Talos 読者の皆様、こんにちは。
Microsoft 社は今週、2021 年の第 1 弾となる月例のセキュリティ更新プログラムをリリースし、同社製品スイート全体に関連する 83 件の脆弱性についての情報を公開しました。Talos のブログ記事には、ネットワークを保護するためにリリースされた Snort ルールとともに、特に注意を要する重要な脆弱性についての説明が記載されています。
また、TalosIntelligence.com のお客様は新しくなったコンテンツおよび脅威カテゴリのリストをご確認いただけます。今回の更新により、十分なインテリジェンス情報に基づいてより的確な意思決定を下せるようになり、生産性を低下させることなくネットワークを保護できるようになります。
件名:「クライムウェアの武装競争:最新のマルウェア武装化技術と検出回避技術」
イベント:CactusCon
開催日:2 月 6 〜 7 日
講演者:Edmund Brumaghin、Nick Biasini
概要:近年、実際のインシデントで見つかるマルウェアサンプルの数が爆発的に増加しているため、自動分析プラットフォームの開発に多大な労力が費やされています。これらのプラットフォームは通常、制御された環境でファイルを実行し、その動作を観察して、ファイルが無害か有害かを判断します。こうした技術の利用が増えるにつれて、攻撃者は自動分析を回避して検出を逃れる技術の開発に多くのリソースを投入しています。また、マルウェアの開発者は、分析を困難にするためのさまざまな手法も導入し続けています。最近のボットネットは、セキュリティ機関や法執行機関による介入に対して復元力を高めるために、新たな手法をインフラストラクチャに導入し始めています。このプレゼンテーションでは、分析と検出を回避するために攻撃者が使用している最新技術について説明します。また、セキュリティ業界や法執行機関による介入に対して耐性のある C2 通信チャネルを確立するために攻撃者が使用している新技術についても説明します。具体例を取り上げ、これらの技術が利用されているケースを詳細に分析し、それらの技術に対する効果的な防御方法について説明します。
件名:Microsoft 社が月例のセキュリティ更新プログラムをリリースし、10 件の「緊急」を含む 83 件の脆弱性を公開
説明:Microsoft 社は、2021 年の第 1 弾となる月例のセキュリティ更新プログラムをリリースし、同社製品スイート全体に関連する 83 件の脆弱性についての情報を公開しました。「緊急」と評価された脆弱性は 10 件のみで、「警告」が 2 件、残りは「重要」となっています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。このセキュリティ更新プログラムの対象には、Microsoft Defender ウイルス対策ソフトウェア、Microsoft Remote Procedure Call ツール、Windows デバイスとの Bluetooth 通信など、さまざまな製品とサービスが含まれています。最も深刻な脆弱性の 1 つは、Microsoft Defender に存在します。CVE-2021-1647 は、Windows 2008 以降の特定のバージョンの Windows に影響します。この脆弱性がエクスプロイトされると、侵入先のマシンで任意のコードが実行される危険性があります。Microsoft 社によると、今回の修正はマルウェア対策製品に対する同社の定例更新であるため、このセキュリティ更新プログラムをインストールして脆弱性を修正するためにユーザが操作を行う必要は特にありません。
Snort SID:56849 〜 56860、56865
件名:Lokibot が新たなドロッパーを実装
説明:Lokibot は現在最も有名な情報窃盗型マルウェアの 1 つです。多くの Lokibot 攻撃では、複数のログイン情報やその他の機密情報が攻撃者に流出します。今回発見された最新のキャンペーンでは、被害者のマシン上で Lokibot を実行するために、マルチステージ型かつマルチレイヤ型の複雑なドロッパーが使用されています。Lokibot 攻撃は、まず悪意のある XLS 添付ファイルをフィッシングメールで送り付けます。添付ファイルに含まれる難読化済みのマクロが実行されると、高度にパック処理された第 2 ステージ用のダウンローダがダウンロードされます。第 2 ステージでは暗号化された第 3 ステージが取得され、3 層構造の暗号化された Lokibot がダウンロードされます。第 3 ステージでは、権限昇格が発生した後に Lokibot が展開されます。次の図に、この攻撃の感染チェーンを示します。
Snort SID:56577、56578
SHA 256:20f0ce6ae08d954767bdd8445017453475d53fe1e448c07da7a8a6a1194374c6
MD5:6902aa6dd0fbd0d1b647e8d529c7ad3f
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:W32.Variant.23nh.1201
SHA 256:a463f9a8842a5c947abaa2bff1b621835ff35f65f9d3272bf1fa5197df9f07d0
MD5:9b7c2b0abf5478ef9a23d9a9e87c7835
一般的なファイル名:INV1458863388-20210111852384.xlsm
偽装名:なし
検出名:W32.A463F9A884-90.SBX.TG
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:santivirusservice.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:6fdfcd051075383b28f5e7833fde1bb7371192f54e381c8bdfa8e68269e3dc30
MD5:0083bc511149ebc16109025b8b3714d7
一般的なファイル名:webnavigatorbrowser.exe
偽装名:WebNavigatorBrowser
検出名:W32.6FDFCD0510-100.SBX.VIOC
最新情報を入手するには、Twitter
本稿は 2021 年 01 月 14 日に Talos Group
のブログに投稿された「Threat Source newsletter (Jan. 14, 2021) 」の抄訳です。
