2018年11月2日 Leave a Comment

10 月 5 日から 10 月 12 日における脅威のまとめ

1 min read

TALOS Japan

前回と同様、10 月 5 日から 12 日の 1 週間に最も蔓延した脅威を、Talos の観察結果を踏まえて公開します。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性とセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC（セキュリティ侵害の証拠や痕跡）の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

今回紹介する最も一般的な脅威は次のとおりです。

Malware.Emotet-6710203-0
マルウェア
Emotet は、バンキング型トロイの木馬で、ウイルス検出を避ける技術が進化し続けていることから依然として猛威を振るっています。
Malware.Fuerboos-6712723-0
マルウェア
Fuerboos はバックドア型トロイの木馬で、ユーザのアクティビティを監視して情報をキャプチャし、最終的にその情報をサーバに送信します。悪意のあるサーバが設置されている場所の検出を防ぐために、複数のホストがプロキシとして動作するダブルフラックスネットワークを利用しています。
Dropper.Demp-6714293-0
ドロッパー
Demp は、DLL ファイルをドロップし、これを explorer プロセスに挿入します。コマンドアンドコントロール（C2）サーバからコマンドを受け取り、システムの情報を盗み出す機能も持っています。
Malware.Dgbv-6714452-0
マルウェア
DGBV は、Delphi で記述されたマルウェアで、Inno Setup（無償のソフトウェアインストールシステム）でパッケージ化されています。DGBV は、導入後、感染したホストから機密情報を収集して、ブラウザのパスワードデータベースを含め、C2 サーバに送信します。
Downloader.Valyria-6713303-0
ダウンローダ
Valyria は、悪意のある Word ドキュメントファミリで、他のマルウェアの配布に使用されます。このキャンペーンは現在、「Emotet」を配布しています。
Downloader.Dofoil-6714608-0
ダウンローダ
Dofoil（別名 SmokeLoader）は、主に別のマルウェアをダウンロードして実行するために使用されます。脅威の詳細については、Talos のブログ記事をご覧ください。
Malware.Zbot-6714649-0
マルウェア
Zbot（別名 Zeus）は、銀行取引のクレデンシャルなどの情報を盗み出すトロイの木馬です。キーロギングやフォームグラビングなどの手法を利用したキーロギングを始めとするさまざま機能を備えています。

脅威

Win.Malware.Emotet-6710203-0

侵害の兆候

レジストリ キー

<HKLM>\SYSTEM\CONTROLSET001\SERVICES\dimcloud
ミューテックス
PEM6A4
PEM6B0

マルウェアから接触があった IP?アドレス（必ずしも悪意があるとは限りません）

96[.]114[.]157[.]81
24[.]203[.]4[.]40
216[.]137[.]249[.]154
98[.]191[.]228[.]168
41[.]204[.]202[.]41

マルウェアから接触があったドメイン名（必ずしも悪意があるとは限りません）

smtp[.]aavanira[.]com

作成されたファイルやディレクトリ

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella