本日の投稿では、9 月 18 日 ~ 9 月 25 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org
、または ClamAV.net をご覧ください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
| 脅威名 | タイプ | 説明 |
| Doc.Malware.Emotet-9762291-0 | マルウェア | Emotet は、最近で最も活発なマルウェアファミリのひとつです。さまざまなペイロードを配布する非常に高度なモジュール型の脅威です。Emotet はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 |
| Win.Trojan.ZeroAccess-9762336-0 | トロイの木馬 | ZeroAccess は Windows に感染するトロイの木馬です。感染したマシンにルートキットをインストールして潜伏し、クリック詐欺を実行するためのプラットフォームとして機能します。 |
| Doc.Malware.Sload-9762314-0 | 対策 | Sload ダウンローダは PowerShell を起動し、感染したシステムに関する情報を収集します。PowerShell により、最終的なペイロードまたは別のダウンローダがダウンロードされる可能性があります。 |
| Doc.Malware.Sagent-9762330-0 | 対策 | Sagent は、Microsoft Word ドキュメントから PowerShell を実行してバイナリをダウンロード、実行します。 |
| Win.Packed.Dridex-9762380-0 | パック処理済みマルウェア | Dridex は、感染したマシンからログイン情報などの機密情報を窃取する、既知のバンキング型トロイの木馬です。 |
| Win.Packed.Zeus-9762533-1 | パック処理済みマルウェア | Zeus はトロイの木馬です。キーロギングやフォームグラビング(form grabbing)などの方法により銀行のクレデンシャルといった情報を盗み出します。 |
| Win.Trojan.Bifrost-9762706-0 | トロイの木馬 | Bifrost はバックドアで、10 以上の亜種が存在しています。標準的なサーバ、サーバビルダー、そしてクライアントのバックドアを組み合わせることで、(そのクライアントを使用する)攻撃者が侵入先で任意コードを遠隔実行できるようにします。Bifrost は一般的な RAT 機能(ファイルマネージャ、スクリーン キャプチャ ユーティリティ、キーロギング、ビデオ録画、マイクとカメラの監視、プロセスマネージャ)を備えています。システムに侵入した場合、「Bif1234」や「Tr0gBot」などのミューテックスを使用します。 |
脅威の内訳
Doc.Malware.Emotet-9762291-0
侵害の兆候
- 動的分析により 54 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> | 22 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: Type |
22 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: Start |
22 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: ErrorControl |
22 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: ImagePath |
22 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: DisplayName |
22 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: WOW64 |
22 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: ObjectName |
22 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: Description |
22 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\APPIDPOLICYENGINEAPI | 2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\APPIDPOLICYENGINEAPI 値の名前: Type |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\APPIDPOLICYENGINEAPI 値の名前: Start |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\APPIDPOLICYENGINEAPI 値の名前: ErrorControl |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\APPIDPOLICYENGINEAPI 値の名前: DisplayName |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\APPIDPOLICYENGINEAPI 値の名前: WOW64 |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\APPIDPOLICYENGINEAPI 値の名前: ObjectName |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\TIMEOUT | 2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\TIMEOUT 値の名前: Type |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\TIMEOUT 値の名前: Start |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\TIMEOUT 値の名前: ErrorControl |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\TIMEOUT 値の名前: DisplayName |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\TIMEOUT 値の名前: WOW64 |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\TIMEOUT 値の名前: ObjectName |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\APPIDPOLICYENGINEAPI 値の名前: ImagePath |
2 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\APPIDPOLICYENGINEAPI 値の名前: Description |
2 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 74[.]219[.]172[.]26 | 54 |
| 34[.]192[.]19[.]33 | 54 |
| 209[.]105[.]242[.]72 | 14 |
| 134[.]209[.]36[.]254 | 7 |
| 120[.]138[.]30[.]150 | 2 |
| 104[.]156[.]59[.]7 | 2 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| geevida[.]com | 54 |
| elrofanfoods[.]com | 14 |
| e13678[.]dspb[.]akamaiedge[.]net | 2 |
| api[.]w[.]org | 1 |
| gmpg[.]org | 1 |
| www[.]yelp[.]com | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %HOMEPATH%\FsZ5e2W | 54 |
| %HOMEPATH%\FsZ5e2W\ZVF7izO | 54 |
| %HOMEPATH%\Fsz5e2w\Zvf7izo\Waqihok7.exe | 54 |
| %SystemRoot%\SysWOW64\<random, matching ‘[a-z]{8}’> | 15 |
| %TEMP%\<random, matching ‘[a-z]{3}[A-F0-9]{3,4}’>.tmp | 5 |
| %System32%\KBDUGHR\PCPKsp.exe (copy) | 1 |
| %System32%\KBDMLT48\OobeFldr.exe (copy) | 1 |
| %System32%\certmgr\microsoft-windows-processor-aggregator-events.exe (copy) | 1 |
| %System32%\logagent\PlayToReceiver.exe (copy) | 1 |
| %System32%\pots\sdchange.exe (copy) | 1 |
| %System32%\SettingsHandlers_Geolocation\Windows.AccountsControl.exe (copy) | 1 |
| %System32%\TabSvc\SurfaceHubHandlers.exe (copy) | 1 |
| %System32%\KBDUSR\pcsvDevice.exe (copy) | 1 |
| %System32%\syncui\dot3mm.exe (copy) | 1 |
| %System32%\RpcRtRemote\shellstyle.exe (copy) | 1 |
| %System32%\PersonaX\sas.exe (copy) | 1 |
| %System32%\sbeio\DevicePairingProxy.exe (copy) | 1 |
ファイルのハッシュ値
02451c13f63ed93c6ed0c0e4a3025100834fd59eeaa78acff45d726c056b2293 06875ecfcdad40771a2a6d4ea795ebf797776a5fb3289a4f4f6207dc2d4ff91f 07687b2d27dd0a53f82aaa9379b2bd9e62b3e60c83dc4cf2820fe254a93190d4 0d987ad0bb7b11f4b0ac95bf8738d54798555aa9a230cb070fe3d465424939f4 0f8ad495b637bd894dc76a691518d635d697c1caa4991bb75c8a17f010863e73 1507825b3185d4763904f53704f18fd1157aeb1eb25ec77e5643e8a48173e53f 1c3544c3d12411b68e3260fa40e9dc0826c344c9a131928a04c7f8f517166645 1e5ed60832baaf0e362870373615cff90279bbbc4e544c76224f7528687276ee 201b4b59a31c60055c285e64737d5bcba8974b4400c27f37765636deea097b30 234a1653236e959e6329aec64c1de58538db56e66156f95517c05b62487d70ff 25a6131ae25ca2ee10362cdc735535fed0c9bf3698dcb965b751015139477987 25d1788ec133f048b97e9f205cf6c7b69e50ed0418bd9877553aba8a7bdaefc8 278fc88598a0bfe49be55465fdb975272c6315e3845d604caba7631cc5f32595 2ed87b6a729e1a7f3e6630bab57b2254b83a7cf47124bdee8823e08453bbc917 31cb369a681abfdf77ba8e1aeddac6d335200c11fae59ddd6f757c0963573499 32eec3ec66c12e442e79982e74f902432abb353ca97501ad43d92c300a1fbc4e 37af168ebcdcec12d2835ecc3a569839ed4660717927ae3ab0cc6a4b8a733012 3cddfe22684c82c3eeeb0d3c0c8745719dcd417db42c4ea6774c9a10d1a88f3b 4254483388cd90e041291de79b3a3d26456908113cb0b2957401b5838c949c38 4d88090314c39059da536bb37270cdf7ffadeeda4ea768b55dcb9f2b807586f4 4e7ccb75b3690d8fd48b74cb9d74c7c7129f5faa0b4898c6000509053c92d693 557b0821e60a4ec8b803e5fc3f9f0aed39d988bd8d1bd1ff7904c5f07fb24e1e 61e4e3e7481e9f2ac3b784204e98e7d81b4e61e329ce55376c3954c81f41de61 670c131402354de954057f1eb06650e55ee70a17fe5360b26daec2ba40917157 679e5f33c444b178b0da6da41a58b4590f05e7c464293e3b1d8f858dbe157124
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
マルウェア
MITRE ATT&CK
Win.Trojan.ZeroAccess-9762336-0
侵害の兆候
- 動的分析により 67 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前: Start |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前: DeleteFlag |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前: Start |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS 値の名前: Start |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前: Start |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC 値の名前: Start |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS 値の名前: DeleteFlag |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前: DeleteFlag |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前: DeleteFlag |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\BROWSER 値の名前: Start |
66 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Windows Defender |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前: Type |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前: ErrorControl |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS 値の名前: Type |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS 値の名前: ErrorControl |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC 値の名前: Type |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC 値の名前: ErrorControl |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC 値の名前: DeleteFlag |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前: Type |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前: ErrorControl |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前: Type |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前: ErrorControl |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\BFE 値の名前: Type |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\BFE 値の名前: Start |
66 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\BFE 値の名前: ErrorControl |
66 |
| ミューテックス | 発生回数 |
| Global\e885f9a1-f894-11ea-887e-00501e3ae7b6 | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 213[.]253[.]253[.]254 | 50 |
| 212[.]253[.]253[.]254 | 50 |
| 190[.]253[.]253[.]254 | 50 |
| 201[.]253[.]253[.]254 | 50 |
| 88[.]254[.]253[.]254 | 49 |
| 71[.]254[.]253[.]254 | 49 |
| 87[.]254[.]253[.]254 | 49 |
| 180[.]254[.]253[.]254 | 49 |
| 135[.]254[.]253[.]254 | 49 |
| 115[.]254[.]253[.]254 | 49 |
| 190[.]254[.]253[.]254 | 49 |
| 206[.]254[.]253[.]254 | 47 |
| 222[.]254[.]253[.]254 | 47 |
| 130[.]185[.]108[.]132 | 35 |
| 83[.]133[.]123[.]20 | 35 |
| 24[.]202[.]111[.]53 | 16 |
| 173[.]216[.]235[.]76 | 15 |
| 64[.]146[.]190[.]201 | 15 |
| 66[.]188[.]233[.]100 | 15 |
| 188[.]113[.]127[.]144 | 14 |
| 208[.]99[.]130[.]31 | 14 |
| 207[.]219[.]39[.]43 | 14 |
| 49[.]135[.]45[.]143 | 14 |
| 62[.]241[.]101[.]233 | 14 |
| 174[.]45[.]44[.]224 | 14 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| j[.]maxmind[.]com | 66 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %System32%\LogFiles\Scm\e22a8667-f75b-4ba9-ba46-067ed4429de8 | 66 |
| %SystemRoot%\assembly\GAC_32\Desktop.ini | 58 |
| %SystemRoot%\assembly\GAC_64\Desktop.ini | 58 |
| \$Recycle.Bin\S-1-5-18 | 58 |
| \$Recycle.Bin\S-1-5-18\$0f210b532df043a6b654d5b43088f74f | 58 |
| \$Recycle.Bin\S-1-5-18\$0f210b532df043a6b654d5b43088f74f\@ | 58 |
| \$Recycle.Bin\S-1-5-18\$0f210b532df043a6b654d5b43088f74f\L | 58 |
| \$Recycle.Bin\S-1-5-18\$0f210b532df043a6b654d5b43088f74f\U | 58 |
| \$Recycle.Bin\S-1-5-18\$0f210b532df043a6b654d5b43088f74f\n | 58 |
| \$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$0f210b532df043a6b654d5b43088f74f | 58 |
| \$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$0f210b532df043a6b654d5b43088f74f\@ | 58 |
| \$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$0f210b532df043a6b654d5b43088f74f\L | 58 |
| \$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$0f210b532df043a6b654d5b43088f74f\U | 58 |
| \$Recycle.Bin\S-1-5-21-2580483871-590521980-3826313501-500\$0f210b532df043a6b654d5b43088f74f\n | 58 |
| \$Recycle.Bin\S-1-5-21-1160359183-2529320614-3255788068-500\$bc873181c718236380cd637b8be3cfa0\@ | 46 |
| \$Recycle.Bin\S-1-5-21-1160359183-2529320614-3255788068-500\$bc873181c718236380cd637b8be3cfa0\n | 46 |
| \systemroot\Installer\{0f210b53-2df0-43a6-b654-d5b43088f74f} | 8 |
| \systemroot\system32\services.exe | 8 |
| %System32%\services.exe | 8 |
| %SystemRoot%\Installer\{0f210b53-2df0-43a6-b654-d5b43088f74f}\@ | 8 |
| %SystemRoot%\Installer\{0f210b53-2df0-43a6-b654-d5b43088f74f}\L | 8 |
| %SystemRoot%\Installer\{0f210b53-2df0-43a6-b654-d5b43088f74f}\U | 8 |
| \RECYCLER\S-1-5-18\$ad714f5b8798518b3ccb73fd900fd2ba\@ | 1 |
| \RECYCLER\S-1-5-18\$ad714f5b8798518b3ccb73fd900fd2ba\n | 1 |
| \RECYCLER\S-1-5-21-1258710499-2222286471-4214075941-500\$ad714f5b8798518b3ccb73fd900fd2ba\@ | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
027d20d6a1efcb5ba9979656607880bc3dd3a9bb93cd5c4580caa384558e8608 0462cdbb515473a57a6718a0c67b8080ab2877e8f3b78ba769422d4356a7115f 04acf9e5fa9b61a065104b93edea76f78771779eb48cb672c9f2d9315ff6bfa7 052c177b7f8bff5828877b0cc1f13265d21c0ffcbbb2c7a36669af28ed4437ea 05dc396f152310c171db0a352ef64295b946c0c1d88d75b1110a720932da573b 064b4db9024fe7e2dcf3af5c3e5d1b384d8f86aefd13462c173e8087321534c1 076ebb1c0bcdb6a45227c91893fde763951ac5b65c5419beda13cc407f594000 08c03f3a77d4ba9cf04067f3b8068a4b55fdb53228c418af86ca92d4993d11b3 0909c00d18b53fb3c524350d7bd201a9506d2e8729cf4139ba478e854f2e2a56 09191d60f0711e990ca49d9deb4bd02f550b2ad768061db9caa513f437e75b86 098981ab154b22e4fcfb761a620dc0ef49a0864af7f177788fc4b5af0ffd82fb 0aa0e17f078f84be105de834baadbb805e47676ca24bfa7d183b5a0191a56d94 0aba9aa08f1f8f4db1013651a5403a3aed32b7b933f8247c901f464a42b89437 0ad4671d4eed839271d13fb22a2f5681eb5447aafd8553c59b2ff7a2080954a7 0b122f16afc2332b2f7462404124bf9694ecd99668cc929ddecce44c86d979f4 0c96e65758b0f79da552648abbeeafda8af9d9721b43a8f4fc874c590eef094e 0d09a7af8e24901daa631c9cf9132e07ddd83e26606eb9652c9c043dc137b730 0d5cc14920e744aae16771a17c5db951367ae47b65280a36e1b5463f9461bbf0 0e72890f504f3037e80e1e9c8b4d49bf6d7d689710423f54168c03471159bb90 0fe11696c1292acf6c6f9820c9aec3f8b30b5e307c1b579c0fa7ade6d7da7729 108a5673df119343c22f450341c2c643f9c5353971a7560d66871467a9d52401 1289454b308d151ecd9ae0c3369624c8f3a19445ebe9ef6a72a9360ee4394865 14efd6ac66819cc9f7d3c61c7451dedb4c3368c1d5d00cef14ca75d88042d2bd 153612c7b1ee7a02ff87a09c40685c2c9bf58a1161441ceb388de35293848852 15e0c876c3015ca7e87643b9997397fcd68e1889e836a15980551e38c8b985dd
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
Doc.Malware.Sload-9762314-0
侵害の兆候
- 動的分析により 35 個のサンプルから収集された IOC(脅威の兆候)
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 217[.]144[.]104[.]39 | 35 |
| 103[.]214[.]167[.]114 | 35 |
| 51[.]254[.]205[.]84 | 35 |
| 2[.]59[.]117[.]6 | 35 |
| 139[.]162[.]210[.]105 | 35 |
| 103[.]130[.]219[.]49 | 35 |
| 67[.]199[.]248[.]10/31 | 31 |
| 51[.]77[.]231[.]185 | 2 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| www[.]litespeedtech[.]com | 35 |
| api[.]w[.]org | 35 |
| gmpg[.]org | 35 |
| t[.]me | 35 |
| www[.]xinwenlook[.]com | 35 |
| kpisolutions[.]net | 35 |
| fgyapim[.]com | 35 |
| atomic-soft[.]com | 35 |
| auto-boot-like[.]com | 35 |
| salamatbanoo[.]ir | 35 |
| bit[.]ly | 31 |
| aragrp[.]com | 24 |
| schema[.]org | 6 |
| e13678[.]dspb[.]akamaiedge[.]net | 6 |
| mysterythemes[.]com | 6 |
| demo[.]mysterythemes[.]com | 6 |
| www[.]aparat[.]com | 4 |
| data-vocabulary[.]org | 1 |
| image[.]rakuten[.]co[.]jp | 1 |
| www[.]shonanbbq[.]jp | 1 |
| thumbnail[.]image[.]rakuten[.]co[.]jp | 1 |
| shop[.]r10s[.]jp | 1 |
| www[.]rtl-theme[.]com | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| \Kiloperit\Loterios.exe | 35 |
| \Kiloperit | 35 |
| \Kiloperit\Groters.cmd | 35 |
| %ProgramData%\Helpot.vbs | 35 |
| %ProgramData%\Kolester.vbs | 35 |
ファイルのハッシュ値
03c9fc78d2a6a7b6682111d70fd47483dbcce7b5b2b7395d9cb5e6bc53853b41 049fafbcead9f25231523454a2e9a0f6f53c1a994574d790725b5f7fdf9ad303 068e4de9a05da6cd60cea869b60a1b35b074d2d1209825ac8503ab0aff03e6a4 08f1e023603c5bbded2234f3da049ee5099d6acb02bd67f316755d3b5f05d8f5 0b74d64a1aa19b4cbf85eb94621ef62ea2a32d0b6fe7879f367e9b8de0816430 0e36f81f0332a4b6bca8e807abb020fe654be9a3e9022aed3ea071f888e97fdf 0f724265d9d4e4ffc4581971c97888235f8593435ff8c608e3cc53397bb5431d 0fdfa93636214d614b2b094d8a03de06abc0364ff5a4abfcbd0d9aa4f826521e 0ff59a32b7bb2a427995b7ada58410acd2aaf9a5a2a1b430300bb47bc678a269 1169a93ffa8c8a5b0a59f9c40b87fb10aca1400afabc34c8319a23b94e327312 16373f1b4582fefb527d420af700d11aabea5f8d04d4481a03253d698b5ed94f 182cedbb86f96a286d1f96d07a4aae0657e00759e68f35ac9b676e7a176d6dbf 1fdae763089dbe2e5e7083aa069b7cecb329d1e894cf443f11fa87b3cbe72919 20a600f4b85f601331e413e77e01def30375b5d12e8da0e283492fbf21603244 221aa40298b5256a2b79a0ba852c44f4f23e140461741ea73d686965e38a1361 258b991f4469d86316d73570a60c90ab04e5a4acd04c5685f9008df04a1c07df 26006a31ba4d51e415e005679b9ea5ea774d0e514668d0f77b53eafc60233bec 284db9216a0a55d8a72701e87aaea55eee5ac946dad7b37448f4eeb50e178989 2d140448346ac6b67b82091edceb992173989430b8b85fd55568a93e4092a625 2de306c8ff840bf87140f7774c0ed7c6dcbd4ada5db466311d8b9646d121afe0 34155568221422e29e5dc298e3e3be175f011b1e3412d32aba1676bfa3d5f995 3a2a758659051bb3a626c13d9eab2397d140de4b637a3e950e710d53a31fb017 3b6a9c380922f886ae04d45f888415278f0a5c7f7915f7f10f119ce042dc605c 3e90ed6a177d0200853ef7cffd29d202309a8b2d1d2006b7e3b89aa1a28de58e 3eca4c3c9bc710f41c2f8d947aba877de39f5c887e4b1d1d29950a729216472c
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
Doc.Malware.Sagent-9762330-0
侵害の兆候
- 動的分析により 18 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\CRYPTOGRAPHY\AUTOENROLLMENT | 18 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INSTALLER\USERDATA\S-1-5-18\PRODUCTS\00004119110000000000000000F01FEC 値の名前: VBAFiles |
3 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 13[.]32[.]202[.]80 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| fantasticvilla[.]xyz | 18 |
| e13678[.]dspb[.]akamaiedge[.]net | 9 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %HOMEPATH%\N5uIJVSp.dll | 18 |
| %APPDATA%\PC | 18 |
| %HOMEPATH%\N5uIJVSp.doc (copy) | 18 |
| %HOMEPATH%\N5uIJVSp.xls (copy) | 18 |
ファイルのハッシュ値
069e5be54a90423032dfb6d1427e79a9b0381b4ffd062b654a7cdf9764b89bc7 08e372f1bc0ab96dde9ffb0f62335dbe3556e40e11e1f49eec40454915b72a43 1d844ffbf1b97697df3bc2a3ad68d66cdfe697c7b73c49c5c877910846a400dc 240d2dc4b7fe6e02afcb86581c04c97afc57ce646a63d3abcecbddf82e550aae 392eb105fbbc2990e8dc4f218d15a6a969d685230404d4b1af0339e8f694ae90 4a0b98b381bd601807bff594232ec7364d16dab8625cea24b4cf2dfeda2b1722 6701a28e9f57760ba2816239bf9e4fe1cd0d6150b20b2e72d6eef8cdf64739db 6d1cb4ece476b54c928e1347fd2449594bb075e16b6ba4deea1fc573a63e4d8f 94c6b071d11e998abc16abbb0c3a8d856027a9eb410d6d70535f50ea2d7e0883 9f847b64223c4f284777b6eeeba9736b774d64dfccf626f0f9c1a3f1e3dfbd0f b38940afbc89af2a23ccb1c840c72f491fbb4cb955d82d43a83389660989a511 b7f0ec3f3b6a646ef56ab82745f31acbf842f4c107eee2b806f472867d2d96b1 c489afa673a152b4d4358d2541f8bf6256422d752f6a982aa5a9bc7c96d70b69 c6cd1a6759f8ea66bccc06824ed5d45c12d99c7b439f86151bf81c7f9c37ec15 e0d529d5aca4158976cbe5fa6578db3bc2dc2d962b01f0ade9626607e4b86613 e62efa2caf7914cd07c175ea92e67a41a24d88232fd36fa3518a97b418f4561f eb5fb231b6e4e0afaa51fbd2d91035d0f1f6369aaf69236a6acb5d3ac63f88c4 edd370a3535870cbd5e9b63d309cd380a57a9cf211b24dccac5ea31504674104
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
マルウェア
MITRE ATT&CK
Win.Packed.Dridex-9762380-0
侵害の兆候
- 動的分析により 23 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前: trkcore |
23 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前: DisableTaskMgr |
23 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{C8E6F269-B90A-4053-A3BE-499AFCEC98C4}.CHECK.0 値の名前: CheckSetting |
23 |
| ミューテックス | 発生回数 |
| 4oj60dJ9Xs | 2 |
| DUxkg1Zly8 | 2 |
| FsmwiIaXQJ | 2 |
| RgbpTIRzqH | 2 |
| S20rHVn78p | 2 |
| YK0jORqGpm | 2 |
| oQlriA2SC2 | 2 |
| pYAqiKTy6G | 2 |
| ysjNUhI3fQ | 1 |
| OxxTJgAuGK | 1 |
| ZSiWxuslLF | 1 |
| 3HZo5rwPDk | 1 |
| oxdyH9R916 | 1 |
| U0nOF345iD | 1 |
| OQuDgnKjgb | 1 |
| Dg8OhX9ks5 | 1 |
| ONdWouHBjG | 1 |
| qNKBbYN3Gk | 1 |
| KFJYC8aEJf | 1 |
| bZtEUuuwxr | 1 |
| eIR1MIHbxz | 1 |
| CFoRQitvit | 1 |
| Nq7tHYXINb | 1 |
| JgRLdW3NCE | 1 |
| qrgIwZpieG | 1 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 172[.]217[.]10[.]110 | 23 |
| 104[.]23[.]99[.]190 | 14 |
| 104[.]23[.]98[.]190 | 13 |
| 72[.]21[.]81[.]240 | 7 |
| 74[.]125[.]192[.]102 | 7 |
| 74[.]125[.]192[.]100/31 | 7 |
| 205[.]185[.]216[.]10 | 6 |
| 74[.]125[.]192[.]113 | 6 |
| 74[.]125[.]192[.]139 | 3 |
| 205[.]185[.]216[.]42 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| pastebin[.]com | 23 |
| ctldl[.]windowsupdate[.]com | 14 |
| cs11[.]wpc[.]v0cdn[.]net | 7 |
| cds[.]d2s7q6s2[.]hwcdn[.]net | 7 |
| www[.]cirrqqch1d[.]com | 2 |
| www[.]dwrutkyurj[.]com | 2 |
| www[.]eaoptse6xd[.]com | 2 |
| www[.]pddcairfkr[.]com | 2 |
| www[.]s570ijnkte[.]com | 2 |
| www[.]tbetwbt4lv[.]com | 2 |
| www[.]u2mhtlzsgn[.]com | 2 |
| www[.]y8bj6axylz[.]com | 2 |
| www[.]twrarbf1so[.]com | 1 |
| www[.]imxtrspuzg[.]com | 1 |
| www[.]ayyi7w08li[.]com | 1 |
| www[.]psmjdphj9d[.]com | 1 |
| www[.]twpm4fspo9[.]com | 1 |
| www[.]hmxcfbeqby[.]com | 1 |
| www[.]pgdigwtozq[.]com | 1 |
| www[.]waou2qqwkx[.]com | 1 |
| www[.]86lxhrlqmy[.]com | 1 |
| www[.]02n7kj0t9a[.]com | 1 |
| www[.]44cyorvjwu[.]com | 1 |
| www[.]ezrqi0knvw[.]com | 1 |
| www[.]6ephtujqmi[.]com | 1 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| <malware cwd>\old_<malware exe name> (copy) | 23 |
| %ProgramData%\Microsoft\Windows\SystemData\S-1-5-18\ReadOnly\LockScreen_Z\LockScreen___1024_0768_notdimmed.jpg (copy) | 2 |
| %ProgramData%\Microsoft\Windows\SystemData\S-1-5-18\ReadOnly\LockScreen_Z\~ockScreen___1024_0768_notdimmed.tmp | 2 |
ファイルのハッシュ値
035d479b0d8d6038778f5035ee923fd9122a04385872c8c6d71a4a293c910b93 0b4673a462153bae08b42d89a207e1e143ce6f1e09f1e699e6f3ac22fb71ec53 10640ef5faf9cd2940dc448d89eb0a88f2c5ecacc035e2935f7ca9382e67e2c3 1bd28ca2a03624886e95d6eb53ef2e235c52f7f516c7fc74745a54f02e781b31 27106585cf861dde191cbd4371669f986f26374e733a4ce2444de19f211d1c5c 3669ae6240e20cb0ee3d4fa94b139e23ade58f43f6440ebe63585dd21fbf57b6 40b56c85316aee14c1e3295b1f4d272b55a27e46b1726084c55b205da7d1c9bd 437396e9b50ead4451294d6eddf19208b89c290c908533bd1ca9263287fae470 4c472fbc64b2fe10e07709c2e404b918d7b89e715c2602f5397b0329774d1a2c 4e41a7d490526dbb89a51948086d61e4dc7e7cb1bfcbe719eb5d16352ce607ab 56d50c44ec8b0506fc2812867eb98267291f8cf0df0951f7fee825acca962b00 5eb49310bf7cbc3cbcf15a3441cc3febcd258f1ec66fb52ad5c9465fdb71cb33 741fc12e7bba22689b58326db0b693e6464319bd8efee22dc24b09f50c383688 78fde29214792451523f02665382130ee0e802299c9eb9b660b645504ba0dbdf 7b8b3c0b7ecf11495e8d52cdb4df0a1d1f2fe814a53304871e40f0276b4a3a77 833249b44657b7ed3da86063d8e1526f54d23d16550c2402a72799c5c74acf90 9dfb82625e7c32c29bb2ef43deb48e5d27fa3763a6021be7312db0308a00f6f9 c26e7ead6abe8250165448e53c573ef76c45842b3c14edf1568fe5d78cb70273 d2136443c3748082f2a34cdb75cbb5978083a32745b569e8ef26b1b104ca26d7 d542722be5855d84272c300d6a30d34de108aebd33dfd355354b438efcf1d972 d7b59bdf1a88095bd899b047b075f19d82725f7d0af43eab5e4da661b3c7925a e378a7087b33cb75dcd2433a40b284d953d52aa76ce3fb0320248db3ff1bdbd5 ee1427a7f3bb0f1679308be1545c7552a46f53cdca2ec5cb10c66ae9aff7356d
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
Win.Packed.Zeus-9762533-1
侵害の兆候
- 動的分析により 25 個のサンプルから収集された IOC(脅威の兆候)
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: {2EC645E8-BA31-AD44-55BA-04D54CAC27C8} |
11 |
| <HKCU>\Software\Microsoft\<random, matching ‘[A-Z][a-z]{3,11}’> | 11 |
| <HKCU>\SOFTWARE\MICROSOFT\AZOJ 値の名前: 257f4325 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\AZOJ 値の名前: 321172f |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\AGHE 値の名前: 10g3jc8j |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\AGHE 値の名前: 314c8b49 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\AZOJ 値の名前: 2a478bcj |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\AGHE 値の名前: 14c015a5 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\VYUCEC 値の名前: 32e7554e |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\VYUCEC 値の名前: j67a384 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\VYUCEC 値の名前: 36b9ba1c |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\COPOUV 値の名前: 1i3ae11a |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\COPOUV 値の名前: ea006f8 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\COPOUV 値の名前: 1e74d800 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\AWOJAD 値の名前: hijc2ga |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\AWOJAD 値の名前: 2j7e3bb4 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\AWOJAD 値の名前: 12f2286c |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\BYCUO 値の名前: 21hc4b0g |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\BYCUO 値の名前: ejhh122 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\BYCUO 値の名前: 1h1dfhha |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\IXIJQO 値の名前: 36d5d0id |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\NEEZ 値の名前: 96jb5ie |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\IXIJQO 値の名前: 1354daf3 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\NEEZ 値の名前: 1ej224cc |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\ENVAM 値の名前: 229cb09e |
1 |
| ミューテックス | 発生回数 |
| Global\{C30C6CF2-932B-408E-55BA-04D54CAC27C8} | 11 |
| Global\{566D79B0-8669-D5EF-55BA-04D54CAC27C8} | 11 |
| Global\{C8D239CA-C613-4B50-55BA-04D54CAC27C8} | 11 |
| Global\{C8D239CB-C612-4B50-55BA-04D54CAC27C8} | 11 |
| Local\{73DE6ED9-9100-F05C-55BA-04D54CAC27C8} | 11 |
| Local\{A9348FD8-7001-2AB6-55BA-04D54CAC27C8} | 11 |
| Local\{A9348FDF-7006-2AB6-55BA-04D54CAC27C8} | 11 |
| Global\{73DE6ED9-9100-F05C-55BA-04D54CAC27C8} | 11 |
| Global\{A5D858EA-A733-265A-55BA-04D54CAC27C8} | 11 |
| Global\{A9348FD8-7001-2AB6-55BA-04D54CAC27C8} | 11 |
| Global\{A9348FDF-7006-2AB6-55BA-04D54CAC27C8} | 11 |
| Local\{C8D239CA-C613-4B50-55BA-04D54CAC27C8} | 11 |
| Local\{C8D239CB-C612-4B50-55BA-04D54CAC27C8} | 11 |
| Local\{E9745CFB-A322-6AF6-55BA-04D54CAC27C8} | 11 |
| Global\{EC526BB1-9F5D-3B52-7F38-97EEB2CD3DDC} | 11 |
| Local\{AC12B892-4C7E-7B12-7F38-97EEB2CD3DDC} | 11 |
| Global\{866A889B-7C77-516A-7F38-97EEB2CD3DDC} | 11 |
| Global\{EC526BB6-9F5A-3B52-7F38-97EEB2CD3DDC} | 11 |
| Global\{36B88AB0-7E5C-E1B8-7F38-97EEB2CD3DDC} | 11 |
| Global\{E0BEBC83-486F-37BE-7F38-97EEB2CD3DDC} | 11 |
| Local\{8DB4DDA2-294E-5AB4-7F38-97EEB2CD3DDC} | 11 |
| Global\{130B9DD9-6935-C40B-7F38-97EEB2CD3DDC} | 11 |
| Local\{8DB4DDA3-294F-5AB4-7F38-97EEB2CD3DDC} | 11 |
| GLOBAL\{<random GUID>} | 11 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 172[.]217[.]6[.]196 | 11 |
| 194[.]94[.]127[.]98 | 11 |
| 69[.]39[.]74[.]6 | 11 |
| 108[.]211[.]64[.]46 | 11 |
| 64[.]219[.]121[.]189 | 11 |
| 99[.]76[.]3[.]38 | 11 |
| 184[.]77[.]29[.]7 | 11 |
| 189[.]148[.]234[.]112 | 11 |
| 71[.]43[.]217[.]3 | 9 |
| 96[.]57[.]35[.]109 | 9 |
| 71[.]42[.]56[.]253 | 9 |
| 101[.]162[.]73[.]132 | 9 |
| 99[.]122[.]152[.]158 | 9 |
| 66[.]180[.]118[.]226 | 9 |
| 66[.]117[.]77[.]134 | 7 |
| 1[.]186[.]47[.]244 | 7 |
| 13[.]107[.]21[.]200 | 6 |
| 176[.]73[.]85[.]137 | 6 |
| 120[.]151[.]159[.]254 | 5 |
| 204[.]79[.]197[.]200 | 4 |
| 50[.]22[.]46[.]49 | 4 |
| 94[.]68[.]49[.]208 | 3 |
| 94[.]70[.]45[.]182 | 3 |
| 122[.]170[.]68[.]114 | 3 |
| 187[.]25[.]37[.]13 | 3 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| cyxaerkijeuaupzhqjzxhkzmrmvxw[.]net | 3 |
| gmwgkfjfrcdamydbuucrhxzxqclv[.]org | 3 |
| hmnbdanrschumrtouxhmxwhfe[.]biz | 3 |
| hseuswtumvofhaugxcbuaskifzp[.]ru | 3 |
| hvwuwdellgqcaivwkeqzxhkhyea[.]org | 3 |
| knibxwsofqprztzpbyibhpvqcsh[.]ru | 3 |
| ldugqylugovtcpfuingawkugnws[.]com | 3 |
| llxcijbliflgqhiijivxkvkrcr[.]com | 3 |
| mjhhmhrovocqlnkjqkuayhxgvgoj[.]net | 3 |
| mvdyheugepjxxdgyxxsuceqv[.]info | 3 |
| mzqocmpfltdlirxcqwxwdmb[.]info | 3 |
| nbvcqsprcapbymreyvojvteagy[.]org | 3 |
| pgdgqxhufexpnfqcedvbaythu[.]com | 3 |
| pvyhfypvemoeqhxsgerotsorpsfe[.]ru | 3 |
| rshuptpdiypmjovfebcetxkud[.]com | 3 |
| soamvwpqwdxougljpjwpfbuzpuky[.]biz | 3 |
| tstcfobmbcizlrramfuhwckrn[.]net | 3 |
| tvkdezvwqkqclpnxsdapinamd[.]com | 3 |
| xgijwozlwbiddyeavkvintxnrv[.]biz | 3 |
| xwgbavssggegeubilbnzdpbwkjzt[.]biz | 3 |
| jvzxcyfquohmzyotkswskjnbn[.]biz | 2 |
| zthqlrtgcexobqkpqkoydheikj[.]org | 2 |
| kljvxotcuplskxqwbyizbro[.]org | 2 |
| vklfwsfqpbsxvobnzrkxshmrkd[.]com | 2 |
| xcpijwuyvktcbmuodykbkbp[.]biz | 2 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\<random, matching ‘[a-z0-9]{3,7}’> | 11 |
| %HOMEPATH%\AppData\LocalLow\<random, matching ‘[a-z]{4,6}.[a-z]{3}’> | 11 |
| %APPDATA%\<random, matching ‘[A-Z][a-z]{3,5}\[a-z]{4,6}’>.exe | 11 |
ファイルのハッシュ値
008eb39699e3f1e25a99ad5ad0e009479a28265d71640fff690a150ab6333281 0129de12fe86b237b56e2571270384e0c8c4ddb56231f2c567ddba0db41aeae3 04b41f395b07bfb1a4fe8336f16db600e5c3d2be4668b5f617ce641d5797dfd9 0a589773315e8bc6db275b0e32de138ede9e27286500edd49eb664b6b733ebbc 0d714de796072382a35d9df9d3016d1056c9984ecf4a6833c02aec4b23808935 0f97093b075563e9b3d47189385f039d21748dec6e1206067370b47092d9bf61 0fc19df55c679f8227f6a09054a5b127dd06daf19ca661be91a1b96693ab8e6f 104293454eb174fb1884c8cb6e58d30f906b8d329bda3e20ca59e25639dc4ad4 13e3edf187300d22d6dbf77bde2d76520f51cf66fa759ebe38f188f8e56e0143 17cd0bb98f0af47043726aa86d97006a9e3e7b8c8872dad9d039efa3c3a4b2f1 18a09411244cf70c6c4962f5f5f1d1f236df10a6bab619abbcdad1abae2a7894 1b2a9b35e1f9e80617d5e2954ee05eb315b820c9e35da72f5a826bbff7c8bada 1d3692cf25073a5196bbdf2e2ccb379565608f284e76be4e958c30b37cb197b6 20be0007f25a1d12a8d6e8097d6a069a2b3c490752d41ea6122ac9374a183a5b 216dd43e1c914aafce59f5d33d08a4e2f8ce49eeda6201bbf305a155d660bf25 23889f129e9110a487a3e8414ca391c1121b77d52004a32ce71ad94182e56971 252dc756b8ae9aa8801f1b0beb037d106171737b2b11726bd81c665cf1426f32 2d7d0a2e4dbf9068a88dc6719ca3f5378656254640016a466e2967ac6305ac5d 30dc76d5b547a28814954b7944994298752508aee2efb08a61167ee1867adb98 3135534aa250fbd72855c979b35d9576baf00eb35ae7d754d008bab6f79bb97a 320400599f98440e7b5279c237c3dc3e7b436df97d234ccca0655c41132a6f13 32300287ad3597b90ea74ed4a15deb66c5b582edfd07a8fc83c03ef1f83c5dfb 324f36e3aa5ee93cfe61197459f3ee4339ecf0d77923ead7b58d8ffd0d881fe2 3297444a89a624daeb5dac74676a934f860674f5dde6abc604385b973289c034 33df5508c74510411d13ce0f081dfad167a2578fa4e39f57483e29281871c48b
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
Win.Trojan.Bifrost-9762706-0
侵害の兆候
- 動的分析により 10 個のサンプルから収集された IOC(侵害の兆候)
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前: wextract_cleanup0 |
10 |
| ミューテックス | 発生回数 |
| Bif1234 | 7 |
| Bif123 | 2 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\IXP000.TMP | 10 |
| %TEMP%\IXP000.TMP\TMP4351$.TMP | 10 |
| %TEMP%\IXP000.TMP\server.exe | 7 |
| %ProgramFiles%\Bifrost\server.exe | 2 |
| %TEMP%\IXP000.TMP\2.exe | 1 |
| %TEMP%\IXP000.TMP\C.exe | 1 |
| %TEMP%\IXP000.TMP\Nashy.exe | 1 |
ファイルのハッシュ値
0c7cfdb105207defaace858de7a8ef41901a4e5a74e8c9979d9404d83e224281 1030569e9129cb53086600f621e3a7b63783b5a923be50f6ca37bbd457770a8c 57271aac1488b190544c050c8c85cc9754b09a2d52e6a68391253c8896650206 79c335ad937f152d5e3d00ee75c39ad3abfe346e8b99bea411dd2154b3c8d248 8b539518d084a081d6b6a5706665cc72dd71071e13dc16baf8d74e214c79e0ac a1bfc3a15fba0c137b35a437c08175ccd538d2f3c0b0d88f638464375f86a687 c4fa768634a7a6a8fcd7e70aabf2977c66f61b6329b15d75d00c0fa23d6d9b9c c880e5c781c95fa30ee3320e3df2398e5b3121eec412da2aba6e523691159253 d628dd1d65514247d90cd78e0f8a730e2d7fe9a1506b3bdca3ebcc74a6c657a1 d8d8f7680ac056a17693ac03dbadbb02410917a67d8c55ced688fc9039296c8b
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
MITRE ATT&CK
エクスプロイト防止
Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。
| アドウェア「Dealply」を検出 -(9487) |
| DealPly は、オンラインショッピングの利用体験を向上させると主張するアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。 |
| プロセスハロウイングを検出 -(4885) |
| プロセスハロウイング(Process Hollowing)は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。 |
| 過度に長い PowerShell コマンドを検出 -(4835) |
| 非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティソフトウェアなどからの検出を回避できることにあります。 |
| CVE-2019-0708 を検出 -(1444) |
| CVE-2019-0708 のエクスプロイト試行が検出されました。「BlueKeep」と呼ばれる脆弱性はヒープメモリの破損に起因しています。細工されたリモート デスクトップ プロトコル(RDP)要求の送信によりエクスプロイトされる可能性があります。エクスプロイトには認証が不要であり、かつ任意コードのリモート実行を許すことを踏まえると、自動拡散するワームとして使用されることも考えられます。 |
| Certutil.exe によるファイルのダウンロードを検出 -(988) |
| certutil.exe ユーティリティによるファイルのダウンロードと実行を検出しました。ダウンロードされたファイルからは、実行時に不審な動作が確認されています。certutil.exe を使用する多くのケースは証明書情報を取得します。攻撃者は certutil.exe を使用することで、追加のペイロードをダウンロードできます。 |
| Smoke Loader を検出 -(799) |
| Smoke Loader が検出されました。Smoke Loader は主に、ランサムウェアや暗号通貨マイナーなど、悪意のあるソフトウェアを実行するために使用されます。最初の感染媒体には、悪意のある Microsoft Word ドキュメントを含んだ電子メールか、エクスプロイト キットを介して配信される電子メールが主に使用されます。Smoke Loader はさまざまなプラグインを使用して、感染したシステム上に保存されているログイン情報や、HTTP、HTTPS、FTP、SMTP、POP3、IMAP を介して転送されるログイン情報などを盗み出します。 |
| アプリケーション許可リストの迂回手口「Squiblydoo」を検出 -(603) |
| アプリケーションの許可リストを迂回するための、「Squiblydoo」と呼ばれる手口が検出されました。この手口では一般に、攻撃者が管理するサーバからスクリプトを取得して regsvr32 により実行するなどの手順が含まれます。 |
| Crystalbit-Apple DLL ダブルハイジャックを検出 -(542) |
| Crystalbit-Apple DLL ダブルハイジャックが検出されました。この攻撃では、2 社(CrystalBit と Apple など)の正規アプリケーションが悪用されます。不正なソフトウェアバンドルから感染が始まり、最終的には暗号通貨マイナーの常駐化や、場合によってはスパイウェアの侵入につながります。 |
| アドウェア「Installcore」を検出 -(262) |
| Installcore は正規のアプリケーションにバンドルされるインストーラで、インストール時に望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。 |
| Kovter インジェクションを検出 -(138) |
| プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter には「ファイルレス」マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパムキャンペーンを通じて拡散しています。 |
本稿は 2020 年 9 月 25 日に Talos Group
Authors
コメントを書く