本日の投稿では、12 月 13 日 ~ 12 月 20 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちら
の JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
| 脅威名 | タイプ | 説明 |
| Doc.Downloader.Emotet-7451163-0 | ダウンローダ | Emotet は、最近で最も活発なマルウェアファミリのひとつです。さまざまなペイロードを配布する非常に高度なモジュール型の脅威です。Emotet はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 |
| Win.Dropper.TrickBot-7455405-0 | ドロッパー | Trickbot は、特定の金融機関の利用者を狙ったバンキング型トロイの木馬です。複数のスパムキャンペーンを通じて頻繁に配布されています。これらのスパムキャンペーンの多くは、VB スクリプトといった配布型ダウンローダに依存しています。 |
| Win.Packed.Dridex-7447905-1 | パック処理済みマルウェア | Dridex は、感染したマシンからログイン情報などの機密情報を窃取する、既知のバンキング型トロイの木馬です。 |
| Win.Packed.Razy-7450491-0 | パック処理済みマルウェア | 「Razy」は多くの場合、Windows を標的としたトロイの木馬の一般的な検出名です。感染したホストから機密情報を収集し、データを暗号化してコマンド アンド コントロール(C2)サーバに送信します。収集される情報にはスクリーンショットが含まれる場合もあります。Talos が確認したサンプルでは、レジストリに自動起動の値を追加することで永続性を確立します。 |
| Win.Dropper.NetWire-7454096-1 | ドロッパー | NetWire はリモートアクセス型トロイの木馬(RAT)です。感染したシステムでは、攻撃者によるコマンドの実行、キーストロークの記録、Web カメラやリモートデスクトップ機能の操作、接続されている USB デバイスのデータの読み取りが可能になります。NetWire は、マクロを含む Microsoft Office ドキュメントに仕込まれていますが、それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 |
| Win.Trojan.Tofsee-7450732-0 | トロイの木馬 | Tofsee は、多数のモジュールにより多様なアクティビティを実行する多目的マルウェアです。それらのアクティビティには、スパムメッセージの送信、クリック詐欺の実行、暗号通貨の不正マイニングなどが含まれます。いったん感染すると、システムが Tofsee スパムボットネットの一部と化し、大量のスパムメールを送信するために悪用されます。これにより他のシステムにも感染を広げ、攻撃者の支配下にあるボットネットの全体数を増やします。 |
| Doc.Downloader.Sagent-7454309-0 | ダウンローダ | Sagent は、Microsoft Word ドキュメントから PowerShell を実行してバイナリをダウンロード、実行します。 |
| Win.Malware.Gandcrab-7454521-1 | マルウェア | Gandcrab は、ドキュメント、写真、データベースなどの重要ファイルを、「GDCB」、「CRAB」、「KRAB」の拡張子で暗号化するランサムウェアです。複数のエクスプロイトキット(Rig や Grandsoft など)に加えて、従来のスパムキャンペーンを介しても拡散しています。 |
| Win.Trojan.HawkEye-7455512-1 | トロイの木馬 | Hawkeye は情報窃取型のマルウェアです。感染したマシン上の Web ブラウザやメールクライアントに保存されたユーザ名とパスワードを標的にしています。多くは電子メールで拡散していますが、リムーバブルメディアを介して伝播するケースもあります。 |
脅威の内訳
Doc.Downloader.Emotet-7451163-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{BEF6E003-A874-101A-8BBA-00AA00300CAB} | 10 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} | 2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS Value Name: ProxyEnable |
2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS Value Name: ProxyServer |
2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS Value Name: ProxyOverride |
2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS Value Name: AutoConfigURL |
2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS Value Name: AutoDetect |
2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} Value Name: WpadDecisionReason |
2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} Value Name: WpadDecision |
2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} Value Name: WpadNetworkName |
2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} Value Name: WpadDetectedUrl |
2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD | 2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA | 2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: Type |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: Start |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: ErrorControl |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: ImagePath |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: DisplayName |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: WOW64 |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: ObjectName |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: Description |
2 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} Value Name: WpadDecisionTime |
2 |
| <HKCR>\TYPELIB\{C4EDCADC-BC75-481F-8A40-032075206B43}\2.0\FLAGS | 1 |
| <HKCR>\TYPELIB\{C4EDCADC-BC75-481F-8A40-032075206B43}\2.0\0 | 1 |
| <HKCR>\TYPELIB\{C4EDCADC-BC75-481F-8A40-032075206B43}\2.0\0\WIN32 | 1 |
| ミューテックス | 発生回数 |
| Global\I98B68E3C | 2 |
| Global\M98B68E3C | 2 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 100[.]108[.]65[.]228 | 8 |
| 100[.]116[.]148[.]111 | 8 |
| 100[.]112[.]136[.]191 | 8 |
| 100[.]89[.]177[.]62 | 8 |
| 100[.]93[.]135[.]190 | 8 |
| 168[.]235[.]82[.]183 | 2 |
| 96[.]234[.]38[.]186 | 2 |
| 120[.]51[.]83[.]89 | 2 |
| 204[.]197[.]244[.]176 | 2 |
| 149[.]202[.]153[.]251 | 1 |
| 103[.]47[.]185[.]215 | 1 |
| 107[.]180[.]41[.]254 | 1 |
| 69[.]16[.]254[.]127 | 1 |
| 82[.]145[.]43[.]153 | 1 |
| 139[.]255[.]47[.]211 | 1 |
| 37[.]228[.]137[.]204 | 1 |
| 157[.]7[.]231[.]227 | 1 |
| 202[.]238[.]198[.]32 | 1 |
| 202[.]238[.]198[.]30 | 1 |
| 60[.]36[.]166[.]212 | 1 |
| 192[.]1[.]4[.]230 | 1 |
| 50[.]31[.]174[.]165 | 1 |
| 113[.]43[.]208[.]199 | 1 |
| 202[.]130[.]62[.]24 | 1 |
| 103[.]253[.]113[.]131 | 1 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| adichip[.]com | 10 |
| grafdesign[.]pl | 8 |
| dcjohnsonassociates[.]com | 8 |
| global-ark[.]co[.]jp | 8 |
| acadmi[.]co[.]uk | 8 |
| mail[.]1and1[.]com | 1 |
| 587[.]hexabyte[.]tn | 1 |
| child-pro[.]com | 1 |
| imap[.]e-apamanshop[.]com | 1 |
| sg2plcpnl0259[.]prod[.]sin2[.]secureserver[.]net | 1 |
| mx1[.]retailconnection[.]co[.]za | 1 |
| smtp[.]consulmexrio[.]com[.]br | 1 |
| mail[.]ahg[.]com[.]mx | 1 |
| mail[.]cassado[.]com[.]pe | 1 |
| pop[.]aoishokai[.]co[.]jp | 1 |
| mail[.]thebasechurch[.]org | 1 |
| miyataseika[.]sakura[.]ne[.]jp | 1 |
| mail[.]uberved[.]com | 1 |
| mail[.]victoriasuitehotel[.]com[.]pe | 1 |
| pop3[.]jinrikiudon[.]co[.]jp | 1 |
| pop[.]e-apamanshop[.]com | 1 |
| bh-35[.]webhostbox[.]net | 1 |
| pop[.]orange[.]jo | 1 |
| mail[.]muzamilglass[.]com | 1 |
| mail[.]aceinterioruae[.]com | 1 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %HOMEPATH%\576.exe | 10 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat | 2 |
ファイルのハッシュ値
24547a6e7ab9766fc85644033e27414deb2409367fae21fdb722174a605a34ad 27e0a7b8c18893b22583e19ef7634fd79fc9cb5daed862f794960ddaa19b58dc 363ecad264cfe3cdef52119a1b78c495d362efa7df5d38d182ce76dbf31facfd 3f0e86777e4a9b3285a9203907f5a7e6f804e7cfda3300b857e8712ac2030e57 5e31045309ab5ecbef3701c9023fc5a4631bf653347447484b652e434b086966 67c3eabb23b74c1a6ee4d384fa6f248c4a2492d998e7aaf0a1ce3f878a8ff715 6ba2589b00a95ff4ce9f7eee550bdffa6ef57dbf0212384ce38696b0c13778bd 7b0c9b63d9e8c6399e13354176e41bde009c94053b0566ef4506b17c14b46ab7 9100a8c4f2f6dd2bde134162d6b70f0d9ac99db4ff1f4551407a8a078ce2c35c c0197a5e801dee8d80df024c32a616c04539a56108b2225b469c7eb5fede5447
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
マルウェア
Win.Dropper.TrickBot-7455405-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\ CERTIFICATES\DAC9024F54D8F6DF94935FB1732638CA6AD77C13 Value Name: Blob |
3 |
| ミューテックス | 発生回数 |
| Global\316D1C7871E10 | 20 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 167[.]86[.]123[.]83 | 4 |
| 5[.]34[.]177[.]50 | 4 |
| 193[.]37[.]213[.]110 | 4 |
| 170[.]84[.]78[.]224 | 3 |
| 216[.]239[.]36[.]21 | 2 |
| 216[.]239[.]38[.]21 | 2 |
| 117[.]196[.]233[.]79 | 2 |
| 85[.]143[.]220[.]41 | 2 |
| 5[.]2[.]72[.]84 | 2 |
| 146[.]185[.]219[.]94 | 2 |
| 185[.]62[.]189[.]132 | 2 |
| 107[.]172[.]29[.]108 | 2 |
| 3[.]224[.]145[.]145 | 1 |
| 200[.]21[.]51[.]38 | 1 |
| 31[.]214[.]138[.]207 | 1 |
| 181[.]129[.]104[.]139 | 1 |
| 190[.]142[.]200[.]108 | 1 |
| 181[.]113[.]28[.]146 | 1 |
| 177[.]105[.]242[.]229 | 1 |
| 185[.]66[.]13[.]65 | 1 |
| 212[.]124[.]117[.]25 | 1 |
| 64[.]44[.]133[.]151 | 1 |
| 107[.]172[.]208[.]51 | 1 |
| 146[.]185[.]253[.]132 | 1 |
| 172[.]82[.]152[.]130 | 1 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| 250[.]5[.]55[.]69[.]zen[.]spamhaus[.]org | 2 |
| myexternalip[.]com | 2 |
| ipecho[.]net | 1 |
| checkip[.]amazonaws[.]com | 1 |
| api[.]ipify[.]org | 1 |
| ipinfo[.]io | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %System32%\Tasks\System Network Extensions | 20 |
| %APPDATA%\speedlink | 20 |
| %APPDATA%\speedlink\data | 20 |
| %APPDATA%\speedlink\settings.ini | 20 |
| %TEMP%\<random, matching ‘[a-f0-9]{3,5}’>_appcompat.txt | 20 |
| %TEMP%\<random, matching ‘[A-F0-9]{4,5}’>.dmp | 20 |
| %APPDATA%\SPEEDLINK\<original file name>.exe | 20 |
ファイルのハッシュ値
14c4ecbdba8a97d3157dcbbe5be3ab9270ba9142e6ea6286634e8b9658db5f20 170f8b900b31d3bcdf5e97d870a4b791c7e28754b15b7c90c4e835c2f7d579b7 22c10541cffa8a6c504202fe909fdbaa87375427fb2918ac1ab78a0656a886f0 26c501cea49207f9482fa293ed361c2bb4c163ed6c0a8cf309aa21624570f0ba 2c5c0a1b1998c1686eb2cc6654681aa933eb123feb972110cb2ddd91ab188429 3247f44c8c5bd8707c2a78e71ae03cc4a98845e1af8f7e283ea0189bf2c578bf 7d97d4c51ba4ad8a562264a9a0f8a09165123eeab47b74370f116778e9507cdf 95ee0f3243a2202f706bd45aaa2d27614059773ecb978671324560dc87fa6c03 9b71918c0db320b9b7ae6501f7b898082678480825b24d6c863bc1c017291db5 9f8aeec6db5f0220c88f6b90777c17f52a0219a5581cd586931782a975d1e068 ae560bec5699185818aa31178b20782fdb5113c202ac29ac9e6e26a4a2ccc091 bbab2020a80bf96b5784d94a395f9239127389e114799d3de605e0a13f0a7f91 c93ab8787073bbbc9cd37a121fa63b1eb782f547ed3a2085c0b09ca3a7549dee d635e095a8694027c0523c7b0ec13409daa295afb99eb40395a3794a948479a5 d7e9dd938f44a2be9163002868973d34bb445ffd008bc007493ee271661fc691 de4ff1ec4bdd8662185ab8776e9ca1a898a402d7c794b8b6f7d4b481a56e3a2b e282e081f44f468e9f12421833b9db629f788b583cc050bf945cb3067be916ae eaab484d0f2cfa0ba4e2ffe301f08e5a2f515195131f023bd8d69b8acafd5bb4 f1265e6373975143d1b68cc5ddde073a615531133a43cc789b425e3d318bd159 f979b407999143cd0d22e46cca3405a14dd0ddb6d022c79aa0f399c7a0b1db9f
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Packed.Dridex-7447905-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE Value Name: trkcore |
16 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM Value Name: DisableTaskMgr |
16 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{C8E6F269-B90A-4053-A3BE-499AFCEC98C4}.CHECK.0 Value Name: CheckSetting |
16 |
| ミューテックス | 発生回数 |
| 2XzfQtwuWo | 2 |
| 6K6du14uPy | 2 |
| Pl97gmRo4e | 2 |
| Rn0BgZV5LS | 2 |
| VdM3QqPmEf | 2 |
| dfSE5V35Cq | 2 |
| h7l6vKPM9o | 2 |
| qlxcdn1ONT | 2 |
| 8Uxj8bcq52 | 1 |
| YCQp73aCwI | 1 |
| A9GTS5Q4V7 | 1 |
| hMRRcbdYM5 | 1 |
| Oa0iwlf5sY | 1 |
| ogQ7oifBn6 | 1 |
| jZKilZdPlc | 1 |
| qBGGGgXckD | 1 |
| l4ibeg830v | 1 |
| wOMqV2KpkO | 1 |
| 7blYqMoYMu | 1 |
| 3YLHr362i4 | 1 |
| E2Z6XqeW5y | 1 |
| SUFSEHTYOK | 1 |
| Jm43Qhf6mW | 1 |
| SbwW51fbso | 1 |
| OM3OWBjT4C | 1 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 172[.]217[.]10[.]238 | 16 |
| 104[.]20[.]68[.]143 | 12 |
| 104[.]20[.]67[.]143 | 4 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| pastebin[.]com | 16 |
| www[.]riirnqa3el[.]com | 2 |
| www[.]tcofbii6gc[.]com | 2 |
| www[.]xkwkb7vwyc[.]com | 2 |
| www[.]luzbvsguu7[.]com | 2 |
| www[.]e2vqnpqnxa[.]com | 2 |
| www[.]ddwnd8uazb[.]com | 2 |
| www[.]yg1ihyzjlx[.]com | 2 |
| www[.]k3okzy7fbv[.]com | 2 |
| www[.]5rmqghqote[.]com | 1 |
| www[.]sbbvxwzjds[.]com | 1 |
| www[.]lfrmipbwhf[.]com | 1 |
| www[.]5tmjtihjrd[.]com | 1 |
| www[.]99z7gq8bpa[.]com | 1 |
| www[.]fn8bcbak8g[.]com | 1 |
| www[.]j3hh3nvc1x[.]com | 1 |
| www[.]q6rbctmtup[.]com | 1 |
| www[.]6y1kayw2zo[.]com | 1 |
| www[.]cngy66afzf[.]com | 1 |
| www[.]xwra4vfpbm[.]com | 1 |
| www[.]xp9isgvq38[.]com | 1 |
| www[.]3upvufuqla[.]com | 1 |
| www[.]phtetocd0l[.]com | 1 |
| www[.]6komu134jz[.]com | 1 |
| www[.]cmckmtegzm[.]com | 1 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| <malware cwd>\old_<malware exe name> (copy) | 13 |
ファイルのハッシュ値
01568fc89054049b9f4c65271186513fa9406e5bcaddd2583fa55abea453f3aa 0a07af4ec8798650f1e578f7e48df97980cf18074d2cc8b17955bb129c44607e 2440f0be01bed503a0a4315e8f253d6559063c7dd3dfd7e28379b23cc9fe3929 25effe96a8c27444dac8ff4ff13f75bc56c351faa74ddd0b217bf6c5f8202cbc 282c63152fdf124cba6c392874c96e670ce019b8566c1cba18475701ce06fbac 4d7589c590b5b0e69c5f08c7664bf658fe340b47022299337e9ec0ccf604426e 6b0ab0fb5437d31cef43d3b0cb989832b3d42d4d1c115d2180ffa0e25d6e0be3 6fcbcc1c24bf20ea3dfff5bfad8d0c38e60e46d1c9cbf254d845c58d4cecd1c9 878fd0aa3f953d35e89d4cf6b52183aa3cc0a1ab244665a4262189c065ce04ce 87dabcb18d67440cf631479d6ae1bacb32d82704c3c54e0305c370cd3f122512 a51d3150053e1a9d2176e98f0000acb572ecbe7c33ae596ab9cdfd4a05470b8c a71838cb33ea89f9e3f3201825b7129b8a61f112d946bf9b7671f2af901a07c1 ac29341c883ff743a3213050314bcfe0abffa366fec2abc09434d789bf836bcd b82c549b351a01839d6e3cc9ca60f1aaed2478799f373bcae604b6ede0e0c4e6 bb819890507c80a1cf9e83808d451a00fdae2fb43b1881b3806093bba32c1a8a f8b9bbc15f8697772d577944686a9b9c61547b992d156d0901293b438f359306
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Packed.Razy-7450491-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN Value Name: None |
10 |
| ミューテックス | 発生回数 |
| frenchy_shellcode_006 | 10 |
| Global\{259ce387-0d2a-4287-8147-d7e9dfdbdca4} | 10 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 79[.]134[.]225[.]121 | 10 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| jogodo[.]duckdns[.]org | 10 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5 | 10 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs | 10 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\Logs\Administrator | 10 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\run.dat | 10 |
| %APPDATA%\None | 10 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\catalog.dat | 4 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\settings.bin | 4 |
| %APPDATA%\D19AB989-A35F-4710-83DF-7B2DB7EFE7C5\storage.dat | 4 |
ファイルのハッシュ値
06b47808b96d08f6ef2089ff0d8eed4a9d448d5e6ebc4fe86321cfaecb774bc0 0815f50eb9877530cdcc6a30e551772d0c4807e2105e7cc5ecd3b510d7d3a019 0950e389cce1b3be7140f1a9ba2ddd6a677fda7fb50020bfc15d80b9aac8ccec 7e0c1895e8a080c7db4faca83b354d5af326920ce4534658e0c947f61328b468 a3bcf7816ef93cacc688c6b7bebac3b46d6826c85cfd215d5da279af11e509ae cf37f002c857a43c1d45189a68368ed643dc506c0260f4fe436d12e4e2b2d22d d2cf31b477c11ba5cb39a341fc7bedddbf1a7ec9541b105bab8e0022849a88c9 dc0714b70cb172c05ccb08424163e8932add81a498b55a556feb706cb80ffc13 f2d9a6acc6b09b4027dc558a268036a1213deecefae9952670bff42a481daaba f8a661f4823d529c13c7e2698f67aa3a00ed9a27f59e810b75cb4ead41dc3cf2
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Dropper.NetWire-7454096-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN Value Name: task |
25 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE Value Name: Registry Key Name |
25 |
| <HKLM>\SYSTEM\CONTROLSET001\ENUM\SW\\ASYNCMAC Value Name: CustomPropertyHwIdKey |
1 |
| ミューテックス | 発生回数 |
| – | 25 |
| KYIMEShareCachedData.MutexObject.Administrator | 8 |
| KYTransactionServer.MutexObject.Administrator | 8 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 85[.]206[.]175[.]225 | 25 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\~$BOSCH.xlsx | 25 |
| %TEMP%\Install\Settings.ini | 25 |
| %TEMP%\BOSCH.xlsx | 25 |
| %TEMP%\Install | 25 |
| %TEMP%\Install\EXCEL.exe | 25 |
| %TEMP%\Install\EXCEL.vbs | 25 |
ファイルのハッシュ値
04e12a8dcf9e8f041cf1b5b7f8f48a832df5fd607bf810fb28933fbc188a8c4b 0d9bedadc3e9edbc3b84c20a651d1e0a23609e4a7f039ec36c67276e90eed205 13047457fd3aca8c5d0ce5f165ea513cbdcd128a4e0de5b7322b895e1188f680 13a210e2e5527d08b6018f2463056f1d31011ed10e696b26e10482a4b09045f6 1e4e92c1d2b131e7710726282a014c014089a61bf93f7bd27b0689e4faef0d92 23804d31eb2d20e90df50559281008425b584a77fad856dce360400292bc6a80 291b26c6629d51d69e7856d22f80202b7a97f0a0f364adab27f16006e77d2df2 2e8e1ad0e72ecfc4cef418a8bc25095c4b0893a561c446a6aa1b8fe56c780d8c 36115f2ed9027f14643f000815ec615d44b97e3fb5c14cc0b67fcb9e784d3bda 3ad37750ccdb9ce0a82997c591d7842d9cee5722fc03219d0cf51f6cf7ddcc00 541e9bb6c2ff220ba15fd731000327f54ca8eae9e3df4d3e4193f50bf4f5f63b 5bf1aead7b5e89d92227d0e1daa019c0927de54faad212c35775d79f1c7b5d39 5f738f026c6f20f0d7ea5808ce96f14dbcb21f47b7b98d60e577a09d43d69071 6626bc4952d2a8cf839a47a4ada71ae877b7b89ac230821d9f5f17462eef4f4c 68252e2eb44e02032d53c42fe4b4c3ed6b8773f60aa78ebb7e6d34ee51ad32bc 68aaa21c0a7e40ba3bbc90abd3d9dd259d6c21d354d219b91ccd61e5c3b52089 68fe9505234da0d57d8a6c4898a1948574698fd5d5ddd9222efad0018d3adf3c 6fca62b51ce59dbf722f5f7d242f26c09b7b02cebde3d9b8db7feacc9d76da1a 7697945d1d3d95f66f3337329d8142f709fd153ead6ac8adfce7975b8572ad04 79a505ca4c4497351ee7cdd599212bf22979421f1055527bc11797d49b8ab907 7a291dffa29a8ca2f094af686ba0c8ceff4d432d10e601273f8b9a8779899e48 88edc5c751377aaf23028562d4a979ff2ca95b61d3d128fa42b64e68e42e20b2 895c0c05ba64cbf70bc8a9587194497b3c93f53cb9e17edcaf7d506a1f58b195 8bd10e751e7df59c1ba91a71bbeadbe5dfa12cb75d0fc7fdf65007703745e31c 8f7abac012c0016d87e3f40e14cdae185193aa8a6bfcb3810c010eab9ec495c6
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Trojan.Tofsee-7450732-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKU>\.DEFAULT\CONTROL PANEL\BUSES | 16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> | 16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> Value Name: Type |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> Value Name: Start |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> Value Name: ErrorControl |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> Value Name: DisplayName |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> Value Name: WOW64 |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> Value Name: ObjectName |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> Value Name: Description |
16 |
| <HKU>\.DEFAULT\CONTROL PANEL\BUSES Value Name: Config1 |
16 |
| <HKU>\.DEFAULT\CONTROL PANEL\BUSES Value Name: Config0 |
16 |
| <HKU>\.DEFAULT\CONTROL PANEL\BUSES Value Name: Config2 |
14 |
| <HKU>\.DEFAULT\CONTROL PANEL\BUSES Value Name: Config3 |
14 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> Value Name: ImagePath |
12 |
| <HKU>\.DEFAULT\CONTROL PANEL\BUSES Value Name: Config4 |
8 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS Value Name: C:\Windows\SysWOW64\exlrqyet |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS Value Name: C:\Windows\SysWOW64\athnmuap |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS Value Name: C:\Windows\SysWOW64\tmagfnti |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS Value Name: C:\Windows\SysWOW64\xqekjrxm |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS Value Name: C:\Windows\SysWOW64\gzntsagv |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS Value Name: C:\Windows\SysWOW64\ibpvucix |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS Value Name: C:\Windows\SysWOW64\jcqwvdjy |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS Value Name: C:\Windows\SysWOW64\piwcbjpe |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS Value Name: C:\Windows\SysWOW64\buionvbq |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS Value Name: C:\Windows\SysWOW64\slzfemsh |
1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 69[.]55[.]5[.]250 | 16 |
| 43[.]231[.]4[.]7 | 16 |
| 85[.]114[.]134[.]88 | 16 |
| 239[.]255[.]255[.]250 | 14 |
| 46[.]4[.]52[.]109 | 14 |
| 192[.]0[.]47[.]59 | 14 |
| 64[.]233[.]186[.]26/31 | 14 |
| 173[.]194[.]66[.]26/31 | 14 |
| 46[.]28[.]66[.]2 | 14 |
| 78[.]31[.]67[.]23 | 14 |
| 188[.]165[.]238[.]150 | 14 |
| 93[.]179[.]69[.]109 | 14 |
| 176[.]9[.]114[.]177 | 14 |
| 67[.]195[.]228[.]110/31 | 13 |
| 98[.]136[.]96[.]76/31 | 13 |
| 67[.]195[.]204[.]72/30 | 13 |
| 104[.]44[.]194[.]232/30 | 12 |
| 98[.]136[.]96[.]74/31 | 12 |
| 172[.]217[.]197[.]26/31 | 12 |
| 98[.]136[.]96[.]92/31 | 12 |
| 172[.]217[.]10[.]67 | 11 |
| 209[.]85[.]202[.]26/31 | 11 |
| 188[.]125[.]72[.]74 | 11 |
| 213[.]205[.]33[.]61 | 10 |
| 65[.]55[.]37[.]104 | 10 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| 250[.]5[.]55[.]69[.]in-addr[.]arpa | 16 |
| microsoft-com[.]mail[.]protection[.]outlook[.]com | 16 |
| schema[.]org | 14 |
| 250[.]5[.]55[.]69[.]zen[.]spamhaus[.]org | 14 |
| 250[.]5[.]55[.]69[.]cbl[.]abuseat[.]org | 14 |
| mta5[.]am0[.]yahoodns[.]net | 14 |
| 250[.]5[.]55[.]69[.]dnsbl[.]sorbs[.]net | 14 |
| whois[.]iana[.]org | 14 |
| 250[.]5[.]55[.]69[.]bl[.]spamcop[.]net | 14 |
| whois[.]arin[.]net | 14 |
| 250[.]5[.]55[.]69[.]sbl-xbl[.]spamhaus[.]org | 14 |
| hotmail-com[.]olc[.]protection[.]outlook[.]com | 14 |
| irina94[.]rusgirls[.]cn | 14 |
| anastasiasweety[.]rugirls[.]cn | 14 |
| mx-eu[.]mail[.]am0[.]yahoodns[.]net | 13 |
| mx-aol[.]mail[.]gm0[.]yahoodns[.]net | 13 |
| coolsex-finders6[.]com | 13 |
| ipinfo[.]io | 12 |
| aol[.]com | 12 |
| eur[.]olc[.]protection[.]outlook[.]com | 11 |
| www[.]google[.]co[.]uk | 11 |
| msn-com[.]olc[.]protection[.]outlook[.]com | 9 |
| web[.]de | 9 |
| mx[.]xtra[.]co[.]nz | 9 |
| xtra[.]co[.]nz | 9 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %SystemRoot%\SysWOW64\config\systemprofile | 16 |
| %SystemRoot%\SysWOW64\config\systemprofile:.repos | 16 |
| %SystemRoot%\SysWOW64\<random, matching ‘[a-z]{8}’> | 16 |
| %TEMP%\<random, matching ‘[a-z]{8}’>.exe | 16 |
| %HOMEPATH% | 11 |
| %System32%\<random, matching ‘[a-z]{8}\[a-z]{6,8}’>.exe (copy) | 11 |
| %TEMP%\gidjcpz.exe | 1 |
ファイルのハッシュ値
0d55086e8221871f10f204087a165112434c8db294fbedfaa6de7d2a11b55943 2b069b741778d0e16246f7a2da8738b6b21e8004cb713efc8ce845b37fc94478 2d3fbb1b7d4da1af0e07fa6fd11f1e946815ce39b3b63fdf299e4acaa9d92ff1 2e02f61e0a99dceab6e026e2e9efb9dcd2466e41e56f3f659f0ee1a4670d502d 59dcd52b18a4badf7803940e05842a52b6af9fa95fdb2ddee26145d6a393c277 60d0cdba9b81f58e4f926e1bbe357d7415771f42819acb79fa4d02313fdac8b9 886ff6f03c5e0a77cf10cbd1461e1ee666901cfdfe26854610b9deef5450bf00 8d9142db7706f1be42d3d048cea675ca6caa5dffd562595124f4e5c95771480a 9403677dc99940afcced72ed29b04a0434417883d929164d279606e9df4fe1db 94568d7086b812c0017455b1d05968726ffd137d8831ddb607fbae5d454ed073 9af4c0927e3565f27e96a8b7fb26ff0ea2d22f6f2a0bd0c6de9f993378024791 a76e2be2b3730324299bd32c7da5a04f494f79a69aeab9649aa53984c852e49a b926e4920a7b454553f73565ce89023af72ae4b6720da4110eb7fa85ff0310bf cbd7701ebc908b3ab059a9d83a3be110e8f63b0e005a41d5e0788044a65f6a14 d9520acee8a753230b372d725a3d4ba4d3caf27fd1eee7d8a8c9779424f2c077 fd1d5902802ada2adc69f071535b1523e2e3580ec2ea960e03a875687913d5de
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
Doc.Downloader.Sagent-7454309-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{BEF6E003-A874-101A-8BBA-00AA00300CAB} | 30 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS Value Name: ProxyEnable |
12 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS Value Name: ProxyServer |
12 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS Value Name: ProxyOverride |
12 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS Value Name: AutoConfigURL |
12 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS Value Name: AutoDetect |
12 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA | 10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: Type |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: Start |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: ErrorControl |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: ImagePath |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: DisplayName |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: WOW64 |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\FUNCSITKA Value Name: ObjectName |
10 |
| <HKCR>\LOCAL SETTINGS\MUICACHE\23\52C64B7E Value Name: LanguageList |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\TITLEHANT Value Name: DisplayName |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\TITLEHANT Value Name: WOW64 |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\TITLEHANT Value Name: ObjectName |
2 |
| <HKLM>\SOFTWARE\CLASSES\TYPELIB\{C4EDCADC-BC75-481F-8A5F-102075206B43} | 2 |
| <HKLM>\SOFTWARE\CLASSES\TYPELIB\{C4EDCADC-BC75-481F-8A5F-102075206B43}\2.0 | 2 |
| <HKLM>\SOFTWARE\CLASSES\TYPELIB\{C4EDCADC-BC75-481F-8A5F-102075206B43}\2.0\FLAGS | 2 |
| <HKLM>\SOFTWARE\CLASSES\TYPELIB\{C4EDCADC-BC75-481F-8A5F-102075206B43}\2.0\0 | 2 |
| <HKLM>\SOFTWARE\CLASSES\TYPELIB\{C4EDCADC-BC75-481F-8A5F-102075206B43}\2.0\0\WIN32 | 2 |
| <HKLM>\SOFTWARE\CLASSES\TYPELIB\{C4EDCADC-BC75-481F-8A5F-102075206B43}\2.0\HELPDIR | 2 |
| <HKCR>\TYPELIB\{C4EDCADC-BC75-481F-8A5F-102075206B43} | 2 |
| ミューテックス | 発生回数 |
| Global\I98B68E3C | 10 |
| Global\M98B68E3C | 10 |
| Global\IC019706B | 2 |
| Global\MC019706B | 2 |
| Global\SyncRootManager | 2 |
| Local\C9E8AF12-FA27-4748-EC04-38CA71239739_RegisterDevice | 2 |
| Global\RecentDocumentsUpdate | 2 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 100[.]104[.]45[.]107 | 18 |
| 100[.]127[.]143[.]246 | 18 |
| 100[.]109[.]114[.]19 | 18 |
| 100[.]79[.]213[.]246 | 18 |
| 100[.]67[.]20[.]29 | 18 |
| 150[.]95[.]16[.]71 | 12 |
| 113[.]61[.]76[.]239 | 12 |
| 111[.]125[.]71[.]22 | 12 |
| 80[.]11[.]158[.]65 | 10 |
| 173[.]255[.]214[.]126 | 6 |
| 169[.]254[.]255[.]255 | 2 |
| 74[.]202[.]142[.]71 | 2 |
| 96[.]126[.]121[.]64 | 2 |
| 77[.]90[.]136[.]129 | 2 |
| 69[.]28[.]91[.]207 | 1 |
| 200[.]38[.]35[.]102 | 1 |
| 96[.]127[.]149[.]2 | 1 |
| 107[.]190[.]137[.]130 | 1 |
| 191[.]252[.]112[.]194/31 | 1 |
| 200[.]58[.]123[.]102 | 1 |
| 98[.]142[.]107[.]242 | 1 |
| 138[.]128[.]170[.]234 | 1 |
| 65[.]99[.]252[.]200 | 1 |
| 190[.]8[.]176[.]37 | 1 |
| 67[.]217[.]34[.]70 | 1 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| hontam[.]net | 30 |
| powayhomevalues[.]com | 18 |
| gongxu[.]gfbags[.]com | 18 |
| sabrespringshomevalues[.]com | 18 |
| 1localexpert[.]com | 18 |
| smtpout[.]secureserver[.]net | 2 |
| smtp[.]prodigy[.]net[.]mx | 2 |
| mxa[.]web-hostingmx[.]com | 1 |
| mail[.]prosyde[.]com | 1 |
| mail[.]ledneonchile[.]cl | 1 |
| mail[.]vieracruz[.]com | 1 |
| bestsol[.]pe | 1 |
| mailserver[.]dtctty[.]com | 1 |
| mail[.]alcorsa[.]com[.]gt | 1 |
| mail[.]imelsa[.]cl | 1 |
| mail[.]jacto[.]com[.]ar | 1 |
| lucanodotaciones[.]com | 1 |
| mail[.]adevpa[.]com | 1 |
| smtp[.]hidroil[.]com[.]ar | 1 |
| mail[.]mpcsa[.]com[.]mx | 1 |
| mail[.]amadisa[.]com | 1 |
| mail[.]confirmeza[.]com[.]co | 1 |
| mail[.]inmediprest[.]com[.]mx | 1 |
| mail[.]nueratelecom[.]net | 1 |
| mail[.]insurcol[.]com | 1 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %HOMEPATH%\223.exe | 30 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\Local\ Microsoft\Windows\Temporary Internet Files\counters.dat |
10 |
| %System32%\winevt\Logs\Microsoft-Windows-LanguagePackSetup%4Operational.evtx | 2 |
| %System32%\winevt\Logs\Microsoft-Windows-NCSI%4Operational.evtx | 2 |
| %System32%\winevt\Logs\Microsoft-Windows-NcdAutoSetup%4Operational.evtx | 2 |
| %System32%\winevt\Logs\Microsoft-Windows-SMBServer%4Operational.evtx | 2 |
| %System32%\winevt\Logs\Microsoft-Windows-TWinUI%4Operational.evtx | 2 |
| %System32%\winevt\Logs\Microsoft-Windows-TZSync%4Operational.evtx | 2 |
| %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\ 5f7b5f1e01b83767.automaticDestinations-ms |
2 |
| %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\ a4a5324453625195.automaticDestinations-ms |
2 |
| %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\ f01b4d95cf55d32a.automaticDestinations-ms |
2 |
| \TDLN-2060-41 | 2 |
| %LOCALAPPDATA%\TileDataLayer\Database\EDB.log | 2 |
| \Device\NamedPipe\Sessions\1\AppContainerNamedObjects\ S-1-15-2-1861897761-1695161497-2927542615-642690995- 327840285-2659745135-2630312742 |
2 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\ Local\Microsoft\Windows |
2 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\ Local\Microsoft\Windows\History |
2 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\ Local\Microsoft\Windows\History\History.IE5 |
2 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\ Local\Microsoft\Windows\INetCache |
2 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\ Local\Microsoft\Windows\INetCache\Content.IE5 |
2 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\ Local\Microsoft\Windows\INetCache\IE |
2 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\ Local\Microsoft\Windows\INetCache\counters.dat |
2 |
| %SystemRoot%\SysWOW64\config\systemprofile\AppData\ Local\Microsoft\Windows\INetCookies |
2 |
| %APPDATA%\Microsoft\Windows\Recent\TEMP.lnk | 2 |
| \REGISTRY\MACHINE\SOFTWARE\Classes\Word.Document.8 | 1 |
| %TEMP%\CVRB4F.tmp | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
08214f8f4d27bc90013b2403d515dadfe992e48b104fd2748ae28b4e37c2ddd6 1bf23d80114b94336235bc3b83960f4bcecd4478effa98b92536c1e907bb70b8 26485f44831ed89fabdf3773fd36709e78b560139836a17d784ee84493e6f021 3324b01c88474616fd9701d13708f6c9ff2d2125ed14e7983ae72ea1c5a5edf2 33b3b2a6c822fa356cc251c03b4e25f5a082a126a6d10717a312436250d6682e 3528140e6db34bde7280f4284122fb7190a4606ac61a4030f91504e4a962cb93 38589a48cab122fb15dc5efa82ae023b8b467a99e60c3c183772dc3d58bd43c5 4e1659700f1d599197f6bbe2330e7c91d87578fe23bfe082dce719f6e5372e0c 4f9954159f29d6292d48986cd0ab71952357c48738dda7f59798c66241514ae9 549fa8564e7e677601d557509c9f44336cc07a8c92949cd4928017ade6c072f4 660c09d1e5ae736de0b1fea0ee93040d0240567fe7254953cd8644bb0b2e49f6 664166554198691ddfb441ac33b12f12e5d14e36b0fb5c09d35ee04bd6d68ca2 6661a70c61b67a87302e04706ff07bcb12328d74bf1d8c7c0075d3edeb8064dc 765ba4ac4d0a2d99916dc9b0e844a669c4b5c5217068741c66216d9b291cea10 899e4dff369309ab4c7c5a466dbcf642bce9788307a75efe8371cc1087714eaf 9c1d3857fa6c1dfee066d46f1ce467429e26d020036019b57e9e87aa2f8fc2ab a2717826ba6ed1d778ef8d7585ddae5c1e076da3d9cfaa9c5c8247c3c4f33ccb aa33bd6b5ac85cb8d3a4d7e511b8c513ad22f7e6b130a456e23a2d07aa89304a b35cf729a7cbf201c9b3682441e6edf65031fee775412e9887c751c1add6d3b3 b48575d226d564c2fb7235f4962d1b29e6152dcdab262157bed79c2a02f11157 c894fbda9027f90b827efebd981c2326d8761e843e5e633990bdc756240087e7 d03bed2bf79256ad1c94c6c66570e35ab54943ba921bdf295c2d0c5d12e7e982 d4b9a89ae01db11a9adf508ed1777327145eb205404a1df5020919c19068d4e0 e5c52d8f0bbb10dff3dcb0c7d055fdc5d856e8e9b2805a1560681f383c679b72 e80c5f3eeb9d4cea62abe90a95e27b1c04ee7b02bf021e11cf9da956485c0bea
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
マルウェア
Win.Malware.Gandcrab-7454521-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\ DAC9024F54D8F6DF94935FB1732638CA6AD77C13 Value Name: Blob |
22 |
| <HKCU>\SOFTWARE\KEYS_DATA | 22 |
| <HKCU>\SOFTWARE\KEYS_DATA\DATA | 22 |
| <HKCU>\SOFTWARE\KEYS_DATA\DATA Value Name: public |
22 |
| <HKCU>\SOFTWARE\KEYS_DATA\DATA Value Name: private |
22 |
| <HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\ D1EB23A46D17D68FD92564C2F1F1601764D8E349 Value Name: Blob |
21 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\ FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST Value Name: C:\Windows\system32\rundll32.exe |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\ FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST |
2 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY | 2 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\FROSTDM | 2 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\FROSTDM Value Name: Impersonate |
2 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\FROSTDM Value Name: Asynchronous |
2 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\FROSTDM Value Name: MaxWait |
2 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\FROSTDM Value Name: DllName |
2 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\FROSTDM Value Name: Startup |
2 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN Value Name: frostdm |
2 |
| <HKCU>\Software\Microsoft\<random, matching ‘[A-Z][a-z]{3,11}’> | 2 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN Value Name: webappsstore.exe |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN Value Name: bookmarks-2017-10-03.exe |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\IRIF Value Name: Pyursy |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\KUWY Value Name: Naember |
1 |
| ミューテックス | 発生回数 |
| Global\8B5BAAB9E36E4507C5F5.lock | 22 |
| A16467FA-7343A2EC-6F235135-4B9A74AC-F1DC8406A | 10 |
| A9ZLO3DAFRVH1WAE | 2 |
| AhY93G7iia | 2 |
| B81XZCHO7OLPA | 2 |
| BSKLZ1RVAUON | 2 |
| F-DAH77-LLP | 2 |
| FURLENTG3a | 2 |
| FstCNMutex | 2 |
| GJLAAZGJI156R | 2 |
| I-103-139-900557 | 2 |
| J8OSEXAZLIYSQ8J | 2 |
| LXCV0IMGIXS0RTA1 | 2 |
| MKS8IUMZ13NOZ | 2 |
| OLZTR-AFHK11 | 2 |
| OPLXSDF19WRQ | 2 |
| PLAX7FASCI8AMNA | 2 |
| RGT70AXCNUUD3 | 2 |
| TEKL1AFHJ3 | 2 |
| TXA19EQZP13A6JTR | 2 |
| VSHBZL6SWAG0C | 2 |
| chimvietnong | 2 |
| drofyunfdou | 2 |
| kliaduosix | 2 |
| limdouxdaz | 2 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 93[.]125[.]99[.]121 | 22 |
| 185[.]135[.]88[.]105 | 22 |
| 146[.]66[.]72[.]87 | 22 |
| 87[.]236[.]16[.]31 | 22 |
| 217[.]160[.]0[.]234 | 22 |
| 69[.]73[.]180[.]151 | 22 |
| 171[.]244[.]34[.]167 | 22 |
| 217[.]174[.]149[.]130 | 22 |
| 178[.]238[.]37[.]162 | 22 |
| 179[.]188[.]11[.]34 | 22 |
| 89[.]252[.]187[.]72 | 22 |
| 77[.]104[.]144[.]25 | 22 |
| 202[.]43[.]45[.]181 | 22 |
| 217[.]160[.]0[.]27 | 22 |
| 92[.]53[.]96[.]201 | 22 |
| 213[.]186[.]33[.]3 | 22 |
| 50[.]87[.]58[.]165 | 22 |
| 77[.]104[.]171[.]238 | 22 |
| 194[.]154[.]192[.]67 | 22 |
| 204[.]11[.]56[.]48 | 22 |
| 23[.]236[.]62[.]147 | 22 |
| 213[.]186[.]33[.]5 | 22 |
| 217[.]70[.]184[.]50 | 22 |
| 52[.]58[.]78[.]16 | 22 |
| 66[.]96[.]147[.]103 | 22 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| big-game-fishing-croatia[.]hr | 22 |
| www[.]lagouttedelixir[.]com | 22 |
| www[.]himmerlandgolf[.]dk | 22 |
| zaeba[.]co[.]uk | 22 |
| bellytobabyphotographyseattle[.]com | 22 |
| www[.]wash-wear[.]com | 22 |
| www[.]poketeg[.]com | 22 |
| boatshowradio[.]com | 22 |
| www[.]perfectfunnelblueprint[.]com | 22 |
| perovaphoto[.]ru | 22 |
| www[.]cakav[.]hu | 22 |
| goodapd[.]website | 22 |
| www[.]ismcrossconnect[.]com | 22 |
| www[.]fabbfoundation[.]gm | 22 |
| alem[.]be | 22 |
| cevent[.]net | 22 |
| mauricionacif[.]com | 22 |
| cyclevegas[.]com | 22 |
| oceanlinen[.]com | 22 |
| 6chen[.]cn | 22 |
| koloritplus[.]ru | 22 |
| asl-company[.]ru | 22 |
| www[.]krishnagrp[.]com | 22 |
| test[.]theveeview[.]com | 22 |
| picusglancus[.]pl | 22 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 | |
| %HOMEPATH%\ntuser.ini | 22 | |
| %APPDATA%\Microsoft\Media Player\KRAB-DECRYPT.txt | 22 | |
| %HOMEPATH%\AppData\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Media Center Programs\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Credentials\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Internet Explorer\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Internet Explorer\Quick Launch\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\Managed\Document Themes\1033\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\Managed\Document Themes\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\Managed\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\Managed\SmartArt Graphics\1033\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\Managed\SmartArt Graphics\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\Managed\Word Document Building Blocks\1033\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\Managed\Word Document Building Blocks\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\User\Document Themes\1033\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\User\Document Themes\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\User\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\User\SmartArt Graphics\1033\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\User\SmartArt Graphics\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\User\Word Document Building Blocks\1033\KRAB-DECRYPT.txt | 22 | |
| %APPDATA%\Microsoft\Templates\LiveContent\User\Word Document Building Blocks\KRAB-DECRYPT.txt | 22 | |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
0682b36ae0be779eb1ad4d3e0d8958a08ad8e044609a6cee5af314ed4d94f237 0c7d85f6f2e1e16ca7bef272edffdb0d513ce0f050347578600cdac206e048bd 1483d05311d9c544e404bf3b35e1bc80a154dd9b5d9757a24b99569cc5ddf680 17133d42590782a30f8464c7446d6a202299daf3cf8391ea40883d17e9d367ed 17ef571b3e2bbbb215ebfb291a1a4c17169a7a5ff0720718720eadacd4500830 1d69bee79a17d872422f9aada2d4b4ee4c048a8932ef50885c9d327cf225af4c 20cf2009ca1e7155b428ae8c76ab0baf7196aaa4c0d2bb7b9aa452a595d4a3ac 2135b77151f05d56f91a8c652edaf6b7a28ae26300b1550b5d28672131aee95e 245efbc6f214ff0d5726c671b51ba0569edf83666c557152b54c494821bc0a7f 2481c8679ec7110d1811fd1578862b9f1b7439c1d818bd4102ebe31cb7e706c7 27b4c02d76cf9845056d456244cd093d86880101f4f6971323814a5eabc7e7b0 292ba930f72bbfa23dab563c3f35ec157a0374b8b3f34f122c6a5997a3daa81b 318cff626b73c4508e9860b2d9ad8a5b53f93637a9a4b9b21cec27c0dde10dcf 37bf027ea0235e19e6d72597c45721c99b9ec619982f7d948e8ddfa2742ef6ae 39eb43c190b49a55de56873a0947d32177bb183791d1f696ff102f75c9b1dca2 3debcef78d8f77548491144e69fde1d89f7b5392b09b1b51f4df061aa622c706 420fe4c2431f23d3a7c4044cdcb71d434daded7c127da6fd1a150c322dcde5e4 670cba74908e2755ace9382cbbd26016fa4c66d7794958fe2d51530100aaaa2a 6a6bc4b3e2c460141981ba83a3a933e35adddc4814a3ffca8e329a5c63a149b8 708bf234cb01321625bf94fd58ece8719ce405b0f0895c59b9a1634b532b6307 73aeb522487874825cbe13567a86280273f90b8a4ee2367f758f393fc24a406e 77b0e7632645006d4a456b314a1899c6c0aba73dcaf74cdbe91bf946c7c9ea98 7a8a1c55a55adfea28a36ef6b6c4836990d62dfb941dfe3ba68e6c32fe7d9874 7dd4779ce5a53500c292236d9b9b062c99cec62ef118aae15a752362fd4e0358 87182baddbc7e1915abd036980c7554a7ee4f7281055772fd851ce67284a6616
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
Win.Trojan.HawkEye-7455512-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED Value Name: Hidden |
8 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN Value Name: Windows Update |
6 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN Value Name: Registry Key Name |
1 |
| ミューテックス | 発生回数 |
| 3749282D282E1E80C56CAE5A | 6 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 104[.]16[.]155[.]36 | 5 |
| 82[.]221[.]130[.]149 | 3 |
| 104[.]16[.]154[.]36 | 3 |
| 208[.]91[.]198[.]143 | 2 |
| 204[.]11[.]56[.]48 | 1 |
| 23[.]94[.]43[.]90 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| whatismyipaddress[.]com | 8 |
| www[.]macniica[.]com | 4 |
| smtp[.]vivaldi[.]net | 3 |
| us2[.]smtp[.]mailhostbox[.]com | 2 |
| smtp[.]believelogs[.]com | 2 |
| www[.]swift-be[.]com | 1 |
| smtp[.]umcship-tw[.]com | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\pid.txt | 8 |
| %APPDATA%\pidloc.txt | 8 |
| %TEMP%\holdermail.txt | 8 |
| %TEMP%\holderwb.txt | 8 |
| %TEMP%\<random, matching ‘[a-z]{3}[A-F0-9]{3,4}’>.tmp | 8 |
| %APPDATA%\D282E1 | 6 |
| %APPDATA%\D282E1\1E80C5.lck | 6 |
| %APPDATA%\WindowsUpdate.exe | 6 |
| %TEMP%\subfolder | 1 |
| %TEMP%\subfolder\filename.exe | 1 |
| %TEMP%\subfolder\filename.vbs | 1 |
ファイルのハッシュ値
1cb99e6bb3f83d21bc06877531beb9bc652e311a5e49747062bbef5c5501cc70 2701a8daf4384bd6842ef6bb2bfc4c0418b204dfce07ef69b251a2c5de593e01 4688f2885e00eea958abbc479e875708c6e9f2347cb9ef5af4e8881c9b3b8439 525dae4004eed37854b1a6ce2046280a3c1d14f9d79c34447a6bf297d3313dca 6ac5e9684bd5bad7070d674da4786eee6827f5d88bd076aa0dc7f7d734d666e3 7036562647bece05ea15c2b3bea5ab4b40c3a965a5272d3a24dcb7af8930d8a5 75f3b9c29533c3b67b040a211d9acc2860ce3f224200d5985b69319210478fb4 7d494230588aedf9bb8700105b6c5cf2383efa5dda79daa3752f9f13b92dad2c a306d0e9ba34a447d09b932a9ab125406872672212534e9aeb3a9d81338ff4d0 af7ff1a7242dbd0d142c03bfe23fd84f24b5dce494cca6545a6409548ae09c9e c24a1e52447710a56f0e1de99401197fd2abebaa15c18de7aa0fa9548d7b15c5 c79783e0d3330fc51bcc92714e8663234c7443ad9245046a5072685c9fa6a86f ceec143cb503f31efadadc2ca82cb74d52b08566ddde6bcba26da248d0fadb20 e52e3ffeb93c7794f2631ee2d9ac0dace29c1be8b4e0723db344879b23e9cfe4
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
エクスプロイト防止
Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。
| CVE-2019-0708 を検出 -(24210) |
| CVE-2019-0708 のエクスプロイト試行が検出されました。「BlueKeep」と呼ばれる脆弱性はヒープメモリの破損に起因しています。細工されたリモート デスクトップ プロトコル(RDP)要求の送信によりエクスプロイトされる可能性があります。エクスプロイトには認証が不要であり、かつ任意コードのリモート実行を許すことを踏まえると、自動拡散するワームとして使用されることも考えられます。 |
| プロセスの空洞化を検出 -(295) |
| プロセスハロウイング(Process Hollowing)は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。 |
| Kovter インジェクションを検出 -(161) |
| プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter には「ファイルレス」マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパムキャンペーンを通じて拡散しています。 |
| Gamarue マルウェアを検出 -(143) |
| Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。ワームファミリ「Gamarue」の亜種は、感染したシステムに接続されている USB ドライブやポータブルハードディスクを介してさらに拡散する可能性があります。 |
| Installcore アドウェアを検出 -(112) |
| Installcore は正規のアプリケーションにバンドルされるインストーラで、インストール時に望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。 |
| Dealply アドウェアを検出 -(98) |
| DealPly は、オンライン ショッピングの利用体験を向上させると主張するアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。 |
| 過度に長い PowerShell コマンドを検出 -(89) |
| 非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティソフトウェアなどからの検出を回避できることにあります。 |
| 「スペシャル オファー」広告のアドウェアを検出 -(45) |
| 「スペシャル オファー」広告のアドウェアは、ポップアップ形式で、あるいはブラウザ上で Web ページの広告を変更する方法で、望ましくない広告を表示します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。 |
| リバース HTTP ペイロードを検出 -(26) |
| 攻撃者が制御するホストに HTTP 経由で接続するためのエクスプロイトペイロードが検出されました。 |
| Corebot マルウェアを検出 -(25) |
| Corebot は、他の有名なマルウエアファミリで発見された機能を多く備えたトロイの木馬です。プラグインシステムを備え、C&C サーバからいつでも多様な機能を追加できます。これまでに、デスクトップのスクリーンショットを取得するなどのリモートアクセス機能が確認されています。ブラウザの通信を傍受して変更したり、データ(特に銀行関連のデータ)を盗み取ったりする機能も確認されています。 |
本稿は 2019年12月20日に Talos Group
Authors
コメントを書く