE38E4B7242EFE
値の名前:Blob
11
<HKLM>\SOFTWARE\MICROSOFT\RADAR\HEAPLEAKDETECTION\
SETTINGS\LEAKDIAGNOSISATTEMPTED
7
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION
\EXPLORER\ADVANCED
値の名前:Hidden
3
<HKLM>\SOFTWARE\MICROSOFT\RADAR\HEAPLEAKDETECTION\
DIAGNOSEDAPPLICATIONS\
0748AF3992DE6E3AA7B386B7F6C08EF2.EXE
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\HEAPLEAKDETECTION\
DIAGNOSEDAPPLICATIONS\
1C3DDA8020173A5B45A7C80CFC8B0298.EXE
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\HEAPLEAKDETECTION\
DIAGNOSEDAPPLICATIONS\
0748AF3992DE6E3AA7B386B7F6C08EF2.EXE
値の名前:LastDetectionTime
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
B4F3AEA9F95879ABBE9B311B5AB9FC30.EXE
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
2AA87EE2B7BAA7D413CC747537A867A2.EXE
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
1C3DDA8020173A5B45A7C80CFC8B0298.EXE
値の名前:LastDetectionTime
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
EB9064AF85850CF7B3485B2A911798D7.EXE
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
B4F3AEA9F95879ABBE9B311B5AB9FC30.EXE
値の名前:LastDetectionTime
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
2AA87EE2B7BAA7D413CC747537A867A2.EXE
値の名前:LastDetectionTime
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
EB9064AF85850CF7B3485B2A911798D7.EXE
値の名前:LastDetectionTime
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\
CURRENTVERSION\RUNONCE
値の名前:goodsStartup key
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
6035E0F59A5169E7C59129A3CDBD076E.EXE
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
6035E0F59A5169E7C59129A3CDBD076E.EXE
値の名前:LastDetectionTime
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\
CURRENTVERSION\RUNONCE
値の名前:goods
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
0786B90DA12B29B5CC97621DCC78FA3E.EXE
1
<HKLM>\SOFTWARE\MICROSOFT\RADAR\
HEAPLEAKDETECTION\DIAGNOSEDAPPLICATIONS\
0786B90DA12B29B5CC97621DCC78FA3E.EXE
値の名前:LastDetectionTime
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\
CURRENTVERSION\RUNONCE
値の名前:mrke
1

 

ミューテックス 発生回数
Global\14c64321-2d62-11ea-a007-00501e3ae7b5 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
172[.]217[.]12[.]206 10
172[.]217[.]9[.]225 7
172[.]217[.]5[.]238 6
104[.]16[.]155[.]36 3
77[.]88[.]21[.]158 3
172[.]217[.]10[.]46 1
172[.]217[.]10[.]33 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
smtp[.]yandex[.]com 3
whatismyipaddress[.]com 3
doc-00-6c-docs[.]googleusercontent[.]com 1
doc-0s-9s-docs[.]googleusercontent[.]com 1
doc-14-60-docs[.]googleusercontent[.]com 1
doc-0k-c8-docs[.]googleusercontent[.]com 1
doc-00-5o-docs[.]googleusercontent[.]com 1
doc-10-6c-docs[.]googleusercontent[.]com 1
doc-04-bg-docs[.]googleusercontent[.]com 1
doc-04-6c-docs[.]googleusercontent[.]com 1

 

作成されたファイルやディレクトリ 発生回数
%APPDATA%\pid.txt 3
%APPDATA%\pidloc.txt 3
%TEMP%\holdermail.txt 3
%TEMP%\holderwb.txt 3
%HOMEPATH%\desktop\product.pif 2
%TEMP%\bhv61AB.tmp 1
%TEMP%\bhv8DF6.tmp 1
%HOMEPATH%\Orkende 1
%HOMEPATH%\Orkende\Recomm.pif 1
%TEMP%\bhv5953.tmp 1

ファイルのハッシュ値

3031363a67eca33c68892ed7529803bbaa926a6f371204eeaa8ca205501d8cac
34b978969d994134de71dd45996dc5d10516e534e23a2abb8537a1c548ac1c93
51e97032af43de44947d564ee43a9b43278312873caaa4bbd7d3e4f7ec00eb89
58962a9133651591f2d4df22589d1cdd4f7cee175f70c7d47c5a854a5264ec98
5be87b343f2d3af80883ed4deb795c0ae8f7e0ae4ba08a6bbac5b3e4659d0341
6bd1baae5ba600ff4ece4523e53bf9818bcc381a56664e3104c1c317d6f5a3bc
6dfdb201ddd46c8f2ded273f3c8ed6c5beca63196b5428fe388f59faaac79597
731aa2659852eb9b98d573b3f59436b49c15492d8df94e18da5a8f4c41f48fbe
79acdd5ea559b2e7e29fa6b47ca1053e11dbaadf540fc2b140aca89d1539d17e
8fa302841d886e0198c96d76d93399f5905844f424b255e6707a74ea610c55ce
cdaef1b003e82f8994dd616103781125fca98ec097ee79830c2262f41158237a

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Win.Dropper.Tofsee-7492214-1

侵害の兆候

レジストリキー 発生回数
<HKU>\.DEFAULT\CONTROL PANEL\BUSES 192
<HKU>\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config3
175
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:Type
158
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:Start
158
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:ErrorControl
158
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:DisplayName
158
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:WOW64
158
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:ObjectName
158
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:Description
158
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 158
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:ImagePath
68
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\wpdjiqwl
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WPDJIQWL
値の名前:Type
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WPDJIQWL
値の名前:Start
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WPDJIQWL
値の名前:ErrorControl
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WPDJIQWL
値の名前:DisplayName
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WPDJIQWL
値の名前:WOW64
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WPDJIQWL
値の名前:ObjectName
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WPDJIQWL
値の名前:Description
11
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\lesyxfla
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\LESYXFLA
値の名前:Type
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\LESYXFLA
値の名前:Start
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\LESYXFLA
値の名前:ErrorControl
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\LESYXFLA
値の名前:DisplayName
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\LESYXFLA
値の名前:WOW64
11

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
69[.]55[.]5[.]250 192
43[.]231[.]4[.]6/31 192
85[.]114[.]134[.]88 192
239[.]255[.]255[.]250 175
46[.]4[.]52[.]109 175
46[.]28[.]66[.]2 175
78[.]31[.]67[.]23 175
188[.]165[.]238[.]150 175
93[.]179[.]69[.]109 175
176[.]9[.]114[.]177 175
192[.]0[.]47[.]59 174
172[.]217[.]12[.]164 159
74[.]125[.]192[.]26/31 140
67[.]195[.]204[.]72/30 135
168[.]95[.]5[.]116/31 134
172[.]217[.]197[.]26/31 122
172[.]217[.]10[.]67 116
216[.]146[.]35[.]35 110
212[.]227[.]15[.]40/31 104
104[.]47[.]54[.]36 102
208[.]76[.]51[.]51 101
168[.]95[.]6[.]60/30 97
98[.]136[.]96[.]92/31 95
31[.]13[.]66[.]174 93
98[.]136[.]96[.]74/31 91

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
250[.]5[.]55[.]69[.]in-addr[.]arpa 192
microsoft-com[.]mail[.]protection[.]outlook[.]com 192
schema[.]org 175
250[.]5[.]55[.]69[.]zen[.]spamhaus[.]org 175
250[.]5[.]55[.]69[.]cbl[.]abuseat[.]org 175
mta5[.]am0[.]yahoodns[.]net 175
250[.]5[.]55[.]69[.]dnsbl[.]sorbs[.]net 175
250[.]5[.]55[.]69[.]bl[.]spamcop[.]net 175
250[.]5[.]55[.]69[.]sbl-xbl[.]spamhaus[.]org 175
whois[.]iana[.]org 174
whois[.]arin[.]net 173
coolsex-finders6[.]com 173
bestladies[.]cn 173
bestdates[.]cn 173
bestgirlsdates[.]cn 173
hotmail-com[.]olc[.]protection[.]outlook[.]com 171
eur[.]olc[.]protection[.]outlook[.]com 127
mx-eu[.]mail[.]am0[.]yahoodns[.]net 125
ipinfo[.]io 118
nam[.]olc[.]protection[.]outlook[.]com -93
mx6[.]earthlink[.]net -91
pkvw-mx[.]msg[.]pkvw[.]co[.]charter[.]net 88
charter[.]net 87
mx0[.]charter[.]net 87
msn-com[.]olc[.]protection[.]outlook[.]com 72

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%SystemRoot%\SysWOW64\config\systemprofile 192
%SystemRoot%\SysWOW64\config\systemprofile:.repos 192
%TEMP%\<random, matching ‘[a-z]{8}’>.exe 188
%SystemRoot%\SysWOW64\<random, matching ‘[a-z]{8}’> 158
%HOMEPATH% 59
%System32%\<random, matching ‘[a-z]{8}\[a-z]{6,8}’>.exe (copy) 59
%SystemRoot%\SysWOW64\wpdjiqwl 11
%SystemRoot%\SysWOW64\lesyxfla 11
%SystemRoot%\SysWOW64\mftzygmb 10
%SystemRoot%\SysWOW64\piwcbjpe 10
%SystemRoot%\SysWOW64\zsgmltzo 10
%SystemRoot%\SysWOW64\yrflksyn 10
%TEMP%\<random, matching ‘[a-z]{4,9}’>.exe 9

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

UMBRELLA

Win.Packed.Ursnif-7489213-0

侵害の兆候

レジストリキー 発生回数
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\
DAC9024F54D8F6DF94935FB1732638CA6AD77C13
値の名前:Blob
18
<HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\
75E0ABB6138512271C04F85FDDDE38E4B7242EFE
値の名前:Blob
18

 

ミューテックス 発生回数
Local\https://vars.hotjar.com/ 18
Local\https://www.avast.com/ 18

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
23[.]221[.]50[.]122 18
152[.]199[.]4[.]33 18
23[.]221[.]49[.]75 18
23[.]221[.]50[.]102 18
104[.]107[.]26[.]214 18
13[.]109[.]156[.]118 18
65[.]55[.]44[.]109 17
157[.]240[.]18[.]35 15
104[.]107[.]18[.]91 15
38[.]126[.]130[.]202 15
192[.]42[.]119[.]41 14
13[.]107[.]21[.]200 13
172[.]217[.]164[.]136 13
23[.]196[.]81[.]176 13
204[.]79[.]197[.]200 12
204[.]2[.]197[.]202 12
72[.]22[.]185[.]200/31 12
172[.]217[.]197[.]156/31 12
172[.]217[.]6[.]206 11
172[.]217[.]12[.]136 11
172[.]217[.]11[.]36 11
172[.]217[.]10[.]14 11
169[.]54[.]251[.]164 11
23[.]201[.]42[.]247 11
23[.]201[.]42[.]161 11

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
googleads[.]g[.]doubleclick[.]net 18
www[.]googletagmanager[.]com 18
www[.]google-analytics[.]com 18
stats[.]g[.]doubleclick[.]net 18
connect[.]facebook[.]net 18
www[.]googleadservices[.]com 18
ib[.]adnxs[.]com 18
avast[.]com 18
static[.]avast[.]com 18
secure[.]adnxs[.]com 18
mc[.]yandex[.]ru 18
dev[.]visualwebsiteoptimizer[.]com 18
amplifypixel[.]outbrain[.]com 18
pixel[.]mathtag[.]com 18
tr[.]outbrain[.]com 18
amplify[.]outbrain[.]com 18
ajax[.]aspnetcdn[.]com 18
img-prod-cms-rt-microsoft-com[.]akamaized[.]net 18
az725175[.]vo[.]msecnd[.]net 18
script[.]hotjar[.]com 18
static[.]hotjar[.]com 18
c[.]s-microsoft[.]com 18
assets[.]onestore[.]ms 18
a[.]tribalfusion[.]com 18
www[.]avast[.]com 18

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%TEMP%\www2.tmp 13
%TEMP%\www3.tmp 13
%TEMP%\www4.tmp 13
%HOMEPATH%\Favorites\Links\Suggested Sites.url 13
%HOMEPATH%\Local Settings\Application Data\Microsoft\Feeds\FeedsStore.feedsdb-ms 13
%HOMEPATH%\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Suggested Sites~.feed-ms 13
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{A4A1A128-768F-41E0-BF75-E4FDDD701CBA} 2
\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{B40C43F1-F039-44D2-AEB7-87F5AF8ABC3D}\ProxyStubClsid32 2
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{06EEE834-461C-42c2-8DCF-1502B527B1F9}\Instance\PropertySetStorage 2
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{D1FE6762-FC48-11D0-883A-3C8B00C10000} 2
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750} 1
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{00020420-0000-0000-C000-000000000046} 1
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{A7EE7F34-3BD1-427f-9231-F941E9B7E1FE} 1
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{06EEE834-461C-42c2-8DCF-1502B527B1F9}\Instance\PropertySetStorage\{000214A0-0000-0000-C000-000000000046}\14 1
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{06EEE834-461C-42c2-8DCF-1502B527B1F9}\Instance\PropertySetStorage\{000214A0-0000-0000-C000-000000000046}\2 1
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{6f237df9-9ddb-47ad-b218-400d54c286ad} 1
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{A4A1A128-768F-41E0-BF75-E4FDDD701CBA}\InProcServer32 1
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{81397204-F51A-4571-8D7B-DC030521AABD}\InprocServer32 1

ファイルのハッシュ値

0ad051eb62410a3fe8d776a69f29a46fe609ea59c2adfe061811dc9ace3e40e9
17cfe796a3b8017bf83d2c302ec9507317abac0191cdf835d2d0d1a75d33b991
18b5f4e21612aadfed4e72cdef1356009fb1614535b62a4e39463f8cea9ace03
2013ff55ccdd16e36eccebe50b0587b6f2f37e333442be1552b50c41cbfe48d4
241ab82dccad5b9670c445509841c6aebf69de45815c3d9951f15be158b8ece5
270f970f0cfda8e8c61a73b2aab71fd51755ad911b8173f5aac4cdb5961ba8a5
3016c699d4c8c7affedc18f5cb4aadb30676a9c3081dee913b43b84737949708
31a02187883766f2eec0edc6479b8cd793c8e8eec658fe56b33581a76d9953f8
365acef54f3733520717314466c86aa978cbf08c37d1f9f0a90bbbea42b3f8f3
5ba3ea5868ddef74a57fff2c5ded68f17b08458876881161a7af9eb32438779d
5c486b96a5f273819baa9a010700f088ce3f707c87088a50e699ee6dedd0b117
611e95e1a1a352d6cb1a6106b0e69565b065de6d68dbe5c41d49c2ebfa637dd6
7a8b53746144a903954535791ef7c5038834af3cd1eec8c0dae8b28f609859bf
7fd6f59c5c23ea12adf5975e56730a52558799ae7a330ef40e552a4353a8d6e3
8220634b1969f5a06e3b5adff2dbae0356608a91e5162fccdd247f1571a2a4b2
9a20d2755608e7cf98a090f30b166779318f0a08747631fccc9393de15ed33cc
9b6503731468ce3922f5aec73e22a81489ddcf6124d86eeb2fc05cb7c2f4527f
b062f5f376af3972c8386343b27fb1e5947afb66c5c0741cced2d317f5261158
b2c7bc0dece9bed221c3fe88b9dce2313b036b9a3f5982b5bfa91961efb7bdaf
bb8d733fa6ca4ef01d8b44d098902e781359cdd36a4418538a504082b3b95fe6
cecc5dd05c51a6740730b775dc4af3d579b498880de7899b272d6225fb96cb44
e6bd801ae1e976ff76409d2b28d00d15f50e5819c3c5bbc54eb4ac9752f87435

カバレッジ

検出時のスクリーンショット

AMP

Win.Packed.ZeroAccess-7489468-1

侵害の兆候

レジストリキー 発生回数
<HKLM>\SOFTWARE\MICROSOFT\TRACING\KMDDSP
値の名前:FileTracingMask
55
<HKLM>\SOFTWARE\MICROSOFT\TRACING\KMDDSP
値の名前:ConsoleTracingMask
55
<HKLM>\SOFTWARE\MICROSOFT\TRACING\KMDDSP
値の名前:MaxFileSize
55
<HKLM>\SOFTWARE\MICROSOFT\TRACING\KMDDSP
値の名前:FileDirectory
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC
値の名前:Start
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC
値の名前:Start
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC
値の名前:DeleteFlag
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC
値の名前:DeleteFlag
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\BROWSER
値の名前:Start
55
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Windows Defender
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND
値の名前:Type
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND
値の名前:ErrorControl
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC
値の名前:Type
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC
値の名前:ErrorControl
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC
値の名前:DeleteFlag
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC
値の名前:Type
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC
値の名前:ErrorControl
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC
値の名前:Type
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC
値の名前:ErrorControl
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\
PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000010
値の名前:PackedCatalogItem
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\
PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000009
値の名前:PackedCatalogItem
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\
PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000008
値の名前:PackedCatalogItem
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\
PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000007
値の名前:PackedCatalogItem
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\
PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000006
値の名前:PackedCatalogItem
55
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\
PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000005
値の名前:PackedCatalogItem
55

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
94[.]242[.]250[.]64 116
64[.]210[.]151[.]32 55
178[.]32[.]190[.]142 55
91[.]207[.]60[.]22 15
71[.]229[.]165[.]75 15
201[.]231[.]100[.]117 15
71[.]239[.]117[.]142 9
66[.]41[.]70[.]14 8
71[.]63[.]0[.]235 7
98[.]224[.]77[.]3 7
83[.]15[.]111[.]38 7
76[.]180[.]80[.]134 7
24[.]73[.]24[.]191 7
46[.]45[.]5[.]240 7
67[.]185[.]179[.]4 6
98[.]230[.]137[.]123 6
69[.]80[.]173[.]91 6
75[.]66[.]129[.]205 6
69[.]117[.]29[.]163 6
190[.]36[.]183[.]136 6
77[.]126[.]70[.]166 6
98[.]203[.]164[.]253 6
67[.]240[.]46[.]208 5
72[.]200[.]101[.]79 5
68[.]97[.]172[.]87 5

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
promos[.]fling[.]com 55

 

作成されたファイルやディレクトリ 発生回数
\@ 116
\L\eexoxfxs 116
\cfg.ini 116
\systemroot\assembly\GAC_32\Desktop.ini 55
\systemroot\assembly\GAC_64\Desktop.ini 55
%System32%\LogFiles\Scm\e22a8667-f75b-4ba9-ba46-067ed4429de8 55
%SystemRoot%\assembly\GAC_32\Desktop.ini 55
%SystemRoot%\assembly\GAC_64\Desktop.ini 55
\systemroot\assembly\temp\@ 55
\systemroot\assembly\temp\U 55
\systemroot\assembly\temp\cfg.ini 55
\systemroot\system32\consrv.dll 55
%System32%\consrv.dll 55
%SystemRoot%\assembly\temp\@ 55
%SystemRoot%\assembly\temp\cfg.ini 55
\systemroot\system64 55

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

AMP

Win.Ransomware.TeslaCrypt-7501245-1

侵害の兆候

レジストリキー 発生回数
<HKCU>\SOFTWARE\XXXSYS 15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:addon_v57
15
<HKCU>\SOFTWARE\XXXSYS
値の名前:ID
15
<HKCU>\Software\<random, matching ‘[A-Z0-9]{14,16}’> 15
<HKCU>\Software\<random, matching ‘[A-Z0-9]{14,16}’>
値の名前:data
15

 

ミューテックス 発生回数
z_a_skh495ldfsgjl2935345 15

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
23[.]20[.]239[.]12 15
64[.]140[.]157[.]157 15
157[.]119[.]94[.]202 15
104[.]27[.]31[.]89 9
104[.]27[.]30[.]89 6
3[.]225[.]189[.]10 5
3[.]229[.]167[.]115 4
54[.]83[.]91[.]42 3
34[.]195[.]145[.]145 2
3[.]93[.]124[.]54 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
en[.]wikipedia[.]org 15
www[.]torproject[.]org 15
www[.]hugedomains[.]com 15
vostorgspa[.]kz 15
p4fhmjnsdfbm4w4fdsc[.]avowvoice[.]com 15
bledisloeenergy[.]com[.]au 15
polyhedrusgroup[.]com 15
todayinbermuda[.]co 15
nn54djhfnrnm4dnjnerfsd[.]replylaten[.]at 15
www[.]buildenergyefficienthomes[.]com 15
mosaudit[.]com 15
buildenergyefficienthomes[.]com 15
akdfrefdkm45tf33fsdfsdf[.]yamenswash[.]com 15

 

作成されたファイルやディレクトリ 発生回数
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I0ZU5JT.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I478AKJ.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I4FI238.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I4FKVBH.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I4QK3KJ.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I5QX7W9.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I77RW1L.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I7J37KF.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$I9NSD58.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IANXEE8.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IC5NB1M.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$ID60W3E.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IIUTK07.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IJE160U.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IKAVPAE.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IL2NS3P.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$INKC8CM.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IP8M1EE.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IPDP9E0.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$ISIYA4I.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IV54ALI.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IWK2JPN.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IWYYKMD.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IXC3P46.txt 15
\$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$IZ7KADN.txt 15

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

UMBRELLA

Win.Dropper.Upatre-7491797-0

侵害の兆候

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
93[.]185[.]4[.]90 25
104[.]20[.]17[.]242 10
98[.]214[.]11[.]253 6
66[.]196[.]61[.]218 6
98[.]246[.]210[.]27 6
81[.]90[.]175[.]7 5
216[.]16[.]93[.]250 5
76[.]84[.]81[.]120 4
217[.]168[.]210[.]122 4
84[.]246[.]161[.]47 4
85[.]135[.]104[.]170 3
24[.]148[.]217[.]188 3
81[.]93[.]205[.]251 3
81[.]93[.]205[.]218 3
62[.]204[.]250[.]26 3
173[.]248[.]31[.]1 3
87[.]249[.]142[.]189 2
98[.]209[.]75[.]164 2
194[.]228[.]203[.]19 2
24[.]220[.]92[.]193 2
176[.]36[.]251[.]208 2
109[.]86[.]226[.]85 2
95[.]143[.]141[.]50 2
68[.]55[.]59[.]145 2
188[.]255[.]239[.]34 2

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
icanhazip[.]com 25

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\tywy22.txt 24
%TEMP%\tywyaven.exe 24
%TEMP%\t4930.tmp 1
%TEMP%\vimazet.exe 1

ファイルのハッシュ値

01152de6c7c348fa9716c3d760744689eb85386303593e6100f6532bd3fc2cb3
01cb3cbad05c3b0b186b604f32cb00a3ceced74ead26affe5b4fb1867d48be01
02f4933753d850d1774b56cbd35c994b6b7dd9b971fd45c34f5677f90b281b6a
062720c82d1bef7558b0a4675b9539a23afddf252ede24b5d54edfba2a758ca5
06f92e4b684161224f68388d8d4ca35d113682fadeb2e100072dfa8d43413101
09589d82d2f9460fe3d33b726794d41a93b672dbaed8e5f397350b7714649cd7
09f38837949bbee74dd5da5fce7a92d7f21168f7e43345bbd19f5cbfde8f6f69
0c45c58eab16df4d5bff14dad957f91d5785a09836560bc3bd681c27e012b1b8
0d774c5ac17521abec32a11e81317fed5f7c163d82ec7f9e1065c86834458cfe
0d90667089d17e2924b00e5207a357156e9076dfa3dab3f2e7dc5737135053a9
0e36b813e84b27ff1c1b770fffbf4175c7c39bbe499804c9c27565ed4a9518fa
0fa25c7c007f337ab5ba699a2611c47ff41a8ba74cb83fa1ffde097e7408f8ed
10c863059e4910501e1deea44279a5402e93796098230511c65be09f8f47eb82
1356d0345699b8766d5c8de5d61cb47fd63dc3f42fe2280a2c413a8d7f97c1c8
13f7895a32eb09a5016a408819dce9c95a4149888ad708c0232e0659e2ca06e3
14178c54d283e6579242e90df7c4dae8af71ff4594c834e3cc7a275588f561b7
14e727de9a56e79b9dcaf48cc9751d4cb447f16d839d705c628640857d0e6e13
1535d470effa0af601719b9ef64e615f321e4db52ee4b7bb05def6d501884fbc
16b232d226ca18447e1f1671538607fe5be412e935b930bcde73ff46e0b2890f
186a59f2954d3d213a26308386be80f2b503e08882324ab559490330700fc24a
1d2374db5ee92385e49fbaef9ef694361877cdffa4b51d8fd8d37e6272dfad57
1e1bdd6ddb3c256c79024eccdb2de6b0861a2a86e13f3f03cf1f378e2cdc9d36
1fcbef293371203729eca2c9491641a03b2330c9be11b438f84db0e996e5b78c
2119922518bc437c7d5fd7d7205929089a9ed9333cdff97bb214808f37e86dd7
211bdc6613fc3e691ac70d215a8a9edd5f0ebb85bb4f24d6e293fb21894a0b1b

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Win.Dropper.TrickBot-7490964-0

侵害の兆候

レジストリキー 発生回数
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PROFILELIST\S-1-5-21-2580483871-590521980-3826313501-500
値の名前:RefCount
1

 

ミューテックス 発生回数
Global\316D1C7871E10 22

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
181[.]113[.]28[.]146 5
188[.]120[.]254[.]68 5
195[.]123[.]220[.]178 5
198[.]23[.]209[.]201 4
104[.]20[.]17[.]242 3
119[.]252[.]165[.]75 3
78[.]24[.]223[.]88 3
188[.]165[.]62[.]34 3
164[.]68[.]120[.]60 3
69[.]195[.]159[.]158 2
190[.]214[.]13[.]2 2
5[.]2[.]70[.]145 2
185[.]213[.]20[.]246 2
185[.]141[.]27[.]190 2
185[.]177[.]59[.]163 2
216[.]239[.]38[.]21 1
200[.]21[.]51[.]38 1
200[.]127[.]121[.]99 1
181[.]129[.]104[.]139 1
18[.]213[.]79[.]189 1
45[.]125[.]1[.]34 1
23[.]20[.]220[.]174 1
45[.]137[.]151[.]198 1
5[.]182[.]210[.]109 1
51[.]89[.]115[.]124 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
icanhazip[.]com 3
250[.]5[.]55[.]69[.]zen[.]spamhaus[.]org 2
checkip[.]amazonaws[.]com 2
wtfismyip[.]com 2
api[.]ip[.]sb 1
ipinfo[.]io 1

 

作成されたファイルやディレクトリ 発生回数
%System32%\Tasks\System Network Extensions 22
%APPDATA%\adirecttools 22
%APPDATA%\adirecttools\data 22
%APPDATA%\adirecttools\settings.ini 22
%APPDATA%\ADIRECTTOOLS\<original file name>.exe 22
%TEMP%\<random, matching ‘[a-f0-9]{3,5}’>_appcompat.txt 21
%TEMP%\<random, matching ‘[A-F0-9]{4,5}’>.dmp 21
%APPDATA%\adirecttools\Data\pwgrab64 1
%APPDATA%\adirecttools\data\pwgrab64_configs\dpost 1
%APPDATA%\adirecttools\69ab1bb7084669cf84cc43537b700264.exe 1
%SystemRoot%\TEMP\~DF8EC46E2629511EB8.TMP 1
%APPDATA%\adirecttools\runme.exe 1
%SystemRoot%\TEMP\~DF5EC233074AA93A3C.TMP 1
%SystemRoot%\TEMP\~DF4BEDA5BB57A455AF.TMP 1
%SystemRoot%\TEMP\~DFCE2B4CA7595FDB1F.TMP 1
%SystemRoot%\TEMP\~DF771B5AE6CE965D7A.TMP 1
%SystemRoot%\TEMP\~DF21C4C13A90F8FECB.TMP 1
%SystemRoot%\TEMP\~DF2EDE8F31D379304B.TMP 1
%SystemRoot%\TEMP\~DF887620F0BF482816.TMP 1
%SystemRoot%\TEMP\~DF6B5F6A59497674CC.TMP 1
%SystemRoot%\TEMP\~DFA8D4CB1355CC2A5F.TMP 1
%SystemRoot%\TEMP\~DF326643DA3623EF2B.TMP 1
%SystemRoot%\TEMP\~DF2334856A166D2B71.TMP 1
%SystemRoot%\TEMP\~DF862A67F04082D9B3.TMP 1
%SystemRoot%\TEMP\~DFC53480C7F7651844.TMP 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Win.Packed.Formbook-7491272-1

侵害の兆候

レジストリキー 発生回数
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\INTELLIFORMS\STORAGE2 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\9375CFF0413111D3B88A00104B2A6676 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\9375CFF0413111D3B88A00104B2A6676\00000001 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\9375CFF0413111D3B88A00104B2A6676\00000002 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\9375CFF0413111D3B88A00104B2A6676\00000003 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\0A0D020000000000C000000000000046 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\13DBB0C8AA05101A9BB000AA002FC45A 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\33FD244257221B4AA4A1D9E6CACF8474 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\3517490D76624C419A828607E2A54604 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\4C8F4917D8AB2943A2B2D4227B0585BF 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\5309EDC19DC6C14CBAD5BA06BDBDABD9 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\82FA2A40D311B5469A626349C16CE09B 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\8503020000000000C000000000000046 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\9207F3E0A3B11019908B08002B2A56C2 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\9E71065376EE7F459F30EA2534981B83 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\A88F7DCF2E30234E8288283D75A65EFB 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\C02EBC5353D9CD11975200AA004AE40E 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\D33FC3B19A738142B2FC0C56BD56AD8C 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\DDB0922FC50B8D42BE5A821EDE840761 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\DF18513432D1694F96E6423201804111 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\ECD15244C3E90A4FBD0588A41AB27C55 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\F86ED2903A4A11CFB57E524153480001 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\{D9734F19-8CFB-411D-BC59-833E334FCB5E} 27
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS MESSAGING SUBSYSTEM\PROFILES\OUTLOOK\{D9734F19-8CFB-411D-BC59-833E334FCB5E}\CALENDAR SUMMARY 27

 

ミューテックス 発生回数
8-3503835SZBFHHZ 29
Startup_shellcode_006 29
KN7MSAA2BUECxyHz 29
S-1-5-21-2580483-10603632762720 21
S-1-5-21-2580483-2008626601611 2
S-1-5-21-2580483-1148626601611 1
S-1-5-21-2580483-1464626601611 1
S-1-5-21-2580483-2116626601611 1
S-1-5-21-2580483-1392626601611 1
S-1-5-21-2580483-1992626601611 1
S-1-5-21-2580483-1380626601611 1
S-1-5-21-2580483-584626601611 1
S-1-5-21-2580483-1120626601611 1
S-1-5-21-2580483-2100626601611 1
S-1-5-21-2580483-1616626601611 1
S-1-5-21-2580483-1012626601611 1
S-1-5-21-2580483-972626601611 1
S-1-5-21-2580483-1440626601611 1
S-1-5-21-2580483-1460626601611 1
S-1-5-21-2580483-956626601611 1
S-1-5-21-2580483-1808626601611 1
S-1-5-21-2580483-888626601611 1
S-1-5-21-2580483-10203632762720 1
S-1-5-21-2580483-2036626601611 1
S-1-5-21-2580483-10843632762720 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
162[.]213[.]250[.]169 10
173[.]0[.]50[.]210 6
217[.]160[.]0[.]55 4
192[.]155[.]190[.]84 3
172[.]247[.]92[.]19 3
199[.]59[.]136[.]230 3
184[.]168[.]221[.]32 2
198[.]54[.]117[.]216 2
198[.]54[.]117[.]211 2
23[.]20[.]239[.]12 2
184[.]168[.]131[.]241 2
217[.]160[.]0[.]154 2
74[.]208[.]236[.]114 2
199[.]59[.]138[.]230 2
74[.]117[.]219[.]198 2
198[.]54[.]117[.]218 1
198[.]54[.]117[.]212 1
198[.]54[.]117[.]215 1
184[.]168[.]221[.]36 1
185[.]230[.]60[.]195 1
85[.]159[.]66[.]62 1
97[.]74[.]42[.]79 1
172[.]217[.]5[.]243 1
208[.]100[.]26[.]245 1
3[.]234[.]181[.]234 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
www[.]allixanes[.]com 10
www[.]travelcards[.]site 6
www[.]orlandohouston[.]com 5
www[.]xn--4qw729d[.]com 5
www[.]davekachman[.]com 5
www[.]iqama[.]info 5
www[.]reserveforcespolicy[.]com 5
www[.]enjoquotes[.]com 4
www[.]online-rfs-billing[.]info 4
www[.]imtrainee[.]net 4
www[.]ildolce[.]store 4
www[.]elgranretodeseve[.]com 4
www[.]arnaud4k[.]com 4
www[.]digital-spot[.]net 4
www[.]casalukre-co[.]com 3
www[.]jingrunxuan[.]com 3
www[.]hzwhedu[.]com 3
www[.]zxhckj[.]com 3
www[.]thehouseofthedrone[.]com 3
www[.]24hourautolocksmith[.]company 3
www[.]kingofthenorth[.]tech 3
www[.]aurora-health-ua[.]com 3
www[.]prokat[.]site 3
www[.]riicko[.]com 3
www[.]hugedomains[.]com 2

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\HJdyTuap.exe 29
%APPDATA%\KN7MSAA2 27
%APPDATA%\KN7MSAA2\KN7log.ini 27
%APPDATA%\KN7MSAA2\KN7logrc.ini 27
%APPDATA%\KN7MSAA2\KN7logri.ini 27
%APPDATA%\KN7MSAA2\KN7logim.jpeg 26
%APPDATA%\KN7MSAA2\KN7logrv.ini 26
%ProgramFiles(x86)%\Ygl8drb 1
%ProgramFiles(x86)%\Ygl8drb\config9rs4ano.exe 1
%TEMP%\Ygl8drb 1
%TEMP%\Ygl8drb\config9rs4ano.exe 1
%ProgramFiles(x86)%\Ymnlhitch 1
%ProgramFiles(x86)%\Ymnlhitch\helpcfsd4ho.exe 1
%TEMP%\Ymnlhitch 1
%TEMP%\Ymnlhitch\helpcfsd4ho.exe 1
%ProgramFiles(x86)%\Kpfyl 1
%ProgramFiles(x86)%\Kpfyl\helpex9l_rep.exe 1
%TEMP%\Kpfyl 1
%TEMP%\Kpfyl\helpex9l_rep.exe 1
%ProgramFiles(x86)%\Gbbcdufw 1
%ProgramFiles(x86)%\Gbbcdufw\vgaxjwtjt.exe 1
%TEMP%\Gbbcdufw 1
%TEMP%\Gbbcdufw\vgaxjwtjt.exe 1
%ProgramFiles(x86)%\L1b6h 1
%ProgramFiles(x86)%\L1b6h\systrayybihc.exe 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値
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* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

UMBRELLA

 

エクスプロイトの防止

Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。

CVE-2019-0708 を検出 -(17518)
CVE-2019-0708 のエクスプロイト試行が検出されました。「BlueKeep」と呼ばれる脆弱性はヒープメモリの破損に起因しています。細工されたリモート デスクトップ プロトコル(RDP)要求の送信によりエクスプロイトされる可能性があります。エクスプロイトには認証が不要であり、かつ任意コードのリモート実行を許すことを踏まえると、自動拡散するワームとして使用されることも考えられます。
プロセスの空洞化を検出 -(353)
プロセスハロウイング(Process Hollowing)は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。
Kovter インジェクションを検出 -(269)
プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter には「ファイルレス」マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパムキャンペーンを通じて拡散しています。
Gamarue マルウェアを検出 -(151)
Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。ワームファミリ「Gamarue」の亜種は、感染したシステムに接続されている USB ドライブやポータブルハードディスクを介してさらに拡散する可能性があります。
Installcore アドウェアを検出 -(90)
Installcore は正規のアプリケーションにバンドルされるインストーラで、インストール時に望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。
Dealply アドウェアを検出 -(88)
DealPly は、オンライン ショッピングの利用体験を向上させると主張するアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。
過度に長い PowerShell コマンドを検出 -(87)
非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティソフトウェアなどからの検出を回避できることにあります。
Corebot マルウェアを検出 -(23)
Corebot は、他の有名なマルウエアファミリで発見された機能を多く備えたトロイの木馬です。プラグインシステムを備え、C&C サーバからいつでも多様な機能を追加できます。これまでに、デスクトップのスクリーンショットを取得するなどのリモートアクセス機能が確認されています。ブラウザの通信を傍受して変更したり、データ(特に銀行関連のデータ)を盗み取ったりする機能も確認されています。
リバース HTTP ペイロードを検出 -(19)
攻撃者が制御するホストに HTTP 経由で接続するためのエクスプロイトペイロードが検出されました。
Fusion アドウェアを検出 -(11)
Fusion(または FusionPlayer)はアドウェアファミリです。ポップアップ形式で、あるいはブラウザ上で Web ページの広告を変更する方法で、望ましくない広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。

 

 

本稿は 2020年1月10日に Talos Grouppopup_icon のブログに投稿された「Treat Roundup for January 3 to January 10popup_icon」の抄訳です。

コメントを書く