エグゼクティブ サマリー
この数ヵ月間、Cisco Talos では、マルウェア ローダ Brushaloader を活用してマルウェア ペイロードをシステムに配信するさまざまなマルウェア配信キャンペーンを監視してきました。現在わかっている Brushaloader の特徴は、PowerShell などのさまざまなスクリプト要素を使用して、感染システム上に残るアーティファクトの数を最小限に抑えていることです。また、VBScript と PowerShell の組み合わせを活用して、感染システム上で永続的にコマンドを実行できるリモート アクセス型トロイの木馬(RAT)も作成しています。
Brushaloader は、攻撃者が改善点を見極めて継続的に改良したり、新機能を追加したりして精力的に開発を続けて進化している脅威です。Talos は、この脅威が 2018 年半ば以降何度か繰り返されてきたのを確認しています。Brushaloader と関連して確認されたマルウェア配信アクティビティの大半が、悪意ある電子メール キャンペーンを活用し、特定の地域をターゲットにしてさまざまなマルウェア ペイロード(主に Danabot)を配信しています。Danabot についてはすでにこちらとこちらで詳しく説明されているので、この記事では Brushaloader 自体の分析に専念することにします。Talos では最近、Brushaloader 関連のマルウェア配信アクティビティの数が著しく増加していることを確認しています。また、多様な手法と検出回避機能が実装された結果、検出レートが大幅に低くなり、サンドボックスが回避されています。
ThreatGrid の高度なコマンドライン監査機能およびレポート機能を利用すると、Brushaloader などの脅威をはるかに効率的に分析できます。Brushaloader などの脅威に対応するためには、ほとんどの企業環境のエンドポイントにおいて、PowerShell のロギングを確実に有効化して設定することが重要です。
Brushaloader の変遷
Talos が初めて Brushaloader キャンペーンに注目したのは、2018 年 8 月のことでした。最初は、ポーランド語の電子メールのみを使用してポーランドの被害者を狙っていたことから関心を持ちました。複数の言語のユーザを狙った脅威はよく見られますが、ヨーロッパの単一の国を狙う攻撃者は一般的ではありません。以下に、その最初のキャンペーンの電子メールの一例を示します。ここには、やがて私たちが Brushaloader のものだと思うようになる特徴が示されています。その特徴とは、Visual Basic スクリプトを含む RAR ファイルが添付されており、Brushaloader に感染すると、最終的に Danabot がダウンロードされて実行されるという点です。
この電子メールには、Brushaloader キャンペーン全体を通じて共通するもう 1 つの特徴があります。それは、ポーランド語でインボイスを意味する「Faktura」という単語が使われていることです。その後数ヵ月の間にいくつか他のバリエーションが登場しますが、これらのスパム キャンペーンでは、使用される言語にかかわらず、インボイスと請求書という言葉が常に重要な役割を果たしています。
添付ファイル自体に関して言うと、多くの場合、ファイル名に「faktura」という単語を含む RAR ファイルが使用されています。この RAR ファイルには通常、追加のペイロードを取得する VBScript スクリプトが含まれています。スクリプト自体にすでに、サンドボックスやネットワーク シミュレーションの回避に関連する興味深い手法がいくつか含まれていました。これについては、このブログ内で後述することにします。このスクリプトには、厳重な難読化は実施されておらず、ハードコーディングされた IP アドレスとのコマンド アンド コントロール(C2)通信が確立されていました。C2 通信は、wscript によって HTTP で行われていました。今回のキャンペーンでクエリされた具体的な URL を下記に示します。
http://162[.]251[.]166[.]72/about.php?faxid=446708802&opt=
時間の経過と共に、あるパターンが現れ始めました。1 ~ 2 週間キャンペーンが実行された後、数週間沈静化し、その後再び活動を始めるというものです。攻撃者の手口は全体を通してほぼ同じで、悪意ある VBScript を含む RAR ファイルが添付されている、インボイス(「Faktura」)に関連したポーランド語のスパム キャンペーンでした。これらのキャンペーンで注目すべきことの 1 つに、ダウンタイムの変化があります。また、VBScript によって検出や分析を回避する方法や C2 通信の確立方法に改善が加えられていました。いくつかの例を見てみましょう。
マルチパス C2 を実装したネットワーク シミュレーション回避
Talos が分析した 2 番目の大規模キャンペーンに、すでにいくつかの機能が追加されていました。当初この脅威は、架空のドメインに接続してネットワーク シミュレーションなどをチェックしようとしていました。この 2 番目のキャンペーンには、GET リクエストの結果が HTTP/200 になった(リクエストが成功したことを示す)場合にループし続ける「無限」ループが実装されていました。その新しい機能を表す簡単なスクリーンショットを下記に示します。
このシンプルなコード スニペットには、架空のドメイン(www[.]dencedence[.]denceasdq)への GET リクエスト(1)と、そのリクエストに対して HTTP/200 が返された場合に実行される手順(2)が含まれており、HTTP/200 が返されると、最終的に「無限」ループに入ります(3)。シンプルで洗練された方法によって、ネットワーク シミュレーションが行われているかどうかを確認し、悪意あるファイルの実行を遅らせるかどうかを判断しています。このシンプルな手法が、ある種の検出と分析の回避に、驚くべき効果を発揮します。
それからわずか数日後に起動されたキャンペーンには、すでにいくつかの改修が追加されていました。初期バージョンのスクリプトは、ハードコーディングされた IP アドレスとのみ通信していましたが、今回のキャンペーンでは、ドメインとハードコーディングされた IP アドレスをランダムに選択する方法が実装されていました。以下に、このタイプの進化の例を示します。
キャプチャの最上部にある関数は、最初の C2 リクエストを表しています。そのリクエストにいくつかの新しい変数と機能が含まれていることがわかります(1)。これによって、下の DaLoweRsxMinsa 関数でリストされる 2 つのオプションのいずれかがランダムに選択されます(2)。ここで、ハードコーディングされた IP アドレス(192[.]3[.]204[.]226)とドメイン(emailerservo[.]science)が別々のサーバでホストされていても、いずれも同じパスに応答することがわかります。この特定の機能は、時間の経過とともにいくつかの小さな変更が加えられながら、それから数ヵ月間保持されることになります。
難読化目的での正規 URL の追加
それ以降 9 月から 10 月上旬にかけてのいくつかのキャンペーンでは、使用される架空ドメインと C2 通信難読化方法に関して小さな変更がありましたが、重要な変更はありませんでした。10 月初め、以下に示されるように、3 つ目の正規ドメインがラウンド ロビンの対象に追加されました。
ここで攻撃者は、C2 通信元の候補に google[.]com を追加しています。その後数ヵ月の間に、正規のサイトは変更され、www[.]ti[.]com や www[.]bbc[.]com などのサイトが含まれるようになりました。このサンドボックス回避アプローチも、やはりシンプルでした。このアプローチの VBScript は、正規のドメインに定期的にリクエストを送信するだけです。
効率化されたバージョンの出現
2018 年 10 月中に、より大きな変更が実施されました。たとえば、架空ドメインのチェックが削除された代わりに、レジストリ チェックを実施して、レジストリの値を読み込もうとしていると思われるものが、wscript に実装されています。何らかの権限チェックのために使用されているようですが、権限レベルにかかわらずどのユーザもキー HKEY_CURRENT_USER をクエリすることができます。このチェックが実装された時点のスクリーン キャプチャを以下に示します。
このチェックおよび機能は比較的短命でした。10 月の最後の数日で、攻撃者は WScript の使用を完全に廃止し、機能の大半をそのまま Internet Explorer にシフトしました。Web 通信を Internet Explorer に切り替えたことに加え、VBScript が大幅に効率化されて、テキスト ファイルのサイズが 4 KB から 1 KB 未満になりました。VBScript 全体のスクリーン キャプチャを以下に示します。チェック手法と回避手法の大半は削除されましたが、一部のサンドボックス テクノロジーをタイムアウトさせる拡張スリープ コマンドがいくつか残っていました。
上記の強調表示部分に注目してください。ここで、スクリプトが C2 サーバとの通信に使用する非表示の IE インスタンスが作成されています。また、ドメインの使用が全廃され、すべて、ハードコーディングされた IP アドレスによるホスティングに戻っています。
新たな言語を狙った新しいキャンペーン
また、これと同じ頃、Cisco Talos では、スパム キャンペーンがポーランド語以外の言語も標的にし始めたことを確認しました。複数の言語が含まれる最初のキャンペーンが始動したのがこの時期でした。以下に、ドイツ語のキャンペーンの例を示します。
このときのキャンペーンでは、所得税申告に関連した件名が使用されていたようです。しかし、電子メールの本文の内容は、添付の未払い請求書について言及したものであり、支払いが送金されない場合には法的措置をとると受信者を脅しています。ポーランド語でインボイスを意味する「Faktura」という単語は、ドイツ語では請求書と訳されますが、攻撃者はその点もうまく利用しました。
数週間後の 11 月中旬頃、攻撃者は、架空ドメイン チェックの一部を再び実装しました。その一例を以下に示します。
この例では、http://someserver/folder/file[.]pdf への HTTP リクエストが作成され、HTTP/200 の場合は、ループが実行されます。数日後、攻撃者は再び方針転換し、ハードコーディングされた IP アドレスの使用を廃止して、初期 C2 通信にドメインを利用するようになりました。
11 月末の全面改修
11 月末のキャンペーンでは、VBScript に全面的な手直しが行われ、いくつかの機能が改修されました。第 1 の変更点は、VBScript がファイル システム オブジェクトの作成から始まるようになったことです。これにより、攻撃者がディスクへのファイルの読み書きを開始できるようになっています。
このスクリプトは、ファイル システム オブジェクトをただちに使用する下記の関数を起動します。
以下に示す WriteFile 関数と readFile 関数によって、スクリプトでシステムにファイルを書き込み、そのファイルを読み込むことができます。2 つの関数を呼び出す間に数秒のスリープがあることに注目してください。
WriteFile 関数は、一時フォルダにファイルを明示的に作成した後、そのファイルに、vbCrLf への参照を付けて ASCII テキスト「test」を書き込みます。これは、初期の VBScripting からの名残であり、値「\r\n」を返すことで新しい行を作成します。次に、readFile 関数が「test」を含む行を読み取り、後で使用するために変数 strLine に格納します。
その後、攻撃者は、事実上のスリープ機能を参照して、HttpsSend 関数を呼び出しました。ここで、C2 通信における重要な変更がいくつか実施されています。以下に示しているのは HttpsSend 関数です。
注目すべき重要な変更がいくつかあります。まず攻撃者は、HTTPS トラフィックに移行し、ハードコーディングされた IP ではなく、ドメインを利用しています。さらに、リクエストのタイプが GET から POST に変更されています。リクエストを行った後、応答は保存され、最終的に配列に入ります。ここで 10 秒間の短時間のスリープが実施された後、別の関数 Emulator が呼び出されます。その様子を下記に示します。
Emulator 関数では、その前にスクリプトで作成され書き込まれていたファイルが動作していることと、ファイルから読み取った格納済みの行に「test」という値があることが確認されます。ファイルの内容が想定どおりであれば、スクリプトは、上記でクエリされた C2 サーバから送信されるすべてのコマンドを実行し、配列「ArrAddMyArray」に保存します。メイン関数に戻ると、これが while ループで行われており、リクエストと実行が繰り返されて、あるレベルの感染を追加するためのシンプルなフレームワークになっていることがわかります
このセクションで説明している各種キャンペーンはいずれも中規模で、11 月末に向かって収束していきました。12 月の全期間と1 月のほとんどにおいて、攻撃者とローダは影を潜めていました。しかし、1 月末から 2 月初めにかけて状況が変わりました。
現在のキャンペーン
1 月末、Visual Basic スクリプト(.vbs)を含んだ悪意ある RAR ファイルを配信する新しいスパム キャンペーンが始まりました。このときのスパム メッセージは、大部分がポーランド語で、標的はポーランドのユーザだと思われました。ファイル名と件名はすべてインボイスに関するもので、通常、「Faktura」または同義の用語が使用されていました。キャンペーンは、このローダの典型的なパターンと同じように、主にポーランド語をベースにした電子メールから始まりました。以下にその一例を示します。
この例では、Brushaloader キャンペーンの特徴として私たちが想定するようになった標準的なテンプレートが利用されており、ポーランド語で「Faktura」を件名に使い、悪意のある VBScript ファイルを含む RAR ファイルが添付されています。それ以外に興味深かったのは、このキャンペーンにはほかにも複数の言語が存在していたことでした。特に注目されたのは、イタリア語のスパム メッセージも新たに確認されたことです。その一例を下記に示します。
イタリア語バージョンには小さな違いがいくつかあります。具体的に言うと、「Faktura」ではなく「Fattura」が使用されています。「インボイス」という単語をイタリア語にすると「Fattura」になることがその主な理由です。基本的なテンプレートは同じで、インボイス関連の名前が付いた RAR ファイルが添付されており、そのファイルには悪意のある VBS ファイルが含まれています。
添付ファイルに関しては、11 月末の前回バージョンからさらにいくつかの改善が加えられていましたが、全体的な機能はほぼ同じです。
このキャンペーンでの最も重要な変更の 1 つは、コマンド実行、システム情報収集、ペイロード追加のためにそれまで使用していた wscript を廃止して、PowerShell に移行したことでした。また、このキャンペーンは、それまで Brushaloader では確認したことのなかった規模で実施されました。このことから、ローダがさらに広範囲に配信できるようになり、ヨーロッパ以外にも広がる可能性が示唆されているとも考えられます。新機能の詳細についてはこのブログ内で後述します。そのセクションでは、実施された HTTPS C2 通信について深く掘り下げていきます。
このキャンペーンは 2 月の第 1 週で終了し、それ以来、アクティビティはほとんど発生していません。この半年の間に Brushaloader は、いくつかの基本的な回避手法を備えた新しい VBScript ベースのローダから、ますます高度な脅威へと進化し、配信範囲をさらに広げていきました。下記のタイムラインを見ると、Brushaloader がいかに意欲的に開発されてきたかがわかります。過去の経緯からすると、Brushaloader は、今後も追跡対象として注目すべき脅威になると思われます。
検出回避/分析対策手法
多くの企業ネットワークにおいて、環境内に送信されたファイルは、自動的にサンドボックスなどの自動分析プラットフォームに送られます。これらのプラットフォームは、ファイルを実行してシステム アクティビティを確認し、ファイルが悪意のあるものなのか無害なものなのかを判断してから当初の宛先にファイルを送信します。攻撃者はこのようなセキュリティ制御の仕組みを認識しており、多くの場合、それをバイパスするために独自のメカニズムを採用しています。これらのメカニズムは、ほとんどのケースにおいて、悪意のあるファイル アクティビティの量を最小限に抑えるよう設計されています。それにより、自動分析プラットフォームでファイルが悪意のあるものと検出されるのを回避し、ネットワーク環境内にさらに深く侵入することを狙っています。
いくつかの手法で sleep() タイマーが使用されています。これを使用することで、マルウェアは、事前に定義された時間待機してから、悪意ある実行を再開するようになります。ほかには、パスワードで保護されたファイルを電子メールに添付してマルウェアを配信しているケースもあります。その場合ユーザは、添付ファイルを開く前に情報の入力を求められます。これらの手法は、多くの場合成功しています。というのも、多くの自動検出・分析プラットフォームは、送信されたサンプルをこのような方法で操作する設計にはなっておらず、その結果、感染プロセスを適切に開始できないからです。Brushaloader も例外ではありません。Talos は先頃、Brushaloader が感染の成功率を最大化するために複数の手法を活用しているのを確認しています。
ユーザの操作
過去数ヵ月の Brushaloader キャンペーンで確認された変更点の 1 つに、マルウェア ダウンローダの使用があります。このダウンローダは、感染したシステム上で悪意のある動作を実行する前に、ユーザの操作を求めます。サンドボックスなどの自動分析プラットフォームをバイパスする方法として、ユーザの操作を必要とする感染プロセスが使用されるのは、よくあることです。
Brushaloader の場合、悪意のある電子メールには RAR アーカイブが添付されています。通常 RAR アーカイブには、攻撃者が制御する配信サーバに HTTP リクエストを送信して、悪意ある PE32 実行可能ファイルをダウンロードするための VBScript(VBS)が含まれています。この VBScript は、さまざまな文字のフィボナッチ数列を出力するダイアログ ボックスを呼び出します。
この VBS が実行されると、デフォルトでは、次のダイアログ ボックスがシステムに表示されます。
VBS ファイル内に存在するダウンローダ機能は、[OK] ボタンが選択されるまではアクティブになりません。ユーザの操作が必要になるため、それを適切に処理できるよう設定されていない多くの自動分析プラットフォームでは、問題が発生する可能性があります。広く普及しているマルウェア ディストリビュータが使用するダウンローダと比べ、このアプローチでは、総じて、検出率が大幅に低くなります。
偽のドメイン
各種の Brushaloader キャンペーンで活用されているダウンローダ スクリプトでは、無効なドメインを利用することで、ネットワーク シミュレーションが行われている分析環境でダウンローダが実行されているかどうかも判断していました。ネットワーク シミュレーションは、多くのマルウェア分析環境において、マルウェアがリクエストしているリソースが利用できない場合でも、アナリストがマルウェア サンプルを操作できる手段として使用されています。これは、C2 インフラストラクチャが利用できなくなった場合や、インターネット接続のない環境で分析が行われている場合に、特に有効です。この機能を備えたユーティリティはいくつかありますが、最もよく使用されているのは inetsim と FakeNet-NG の2 つです。
Brushaloader の場合は、www[.]weryoseruisasds[.]oedsdenlinsedrwersa などの架空の TLD や、正規のドメインの代わりに、someserver などのホスト名だけを使用することさえ行っていました。もちろん、いずれのドメインも解決されることはないため、ネットワーク シミュレーションが使用されているかどうかを判断する簡単なテストになります。場合によっては、侵害される可能性のあるホストの検出にこの手法を役立てることもでき、DNS 解決のロギングが、アナリストやセキュリティ チームにとって貴重なツールであることを裏付けるもう 1 つの理由になっています。
ローダ機能
最初の感染プロセスが開始されると、前述の多段階 VBS が実行されます。感染したシステムは、C2 インフラストラクチャに HTTP POST リクエストを送信し、スクリプト エンジンが応答します。このループは、サーバが WScript.Sleep コマンドを送信することで間隔が空きます。
第 1 段階の VBS は、次に示すエンコードされた PowerShell コマンドを実行します。
このエンコードされた PowerShell は 3 回実行され、次のようにデコードされます。
これが最終的に C2 インフラストラクチャへの HTTP リクエストになり、追加の PowerShell コマンド セットが取得されて、実行されます。
この PowerShell がデコードされると次のようになります。
このコードによって、感染システムとの間にインタラクティブなリモート セッションが確立されます。その後、このセッションを使用して、感染システム上でコマンドが実行され、コマンドの出力結果が取得されます。ここでスクリプトがループし、追加のコマンドが C2 インフラストラクチャから送信されるのを待機します。また、この通信チャネルは、システム情報の収集や送信を行う各種 Powershell コマンドを取得して実行するためにも使用されます。
上記の Powershell は IEX に渡されて実行され、実行結果は C2 サーバに送信されます。
上のスクリーンショットからわかるように、ローダは、感染対象のシステムに関して次の情報を取得しようと試みます。
- ProcessorId
- Windows オペレーティング システムのバージョン
- 現在ログインしているユーザ名
- インストールされているウイルス対策製品
- システムのメーカー/製造者
- Powershell のバージョン
- IP アドレス情報
- 使用可能メモリ
- 現在の作業ディレクトリ
- システムのインストール日時
- ディスプレイ アダプタ情報
これらすべての情報を使用し、マルウェア ペイロードを追加してシステムに感染するかどうかや、Danabot などのモジュール型マルウェア フレームワークの場合には、どのモジュールをシステムに配信するかを判断します。Talos が確認した感染においては、これが、感染システムに配信された最後のペイロードでした。
感染システム上で実行される Powershell のプロセスは、システムの Startup ディレクトリに追加される Windows ショートカット(LNK)を作成することで、永続化も実現します。
LNK ショートカットには Powershell が含まれています。この Powershell は、レジストリ キーの内容を検索し、システムが再起動されるたびに実行する追加コマンドを取得します。
このレジストリ ロケーションには、次の Powershell が含まれています。
Base64 でエンコードされた上記の Powershell は、デコードすると次のようになります。
これにより、マルウェアは HTTPS で C2 サーバに到達し、おそらく、C2 が送信する使用可能なすべてのコマンドを取得して、将来的に実行します。
長期的なキャンペーン配信
Cisco Talos は、2018 年半ばから、Brushaloader 関連のマルウェア配信キャンペーンを監視してきました。これまでこれらのキャンペーンは、Emotet などの、広く普及したその他のマルウェア配信キャンペーン アクティビティと比べると、比較的小規模でした。Talos が分析したほとんどのケースにおいて、配信アクティビティの大半が、各月の終わりに向かって発生していました。しかし、最近この傾向が変わり、マルスパム キャンペーンの量と期間が大幅に拡大したことが確認されました。
以下のグラフは、現在の配信アクティビティの量と、2018 年のほぼ全期間を通して確認されたキャンペーンの量を比較したものです。
配信アクティビティが発生した量の変化に加えて、悪意ある電子メールのターゲット受信者層に関するデータの変化も確認されました。当初、これらのキャンペーンでは、電子メールの大半がポーランドの受信者に向けられており、比較的狭い層が狙われているように思われました。その後の新しいキャンペーンでは、標的がドイツ、イタリア、およびその他の国の受信者にも広がっていることが確認されました。
まとめ
脅威の状況は変化を続けています。これは、マルウェアについても、Brushaloader などのマルウェア配信メカニズムについても言えることです。このブログでは、これらのローダが常に変化と進化を遂げていることを示す新たな重要事例について説明しています。Brushaloader が注目を集めている理由は、ローダの進化の速さにあります。これは、攻撃者が意欲的に開発を進めていることを示しています。また、ローダが 12 月と 1 月のほとんどを通して長く休止した後に、爆発的な勢いで再開したことも、注目に値します。ポーランドのユーザのみを標的とした小規模キャンペーンから始まって、規模と標的国数の両面で拡大してきました。特定の地域にローダが使用されるのは一般的ではありませんが、Brushaloader ではそれが見られました。
また、これは、ローダの難読化および高度化のレベルの高さを示す重要な例にもなっています。このシンプルな VBS ベースのキャンペーンでは、複数の巧妙な回避手法と難読化手法が最小限のコードによって実装されていました。ここから、攻撃者が既成概念にとらわれることなく、新しい脅威配信方法を開発し続けていることがわかります。脅威を配信しようとしているその他の攻撃者が、成功を収めたこのローダを探し始めるのは時間の問題です。それに対応するため、ユーザは、世界規模で可視化できる組織を求めています。Talos では、このようなローダによって配信される脅威やペイロードを引き続き監視し、必ず発生するであろうあらゆる進化からお客様を保護すべく、警戒を続けていきます。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープン ソースの SNORT サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
侵害の兆候
Brushaloader を活用してマルウェアをシステムにインストールする各種キャンペーンに関連して、次のような侵害の兆候(IOC)が確認されています。
(追加サンプル データの提供に関し、Kafeine さんにお礼を申し上げます)。
悪意のある添付ファイル
悪意のあるスパム キャンペーンの一環として確認された悪意ある添付ファイルに関連する IOC は、次のとおりです。
RAR ファイル
悪意のある RAR アーカイブに関連するハッシュのリストはこちらに掲載されています。
VBS ファイル
悪意のある VBS ファイルに関連するハッシュのリストはこちらに掲載されています。
ドメイン
cheapairlinediscount[.]site
emailerservo[.]science
faxpctodaymessage[.]press
faxpctodaymessage[.]space
faxpctodaymessage[.]website
faxzmessageservice[.]club
fazadminmessae[.]info
housecleaning[.]press
hrent[.]site
irepare[.]site
macmall[.]fun
managerdriver[.]website
mantorsagcoloms[.]club
mediaaplayer[.]win
mobileshoper[.]science
plomnetus[.]club
ppservice[.]stream
progresservesmail[.]science
proservesmail[.]science
proservesmailing[.]science
searchidriverip[.]space
servemai[.]science
servemaining[.]science
serveselitmail[.]science
serveselitmailer[.]science
servesmailelit[.]science
servesmailerpro[.]science
servesmailerprogres[.]science
servespromail[.]science
servicemaile[.]science
serviveemail[.]science
servoemail[.]science
servomail[.]science
IP アドレス
107[.]173[.]193[.]242
107[.]173[.]193[.]243
107[.]173[.]193[.]244
107[.]173[.]193[.]246
107[.]173[.]193[.]247
107[.]173[.]193[.]248
107[.]173[.]193[.]249
107[.]173[.]193[.]250
107[.]173[.]193[.]251
107[.]173[.]193[.]252
107[.]173[.]193[.]253
162[.]251[.]166[.]72
172[.]245[.]159[.]130
185[.]212[.]44[.]114
192[.]3[.]204[.]226
192[.]3[.]204[.]228
192[.]3[.]204[.]229
192[.]3[.]204[.]231
192[.]3[.]204[.]232
192[.]3[.]204[.]233
192[.]3[.]204[.]234
192[.]3[.]204[.]235
192[.]3[.]204[.]236
192[.]3[.]204[.]237
192[.]3[.]207[.]115
192[.]3[.]207[.]116
192[.]3[.]207[.]117
192[.]3[.]207[.]118
192[.]3[.]207[.]119
192[.]3[.]207[.]120
192[.]3[.]207[.]123
192[.]3[.]207[.]124
192[.]3[.]207[.]125
192[.]3[.]207[.]126
192[.]3[.]31[.]211
192[.]3[.]31[.]214
192[.]3[.]45[.]90
192[.]3[.]45[.]91
192[.]3[.]45[.]92
192[.]3[.]45[.]93
192[.]3[.]45[.]94
64[.]110[.]25[.]146
64[.]110[.]25[.]147
64[.]110[.]25[.]148
64[.]110[.]25[.]150
64[.]110[.]25[.]151
64[.]110[.]25[.]152
64[.]110[.]25[.]153
64[.]110[.]25[.]154
偽のドメイン(サンドボックス回避)
www[.]analiticsmailgooglefaxidload[.]onlinsedsa
www[.]wewanaliticsmailgooglefaxidload[.]oeenlinsedsa
www[.]lovisaaa[.]oedsdenlinsedrwersa
www[.]weryoseruisasds[.]oedsdenlinsedrwersa
www[.]dencedence[.]denceasdq
www[.]goooglwas[.]freesaf
dgdfgdfgdfg
faxdaytodayd
mailsssssssssssdddaas[.]com
mailsmessage[.]comssaaa
mailsmaasessage[.]comssssaaa
sssaaalllsaallsaaaasssaaa[.]comssssaaa
lvelalslllasaasss[.]lllassaassaa
1122212121212[.]1221212
00000000000000[.]11111111
11111[.]222222222222
someserver
someserversdfdfdf[.]111
www[.]wikipedia[.]000212[.]nl
wikipedia[.]112000212[.]com
本稿は 2019年2月20日に Talos Group のブログに投稿された「Combing Through Brushaloader Amid Massive Detection Uptick」の抄訳です。