2019年1月29日 Leave a Comment

1 月 11 日から 1 月 18 日における脅威のまとめ

2 min read

TALOS Japan

本日の投稿では、1 月 11 日～ 1 月 18 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、および公開日の時点に限り最新のものであることに留意してください。また、IOC（セキュリティ侵害の証拠や痕跡）の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

この記事に記載されている IOC と、クラスタに関連するすべてのハッシュについては、こちらの JSON ファイルをご覧ください。本記事のハッシュ値のリストには、最大で 25 個までしか含まれていません。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。

今回紹介する最も一般的な脅威は次のとおりです。

Malware.Emotet-6816461-0
マルウェア
Emotet は、バンキング型トロイの木馬で、ウィルス検出を避ける技術が進化し続けていることから依然として猛威を振るっています。通常は、メールの悪意のある添付ファイルやリンクを介して拡散します。
Malware.Powload-6815340-0
マルウェア
PowerShell を使用してマルウェアをダウンロードする、悪意のあるドキュメントです。現在のキャンペーンは「Emotet」マルウェアを配布しています。
Downloader.Upatre-6815606-0
ダウンローダ
Upatre はトロイの木馬で、多くの場合、スパムメールの悪意のある添付ファイルやリンクを通じて配布されます。その他のマルウェアのダウンローダやインストーラであることが知られています。
Malware.Sagent-6813871-0
マルウェア
Sagent は、Microsoft Office ドキュメントのマクロを通じて PowerShell を起動します。その後、PowerShell がリモート Web サイトから望ましくないソフトウェアをダウンロードします。
Virus.Sality-6814419-0
ウィルス
Sality はピアツーピアボットネットを確立するファイル感染ウィルスです。10 年以上にわたって蔓延していますが、目立たないことで検出を回避しようとする新しいサンプルが日々登場しています。Salityクライアントが境界セキュリティを回避すると、その目標は追加のマルウェアを実行できるダウンローダコンポーネントを実行することです。
Packed.Johnnie-6814043-0
パック済み
Johnnie（別名 Mikey）は永続性に重点を置いたマルウェアファミリで、プラグインアーキテクチャとして知られています。
Downloader.Powershell-6810733-0
ダウンローダ
このクラスタは、圧縮された JavaScript ファイルが添付されたスパムメールを介して配布されます。ユーザがファイルを実行すると、悪意のある JavaScript の添付ファイルが PowerShell と BITSAdmin を使って Gandcrab ランサムウェアをダウンロードおよびインストールします。

脅威

Win.Malware.Emotet-6816461-0

侵害の兆候

レジストリ キー

<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TABBTNFETCH
- 値の名前： Type
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TABBTNFETCH
- 値の名前： Start
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TABBTNFETCH
- 値の名前： ErrorControl
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TABBTNFETCH
- 値の名前： ImagePath
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TABBTNFETCH
- 値の名前： DisplayName
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TABBTNFETCH
- 値の名前： WOW64
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TABBTNFETCH
- 値の名前： ObjectName
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TABBTNFETCH
- 値の名前： Description
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
- 値の名前： Type
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
- 値の名前： Start
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
- 値の名前： ErrorControl
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
- 値の名前： ImagePath
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
- 値の名前： DisplayName
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
- 値の名前： WOW64
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
- 値の名前： ObjectName
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\STARTEDTURNED
- 値の名前： Description

ミューテックス

Global\I98B68E3C
Global\M98B68E3C

マルウェアから接触があった IP?アドレス（必ずしも悪意があるとは限りません）

187[.]207[.]58[.]148
187[.]178[.]233[.]96

マルウェアから接触があったドメイン名（必ずしも悪意があるとは限りません）

smtpauth[.]avalongroup[.]in
smtp[.]weiler-elektro[.]de
mail[.]yomarbodycolor[.]com[.]mx
mail[.]theconcordhotels[.]com
mail[.]migranjita[.]com[.]mx

作成されたファイルやディレクトリ

%WinDir%\SysWOW64\t5lKUp7.exe
%WinDir%\SysWOW64\ohFmRm3hO8ae.exe
%WinDir%\SysWOW64\XyDDS09O1vT.exe
%WinDir%\SysWOW64\ouFc.exe

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

Umbrella