脅威リサーチ
3 月 27 日から 4 月 3 日の 1 週間における脅威のまとめ
本日の投稿では、3 月 27 日 ~ 4 月 3 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org
、または ClamAV.net をご覧ください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
| 脅威名 | タイプ | 説明 |
| Win.Dropper.DarkComet-7641266-0 | ドロッパー | DarkComet とその亜種はリモートアクセスのトロイの木馬です。感染したシステムを攻撃者が制御できるようにします。感染したマシンからファイルをダウンロードする機能や、永続化と隠蔽の機能、および感染したシステムからユーザ名とパスワードを送り返す機能を備えています。 |
| Win.Malware.Nymaim-7641270-0 | マルウェア | Nymaim は、ランサムウェアなどの悪意のあるペイロードを配布するために使用されるマルウェアです。ドメイン生成アルゴリズムを利用して、別のペイロードに接続するための潜在的なコマンドアンドコントロール(C2)ドメインを生成します。 |
| Win.Dropper.Emotet-7641280-0 | ドロッパー | Emotet は、最近で最も活発なマルウェアファミリのひとつです。さまざまなペイロードを配布する非常に高度なモジュール型の脅威です。Emotet はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 |
| Win.Dropper.Kuluoz-7641284-0 | ドロッパー | Kuluoz(別名「Asprox」)は、リモートアクセスのモジュール式トロイの木馬です。偽のウイルス対策ソフトウェアといった他のマルウェアを後からダウンロードして実行します。Kuluoz の一般的な感染経路は、出荷通知やフライトの予約確認を装ったスパム メールです。 |
| Win.Ransomware.Cerber-7641285-0 | ランサムウェア | Cerber は、ドキュメント、写真、データベースなどの重要なファイルを暗号化するランサムウェアです。これまではファイルを暗号化し、ファイル拡張子に「.cerber」を追加していましたが、最近のキャンペーンでは他の拡張子が使われています。 |
| Win.Malware.Ursnif-7641287-1 | マルウェア | Ursnif は感染先から機密情報を盗むだけでなく、マルウェアのダウンローダとしても機能します。一般に、悪意のある電子メールやエクスプロイトキットを介して拡散しています。 |
| Win.Dropper.Qakbot-7641289-0 | ドロッパー | Qakbot(別名 Qbot)は少なくとも 2008 年から出回っています。Qbot は主に銀行のログイン情報などの機密情報を標的にしますが、FTP のログイン情報を盗み、SMB を使用してネットワーク全体に拡散する機能も備えています。 |
| Win.Malware.njRAT-7644450-1 | マルウェア | njRAT(別名「Bladabindi」)はリモートアクセスのトロイの木馬(RAT)です。感染したホスト上でのコマンド実行や、キーストロークのロギング、さらには被害マシンの Web カメラやマイクのリモート操作を可能にします。njRAT を使った大規模な攻撃は 2014 年にまで遡ります。 |
| Win.Virus.Xpiro-7641430-0 | ウイルス | Expiro は既知のファイルインフェクタで、情報窃取型ウィルスです。デバッグ回避と分析回避により分析を妨害します。 |
脅威の内訳
Win.Dropper.DarkComet-7641266-0
侵害の兆候
- 動的分析により 11 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:Credential® Backup® and Restore® Wizard® |
11 |
| ミューテックス | 発生回数 |
| Administrator1 | 11 |
| Administrator4 | 11 |
| Administrator5 | 11 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\Adobe\PrintBrmPs.exe | 11 |
| %APPDATA%\Adobe\credwiz.exe | 11 |
ファイルのハッシュ値
044c5e9b5f465b5af4937478ab3cc98507420f52d0e0df34b167110e93d3e025 1cfbf9db099aef57002e466434db5f5bf36add2f197ce96f2d59e10b0e762434 22ad20f44028a76ae83852da412a48419485b9fc8954c7e6ab1963e7ff48dc90 53e1172d7a7def646259464f14a860f505369719ea2b1d062ab4c6c039a826f8 82001ae3ba8395813066c774b0bf1bb88fdb8764f0ba409d5e75b4161cfa3b3e 93579e858f498c3b2f752b5d1981fa7ffb131324acd80cd54a2eb5509d3ea55a bf4bbc990a73116713366a468cc3ef8b7a19ae218c2e23c4630ce2fe3ab84ed9 cb75ab4a4cb9c2a54a89de91b1d402e8ca1969623fdc902d82d495fecf5bd09b e78a4f3d578c62357da1b16ba413edfd2ee698a01d67f1cce890405f5c46ba95 f70ca20c1b7e5e818ef4f8633c470feb8f336b306abfb32d9796877095c91e20 fb95b36465546d875823546c355ec7d02c2436d13f05aaf3ec0996c60ef5807f
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
Win.Malware.Nymaim-7641270-0
侵害の兆候
- 動的分析により 23 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\GOCFK | 23 |
| <HKCU>\SOFTWARE\MICROSOFT\KPQL | 23 |
| <HKCU>\SOFTWARE\MICROSOFT\GOCFK 値の名前:mbijg |
23 |
| <HKCU>\SOFTWARE\MICROSOFT\KPQL 値の名前:efp |
23 |
| ミューテックス | 発生回数 |
| Local\{369514D7-C789-5986-2D19-AB81D1DD3BA1} | 23 |
| Local\{D0BDC0D1-57A4-C2CF-6C93-0085B58FFA2A} | 23 |
| Local\{D8E7AB94-6F65-71DE-8DA1-FE621BE2E606} | 23 |
| Local\{F04311D2-A565-19AE-AB73-281BA7FE97B5} | 23 |
| Local\{F6F578C7-92FE-B7B1-40CF-049F3710A368} | 23 |
| Local\{9AF4643E-0898-BB80-6A14-0133AB3F8A5C} | 23 |
| Local\{AC7E1B07-D66B-D6D7-68B8-F1D274B98185} | 23 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| ouksqgh[.]net | 23 |
| tkegtqmqz[.]pw | 23 |
| nsglg[.]pw | 23 |
| qzepi[.]pw | 22 |
| gkaruil[.]in | 22 |
| udaqndimrbq[.]com | 22 |
| qklojedx[.]in | 22 |
| fejdgb[.]net | 22 |
| ldipwmsiagjz[.]pw | 22 |
| fruujwytgt[.]in | 22 |
| djqhml[.]com | 22 |
| kukpofdgbro[.]pw | 22 |
| gmwsgcts[.]com | 22 |
| flbesem[.]net | 22 |
| bxcjvnzlbp[.]net | 22 |
| pafzzf[.]net | 22 |
| siayzmgvi[.]com | 22 |
| nyfmbsagdy[.]com | 22 |
| rchyfiw[.]net | 22 |
| ajljbppf[.]net | 22 |
| axpriqtir[.]net | 22 |
| oaeicag[.]com | 22 |
| laodzbcfxzup[.]net | 22 |
| mglelytvhbsf[.]com | 22 |
| lleyspfgwrj[.]net | 22 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\fro.dfx | 23 |
| %TEMP%\npsosm.pan | 23 |
| \Documents and Settings\All Users\pxs\dvf.evp | 23 |
| \Documents and Settings\All Users\pxs\pil.ohu | 23 |
| %ProgramData%\ph | 23 |
| %ProgramData%\ph\eqdw.dbc | 23 |
| %ProgramData%\ph\fktiipx.ftf | 23 |
| %TEMP%\gocf.ksv | 23 |
| %TEMP%\kpqlnn.iuy | 23 |
ファイルのハッシュ値
1d432dacf94c583b33dd731805b7fa17a48eb2b502a27bb7e3e8a4b2b628f76e 24ae836cb50df689445134109b7f21a0ad84084f93a0d40d3dcad1dc45d2c06a 2dbbeb3b61a8a66a0fec60308f96ba6db3c92934906e9212452ad1d70a49b2d5 2fd2800eec70dc6aac878c75826cbd14d969d941ece211bc10637177fab4eec2 57acffaecdb6f542521022bea60d9852bbb0cee210dbc9e69a73cb003c06c674 59483926c32febda1700d83dd3122a2e1b3faa36cb1739f95f2d13ba20526e00 62262957de7046d9e2c7116db2a5c8fb1404cd6cb8e5e0de98c06e61329ad440 6256c7f7fba33b9a56c1fbc2440dd688821a994b62f020a70f386ad1f503be9f 91521893f705e3460fb94662ed8c04cd2f746c85f0e99d570c9f18df987118ee 93d2910a14bf95f717a0f03d5d6219de48e6f6354fd35c8031790319cd32982d a3bd9a719f0459a7c4900a2934d68f936dd5ee84db73acd8134b57aeaa494963 b0603112e2b68a6da48c33c346b54bc550ba901ad60277f6421b6a742c31243c bd9ef0cf669ada0bbd561b4b7605390b75fa53d5829e9c3b7888fceba4402323 c6847600af4a2c8fe34007d37bc29a00e7afe11a55119a4e6f0ba0e8403ae2cd d11c7d96a964a1fe23c2ea783ee8c270e1d654fbe4f37c5fd49390449d4b3694 d54c0b288876cc51f97bdd539c0cbd11419745e29afd20d89d67afe21048a02e d61e3432b3b424d732a8be2c4a47111d11ddf51ced1562dbee76dcabbb8d2dee de8954dac1f06ebd39d898b60b22a51997006f810e6572f725acfa74cc361ea4 e4b1fb522cb9471ac74596ba5aa128719ccda977cce21e725211673bf8669743 e4c221f3dbbff2327a111f0e6987131773c9563c35b484c72bfd0edd844c0201 ef6849a11f96a39007ee440230709cf3da8dc3557fa39bc35cafc20482720d9b fc23f00d91b331dd300dd30fd7cc98380cd345f664557bf863b762422d9ed012 fde60db468b2b5fe5e4023ed2a3b958ef3ebdf84fe9d4cfe67669be3f81f08d3
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
MITRE ATT&CK
Win.Dropper.Emotet-7641280-0
侵害の兆候
- 動的分析により 75 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> | 19 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前:Type |
19 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前:Start |
19 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前:ErrorControl |
19 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前:ImagePath |
19 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前:DisplayName |
19 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前:WOW64 |
19 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前:ObjectName |
19 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前:Description |
19 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MFC140JPN | 2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MFC140JPN 値の名前:Type |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MFC140JPN 値の名前:Start |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MFC140JPN 値の名前:ErrorControl |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MFC140JPN 値の名前:ImagePath |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MFC140JPN 値の名前:DisplayName |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MFC140JPN 値の名前:WOW64 |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MFC140JPN 値の名前:ObjectName |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MTXOCI 値の名前:ObjectName |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MTXOCI 値の名前:Description |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\D3D10CORE | 1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\D3D10CORE 値の名前:Type |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\D3D10CORE 値の名前:Start |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\D3D10CORE 値の名前:ErrorControl |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\D3D10CORE 値の名前:ImagePath |
1 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\D3D10CORE 値の名前:DisplayName |
1 |
| ミューテックス | 発生回数 |
| Global\I98B68E3C | 75 |
| Global\M98B68E3C | 75 |
| Global\M3C28B0E4 | 48 |
| Global\I3C28B0E4 | 48 |
| Global\Nx534F51BC | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 124[.]150[.]175[.]133 | 32 |
| 178[.]33[.]167[.]120 | 32 |
| 118[.]167[.]155[.]233 | 32 |
| 110[.]37[.]226[.]196 | 32 |
| 149[.]135[.]10[.]19 | 25 |
| 91[.]231[.]166[.]124 | 22 |
| 103[.]31[.]232[.]93 | 18 |
| 113[.]190[.]254[.]245 | 18 |
| 177[.]103[.]159[.]44 | 18 |
| 45[.]55[.]179[.]121 | 3 |
| 75[.]127[.]14[.]170 | 3 |
| 87[.]252[.]100[.]28 | 3 |
| 190[.]247[.]9[.]40 | 3 |
| 181[.]225[.]24[.]251 | 3 |
| 154[.]120[.]227[.]190 | 3 |
| 239[.]255[.]255[.]250 | 1 |
| 91[.]83[.]93[.]103 | 1 |
| 153[.]137[.]36[.]142 | 1 |
| 104[.]236[.]52[.]89 | 1 |
| 190[.]251[.]235[.]239 | 1 |
| 181[.]228[.]91[.]247 | 1 |
| 122[.]116[.]104[.]238 | 1 |
| 180[.]222[.]165[.]169 | 1 |
| 201[.]214[.]229[.]79 | 1 |
| 61[.]197[.]37[.]169 | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\<random, matching ‘[a-f0-9]{3,5}’>_appcompat.txt | 48 |
| %TEMP%\<random, matching ‘[A-F0-9]{4,5}’>.dmp | 48 |
| %SystemRoot%\SysWOW64\<random, matching ‘[a-z]{8}’> | 15 |
| %SystemRoot%\SysWOW64\mfc140jpn | 2 |
| %SystemRoot%\SysWOW64\w32tm | 1 |
| %SystemRoot%\SysWOW64\imapi2 | 1 |
| %SystemRoot%\SysWOW64\xpsservices | 1 |
| %SystemRoot%\SysWOW64\SyncInfrastructureps | 1 |
| %SystemRoot%\SysWOW64\msctfui | 1 |
| %SystemRoot%\SysWOW64\KBDLA | 1 |
| %SystemRoot%\SysWOW64\oleaut32 | 1 |
| %SystemRoot%\SysWOW64\tapisrv | 1 |
| %SystemRoot%\SysWOW64\mfc140rus | 1 |
| %SystemRoot%\SysWOW64\EAPQEC | 1 |
| %SystemRoot%\SysWOW64\RMActivate | 1 |
| %SystemRoot%\SysWOW64\wfapigp | 1 |
| %SystemRoot%\SysWOW64\hid | 1 |
| %SystemRoot%\SysWOW64\rasgcw | 1 |
| %SystemRoot%\SysWOW64\ole2 | 1 |
| %SystemRoot%\SysWOW64\NlsLexicons0013 | 1 |
| %SystemRoot%\SysWOW64\msxml6 | 1 |
| %SystemRoot%\SysWOW64\txfw32 | 1 |
| %SystemRoot%\SysWOW64\wwapi | 1 |
| %SystemRoot%\SysWOW64\PSHED | 1 |
| %SystemRoot%\SysWOW64\olethk32 | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
033fb41b5619559ee7843d51f5329b250f42ce2a180bcaf9c2ed4057d48c200a 03831cfd34ebcb1a2598723cdd8fcd3a531868a550ed82c4132edf40af16fa72 0c6f232077f464b2da7eb205def2acbe27257582bba4da993637f3d0137f2f7f 0df57f7a6721e814e0b82bea9b5702d1422a34a1d20ced73e183a4c2d77695d1 107575f48da1dfd1da6ba96681be4abc6e6c53e8e11040eb7466820bde437711 12f7384e889549a85c6d2f2af5bf392b70c95a4c4159b398cd8a4a574f8bb6f7 1690e906d3bc71ae452ac010c1fee831dd9f3c3dbdec737d641e229c8ecb0417 181cc103c942b3e450cb0e1fc7c7a71f7e514ff8d13eae8db6740df6f0c0e057 18565a7cc2ca7e55dbc04c2cc0682c1d751cc04b381e37c03ea61038d95d99d8 22760bb58ac7bf5ef218b5ee0df6ee223fbc9cede59c0dacf030e1ff72f1f1f6 271260f0020b6e4740ce2d7b72ec37057c3892a2ba8fbcfb920ceee58d2627f1 286e1371de4020038567bdf81279d4ce46848a8b72b3e1a33b2ec98a20e0425c 2aaff8f53c126529704e6f7770e97f257e964707647f812639313f7cb57afd0a 2da31ace48797f738936375053c8bfb82546d49333b1a02f7030a329fdcf9f06 35a58ddfafc7797fc92c8f50a5085d33455c0f45f989bc82545a8a59f0de2f41 3792261c4555c0bd5750bbf7924e2ee9a3dfd1e5c735bccbff9b8f08ddb097c7 3b7c56626fc6e1e9bac007ea0f9fd710f935bb0dfab3928906e91d695d098136 3cc60a0462b9cab1a85a098be0f014566a6cc98cee51453291f0e739105e9db9 3e1b5c059cdc0f8961160c7a0ab1732ae15260d5d0cb40c1dc3b97d558fa1b0f 3e2beac007711f7449019edf11fd54e51bfe8df0942e12bace39a5b363c0609e 40182af8e0b47173cff2d7c31e54ab3a8fe4050a8e32347b597836792eda8cfa 40561efd4002477ee01f1ac54bbfef5e501c1cf0a774b7d77a57642aec32aa00 408aba772aa82d5da9ae744fae5dd9bf2ff09d865393b9627f4626e6c7836334 47358c7fce547be3ac16cc2478d5e38d6d810b995fcb123d4487eca7702e0fc1 4c10d182d11e23b1ccb202ddcdee253a0e96d19af72280edf1609b20328e43ea
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
Win.Dropper.Kuluoz-7641284-0
侵害の兆候
- 動的分析により 26 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\<random, matching ‘[a-zA-Z0-9]{5,9}’> | 26 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:fpufpoxx |
1 |
| <HKCU>\SOFTWARE\DNNTLGMC 値の名前:cfrdlmxa |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:ickctfqb |
1 |
| <HKCU>\SOFTWARE\BOELHFQC 値の名前:kbjnitbf |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:lpdphbks |
1 |
| <HKCU>\SOFTWARE\EOWWUNTE 値の名前:tdnufqua |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:dvmhkbfh |
1 |
| <HKCU>\SOFTWARE\JSHUOVLD 値の名前:xchsitmi |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:nqxblvca |
1 |
| <HKCU>\SOFTWARE\HEFXEODF 値の名前:buubcqbc |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:gaiwrars |
1 |
| <HKCU>\SOFTWARE\JUCDTHUG 値の名前:sjnpjwkm |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:fvgflepr |
1 |
| <HKCU>\SOFTWARE\QSVHHWLJ 値の名前:bewwbqme |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:mwvkkbow |
1 |
| <HKCU>\SOFTWARE\RIMTRUCN 値の名前:jcodkule |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:jxliqlfd |
1 |
| <HKCU>\SOFTWARE\USREQEVS 値の名前:siraovgm |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:wouqnomw |
1 |
| <HKCU>\SOFTWARE\DBOTOJCG 値の名前:qftusapj |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:qtdbsckp |
1 |
| <HKCU>\SOFTWARE\ATWGBSFO 値の名前:vhhupeqr |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:vwvpwbci |
1 |
| <HKCU>\SOFTWARE\VOLXMNIH 値の名前:tsaisice |
1 |
| ミューテックス | 発生回数 |
| aaAdministrator | 26 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 176[.]123[.]0[.]160 | 20 |
| 46[.]105[.]117[.]13 | 16 |
| 162[.]209[.]14[.]32 | 16 |
| 195[.]65[.]173[.]133 | 14 |
| 222[.]124[.]143[.]12 | 14 |
| 173[.]255[.]197[.]31 | 12 |
| 64[.]128[.]16[.]144 | 11 |
| 195[.]5[.]208[.]87 | 8 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %LOCALAPPDATA%\<random, matching ‘[a-z]{8}’>.exe | 26 |
| %HOMEPATH%\Local Settings\Application Data\kdxddmcb.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\epcgjgep.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\sqslklnf.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\ehcfvidd.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\lpofndtq.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\wgloxfmp.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\iiiopgdm.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\cpvcuhov.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\ohfkuuji.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\mflapebj.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\pkrwhrsp.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\aoomiict.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\cskciudx.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\jtprtduu.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\wtqssshn.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\wsumdkah.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\aqqwklte.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\nvqixljn.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\ablkdmkf.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\cmpvfksc.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\lpwfxitq.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\foaejjgn.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\evvlnbmm.exe | 1 |
| %HOMEPATH%\Local Settings\Application Data\jkmdnuno.exe | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
00e21648fa1bda81b6b37ce8e4ae1c1cc8511f5d4a185d8c6504d09885e74bc6 01e5d6d17f47209d9ab025ea6d9fc76fab6db7a789ae7e0012e053518592483e 021801898d4aa508ee85f53fe4e4a28e06ce91795fc0073eae241c0c34c7babb 02a8287d7190e0fce91f58073c57d3637b7f1a79a5de300cc9cabfc11e0e6530 054616f5a58998b56fd74c244b3403b750f850f51be74ffca96f85fda28d097e 05a92024686eeb71a6999750925231cbe3771816df8220a42cf665e686e55549 05cfe7a11dd83fb71d7197b7ce06a484a60a7e0e87295c67345d57ee99c44eb7 061608e7d36b4a319eaab7a8690ced8a911b74c703eebffe896879ba2542f513 063fd1f568e4e29c08cfdc2f811467fda5c04f50bdce08942f4b606750de1183 07d3e4aa9819dd1bec9a9a5f80e1defb3cad07e2827fceae2fff3fe2c5474389 0836030e21f3bfc2a9be077295b7e3bd1dba6d0492ee1be28d50893e34b9afc1 091cd8e0f5e0a113493a9d62e063066ba2e5974b432100272454f7170d14be5b 09b064b27cba3d8229d703bbe70c91be7b5dced5ffd953b4826bb9d17725fafe 0bc668db27503131656da06c8a4263f0c6a2e986ce16f9a3cdfa21478c903369 0c5728446d49cf4b34a02020fcf909f5c14e1b7db2adabc5aa92da7d196bf85c 0cbd4967ca139aba6ebd08e9ba3532cefbe1be59d479ec2f79c56497e4ca4908 0d866b232bbc685700e356440283a98d71ed84fa0b3bedca5d7cf5d72b68a903 0f13a52c4037425fcf3597c0d5e2904b437cb5a5bb8710be853a2af38e4650ab 10f71eb066e8340bcdd742d714d4a67278073c7f30e61f4bdc3f4747b3442116 111c3fcca78f38d3e6e040e6508e63e912e357b525ffe4ddbae79ef9a462bdf4 112f8fc35b1f24a8b44d75350db81f0fe1cd394d2d144aafec7aa497449d8db1 11f515b2c3e828864f0067242ffc9f27439c3f978f9a5a21303c44942946aa65 1233484d1a7d2cd2ca7118ab42c7a60e77490536ad8304c148a0721ff22ab005 1363243f57bc04ff383387c358785d8f43e2ec0765f7bc1676c1de820ac618d1 13c78ebcfe7cb52b9a3dd8324b761585e99a96761ecf1f70d4f7370163597384
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
Win.Ransomware.Cerber-7641285-0
侵害の兆候
- 動的分析により 60 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | 48 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER 値の名前:PendingFileRenameOperations |
37 |
| ミューテックス | 発生回数 |
| shell.{381828AA-8B28-3374-1B67-35680555C5EF} | 60 |
| shell.{<random GUID>} | 31 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 91[.]119[.]216[.]0/27 | 60 |
| 91[.]120[.]216[.]0/27 | 60 |
| 91[.]121[.]216[.]0/25 | 60 |
| 104[.]20[.]20[.]251 | 30 |
| 104[.]20[.]21[.]251 | 26 |
| 178[.]128[.]255[.]179 | 25 |
| 104[.]24[.]104[.]254 | 21 |
| 104[.]24[.]105[.]254 | 12 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| api[.]blockcypher[.]com | 60 |
| hjhqmbxyinislkkt[.]1j9r76[.]top | 35 |
| bitaps[.]com | 25 |
| chain[.]so | 25 |
| btc[.]blockr[.]io | 25 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\d19ab989 | 60 |
| %TEMP%\d19ab989\4710.tmp | 60 |
| %TEMP%\d19ab989\a35f.tmp | 60 |
| %TEMP%\~PI<random, matching [A-F0-9]{2,4}>.tmp | 60 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp | 60 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.bmp | 60 |
| %TEMP%\8f793a96\4751.tmp | 31 |
| %TEMP%\8f793a96\da80.tmp | 31 |
| %TEMP%\tmp1.bmp | 31 |
| <dir>\<random, matching [A-Z0-9\-]{10}.[A-F0-9]{4}> (copy) | 31 |
| %HOMEPATH%\documents\onenote notebooks\personal\_HELP_HELP_HELP_PTYBYT3_.png | 1 |
| %HOMEPATH%\documents\onenote notebooks\personal\_HELP_HELP_HELP_XOU9_.hta | 1 |
| %HOMEPATH%\documents\outlook files\_HELP_HELP_HELP_5KP80L7_.png | 1 |
| %HOMEPATH%\documents\outlook files\_HELP_HELP_HELP_D6UOS0QV_.hta | 1 |
ファイルのハッシュ値
037cea8cb6c226180c2cb5ae3e7ae7e099340c5a8392373300832dafefbec345 063c5111ca5877790c5d30caa57f96e8940ddc987ebe93cac7eff48f5299bca6 13dd5000384644f0d9d47e1856d21e4e11d5709fe047b461142f8f2bb25498a1 14ad27715881fcb4c03150e6f43f009df6a3b8fed7b08dfce96b375c10c49114 14b7e243462ddb2d147c8b3e262b85638129f8272dacc3da3ecec101cebf56eb 182411e64d6fc32d50c24b75a4891474323ecf41f4950356dadb47871c061236 188a10de82ef84aaf6b61e30e0cb16d5689764f273f275e76fe846c22231275a 192385242e592f40b469ae0366f697cf5684496ede5c39cd6c727bd2260125a8 2091aa6b0aa17c7aeaddd3dfe43963e251c6e75ef884ab9297ab3293d65565fd 2270947c45c99b79fecac2cae938e9d65dc7c4475ddbd5183a3bccbf9f1140e8 32d3c6c4e5f8440e72a143c98388a3030b019499fe2c788bf1886af900ea4181 35f7c450964e90ee08c4ca411c816d2c518acc11e60cf96c9314b61b6251ea45 38c4616b4c510bd33e382df986227a2962faad563621d940599008b0bd01562a 3d086a6711d6cb1d03fdfa341d709b50daca73f3550f0d09ee570cd91817af2b 41d01fc785abc0c41b9ac5d4a245cfecc632cd7fe72e228ce1870ced7ca7cdaf 4abca6a94b8c3eec71ad3be24afea249421baac1925e476fe594ccb8c2bed52f 4c5483fb8e548d2905c706645ff8f6b1c76e40e51661238697a903f6240c0ed0 4d62840fbdface83a04a6a0a6ddff9f76b8d1f8367e48f09aaee0ae22f1709dc 4f11c7b3c1f65e5257798dd5440528e85a748f2e3fc2b906b4a2343b4d8ff74e 51c6f6a9c1658fb6fd29cb08e80876acd9b48509525dabc3392c6f59f75cf2d0 54a32981e816d602175f2ec18117482c7a23a4aa0408f66f6df7d687b788486c 5568b61ee70692533b0faad0810b0c2c20a8ce033a19d4ed65794c04aa5a886f 58f9c991b40cdace0bc52b8b22354e5ac94954d1ed6e00b78a283f75fb06a80f 5a4f2ac060738e3b427efe8c88704acd6b3304ed4dda8be37f6606912b004a4f 5e5d1bc6ab7b5204502bb70138d83a622609c3ce4c2f61a0ec340693ddc97055
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
マルウェア
MITRE ATT&CK
Win.Malware.Ursnif-7641287-1
侵害の兆候
- 動的分析により 11 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:api-PQEC |
11 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\MICROSOFT\D31CC7AF-167C-7D04-B8B7-AA016CDB7EC5 | 11 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\MICROSOFT\D31CC7AF-167C-7D04-B8B7-AA016CDB7EC5 値の名前:Client |
6 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\MICROSOFT\D31CC7AF-167C-7D04-B8B7-AA016CDB7EC5 値の名前:{F50EA47E-D053-EF14-82F9-0493D63D7877} |
6 |
| ミューテックス | 発生回数 |
| Local\{57025AD2-CABB-A1F8-8C7B-9E6580DFB269} | 6 |
| Local\{7FD07DA6-D223-0971-D423-264D4807BAD1} | 6 |
| Local\{B1443895-5CF6-0B1E-EE75-506F02798413} | 6 |
| {<random GUID>} | 6 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 192[.]42[.]119[.]41 | 5 |
| 192[.]42[.]116[.]41 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| groupcreatedt[.]at | 6 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\Microsoft\Dmlogpui | 11 |
| %APPDATA%\Microsoft\Dmlogpui\datat3hc.exe | 11 |
| %TEMP%\<random, matching [A-F0-9]{3,4}> | 11 |
| %TEMP%\<random, matching [A-F0-9]{3,4}\[A-F0-9]{2,4}>.bat | 11 |
ファイルのハッシュ値
3f4d76b36ddc412265aee0319baf2b5d0af9912cb18f96f5c1d6c8d31823e4ce 44c8521c0d4d03c8d40060329b536a150da1d088ec72b925e8bedeee33091560 470662c40cb6ae679c0bbce3746e36540206dd4f859377833632edaede93dc01 4ed7df37299dd6ac23facca8773ae462180b2fe8afd6fc6d277123a44c3cce6b 69af053959ff36ecca8c34c7d96bd556aeabb94a4d55a533250951706ae48a87 794074a37b9e634fcd41251f3ff3f5103fb32d31abbd94b87f96e41631aee95d a177e74bbbd9937c0fc626b2e06e388f538b5538007385e64e66ede18220f73c b8c10d5d4e0caa3f29301cee52e452a44f8790dd595b631cf18c92d7ac11188b c2af9ae4163dc7273edc7f825ad8274196ac8c1f3ea213ea204c5852d15b6b42 ce74c822429572309b48445e2ae8dc7c9ec2999d204a4522f4e946ecee7c55c2 f240f57a4290d77807acdcbec3871666e5af2e77e833f768e8c52cf76cba9aa8
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
MITRE ATT&CK
Win.Dropper.Qakbot-7641289-0
侵害の兆候
- 動的分析により 38 個のサンプルから収集された IOC(脅威の兆候)
| ミューテックス | 発生回数 |
| ocmwn | 38 |
| <random, matching [a-zA-Z0-9]{5,9}> | 25 |
| 作成されたファイルやディレクトリ | 発生回数 |
| \TEMP\f7d0d716fed617b7423cf7ab02db1819.exe | 1 |
ファイルのハッシュ値
060e2bbfecfe76f922fd6ff92e2f732ea728e834512f5772a03e58478dec7770 0e36680e4e848ae33c030add635d62298edffc8525a59d45292a0da41184349f 177c4b51efa825b394d6939b54fcbe2da1065b86e05b24a8d35125bd1542f757 2cd1d4ee8b23aec9374d87ca3c7f98826d243db0f4bcf02434858d436d4481d7 2cdc9bc92cf3ba7aacfa983bea2a7ca62f57fde3fdb1e7e465e435d38344bf67 2cf8a17c06c0b3e1d7797a3e0739ac60791504806face84cbef0fc551cd4e56d 32e68d7f3849176ec4fca41150ca30a338699c1ead0a774ace872ff7cd5b5e83 3c6c9951436e5edf6d3c0b1940e8bfb4f19a73642378c3761a49d361c889af50 3ea2d9a13d6d9c8f0a6e6569ee25be67354ce7217ddd43b8224d66981b011b41 434afad3d9c4a50c9604a314f88ae511efd0e240239bcf86b700d1203cc13d4c 46c0a6032e1815f55a09d7042757d121678ea1d3dd597819206af99cd8deba5a 47298efd4042171a076cd56b0c5916e41990df12a312c81258c3c7ec88645b28 55b6023845e5b39a911db3fee89ff4725c0d8eb9d4b11d839e1f8cc62bd488b6 58639544bde0eca496f348335169c8cc9b7fbdc347f65e60ec24cdbae5f5ea01 5958dc1b077a38b476ecf2293462307e6dd8d29a3bcad5f915f45e08c880974d 596784ea479a4c5ef1ed8c7cd04b70f06c890f9c1cc39d048bfea3fa137dd7a6 5c167d3c7e46a16fed50f09462be999ca160ec79d11f7d993cad4f7eecd9c1ff 64947ffb71ebe6dcb9bc3ca9629d271e23bd01add86c3a3c2f9082741ad4f7fa 6556774b66f5b963244768bef45cf74e6d36e8ff7d41be560e10f38d78c3318a 65e9aca3321cc3b85772298bfa8fe6cbf9c5532879183fb8c369aefd92e91e1f 671a66225f390bbdf8dc20947a38c139c9e070c2263f621679e2cd34561da011 6ab95a6345fc46cb486d22244899992edd90a57c45119d0fc9d6410d9536fb40 6caa3b4c27f2dfeebedb4874a2c9b80b172a880ada3908146545bf9068c352f0 6e9caa6b8e31360aa3668367e37eee95be5e254b08e0c43a5448909159195870 6eeed4b8dc0a2819581ff20b7f5655f9da19ee6b3701207a9cdfbd02009c030e
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
Win.Malware.njRAT-7644450-1
侵害の兆候
- 動的分析により 14 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\ENVIRONMENT 値の名前:SEE_MASK_NOZONECHECKS |
9 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:ParseAutoexec |
9 |
| <HKCU>\SOFTWARE\DAE31C02CB06222E776B9CCB9207EDB1 | 6 |
| <HKCU>\SOFTWARE\DAE31C02CB06222E776B9CCB9207EDB1 値の名前:US |
6 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:dae31c02cb06222e776b9ccb9207edb1 |
6 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:dae31c02cb06222e776b9ccb9207edb1 |
6 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:5cd8f17f4086744065eb0992a09e05a2 |
2 |
| <HKCU>\SOFTWARE\5CD8F17F4086744065EB0992A09E05A2 値の名前:US |
2 |
| <HKCU>\SOFTWARE\5CD8F17F4086744065EB0992A09E05A2 | 2 |
| <HKU>\S-1-5-21-2580483871-590521980-3826313501-500 値の名前:di |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:5cd8f17f4086744065eb0992a09e05a2 |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:5cd8f17f4086744065eb0992a09e05a2 |
1 |
| <HKCU>\SOFTWARE\495A7A6EEA7C524B0131AE9992F41835 | 1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:495a7a6eea7c524b0131ae9992f41835 |
1 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:495a7a6eea7c524b0131ae9992f41835 |
1 |
| <HKCU>\SOFTWARE\495A7A6EEA7C524B0131AE9992F41835 値の名前:[kl] |
1 |
| ミューテックス | 発生回数 |
| dae31c02cb06222e776b9ccb9207edb1 | 6 |
| 5cd8f17f4086744065eb0992a09e05a2 | 2 |
| 495a7a6eea7c524b0131ae9992f41835 | 1 |
| Global\52108960-73d1-11ea-a007-00501e3ae7b5 | 1 |
| Global\8c1aef60-73d1-11ea-a007-00501e3ae7b5 | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 204[.]95[.]99[.]26 | 6 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| kurdsh[.]zapto[.]org | 6 |
| kandamm[.]no-ip[.]biz | 2 |
| ramzuus[.]no-ip[.]biz | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| \TEMP\.tmp | 8 |
| %APPDATA%\system.exe | 6 |
| %HOMEPATH%\Start Menu\Programs\Startup\dae31c02cb06222e776b9ccb9207edb1.exe | 6 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\dae31c02cb06222e776b9ccb9207edb1.exe | 6 |
| %TEMP%\dw.log | 4 |
| %TEMP%\Trojan.exe | 2 |
| %HOMEPATH%\Start Menu\Programs\Startup\5cd8f17f4086744065eb0992a09e05a2.exe | 2 |
| \5cd8f17f4086744065eb0992a09e05a2.exe | 2 |
| E:\5cd8f17f4086744065eb0992a09e05a2.exe | 2 |
| %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\5cd8f17f4086744065eb0992a09e05a2.exe | 2 |
| %TEMP%\facebookhack.exe | 1 |
ファイルのハッシュ値
09d1504b42c0f3734730bb200926afd53f8f547e6fffe60855a2e864c9217638 0bce4bde64c65ffda21384b0e112d463cbd385633533d7c9a4350b434d2d93f8 1d05c62dbabb27bfe7d106666283375710116df379dc082eb0f3f802e394ab54 486263226b8801db5ab8ad7a109be1dcf53fe804dc1bc2633de26d28b4ba12a1 4eedcb1d6fbd94e13a883c60798d95544620acc88ef1376f73d10b0d4e1eaca9 5906e1a09dc1d0d48f21469285df61f2acf55093834c0433842ac6c28944b5e2 658b84e34bd347026e28136ed1b2648c3e5588d86d0661855a25f53c848cc8dc 690d4bac7ad5977dd5a65518797a519406344dbf83081ae93e32bebb75a35e9e 77bca1b885cf492ca7f23c9e496c0bb3bba1e2daa9c34f11335bb94b1f1c4933 85e423f5c3e9722cec48359cd258d971985aa26423360ec731741e130d957236 8e44c09b0c179f6695de598184f2828bbb245f602a5617048a9c409d616b6295 999cb0a36d2fe437cac57dc54c6686f5bdb768ce260e3c5e4cb17544b296c784 9c7e41e38959e878d81a9525dcb0147206c9bbd9c40a4bab2a7696808f1a0efd ebee3e0e356cdb4c60645046f9b310aec18295f1efb7f0b3b5f39bded7d1521b
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
Win.Virus.Xpiro-7641430-0
侵害の兆候
- 動的分析により 24 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_32 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_64 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V4.0.30319_32 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V4.0.30319_32 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V4.0.30319_64 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V4.0.30319_64 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\COMSYSAPP 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\COMSYSAPP 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IEETWCOLLECTORSERVICE 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IEETWCOLLECTORSERVICE 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MOZILLAMAINTENANCE 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MOZILLAMAINTENANCE 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MSISERVER 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MSISERVER 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\OSE 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\OSE 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\UI0DETECT 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\UI0DETECT 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\VDS 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\VDS 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\VSS 値の名前:Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\VSS 値の名前:Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WBENGINE 値の名前:Type |
24 |
| ミューテックス | 発生回数 |
| kkq-vx_mtx1 | 24 |
| kkq-vx_mtx66 | 24 |
| kkq-vx_mtx67 | 24 |
| kkq-vx_mtx68 | 24 |
| kkq-vx_mtx69 | 24 |
| kkq-vx_mtx70 | 24 |
| kkq-vx_mtx71 | 24 |
| kkq-vx_mtx72 | 24 |
| kkq-vx_mtx73 | 24 |
| kkq-vx_mtx74 | 24 |
| kkq-vx_mtx75 | 24 |
| kkq-vx_mtx76 | 24 |
| kkq-vx_mtx77 | 24 |
| kkq-vx_mtx78 | 24 |
| kkq-vx_mtx79 | 24 |
| kkq-vx_mtx80 | 24 |
| kkq-vx_mtx81 | 24 |
| kkq-vx_mtx82 | 24 |
| kkq-vx_mtx83 | 24 |
| kkq-vx_mtx84 | 24 |
| kkq-vx_mtx85 | 24 |
| kkq-vx_mtx86 | 24 |
| kkq-vx_mtx87 | 24 |
| kkq-vx_mtx88 | 24 |
| kkq-vx_mtx89 | 24 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %CommonProgramFiles%\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE | 24 |
| %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe | 24 |
| %System32%\VSSVC.exe | 24 |
| %System32%\alg.exe | 24 |
| %System32%\msiexec.exe | 24 |
| %System32%\wbem\WmiApSrv.exe | 24 |
| %SystemRoot%\ehome\ehsched.exe | 24 |
| %SystemRoot%\SysWOW64\dllhost.exe | 24 |
| %SystemRoot%\SysWOW64\msiexec.exe | 24 |
| %SystemRoot%\SysWOW64\svchost.exe | 24 |
| %SystemRoot%\SysWOW64\dllhost.vir | 24 |
| %SystemRoot%\SysWOW64\msiexec.vir | 24 |
| %SystemRoot%\SysWOW64\svchost.vir | 24 |
| %SystemRoot%\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{D181BC64-A806-4079-A778-7CD8233C69DB}.crmlog | 24 |
| %CommonProgramFiles%\Microsoft Shared\ink\ConvertInkStore.vir | 24 |
| %CommonProgramFiles%\Microsoft Shared\ink\InputPersonalization.vir | 24 |
| %CommonProgramFiles%\Microsoft Shared\ink\ShapeCollector.vir | 24 |
| %CommonProgramFiles%\Microsoft Shared\ink\TabTip.vir | 24 |
| %CommonProgramFiles%\Microsoft Shared\ink\mip.vir | 24 |
| %ProgramFiles%\Internet Explorer\iexplore.vir | 24 |
| %APPDATA%\Mozilla\Firefox\Profiles\1lcuq8ab.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest | 24 |
| %APPDATA%\Mozilla\Firefox\Profiles\1lcuq8ab.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar | 24 |
| %APPDATA%\Mozilla\Firefox\Profiles\1lcuq8ab.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js | 24 |
| %APPDATA%\Mozilla\Firefox\Profiles\1lcuq8ab.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf | 24 |
| %CommonProgramFiles(x86)%\microsoft shared\source engine\ose.vir | 24 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
077722e4ea86e5bfa93bda2b1f8c6ec6865dd2a68d2234825e3c001eaf89b79d 085ba147535f0c570b35940ebe03970ae84d36d4780325f0fe9a0f655440483c 0fa80ba4044dc0780677436758ef704e2ead95602c1c79e357d18299a5266674 1bc51f5317beadabe7afe577cf0d6d8641f51bb2143bdd4e532d62e6db4ccfce 2716eb06608756c76f2bf9984d088f16e079e8a5b98647efb745fe2660e202c4 339a29d578be254dd98af19a900fd1b1cca3417c1830a4fca0342a87dd1d4336 35e62066e3581ffa504eb1a2a66a8f5e0cbb2e189ca6274e8fe759eb32a8ac0f 3703b1bea852b8a8df8c4b6e82b855db37fbb32d9885a7e43c5d27f204a34071 3d69bd570660b1ab121237283ca2409e12c40674330b3bb224e3078950d6247e 3e20cf0e55229558aedae4400cb8429ae561c531d640df82c33e28edb13feaf3 3ea22f8ad2d694a9d6b68e0631f535dfa9c8316ef830ccbe2ecb3d7b409247e8 5d4f6709fb1ff6205e81f9f2f1fbdf09b568227f6012176890f2c24e29bc8b90 63f62e9a1c8a51ecc7b48d97475a12b44dbb89e2c5e184ba9e58d2ac2f1b8038 6df2a6a3986f925d10198cbb9ab8ca2189d389139b12f5fff5d6c4e609dfeb3c 7de61c07cac78c2007946035be9a9c8e7ebab4e209199e9996c15bfd6961cf8a 884c3f8d0bc7c44e4dfb295fbabe30f58a2f1cbe108fe4cdfe1eb064fd4a95e2 8e5d39fb05c85821c17d1f7024a1b89e4af4d16f648f282653134978cad54eeb a3c3513c8abd798f523d1009c0729d356b8034fe1d53ffa9c286e6d5807f3d96 b5c299522bb8be336328579d39e9528be721e838314cea9cc329ec5ad2b3f542 c0e3889d1edea939865d4faf986d13db9f0f9ffc17e191024ae5219ba03fd719 c86c40be73fb24b7ec5fdf77f813e846e7f59d215e857e0da3cdad3cd10e41f2 daf79cda32bacdcfbde156917fa341d6deac3b179d26ed608623beb2cb6f54d7 e6708d6e22cd5e522d222736e684a285dcbd523b6852dcf7385d2262670b0be1 fbb06657de07566d87917aa53d794022ad358869bd0043efb437ecf378651204
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
エクスプロイト防止
Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。
| 過度に長い PowerShell コマンドを検出 -(6749) |
| 非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティソフトウェアなどからの検出を回避できることにあります。 |
| Dealply アドウェアを検出 -(4940) |
| DealPly は、オンライン ショッピングの利用体験を向上させると主張するアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。 |
| CVE-2019-0708 を検出 -(2301) |
| CVE-2019-0708 のエクスプロイト試行が検出されました。「BlueKeep」と呼ばれる脆弱性はヒープメモリの破損に起因しています。細工されたリモート デスクトップ プロトコル(RDP)要求の送信によりエクスプロイトされる可能性があります。エクスプロイトには認証が不要であり、かつ任意コードのリモート実行を許すことを踏まえると、自動拡散するワームとして使用されることも考えられます。 |
| プロセスの空洞化を検出 -(670) |
| プロセスハロウイング(Process Hollowing)は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。 |
| Kovter インジェクションを検出 -(124) |
| プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter には「ファイルレス」マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパムキャンペーンを通じて拡散しています。 |
| Gamarue マルウェアを検出 -(72) |
| Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。ワームファミリ「Gamarue」の亜種は、感染したシステムに接続されている USB ドライブやポータブルハードディスクを介してさらに拡散する可能性があります。 |
| Installcore アドウェアを検出 -(61) |
| Installcore は正規のアプリケーションにバンドルされるインストーラで、インストール時に望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。 |
| PowerShell ファイルレス感染を検出 -(17) |
| PowerShell コマンドが環境変数に格納され、実行されました。環境変数は通常、以前に実行したスクリプトによって設定され、回避手口として使用されます。この手口は、Kovter および Poweliks のマルウェアファミリで使用が確認されています。 |
| Corebot マルウェアを検出 -(13) |
| Corebot は、他の有名なマルウエアファミリで発見された機能を多く備えたトロイの木馬です。プラグインシステムを備え、C&C サーバからいつでも多様な機能を追加できます。これまでに、デスクトップのスクリーンショットを取得するなどのリモートアクセス機能が確認されています。ブラウザの通信を傍受して変更したり、データ(特に銀行関連のデータ)を盗み取ったりする機能も確認されています。 |
| ブラウザハイジャッカー「Palikan」を検出 -(9) |
| Palikan は、望ましくないアプリケーション(PUA)あるいはマルウェアの一種である、ブラウザハイジャッカーです。大半のケースでは目的や機能を明示しないか、一部を隠しています。システム上に存在すると、デフォルトのホームページや検索エンジンを変更する、悪意のあるサイトにトラフィックをリダイレクトする、アドオンや拡張機能、プラグインを勝手にインストールする、不要な画面や広告を表示させる、といった迷惑な操作を行います。Palikan に感染する場合の多くは、他のマルウェアによってインストールされるか、悪意のあるサイトを訪れた際に知らずにダウンロードされています。Palikan は DealPly と密接に関連しています。 |
本稿は 2020年4月3日に Talos Group
Tags:
コメントを書く
