Cisco Japan Blog

1 月 22 日 ~ 1 月 29 日の 1 週間における脅威のまとめ

6 min read



 

本日の投稿では、1 月 22 日 ~ 1 月 29 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ脅威の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.orgpopup_icon、または ClamAV.netpopup_icon をご覧ください。

本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。MITRE ATT&CK 手口についても、脅威ごとに図示されています。図の中における手口の色が明るいほど、動的分析が行われた脅威ファイル全体で多く確認されたことを示しています。明るさは 5 段階で、最も暗いものはファイル全体で確認されなかった手口を、最も明るいものはファイル全体の 75% 以上で確認された手口を表します。

今回ご紹介する、最も蔓延している脅威は次のとおりです。

脅威名 タイプ 説明
Win.Packed.Dridex-9823030-1 パック Dridex は、感染したマシンからログイン情報などの機密情報を窃取する、既知のバンキング型トロイの木馬です。
Win.Trojan.Gh0stRAT-9823621-1 トロイの木馬 Gh0stRAT は有名なリモートアクセスのトロイの木馬ファミリで、感染したシステムを完全に攻撃者の支配下に置くことを意図して作られています。キーストロークをモニタリングしたり、Web カメラ映像を収集したりするほか、後続のマルウェアをアップロードおよび実行する機能があります。Gh0stRAT のソースコードは長年にわたってインターネット上で公開されているため、他の攻撃者は非常に簡単にコードを入手して変更し、新たな攻撃に再利用できます。
Win.Ransomware.Cerber-9826826-1 ランサムウェア Cerber は、ドキュメント、写真、データベースなどの重要なファイルを暗号化するランサムウェアです。これまではファイルを暗号化し、ファイル拡張子に「.cerber」を追加していましたが、最近のキャンペーンでは他のファイル拡張子を使用しています。
Win.Trojan.Hupigon-9823466-0 トロイの木馬 Hupigon は感染した PC でバックドアとして機能するトロイの木馬です。
Win.Packed.Tofsee-9824692-1 パック Tofsee は、多数のモジュールにより多様なアクティビティを実行する多目的マルウェアです。それらのアクティビティには、スパムメッセージの送信、クリック詐欺の実行、暗号通貨の不正マイニングなどが含まれます。いったん感染すると、システムが Tofsee スパムボットネットの一部と化し、大量のスパムメールを送信するために悪用されます。これにより他のシステムにも感染が広がり、攻撃者の支配下にあるボットネットの全体数が増えていきます。
Win.Dropper.DarkComet-9823729-1 ドロッパー DarkComet とその亜種はリモートアクセスのトロイの木馬です。感染したシステムを攻撃者が制御できるようにします。感染したマシンからファイルをダウンロードする機能や、永続化と隠蔽の機能、および感染したシステムからユーザ名とパスワードを送り返す機能を備えています。
Win.Virus.Expiro-9826837-0 ウイルス Expiro は既知のファイルインフェクタで、情報窃取型ウイルスです。デバッグ回避と分析回避により分析を妨害します。
Win.Packed.Chthonic-9826669-1 パック Chthonic はバンキング型トロイの木馬で、Zeus の亜種です。一般にフィッシング メールを介して拡散し、感染したシステムから機密情報を盗み出します。Azorult といった他の情報詐取型マルウェアを追加でダウンロードするケースも確認されています。

脅威の内訳

Win.Packed.Dridex-9823030-1

侵害の兆候

  • 動的分析により 14 個のサンプルから収集された IOC(脅威の兆候)
作成されたファイルやディレクトリ 発生回数
<malware cwd>\old_<malware exe name> (copy) 14

ファイルのハッシュ値

3755691f9bff778d637b19b94a67492af2442f95cab2591b988210330875b0df 4348e58057aee19e92f8ff04e1c34518d27870def8023f9b307741d3b0b21b53 49d77a61ac463c8cc04b86fc519d7a8053d3a2327491ded37eede6439309299e 4cc918dace37f097834e5f64701d3b1e3734cb969b40dde671819f1793fcea30 79a341dfe5c6a25846666c8e47422118eb3b005abfe5ba29f56d2ddddfbc6ca1 7a60d512a90316abe8b5d0edc11118e6e6fb091f86a4a21ee14ce6b977bda250 8ec4aa6cbb01256b9deef81bcf3eb5f86317bf422d5996e37e84dbbb22631682 8ed7be33532c3cd759649af68db4f28646630d0646a2e254f1b27ec16565d655 ad14c8b993a4e03ebecf7358c091914a6c3441fb3870973eedbb38202841596c c3c0b001e5e52f04f0c97aa90fdee8c2c00ab704f685c07c8e47118637eb245c e116f1afd7344ffd8ae03a10a2fa94dd1b17e05201237508af4899783e18e1c5 e34085a13c1a9178a5160993834aa9052440948955a7cc6cc795331f96fc7dbd e58224d96312291f651e2213437699c7506fbaf9d96ba6054daa9703e9c8dc07 fad4999eac6048223f2cad76805e38b2048db2677531d1f68c25ecdb7ee41dcb

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Trojan.Gh0stRAT-9823621-1

侵害の兆候

  • 動的分析により 13 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ABCDEF HIJKLMNO QRS
値の名前:Type
4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ABCDEF HIJKLMNO QRS
値の名前:Start
4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ABCDEF HIJKLMNO QRS
値の名前:ErrorControl
4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ABCDEF HIJKLMNO QRS
値の名前:WOW64
4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ABCDEF HIJKLMNO QRS
値の名前:ObjectName
4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ABCDEF HIJKLMNO QRS
値の名前:FailureActions
4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ABCDEF HIJKLMNO QRS
値の名前:Description
4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ABCDEF HIJKLMNO QRS
値の名前:DisplayName
4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ABCDEF HIJKLMNO QRS 4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\ABCDEF HIJKLMNO QRS
値の名前:ImagePath
4
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GHIJKL NOPQRSTU WXY
値の名前:Description
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GHIJKL NOPQRSTU WXY
値の名前:Start
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GHIJKL NOPQRSTU WXY
値の名前:DisplayName
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GHIJKL NOPQRSTU WXY
値の名前:WOW64
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GHIJKL NOPQRSTU WXY
値の名前:ObjectName
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GHIJKL NOPQRSTU WXY
値の名前:FailureActions
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GHIJKL NOPQRSTU WXY
値の名前:Type
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GHIJKL NOPQRSTU WXY
値の名前:ErrorControl
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GHIJKL NOPQRSTU WXY 2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GHIJKL NOPQRSTU WXY
値の名前:ImagePath
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VWXYAB DEFGHIJK MNO
値の名前:DisplayName
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VWXYAB DEFGHIJK MNO
値の名前:WOW64
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VWXYAB DEFGHIJK MNO
値の名前:ObjectName
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VWXYAB DEFGHIJK MNO
値の名前:FailureActions
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\PQRSTU WXYABCDE GHI
値の名前:Description
1

 

ミューテックス 発生回数
<original file dir>\<original file name>.exe 13
gyw.f3322.net:8016 3
C:\Windows\kqumii.exe 3
cq3426.3322.org:1150 3
C:\Windows\gmgueg.exe 3
www.q-show.org:1150 2
C:\Windows\ciscae.exe 2
C:\Windows\vondgu.exe 2
C:\Windows\rkzlcs.exe 1
www.xuwupiaomiao.com:801 1
115.28.153.10:1150 1
127.0.0.1:1150 1
pzss.f3322.org:1165 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
59[.]46[.]80[.]202 3
103[.]252[.]19[.]106 3
185[.]199[.]109[.]153 1
185[.]199[.]111[.]153 1
115[.]28[.]153[.]10 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
gyw[.]f3322[.]net 3
cq3426[.]3322[.]org 3
www[.]q-show[.]org 2
www[.]xuwupiaomiao[.]com 1
pzss[.]f3322[.]org 1
zqyxuwupiaomiao[.]github[.]io 1

 

作成されたファイルやディレクトリ 発生回数
%SystemRoot%\kqumii.exe 3
%SystemRoot%\gmgueg.exe 3
%SystemRoot%\boxlou.exe 2
%SystemRoot%\wwmiwy.exe 2
%SystemRoot%\ciscae.exe 2
%SystemRoot%\vondgu.exe 2
%SystemRoot%\mmqcmg.exe 1
%SystemRoot%\hufzuk.exe 1
%SystemRoot%\kkwgks.exe 1
%SystemRoot%\lchlci.exe 1
%SystemRoot%\rkzlcs.exe 1
%SystemRoot%\ookyou.exe 1
%SystemRoot%\vipxie.exe 1

ファイルのハッシュ値

1cb9155a8f2b0116c74ad7207c24d8d62cc16a499202099b67b5dba66a939359 1fab2aff0dbcac874252922eafa755f599e161066f2750ffbbfdebf422398abc 353a9f9a607ba9911212d189dad291ed746f41539c55cdcf21ea2cc074bba64b 362341c99234be0662dc57f292eb4ddf1bb2af0c883834ef4ebbdea536bb4462 48b97e4ee26211111b9f8430d0f20851bad219d476638ec4238c8a73903ba6ab 57f03d3dcecb74f91be7da44b22f7283ab8d89bcbe84b743c1a07bbe75b75b81 5fc6610e630742ea6342d103b9e79c5f2b38fe35e55479d373866a8788085de5 80f14ef95b63e9ffa1ba4597f46aca85aa4ec3de4776f0beb4f8652d1b35071d b98016fd39b41a7ff58c7ea2ff0c2b251fe04ebd4c7f4cb5c9239888df273455 b9f1d3de3a5714eb04c0b68cccedb86126e0579739f319e02a7cdd158950fe6c bc2b78512339c5e8169a2ba5c22e348c470304236a176a373547b5d9fb02aa8f edccd09778d2a0f6bcfec9679f0c8f60ba34039fd92776e3eb198c40db58271a f3c5f3d2363eaa9200ef6de96a3825192bb8b1a7d57633e2cca9de852b19dfd9

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Ransomware.Cerber-9826826-1

侵害の兆候

  • 動的分析により 132 個のサンプルから収集された IOC(脅威の兆候)
ミューテックス 発生回数
shell.{381828AA-8B28-3374-1B67-35680555C5EF} 132
shell.{<random GUID>} 24

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
178[.]128[.]255[.]179 132
91[.]119[.]56[.]0/27 132
91[.]120[.]56[.]0/27 132
91[.]121[.]56[.]0/22 132
104[.]21[.]50[.]61 76
104[.]20[.]21[.]251 28
172[.]67[.]157[.]138 16
172[.]67[.]2[.]88 16
104[.]20[.]20[.]251 15
54[.]87[.]5[.]88 4
193[.]242[.]211[.]182 2
52[.]21[.]132[.]24 2
104[.]16[.]150[.]172 2
104[.]16[.]148[.]172 2
172[.]67[.]69[.]167 2
104[.]16[.]152[.]172 1
198[.]55[.]100[.]116 1
23[.]152[.]0[.]36 1
104[.]26[.]14[.]247 1
104[.]26[.]15[.]247 1
173[.]194[.]175[.]102 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
api[.]blockcypher[.]com 132
bitaps[.]com 132
btc[.]blockr[.]io 132
chain[.]so 132
sochain[.]com 2
p27dokhpz2n7nvgr[.]1ktjse[.]top 2
p27dokhpz2n7nvgr[.]1lseoi[.]top 1
p27dokhpz2n7nvgr[.]1h23cc[.]top 1
p27dokhpz2n7nvgr[.]1cglxz[.]top 1

 

作成されたファイルやディレクトリ 発生回数
%TEMP%\d19ab989 132
%TEMP%\d19ab989\4710.tmp 132
%TEMP%\d19ab989\a35f.tmp 132
%TEMP%\~PI<random, matching [A-F0-9]{2,4}>.tmp 25
%TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp 25
%TEMP%\tmp<random, matching [A-F0-9]{1,4}>.bmp 25
<dir>\_HELP_HELP_HELP_<random, matching ‘[A-F0-9]{4,8}’>_.hta 25
<dir>\_HELP_HELP_HELP_<random, matching ‘[A-F0-9]{4,8}’>_.png 25
<dir>\<random, matching [A-Z0-9\-]{10}.[A-F0-9]{4}> (copy) 24
%TEMP%\24e2b309\1719.tmp 20
%TEMP%\24e2b309\4436.tmp 20
%TEMP%\<random, matching [a-z0-9]{8}\[a-f0-9]{4}>.tmp 4

ファイルのハッシュ値

032c8169d8009fc30479b5ec5438a88fd5daeb576ced3c1d95786c4257ed9145 03fc7d18984c43544b429208a124c1ab3bf71c6876f1f2a1c3b54703f9a53a71 046da337f4ac96c679c3da97556c57427086cb4e81ac4218c2edc7956e775d22 0804f23ccd203cc2de3277a9f6a58e578b716a78f7d93588b9538213a9a6f72f 09590181a0f19560f80f28e3c541df7356e5fc7bc373d8d1a33e9a602c7d76dd 0a37d20ad25e354cd3e1f616275021744a7c776dacb45091df94e6883f206dc8 0ad8711b6997b9ccd46d330fa3056745b7981e3fc94ce343732ea47e87576905 0afaf4a5b6fa740a435d93d07f21e3616535725941defc2fc8e447c478aad736 0e8ff26596d14aa9947d5fb5399942ea8b17cbadaad54f510495a513715a0ca6 0f1c51d55dc4bde3cf0c62147fbe6409bdc4d341d52247d00f586a6482af1511 0fc6b54304648fc6f5898fa8ab503f685b105357e52db6af021253a56bb8f247 0fd42b326666f13440fa0008f810f0a125e1d25e3225464ebf9262bedb0d835c 10bf9202a6db75f84b931357ac21779597eadbc7bb620f7ff915be705f490309 12bd04c85e976145c51d531bbf4932c38dff9064be2aec2ecb4af3c04d1d4768 14782954d5ba87fc0fd79706df2f3227dea9344226286332a2f4211bd18901af 17aac7c01de3788aad85bc623cf78da5260335083d4d3b77f3682d27462cffea 1947c3ab281844c155f6edbbee45587f70ff02602137a860e53a597c6751df5a 1c3951053d16ee881dfa8d36a9a64473a13f089cfba5c59ebfba9cbac65b47f2 1d665c0a28a799ed88b4fbe1b6b66a89836030c4f9f6b287489fa6c92a350452 2452a341ed8bca9dd380e6b97b0270b75c042b49fa4b7c769e2effa1cf778b57 26c069149f3410c89729662a8a32196ab35619187b98715923ec8d0369ba8aa5 29992dfdd2bf0a5a480e71748bbb392c13658062b7d838633299b5677f374824 2c2c8c256a1c1f2bff07cdec1de5731cc2c211d19d646e896845e96e5fcd7c04 2ede459b0e8a5fe2c03bbfbbf301b9a87f9433da264263dc392cb8286e178e0e 351f96f2d1983cf7a7d9d0d12d9222ec0a2669a020af25d4c9405d24c18d7292

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

マルウェア

MITRE ATT&CK

Win.Trojan.Hupigon-9823466-0

侵害の兆候

  • 動的分析により 19 個のサンプルから収集された IOC(脅威の兆候)
ミューテックス 発生回数
Local\https://m.stripe.network/ 2
Local\https://www.gettoggle.com/ 2

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
204[.]79[.]197[.]200 19
199[.]59[.]242[.]150 17
107[.]178[.]240[.]89 16
199[.]59[.]242[.]155 15
142[.]250[.]80[.]4 15
172[.]217[.]3[.]106 14
172[.]217[.]7[.]3 13
72[.]22[.]185[.]207 10
72[.]21[.]81[.]200 9
65[.]55[.]252[.]93 9
209[.]85[.]232[.]95 7
209[.]85[.]201[.]94 7
72[.]22[.]185[.]199 6
192[.]35[.]177[.]64 6
142[.]250[.]64[.]74 6
13[.]107[.]21[.]200 4
131[.]253[.]33[.]200 4
172[.]217[.]197[.]104/31 4
91[.]199[.]212[.]52 3
23[.]3[.]13[.]33 3
23[.]3[.]13[.]40 3
209[.]85[.]144[.]95 3
173[.]194[.]66[.]95 3
13[.]107[.]22[.]200 3
142[.]250[.]80[.]10 3

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
ajax[.]googleapis[.]com 17
fonts[.]gstatic[.]com 17
ads[.]pro-market[.]net 16
pbid[.]pro-market[.]net 16
tracking[.]bodis[.]com 15
spanish[.]ircfast[.]com 13
cs9[.]wpc[.]v0cdn[.]net 9
sqm[.]telemetry[.]microsoft[.]com[.]nsatc[.]net 9
english[.]ircfast[.]com 3
ctldl[.]windowsupdate[.]com 2
cdnjs[.]cloudflare[.]com 2
apps[.]digsigtrust[.]com 2
apps[.]identrust[.]com 2
cm[.]g[.]doubleclick[.]net 2
match[.]adsrvr[.]org 2
crt[.]usertrust[.]com 2
cdn[.]ravenjs[.]com 2
aa[.]agkn[.]com 2
bcp[.]crwdcntrl[.]net 2
beacon[.]krxd[.]net 2
ce[.]lijit[.]com 2
d[.]turn[.]com 2
dpm[.]demdex[.]net 2
idsync[.]rlcdn[.]com 2
pixel-sync[.]sitescout[.]com 2

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

0b3b37ad4215c7b24f7a64cf569cd8d7fc28421cc98c28447d2aedf007355c51 125fa1bbf6efd7826c7d793368820f4787036fd5c8d81e7ff651a003503a52c9 2c47d33643e8a1c53684e0e4e3dca6e185b3cee12c276371a2910ba722ccd273 4d3dbfa2067ebf89bb667b5408ab01b2c1e6565b33b8e2440307aab60ace1063 54d2190d82dc8ee4d50921bde9178970907dd80f0e8492185172e4151c5dd464 7cd7490da59c3b78585b0d9378da9967152ee8dda3da2dd5297d9cb0ae9132c9 88c170868b26a70b9b5de9806e9c9b7e7e0c75be0b9b897df3eea1379760a8b4 89271d8fc49283958d56665c4573f7c0cd3dfc6b6dc30c95827792f6f4ef6c83 89efd543179b1cf802d21c9bc23b33b5d554a5987eeb0fb15efdeafb9893eb96 8c19e420ab70ba60dddfbf705c7606267e2afe25c624ee7a1b9b94b7144c80c1 8ece974bb801aa0d3b0c28053bda5fc096f49d653ece3483348b0a51c35d8616 9f822f7814f21967f4ba1b020c204a6b36f7ca75da984b4a20dc6c6b5577941e a7ef5b77fdb0aab1d4a86bf9222e810621f70e9059e8742413fe38075831d8af aee6ac3c086139593b0553b403d797fdc0e9aa81409b00c57be027e83abf6455 b1cccb0593a395311bcb319fbbac039a920b1919b9da091b39d4a3afa2718ef4 b2a33886e81b6386881d49135ec8ad238eea6221673bf70d7f4a4f185ecf7344 ca0ed61b6d989c8d7f22e38b8316471a396b278fcc93e18a693378771281ff2b ee0f1030ab0fbbce521d912297040ba4542c2727787887d75c5fe550da7ef55b fd8b449289e3dad46fc9908c463563bca11030cd5501e1077b50bbb8db926675

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Packed.Tofsee-9824692-1

侵害の兆候

  • 動的分析により 107 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:Type
107
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:Start
107
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:ErrorControl
107
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:DisplayName
107
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:WOW64
107
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:ObjectName
107
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:Description
107
<HKU>\.DEFAULT\CONTROL PANEL\BUSES 107
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 107
<HKU>\.DEFAULT\CONTROL PANEL\BUSES
値の名前:Config2
106
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’>
値の名前:ImagePath
61
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\wpdjiqwl
9
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\vocihpvk
8
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\mftzygmb
7
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\xqekjrxm
7
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\tmagfnti
6
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\buionvbq
6
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\qjxdckqf
6
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\athnmuap
5
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\piwcbjpe
5
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\yrflksyn
5
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\cvjpowcr
5
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\exlrqyet
4
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\fymsrzfu
4
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS
値の名前:C:\Windows\SysWOW64\unbhgouj
3

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
43[.]231[.]4[.]7 107
69[.]55[.]5[.]249 107
239[.]255[.]255[.]250 106
217[.]172[.]179[.]54 106
5[.]9[.]72[.]48 106
130[.]0[.]232[.]208 106
144[.]76[.]108[.]82 106
185[.]253[.]217[.]20 106
45[.]90[.]34[.]87 106
185[.]254[.]190[.]218 106
157[.]240[.]18[.]174 102
176[.]9[.]119[.]47 78
157[.]240[.]2[.]174 72
104[.]47[.]54[.]36 57
69[.]31[.]136[.]5 56
12[.]167[.]151[.]116/30 55
104[.]47[.]53[.]36 50
67[.]195[.]204[.]72/30 49
172[.]217[.]165[.]132 38
142[.]250[.]80[.]4 37
37[.]1[.]217[.]172 35
172[.]217[.]197[.]103 35
216[.]239[.]32[.]21 33
172[.]217[.]197[.]99 33
209[.]85[.]233[.]26/31 32

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
249[.]5[.]55[.]69[.]in-addr[.]arpa 107
microsoft-com[.]mail[.]protection[.]outlook[.]com 107
249[.]5[.]55[.]69[.]bl[.]spamcop[.]net 106
249[.]5[.]55[.]69[.]cbl[.]abuseat[.]org 106
249[.]5[.]55[.]69[.]dnsbl[.]sorbs[.]net 106
249[.]5[.]55[.]69[.]sbl-xbl[.]spamhaus[.]org 106
249[.]5[.]55[.]69[.]zen[.]spamhaus[.]org 106
msr[.]pool-pay[.]com 74
schema[.]org 66
api[.]sendspace[.]com 56
www[.]amazon[.]com 40
work[.]a-poster[.]info 35
www[.]google[.]co[.]uk 25
market[.]yandex[.]ru 24
117[.]151[.]167[.]12[.]in-addr[.]arpa 23
www[.]sendspace[.]com 19
119[.]151[.]167[.]12[.]in-addr[.]arpa 19
d3ag4hukkh62yn[.]cloudfront[.]net 16
www[.]google[.]de 15
e6225[.]x[.]akamaiedge[.]net 14
sso[.]godaddy[.]com 14
ip[.]pr-cy[.]hacklix[.]com 13
e15316[.]e22[.]akamaiedge[.]net 13
120[.]151[.]167[.]12[.]in-addr[.]arpa 12
116[.]151[.]167[.]12[.]in-addr[.]arpa 10

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%SystemRoot%\SysWOW64\config\systemprofile 107
%SystemRoot%\SysWOW64\config\systemprofile:.repos 107
%SystemRoot%\SysWOW64\<random, matching ‘[a-z]{8}’> 106
%TEMP%\<random, matching ‘[a-z]{8}’>.exe 105
%System32%\config\systemprofile:.repos 91
%System32%\<random, matching ‘[a-z]{8}\[a-z]{6,8}’>.exe (copy) 80
%TEMP%\<random, matching ‘[a-z]{4,9}’>.exe 10
%System32%\dsxnnoo\ehnhwhsy.exe (copy) 1
%System32%\ouewjtk\xxyjefdl.exe (copy) 1
%System32%\xpastio\tyidxjgi.exe (copy) 1
%System32%\gmhdxak\qkkbmvmo.exe (copy) 1
%System32%\ktkxhdj\mktudzok.exe (copy) 1
%System32%\sidnzcr\foinfezv.exe (copy) 1
%System32%\pdfgkrg\oxrwonie.exe (copy) 1
%System32%\qimtsxf\dgmgvgrx.exe (copy) 1
%System32%\zbdfcry\rzosfdmm.exe (copy) 1
%System32%\rmywcty\xfuyljss.exe (copy) 1
%System32%\mpyany\idhzpaca.exe (copy) 1

ファイルのハッシュ値

00c674842485d0a34c56abb7a1e673c79875fe35382ea51e1a2ff16edc3c240e 02f60d18bd98377c7af870845b3d9a7bfc2a6e6f2e4fb324b1c1fd6f9f2dbbca 03b7ce534b05d0070f70be70d141c822fed561768904bea1eda77f2d37bd2cfc 03e0dd8a7ea927539e4d2990de10584ac74dbb68949a4b8fb9005823dd3cb51d 04d66ec3bee8c60bbaf4a5aeb47c80901f9a6c9d8354a2ee9095a75362dee565 0523677ff3a1846a4e031ce41d60a4e07d3d3817c3d544a13e8086dc288080fa 09d199274b707bc8d8f35c7e37e8afffcff5e4e087c713a769d23bccd1af7553 0a56c5f9445ccc7f3b9562be7a52ca1400e71ed7e8d67c781bcf0d8c16bd97a1 0c3ddab7c322a82233728f3f2424e23f0ecb37f58630f501c0413326b3af03a9 0c8421f55d2a4917b014f870e8f4bc6d200938e460e7209e4e95c70c2550f90b 14d15c7aaef433855564d0e1a447ecf955bc3e2a52ab20a855e704730cbbd04e 16d7303d3a93b51cdca260056269783b6d3a69e645e66c2c7a79e1ceecf67849 1986abe00926f936566dfb097af7d2a1e412ced3f73926f86afd01b30a80fba3 1f0e3d30b3b9aa38f14a6ba542326c3789a9783d4caeef65e862a0eedce2295e 1f33c7ce24bd950531a23fa49aa68a245d670309d19cb890ea35200101e4edd3 22eb9f988595b1233f885ccef90f74ba7a4e14991e650b82778d76274041bff5 23b381132bbfa22cfa650db8a9f4c7baae32008626bed30c4f9bd718bc8e0033 23c876df2fc90b44b23fc2fd66defad929e95898f0194912fdbae4e642d0d143 274f3d0758f41dcd86d34fd05d771b2de81a326f7c09dcee4fd553b19fe97e73 28e7890934af692e34386be108633c304a17bf084d6992b9e8d697984b258f5d 2f58b323febc290e36a187ac54e24808c2b721c8acb29f7ae234a1dfd1604b28 30ed820da7bb41441e194173fbfbd18d9207634180d025f723f338e3b0789cbd 31d8ea597a357e85181e04bd46a3ff3965bcb38f054226f356e3b3a76c8fbe10 358c63023dd6a4fd51717768eba13a95ea58c78660055055feeeed6ecb08e9db 3685a74575109eca8855aac519d914dab5d7b73e8fa6861c3386f6a1d4396e54

* IOC の詳細については JSON を参照してください

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Dropper.DarkComet-9823729-1

侵害の兆候

  • 動的分析により 12 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKCU>\SOFTWARE\DC3_FEXEC 11
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
値の名前:UserInit
11
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE
値の名前:EnableFirewall
8
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE
値の名前:DisableNotifications
8
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:EnableLUA
7
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:AntiVirusDisableNotify
7
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER
値の名前:UpdatesDisableNotify
7
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC
値の名前:Start
7
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\CURRENTVERSION\EXPLORERN
値の名前:NoControlPanel
7
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 7
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\CURRENTVERSION 7
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\CURRENTVERSION\EXPLORERN 7
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:DisableRegistryTools
5
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:svchost.exe
3
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:MicroUpdate
3
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:DisableTaskMgr
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Svchost
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:svhost
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:svhcost
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Loading
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:msdcsc
1
<HKCU>\SOFTWARE\DC3_FEXEC
値の名前:1/22/2021 at 2:29:46 PM
1

 

ミューテックス 発生回数
DC_MUTEX-<random, matching [A-Z0-9]{7}> 10
DCPERSFWBP 5
DCMUTEX 1
Local\https://docs.microsoft.com/ 1
DCMIN_MUTEX-GTM7XMF 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
13[.]107[.]21[.]200 1
204[.]79[.]197[.]200 1
172[.]217[.]12[.]174 1
151[.]101[.]2[.]217 1
152[.]199[.]4[.]33 1
65[.]55[.]44[.]109 1
151[.]101[.]128[.]133 1
31[.]202[.]203[.]58 1
151[.]101[.]248[.]133 1
188[.]187[.]1[.]85 1
23[.]6[.]69[.]99 1
140[.]82[.]112[.]3 1
140[.]82[.]114[.]4 1
23[.]5[.]230[.]228 1
52[.]85[.]144[.]32 1
104[.]108[.]100[.]37 1
40[.]91[.]78[.]9 1
35[.]244[.]181[.]201 1
34[.]107[.]221[.]82 1
13[.]107[.]246[.]13 1
34[.]213[.]158[.]239 1
52[.]43[.]72[.]100 1
142[.]250[.]111[.]157 1
23[.]64[.]110[.]64 1
184[.]73[.]47[.]67 1

* IOC の詳細については JSON を参照してください

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
id-user-agent[.]ddns[.]net 2
github[.]com 1
aka[.]ms 1
az725175[.]vo[.]msecnd[.]net 1
cdn[.]speedcurve[.]com 1
schema[.]org 1
stats[.]g[.]doubleclick[.]net 1
w[.]usabilla[.]com 1
www[.]google-analytics[.]com 1
github[.]map[.]fastly[.]net 1
e11290[.]dspg[.]akamaiedge[.]net 1
prod[.]balrog[.]prod[.]cloudops[.]mozgcp[.]net 1
prod[.]detectportal[.]prod[.]cloudops[.]mozgcp[.]net 1
shavar[.]prod[.]mozaws[.]net 1
cs22[.]wpc[.]v0cdn[.]net 1
search[.]r53-2[.]services[.]mozilla[.]com 1
d1zkz3k4cclnv6[.]cloudfront[.]net 1
e13630[.]dscb[.]akamaiedge[.]net 1
detectportal[.]firefox[.]com 1
aus5[.]mozilla[.]org 1
search[.]services[.]mozilla[.]com 1
shavar[.]services[.]mozilla[.]com 1
tracking-protection[.]cdn[.]mozilla[.]net 1
avatars[.]githubusercontent[.]com 1
seik[.]servegame[.]com 1

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%APPDATA%\dclogs 11
%SystemRoot%\SysWOW64\MSDCSC 4
%SystemRoot%\SysWOW64\MSDCSC\svchost.exe 4
%System32%\MSDCSC\svchost.exe 4
%HOMEPATH%\Documents\MSDCSC 2
%HOMEPATH%\Documents\MSDCSC\msdcsc.exe 2
%TEMP%\MSDCSC 2
%TEMP%\MSDCSC\svchost.exe 1
%TEMP%\DCSCMIN\IMDCSC.exe 1
%TEMP%\SYSTEM\svhcost.exe 1
%TEMP%\QCTYFQJCMK.EXE 1
%TEMP%\MSDCSC\Loading.exe 1
\chrome.2232.14.112542066 1
\chrome.2232.15.101924513 1
\chrome.2232.16.47817260 1
\chrome.2232.17.106717536 1
\chrome.2232.18.113880761 1
\chrome.2232.19.178135140 1
\chrome.2232.2.180554381 1
\chrome.2232.20.1307372 1
\chrome.2232.21.101500300 1
\chrome.2232.22.34426735 1
\chrome.2232.23.107152613 1
\chrome.2232.24.137792035 1
\chrome.2232.25.98627946 1

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

05cc3cc3ab7d46fb7669d1b75722b3dfea971100f512bfc268c2fc473addaf28 12f32717e339420d0fb271d1feeb43337f4b0c0505abeb48cc1f228ae5254c57 1389952c07869c0490046d5c4581bcf223b44f93802fcb8628fcce99273c86f3 27e600df9a2388f9cb6d1a34551926e5ba13baf113fca75eca8014becaf5cf08 86da6d04f5fb01d4e6598f44e49c6a9f263d0832dce01c74525fcfb4ef72c03a a33ad8cb740ded317b2faa2e21ba189c2edc76fe91edbb6e158d76185107f361 a96a869174797a24ba6aa150c2f7b11a5a27c289a4fd055573a030271a57e778 abc86ad35c14bf2e17fbff5f67afb7e107242a0669e1e5793609a4d62d00f474 bb40d99df4be6c486bcbd7a4162793b5b47a20aa33344231819e09ecaef499f4 d71431cf0315014cde7647af45516100002ebaa657e42d1f439ae2a26367952a e43ab694d6795d536b1f73f77edd2850f7b5f6a50730ac0d1439bf2245e5617e fefbb4fce4c5d5daf3ab3ca35c88266e216065f18811202f5b2e16a2cfbb0712

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Virus.Expiro-9826837-0

侵害の兆候

  • 動的分析により 17 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IEETWCOLLECTORSERVICE
値の名前:Type
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\IEETWCOLLECTORSERVICE
値の名前:Start
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MOZILLAMAINTENANCE
値の名前:Type
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MOZILLAMAINTENANCE
値の名前:Start
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MSISERVER
値の名前:Type
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MSISERVER
値の名前:Start
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\OSE
値の名前:Type
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\OSE
値の名前:Start
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\UI0DETECT
値の名前:Type
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\UI0DETECT
値の名前:Start
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VDS
値の名前:Type
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VDS
値の名前:Start
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VSS
値の名前:Type
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\VSS
値の名前:Start
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WBENGINE
値の名前:Type
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WBENGINE
値の名前:Start
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WMIAPSRV
値の名前:Type
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WMIAPSRV
値の名前:Start
17
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SYSTEM
値の名前:EnableSmartScreen
17
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER\SVC\S-1-5-21-2580483871-590521980-3826313501-500 17
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER\SVC\S-1-5-21-2580483871-590521980-3826313501-500
値の名前:EnableNotifications
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_32
値の名前:Start
17
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_64
値の名前:Start
17
<HKLM>\SOFTWARE\MICROSOFT\.NETFRAMEWORK\V2.0.50727\NGENSERVICE\STATE
値の名前:AccumulatedWaitIdleTime
17
<HKLM>\SOFTWARE\MICROSOFT\.NETFRAMEWORK\V2.0.50727\NGENSERVICE\LISTENEDSTATE
値の名前:RootstoreDirty
17

 

ミューテックス 発生回数
kkq-vx_mtx62 17
kkq-vx_mtx63 17
kkq-vx_mtx64 17
kkq-vx_mtx65 17
kkq-vx_mtx66 17
kkq-vx_mtx67 17
kkq-vx_mtx68 17
kkq-vx_mtx69 17
kkq-vx_mtx70 17
kkq-vx_mtx71 17
kkq-vx_mtx72 17
kkq-vx_mtx73 17
kkq-vx_mtx74 17
kkq-vx_mtx75 17
kkq-vx_mtx76 17
kkq-vx_mtx77 17
kkq-vx_mtx78 17
kkq-vx_mtx79 17
kkq-vx_mtx80 17
kkq-vx_mtx81 17
kkq-vx_mtx82 17
kkq-vx_mtx83 17
kkq-vx_mtx84 17
kkq-vx_mtx85 17
kkq-vx_mtx86 17

* IOC の詳細については JSON を参照してください

作成されたファイルやディレクトリ 発生回数
%CommonProgramFiles%\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE 17
%CommonProgramFiles(x86)%\microsoft shared\Source Engine\OSE.EXE 17
%ProgramFiles(x86)%\Microsoft Office\Office14\GROOVE.EXE 17
%ProgramFiles(x86)%\Mozilla Maintenance Service\maintenanceservice.exe 17
%ProgramFiles%\Windows Media Player\wmpnetwk.exe 17
%SystemRoot%\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe 17
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe 17
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe 17
%SystemRoot%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe 17
%System32%\FXSSVC.exe 17
%System32%\UI0Detect.exe 17
%System32%\VSSVC.exe 17
%System32%\alg.exe 17
%System32%\dllhost.exe 17
%System32%\ieetwcollector.exe 17
%System32%\msdtc.exe 17
%System32%\msiexec.exe 17
%System32%\snmptrap.exe 17
%System32%\sppsvc.exe 17
%System32%\vds.exe 17
%System32%\wbem\WmiApSrv.exe 17
%System32%\wbengine.exe 17
%SystemRoot%\ehome\ehrecvr.exe 17
%SystemRoot%\ehome\ehsched.exe 17
%SystemRoot%\SysWOW64\dllhost.exe 17

* IOC の詳細については JSON を参照してください

ファイルのハッシュ値

04ddedcb415004664c59717bcb8393b1241f7d8522ee17383c5cf8053ac0f9bd 125d811f62762ada7ff0e2a54be52f8fd54932ead89defab81900036bb41f879 14bcda50f66830af5466f2be41118cd0d3ac0a64474d78f75dc911854411b51e 1a59d4905aaed2d80ffad4e4bf003f86846efe6d0abf4e7586df586b75af25f5 220641e3151852984ff4fa96176715feac9aa91a4686d4ec9b5c165baefa494a 5386b784d78338c9bc0c0a42d9f1807f3426782d5a92701715bc75bcf7f907c2 58e89668b9432a9b388b5b755a1bce0d332e268d42f8745c2aff2f2477137ecd 5ccf042b3f142d7e059bb3ca586e6a2ecd89c7e5f63364b61418fb74764a123b 62e5aa50980b401c039540215b4503679ba08d83bfb951a0c73b813c6bc2d051 63406708c0974ac147c185777c3be76bee286a4b4a9dc24c7cf0c8c9d93cadd6 6ff110a3cbd44c02e2afd4adcb6aa45029c105aaa1afdf172268a86e5259dd8f 9a70bea46b839e48407cd7f5f54448230ee23d469bd7978d98a52cf292900fed 9c9c2ef60d95fd889bc759ea98533490ffcb60ac9fe267d27656f74aaad0a995 a4d2e2358bff7240de2855a746f0ec426e405c7c47d51b3375b700e644813752 e628a2312011f02bf97925015790877e75b4034b647c569d0c09a56016045d35 f258b6a3c13317be1bd70ee92c99d9eafea975fc062187381ca559ed622fb120 f9c3836656c677c6d11f8ebf7fcb27e81b117321fb78402431020d2bc1288e31

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

Win.Packed.Chthonic-9826669-1

侵害の兆候

  • 動的分析により 16 個のサンプルから収集された IOC(脅威の兆候)
レジストリキー 発生回数
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC
値の名前:Start
16
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND
値の名前:Start
16
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC
値の名前:Start
16
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV
値の名前:Start
16
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
値の名前:Hidden
15
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:EnableLUA
15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
値の名前:ShowSuperHidden
15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER
値の名前:HideSCAHealth
15
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER
値の名前:HideSCAHealth
15
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER
値の名前:TaskbarNoNotification
15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER
値の名前:TaskbarNoNotification
15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS
値の名前:Load
15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:1081297374
15
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN
値の名前:1081297374
15
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN 15
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:DisableTaskMgr
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS
値の名前:Start
1
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS NT\SYSTEMRESTORE
値の名前:DisableConfig
1
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS NT\SYSTEMRESTORE
値の名前:DisableSR
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:BrowserUpdate
1
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:BrowserMe
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WERSVC
値の名前:Start
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND
値の名前:ErrorControl
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS
値の名前:ErrorControl
1
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC
値の名前:ErrorControl
1

 

ミューテックス 発生回数
_AVIH784909NJJNJ90707_ 1

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生回数
184[.]105[.]192[.]2 15
40[.]70[.]224[.]146 15
91[.]198[.]10[.]1 2
195[.]113[.]20[.]2 1
91[.]209[.]0[.]17 1
88[.]198[.]193[.]213 1
92[.]62[.]34[.]78 1
213[.]154[.]236[.]182 1
176[.]9[.]1[.]211 1
85[.]199[.]214[.]98 1
91[.]236[.]251[.]129 1
172[.]217[.]222[.]113 1
159[.]253[.]242[.]123 1
213[.]251[.]52[.]43 1
51[.]254[.]83[.]231 1
82[.]197[.]164[.]46 1
151[.]80[.]44[.]158 1
79[.]133[.]44[.]139 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生回数
europe[.]pool[.]ntp[.]org 15
pono11[.]eu 15
pro7778[.]com 15
www[.]telize[.]com 1

 

作成されたファイルやディレクトリ 発生回数
%ProgramData%\msodtyzm.exe 15
%ProgramData%\~ 15
%TEMP%\update.exe 1
%APPDATA%\BrowserMe 1
%APPDATA%\BrowserMe\GoogleUpdate.exe 1
%APPDATA%\BrowserMe\RCX90C1.tmp 1
%APPDATA%\BrowserMe\RCX91FA.tmp 1
%APPDATA%\BrowserMe\RCX9353.tmp 1
%APPDATA%\BrowserMe\RCX105C.tmp 1
%APPDATA%\BrowserMe\RCX10DA.tmp 1
%APPDATA%\BrowserMe\RCX1196.tmp 1
%TEMP%\<random, matching [A-F0-9]{1,4}>.tmp 1

ファイルのハッシュ値

24e808d4253f12bf07f3865542485d7351ea1c00d0968acbd864c60b9497c2e9 2c1fc999f877dcf2cd24d1dc499cdbb1037b5fff79d9061670369f03b1a193db 496703ba714a281bba90a5f6ce2a3099eb0bb7407d5d062e3db230492b1d205c 5d9f6eb4b8e4f3b5287b539cb52aebfb4da730bfc351cc21f80f32d2cdba0684 63b74d19fdde47a05e3c82c4e33e37657bf72cfcf81716cfe2b545584c1403c6 6bfe25e0f29f62515e66aceaa9ca88f89bd4b04977fdb84ac963edd69d9bb380 79b5edaa5198a5b665c9fe7bac1dcef9901525f8fbf8b380ccc8a4a142a88349 9138cc47ae9de49a51a442d284863c9e426f2df2375bd07b92ab00ad6e951f39 9f922ee86e4c522b16ed4b57de5834594dd1126f2b329cad9aa86837eb89a08a c135395fa15dc68cedb3fab4ab29c2d4bc14563e4fe3a93229fb46de2a8484cb d15d99a935ca311adbe484ef636eaf548f1f468a60fb2d8c0954dcd6410ba5f6 d160857e40fd2dea33b3f89021c4eac7399ba7e777420d6a813b469b3835db58 d67041894a16ba76161d9f0e8d213574e5a50e325c8946e64b105101341d1952 e119a73cd6ba94fbde9f63dcba75dc6a3364b547db84f92cab386ec30b1d6613 f2ab464810dd537e91433388503df0e616510c82b2b8516dec29a6fd49ec8630 fed015758b2c50974857bf24d0143f31376b940467a2392cb9f6e173aa0335a5

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

MITRE ATT&CK

エクスプロイト防止

Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。

プロセスハロウイングを検出 -(7836)
プロセスハロウイング(Process Hollowing)は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。
Crystalbit-Apple DLL ダブルハイジャックを検出 -(5361)
Crystalbit-Apple DLL ダブルハイジャックが検出されました。この攻撃では、2 社(CrystalBit と Apple など)の正規アプリケーションが悪用されます。不正なソフトウェアバンドルから感染が始まり、最終的には暗号通貨マイナーの常駐化や、場合によってはスパイウェアの侵入につながります。
Microsoft Office プロセスが windows ユーティリティを起動 -(1379)
Microsoft Office に関連付けられたプロセス(EXCEL.exe や WINWORD.exe など)が、powershell.exe や cmd.exe といった Windows ユーティリティを起動します。これは悪意のあるドキュメントに多く見られる動作で、追加のスクリプトを実行しています。幅広いマルウェアファミリやマルウェアキャンペーンで確認されるなど、非常に高い確率でマルウェアが関与しています。
過度に長い PowerShell コマンドを検出 -(860)
非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティソフトウェアなどからの検出を回避できることにあります。
アプリケーション許可リストの迂回手口「Squiblydoo」を検出 -(671)
アプリケーションの許可リストを迂回するための、「Squiblydoo」と呼ばれる手口が検出されました。この手口では一般に、攻撃者が管理するサーバからスクリプトを取得して regsvr32 により実行するなどの手順が含まれます。
Kovter インジェクションを検出 -(517)
プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter には「ファイルレス」マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパムキャンペーンを通じて拡散しています。
アドウェア「Dealply」を検出 -(373)
DealPly は、オンラインショッピングの利用体験を向上させると主張するアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。
Certutil.exe によるファイルのダウンロードを検出 -(252)
certutil.exe ユーティリティによるファイルのダウンロードと実行を検出しました。ダウンロードされたファイルからは、実行時に不審な動作が確認されています。certutil.exe を使用する多くのケースは証明書情報を取得します。攻撃者は certutil.exe を使用することで、追加のペイロードをダウンロードできます。
リバース HTTP ペイロードを検出 -(113)
攻撃者が制御するホストに HTTP 経由で接続するためのエクスプロイトペイロードが検出されました。
マルウェア「Gamarue」を検出 -(106)
Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。ワームファミリ「Gamarue」の亜種は、感染したシステムに接続されている USB ドライブやポータブルハードディスクを介してさらに拡散する可能性があります。

 

本稿は 2021 年 01 月 29 日に Talos Grouppopup_icon のブログに投稿された「Threat Roundup for January 22 to January 29popup_icon」の抄訳です。

 

コメントを書く