2017年9月21日 Leave a Comment

9 月 8 日～ 9 月 15 日の 1 週間におけるマルウェアのまとめ

2 min read

TALOS Japan

本日（9 月 15 日）の投稿では、9 月 8 日～ 9 月 15 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標、そしてシスコのお客様がこれらの脅威からどのように保護されるかに焦点を当てています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。以下の脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

今回紹介する最も一般的な脅威は次のとおりです。

Doc.Downloader.Agent-6336340-0
Office マクロベースのダウンローダ
この種のダウンローダは VBA 内で文字列が難読化されており、ダウンロードコマンドを作成して VBA シェル関数により実行します。
Doc.Macro.Obfuscation-6336210-0
Office マクロ
今回発見された Office マクロドキュメントのクラスタは、同じ難読化手法を使用することで、分析を妨げています。スクリプトのコンテンツの大半は、未使用の文字列やコメントが占めています。
Doc.Trojan.Valyria-6336191-0
Trojan（トロイの木馬）
この種のダウンローダは VBA 内で文字列が難読化されており、PowerShell コマンドを作成して VBA シェル関数により実行します。
Rtf.Exploit.CVE_2017_0199-6335035-0
エクスプロイト
OLE2 オブジェクトが埋め込まれた RTF ドキュメントです。RTF ドキュメント内の OL2E オブジェクトは、オブジェクトのデータ間にダミーコマンドを挿入することで難読化されています。この OLE2 オブジェクトには、別のドキュメントへのリンクが含まれています。リンク先のドキュメントが .hta ファイルの場合、OLE2 オブジェクトが RTF ドキュメントのコンテキストでダウンロードされて実行されます。この脆弱性は CVE-2017-0199 の ID で知られています。
Win.Malware.Cmig-6336177-0
Packer（パッカー）
Cmig は、銀行を狙うトロイの木馬などの悪質なペイロードを難読化するためのパッカーです。最近では、「Transfer_copy.pdf.scr」や「(PO) No.2029243EL0003.exe」といったファイル名でフィッシングキャンペーンに使用されています。
Win.Malware.Ursnif-6336328-0
Trojan（トロイの木馬）/ダウンローダ
Ursnif は、感染先から機微情報を盗むだけでなく、マルウェアのダウンローダとしても機能します。日本人を狙った最近のスパムキャンペーンでは、XLS ダウンローダが電子メールで配布され、Ursnif の感染率が増加しています。この変種では、過度に長いメイン関数を使用してアンパックするため、1,000 ノードを超える制御フローグラフ（CFG）を発生させます。また、アンパックしたコードをヒープにコピーして実行する前に、API の連続呼び出しと追加的な API 解決を行います。
Win.Trojan.Agent-1356499
Trojan（トロイの木馬）
このサンプルは外部サーバとの通信を試みます。サンプルはパックされており、VM 対策の有無をチェックする機能も含まれています。ただし、サンプルは試験環境でも動作します。観察したサンプルは多くのドメインに接続しましたが、そのうちの 1 つは何と VirusTotal で、サンプルをスキャン用にアップロードしました。また、IDT の変更や、追加ファイルのダウンロードも行っています。
Win.Trojan.Symmi-6336247-1
Trojan（トロイの木馬）
このサンプルは Symmi の亜種です。追加のバイナリを作成して永続性を確立するため、スケジュールタスクを作成し、悪意のある DLL のパスを AppInit_DLL レジストリ値に追加します。これにより、システム上で実行中のユーザプロセスにサンプルが読み込まれます。

脅威

Doc.Downloader.Agent-6336340-0

侵害の兆候

レジストリ キー

ミューテックス

\BaseNamedObjects\Global\VLock

IP アドレス

216[.]239[.]38[.]21
216[.]239[.]34[.]21
88[.]150[.]140[.]232
216[.]239[.]32[.]21
185[.]99[.]2[.]75
5[.]133[.]179[.]13
78[.]47[.]139[.]102
103[.]27[.]235[.]82
192[.]168[.]1[.]255
192[.]168[.]1[.]1
216[.]239[.]36[.]21
127[.]0[.]0[.]4
93[.]171[.]217[.]7
192[.]168[.]1[.]248

ドメイン名

12[.]242[.]40[.]8[.]zen[.]spamhaus[.]org
myexternalip[.]com
ipinfo[.]io
tregartha-dinnie[.]co[.]uk

作成されたファイルやディレクトリ

\Users\Administrator\Documents\20170913\PowerShell_transcript.PC.hwKj6ylW.20170913092128.txt
\Users\Administrator\Documents\20170913\PowerShell_transcript.PC.EvG+kj6G.20170913092130.txt
%AppData%\winapp\Modules\systeminfo64
%SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\697359.cvr
%AppData%\winapp\Modules\injectDll32
%TEMP%\ytkqvnx_o.exe
%AppData%\winapp\qbmw.exe
%TEMP%\CVR40C2.tmp.cvr
%SystemDrive%\Documents and Settings\Administrator\Local Settings\Temp\rcnx.exe
%AppData%\winapp\group_tag
%WinDir%\Tasks\services update.job
%TEMP%\gytdgo9.bat
%AppData%\winapp\Modules\injectDll64_configs\dpost
%System32%\Tasks\services update
%AppData%\winapp\Modules\injectDll64_configs\dinj
%AppData%\winapp\xsjpumw_n.exe
%AppData%\winapp\palv.exe
%AppData%\winapp\Modules\injectDll64
%AppData%\winapp\Modules\systeminfo32
%AppData%\winapp\client_id
%SystemDrive%\Documents and Settings\Administrator\Local Settings\Temp\wvzyhlyh.bat
%AppData%\winapp\Modules\injectDll64_configs\sinj

ファイルのハッシュ値

3efbea8e97b2e4c5b0c03bb940cbd6f9387627ed6977844bcc69613738089caa
a8d06bd505e658dd9274b4c8ba0805d8c9b19ee65a8eb7fe6a3c388487dc0875

カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella

Screenshot