Cisco Japan Blog

5 月 17 日 ~ 5 月 24 日の 1 週間におけるマルウェアのまとめ

6 min read



本日の投稿では、5 月 17 日~ 5 月 24 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、および公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

本記事では、脅威カテゴリごとに 25 個の関連ファイル ハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらpopup_iconの JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。

今回紹介する最も一般的な脅威は次のとおりです。

  • Doc.Downloader.Emotet-6971400-0
    ダウンローダ
    Emotet は、最近にかけて最も活発なマルウェア ファミリのひとつです。さまざまなペイロードを配布する非常に高度なモジュール型の脅威です。Emotet はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。
  • Win.Dropper.Kovter-6972554-0
    Dropper
    Kovter は永続化をファイル レスで確立させる手口で知られています。Kovter 系のマルウェアは、悪意のあるコードを格納する不正レジストリ エントリをいくつか作成します。また、ファイル システムが感染から駆除された後でもシステムを再感染させることができます。過去にはランサムウェアやクリック詐欺のマルウェアを広めるために使用されてきました。
  • Win.Dropper.Swisyn-6973984-0
    Dropper
    このファミリはパック処理済みで、自身の挙動を隠すために分析回避の手口を備えています。バイナリが別の実行可能ファイルをドロップし、それが実行されると、他のプロセスのアドレス空間に悪意のあるコードを注入します。
  • Win.Malware.DarkComet-6973063-1
    マルウエア
    DarkComet とその亜種は、感染したシステムを攻撃者が制御するための、リモート アクセスのトロイの木馬です。DarkComet は、感染したマシンからファイルをダウンロードする機能、永続化と隠蔽の手段、および感染したシステムからユーザ名とパスワードを送り返す機能を備えています。
  • Win.Malware.Ursu-6977282-0
    Malware
    Ursu は多くの機能を持つ一般的なマルウェアです。C2 サーバにアクセスし、正規プロセスのアドレス空間でコード インジェクションを実行します。永続性を達成するとともに、機密データを収集します。Ursu の拡散手段は電子メールです。
  • Win.Malware.Zegost-6977492-1
    マルウェア
    Zegost(別名「Zusy」)は中間者攻撃によりバンキング情報を盗み出します。実行されると、「explorer.exe」や「winver.exe」などの正当な Windows プロセスに自身を挿入します。ユーザが銀行の Web サイトにアクセスすると、個人情報の入力を促す偽のフォームを表示します。
  • Win.Packed.Shipup-6973041-0
    パック処理されたマルウエア
    このシグネチャおよび IOC が対象とするのは、パック処理されたバージョンの Shipup です。パック処理されたこれらのサンプルは、不正アクティビティを定期的に実行するタスクを作成して永続化します。また、他のプロセスのアドレス空間に悪意のあるコードをインジェクションし、デバッグ回避手法と仮想マシン検出を利用して分析を妨害する機能も備えています。
  • Win.Ransomware.Razy-6972250-0
    ランサムウェア
    Razy は、Windows を標的としたトロイの木馬の一般的な検出名として頻出します。一般に、感染したホストから機密情報を収集し、データをフォーマットし暗号化して C2 サーバに送信します。この例では、マルウェアがランサムウェアとして機能し、.png、.txt、.html、または .mp3 の拡張子を持つファイルを暗号化しています。
  • Win.Malware.AutoIT-6974564-1
    マルウェア
    このシグネチャの対象となるのは、システム管理者の多くが使用する自動化ツール「AutoIT」(Windows 用のプログラミング言語)を悪用したマルウェア ファミリです。AutoIT は豊富な機能を備えているため、完全なマルウェアを記述することもできます。このマルウェア ファミリはシステムに本体をインストールし、C2 サーバに連絡して追加の指示を受けるか、追加のペイロードをダウンロードするかします。

 

脅威

 

Doc.Downloader.Emotet-6971400-0

 

侵入の痕跡

 

レジストリ キー 発生
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\sourcebulk 2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK
値の名前:Type
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK
値の名前:Start
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK
値の名前:ErrorControl
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK
値の名前:ImagePath
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK
値の名前:DisplayName
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK
値の名前:WOW64
2
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SOURCEBULK
値の名前:ObjectName
2

 

ミューテックス 発生
Global\I98B68E3C 2
Global\M98B68E3C 2
rrtlnsuwfk 2

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
191[.]92[.]69[.]115 2
90[.]57[.]69[.]215 2
37[.]9[.]175[.]14 2
107[.]6[.]16[.]60 1
209[.]237[.]134[.]156 1
123[.]125[.]50[.]138 1
12[.]6[.]148[.]4 1
172[.]217[.]6[.]211 1
91[.]93[.]119[.]93 1
203[.]199[.]83[.]4 1
18[.]209[.]113[.]128 1
104[.]244[.]42[.]195 1
204[.]52[.]196[.]123 1
67[.]195[.]197[.]75 1
96[.]118[.]242[.]233 1
195[.]186[.]227[.]53 1
17[.]56[.]136[.]171 1
107[.]152[.]26[.]215 1
137[.]118[.]27[.]84 1
199[.]180[.]198[.]140 1
216[.]117[.]4[.]25 1
75[.]177[.]169[.]225 1
78[.]188[.]7[.]213 1
207[.]44[.]45[.]27 1
115[.]71[.]233[.]127 1
IOC の詳細については JSON を参照してください

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
tomasoleksak[.]com 2
mail[.]amazon[.]com 1
smtp[.]amazon[.]de 1
SMTP[.]ANESA[.]MX 1
smtp[.]hotmail[.]es 1
MAIL[.]BYD[.]COM 1
mail[.]att[.]com 1
MAIL[.]TELMEX[.]COM 1
smtp[.]cronosc[.]mx 1
MAIL[.]AMAZON[.]FR 1
smtp[.]tgc[.]us[.]com 1
MAIL[.]SPROAJ[.]COM 1
MAIL[.]HOTMAIL[.]CA 1
MAIL[.]IKEA[.]GR 1
mail[.]neurologyauctoresonline[.]org 1
mail[.]dmforce01[.]de 1
mail[.]payment[.]visa4uk[.]fco[.]gov[.]uk 1
smtp[.]faithrv[.]com 1
mail[.]dullstroom[.]net 1
mail[.]infosync[.]ultipro[.]com 1
mail[.]worldofficeonline[.]com 1
SMTP[.]NKD[.]DE 1
smtp[.]login[.]aliexpress[.]com 1
SMTP[.]STCUSA[.]COM 1
mail[.]rijeca[.]com 1
IOC の詳細については JSON を参照してください

 

作成されたファイルやディレクトリ 発生
%HOMEPATH%\206.exe 2

ファイルのハッシュ値

  • 06e4174bff2f35981dfd45e4376499761584cf0e87bc310e510c21a42e6cfa31
  • 09e81da7bfaa218857aa72793b86b2f3d3d4fd102e4282702bd524c45428833c
  • 11051f782981a2d9804cb8a373dd9e30a9b7d8f328167de13873498ed7f98674
  • 144b230733e25b20edabe39bad87913afed9279d4bde2f9b557d8a06c0cf53d7
  • 1d174cf281f20a5f318e24b5df536ff2d04d6ea854a81d8d45a519cf3ca60ac2
  • 1e9e79487ef3adba5aad25a1784a828f73112435d43581734998339f184ccfe8
  • 1f33d167cd705d1e19f8b7fb8ed5ed1c08b89bff6738b0e0264174396aa6fc15
  • 321a3f3b901c2f33206a7306778da305454dd0a4c35cad55f2082996958ff6ff
  • 3257cfc9caf85ca8dafb76c69f6c2744b33cd46b7d9b119fdddd78694848d358
  • 3299e6f7204ea1a44782d496c99329b76218b70233892426c02f872221548784
  • 37a8f9312cbc6314a69d480c19287b0c41de1f346a301d0d9e07d95da178b94d
  • 3ba1cad4f797c189510cbffa728b2b1b85ad1400d5ecbee223e262f03acf0443
  • 400a5d6d21230c8fe91fed9cb2fa2ddae199cfa892462281452b106bd219a782
  • 47413a4ab923acaf1bb2ac8eccfd9a1a66d282fa0b3731ddf2d062bcc2b58f70
  • 4821d11f5f6c1d360fb783467ccf365e9e9d412b9d63e262004e592bf8083d03
  • 4d9b585b5bb977301647ee51bffa8dc42b2f2ef1568a1693cada306de09d134d
  • 5b4be5216d7eb192ca92a660ecb8fb86adae5da2727485141e9e9f02d6a24544
  • 6665273fb05925bc755b1ee27eb962d49991f2d7926821ac019bb89a3384f745
  • 6b455aa9464a18e44571793fb467505e6a50d5881bff86e79043fed5e9216d6c
  • 706373653bea1bfd1d577a640e2942a16d064636f6a9aec85b58da3b0cb7ce2b
  • 724c3189c486f06b9090c094256d1ff91fd4e235ccc39a0bd96dfd1b9e2e91e7
  • 75f8716c14b028fee42ba751d4aae0ececdead291572bc36b8f9afeb1e71fb0b
  • 78e448a30db3d7d86c655281ccecf72f12107d1cbd3c4c989103cf3401d65e9c
  • 7ad693a3fd9da1b97c0e7f85fb37bf15f511168d2aa397ffcd4d0f3aeacc84db
  • 7e88b184d97bee19296f2430cb932847db7c77f51d27561bbe88230a2417fff1
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

マルウェア

 

Win.Dropper.Kovter-6972554-0

 

侵入の痕跡

 

レジストリ キー 発生
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE
値の名前:DisableOSUpgrade
25
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\OSUPGRADE
値の名前:ReservationsAllowed
25
<HKLM>\SOFTWARE\WOW6432NODE\XVYG
値の名前:xedvpa
25
<HKCU>\SOFTWARE\XVYG
値の名前:xedvpa
25
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:ssishoff
25
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WindowsUpdate 25
<HKLM>\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\WINDOWSUPDATE\OSUpgrade 25
<HKCU>\SOFTWARE\xvyg 25
<HKLM>\SOFTWARE\WOW6432NODE\xvyg 25
<HKCR>\7b5078f 25
<HKCR>\7B5078F\shell 25
<HKCR>\7B5078F\SHELL\open 25
<HKCR>\7B5078F\SHELL\OPEN\command 25
<HKCR>\.16a05d4e 25
<HKCR>\.16A05D4E 25
<HKCR>\7B5078F\SHELL\OPEN\COMMAND 25
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101
値の名前:CheckSetting
25
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103
値の名前:CheckSetting
25
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100
値の名前:CheckSetting
25
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102
値の名前:CheckSetting
25
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104
値の名前:CheckSetting
25
<HKLM>\SOFTWARE\WOW6432NODE\XVYG
値の名前:svdjlvs
25

 

ミューテックス 発生
EA4EC370D1E573DA 25
A83BAA13F950654C 25
Global\7A7146875A8CDE1E 25
B3E8F6F86CDD9D8B 25
\BaseNamedObjects\408D8D94EC4F66FC 23
\BaseNamedObjects\Global\350160F4882D1C98 23
\BaseNamedObjects\053C7D611BC8DF3A 23

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
76[.]178[.]30[.]160 1
104[.]206[.]242[.]181 1
102[.]163[.]142[.]253 1
30[.]225[.]184[.]221 1
124[.]252[.]58[.]53 1
101[.]97[.]177[.]118 1
191[.]246[.]151[.]160 1
196[.]95[.]102[.]96 1
112[.]165[.]89[.]87 1
76[.]194[.]40[.]50 1
223[.]86[.]178[.]79 1
68[.]130[.]198[.]26 1
130[.]62[.]249[.]13 1
21[.]192[.]27[.]192 1
81[.]122[.]170[.]69 1
159[.]33[.]113[.]193 1
158[.]223[.]237[.]32 1
121[.]154[.]29[.]121 1
53[.]124[.]76[.]212 1
39[.]77[.]6[.]39 1
61[.]16[.]172[.]165 1
174[.]223[.]23[.]225 1
223[.]163[.]24[.]62 1
31[.]41[.]82[.]151 1
181[.]83[.]42[.]248 1
IOC の詳細については JSON を参照してください

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
www[.]cloudflare[.]com 1
www[.]weibo[.]com 1
time[.]earleco[.]com 1
www[.]bvihouseasia[.]com[.]hk 1
www[.]bvi[.]org[.]uk 1
www[.]bvifsc[.]vg 1
www[.]bvitourism[.]com 1
bvifinance[.]vg 1
service[.]weibo[.]com 1
www[.]fiabvi[.]vg 1
www[.]vishipping[.]gov[.]vg 1
www[.]bvi[.]gov[.]vg 1

 

作成されたファイルやディレクトリ 発生
%LOCALAPPDATA%\39b0373 25
%LOCALAPPDATA%\39b0373\6a5cc64.16a05d4e 25
%LOCALAPPDATA%\39b0373\7cbdf29.bat 25
%APPDATA%\9d0423c 25
%LOCALAPPDATA%\39b0373\a0ed4db.lnk 25
%APPDATA%\9d0423c\da4e6c9.16a05d4e 25
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\2ff4672.lnk 25
%HOMEPATH%\Local Settings\Application Data\25013c37\1ffa0202.41d68cee7 23
%HOMEPATH%\Local Settings\Application Data\25013c37\aae7a32b.bat 23
%APPDATA%\544d89dc\bf4dd39b.41d68cee7 23
%HOMEPATH%\Local Settings\Application Data\25013c37\5f60f76a.lnk 23
%HOMEPATH%\Start Menu\Programs\Startup\b24d2b96.lnk 23
\REGISTRY\MACHINE\SOFTWARE\Classes\exefile 2
%APPDATA%\95df7\dc6f5.28e5d9 1
%HOMEPATH%\Local Settings\Application Data\cf335\03b2a.lnk 1
%HOMEPATH%\Local Settings\Application Data\cf335\1a396.28e5d9 1
%HOMEPATH%\Local Settings\Application Data\cf335\7b80b.bat 1
%HOMEPATH%\Start Menu\Programs\Startup\1f9af.lnk 1

ファイルのハッシュ値

  • 0351e09f784933d3d59fe025b748e1d3fc01f545cf5dde505b034377794962c4
  • 13d0ed2b542e6c09376adc96e9c4ef0e862727d24cbf39c6185cd8d9712c44bf
  • 13da1a72b70ab0c78d9f1844fe5ad097e1235af32bea2f06935e32cce8e04d41
  • 220e48a66788b6dadb06f6d326233b21694593b02140c8489dc951709a871bc1
  • 23ae65200c6e2b11f1dfa4dc42355c2c161faa264cebe7fa62222f337a9e53f1
  • 252de3df03b74bab9f82fe47cd809b5c3d9b86882b32a225c4abb3f9ddce955e
  • 33d0abf301d6b4857c61e0f4d60b6a21c8ebe155731f3a737383f5f0fc055ad4
  • 34a1ef0084d90a55ce19aa7bc0d17358247e6e3e9416b46291cb84e1b8414cef
  • 35c9b57f3f5bffb0b1280901df5a8b4ab7fc76f453af1f72f336dad500648807
  • 38011d4c3afaf9bb10fce05788089845a0d86edcc5424295ac3e0345d9795a59
  • 39645016e9e74423955e24f235592ee22d48216873c6ad0abd67a57f87874af0
  • 406a5b73c768d019808c2a779729b47d181fec402073f58ab07afc9630904198
  • 43b3719228bb8b06e6981a2829b7920629ce1d3a650ccdf7813befe22616c3c0
  • 57efc6fe6c36fcdac92f6210b006eac42f9ea53133f6df81a73bba822062e44d
  • 5919b89bd4a14677da09b349d7aeeff86ba8fe690d30ce12bd55e69300393ef1
  • 5e19b3dbc319fd8408280b4d886c9eeceffe7091151ef2b9cf5794840dd8a674
  • 640878f3ea0254adcffe4ca564048ebe1a49a22b4821820d98a28c6f93529bc8
  • 68f24fc9a20111bb749e1374fa1fcb832ca55f08f716561376c4aa7cc5cb60e4
  • 6a67901c8232e4e4d9cbab3b161cd56a9c36596e92a0ad019537613f1c542ba5
  • 6cb59a8f51d309a1b780e82c9f6e54274fdd10237dfb118fe75ce7c6d29941ec
  • 7076e385d4b26ebaeff99786a8a5d76fedf122881d1ff29965993ee9f48bf584
  • 730b4fade238d5afe3f535227dc729d4caf438312d6635cf65a6344ceb3888ee
  • 74377fe4f81e47cb43780794543e5949342bb96adfb698aa80f9451a24e64b3b
  • 7bbdad89f5b9aebe8c62048cbbc4b3f9521101ba9b25e100a3baeb24dfb1a499
  • 7eed9a6117a9efce8a2717a695d9ccb697b0bcbd6cc85a01d530140070711945
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

 

Win.Dropper.Swisyn-6973984-0

 

侵入の痕跡

 

レジストリ キー 発生
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:WINCHAT
11

 

ミューテックス 発生
該当なし

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
210[.]241[.]123[.]205 5
61[.]60[.]12[.]164 5
64[.]76[.]147[.]89 5
190[.]85[.]16[.]13 4
187[.]45[.]228[.]58 1

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
economic[.]3cnet[.]tw 4
larry[.]yumiya[.]com 1

 

作成されたファイルやディレクトリ 発生
%APPDATA%\Help 11
ka4281x3.log 11
\TEMP\ka4281x3.log 11
%TEMP%\kb71271.log 11
%TEMP%\~$$workp.doc 11
%TEMP%\~$workp.doc 11
%APPDATA%\Help\WINCHAT.EXE 11
\ka4281x3.log 10
\REGISTRY\MACHINE\SOFTWARE\Classes\mhtmlfile\shell 2
%TEMP%\CVRE02.tmp 1
%TEMP%\CVRFEB.tmp 1
%TEMP%\CVR6C7.tmp 1
%TEMP%\CVR725.tmp 1
%TEMP%\CVRC82.tmp 1

ファイルのハッシュ値

  • 007ca03c6d3185983f7628ce283087dca0d5bed03ec912200d1e921672303209
  • 1baf10a1266410e3d9ea5010a86493f7a7c5cc8025fa1960e0fc3473827aaa23
  • 3a6dd31a0a1382f74b13a1d1d4906c570302f858ac0c8c101865b3b6c7d448f8
  • 53219b02a2c4231a996f9eebc53fd0a822e123efd47317789331822c02b3e3ab
  • 56a652a5242989a2dfdc91a588180e939120a0b749e4cfb45b65a01399957143
  • 602dc673518f70c3b55b8c0092435c40cdcec1725af015eae7a3ed869530c5cc
  • 6b50e3860285f021a508a13dcd80c1325560ccdefbed642db3f607d3187ddebb
  • 7722f295fa1cf7a3b5cda45aea62c1d4e7269bb964848a5cb6fe3098902b361d
  • a3683189e55067e50a65d37af97d8273ccacc87336ac4b7a2023032431f0cac2
  • a6991f1e575a92024a7dab7ab5e16f2c64a5caf59054ab326cb648ebdb7b1537
  • bc38eda2656f510bbeaf4dc14f25e97f249f5b3dc8327999ad44d2b4b98bd090

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

マルウェア

 

Win.Malware.DarkComet-6973063-1

 

侵入の痕跡

 

レジストリ キー 発生
<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 14
<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 14
<HKCU>\SOFTWARE\CYBER
値の名前:NewGroup
7
<HKCU>\SOFTWARE\CYBER
値の名前:NewIdentification
7
<HKCU>\SOFTWARE\Cyber 7
<HKCU>\SOFTWARE\CYBER
値の名前:FirstExecution
7
<HKLM>\Software\Wow6432Node\Microsoft\DownloadManager 5
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{Q448C2M3-FYKV-7ID0-27GB-B0YJ02KV7B37} 2
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:MicrosoftPrint
2
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:MicrosoftPrint
2
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{Q448C2M3-FYKV-7ID0-27GB-B0YJ02KV7B37}
値の名前:StubPath
2
<HKCU>\SOFTWARE\cgtestor 2
<HKCU>\SOFTWARE\CGTESTOR
値の名前:NewIdentification
2
<HKCU>\SOFTWARE\CGTESTOR
値の名前:NewGroup
2
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{A006786A-AF6Y-2H12-1ULT-6X56A8L375TN} 1
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{H3T87034-72YI-HVWU-8TW1-XRLG3A51O2N1} 1
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{XE2AOBQB-F345-88YC-GMXW-03PEJ75V7WN8} 1
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{40UP52E3-1BA3-1FVA-0830-0LPA8BB74KCM} 1
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{80MR36N0-3A0L-8U63-4ABE-DIG840AJ43R5} 1
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y6OM0HT5-JGS2-L6NN-55A2-41O6554166B1} 1
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{U24C12U8-JR64-860I-NR12-HX5Y3UL2O2GM} 1
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{5CJXRF76-BP1U-TPUE-6DCM-I034DALUNKB4} 1
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{L24VWK2P-22R2-46K2-V8RJ-XK2H03J01HJL} 1
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{A8081X6Q-NN6X-B62A-4715-HN312RI8G7N5} 1
<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{7A1IWYJ7-F7XK-O3G5-N0V0-434M8W04DQ1K} 1

 

ミューテックス 発生
\BaseNamedObjects\Administrator5 12
\BaseNamedObjects\Administrator1 12
\BaseNamedObjects\Administrator4 12
{C20CD437-BA6D-4ebb-B190-70B43DE3B0F3} 2
2V1AWS6YF6TXG2 2
2V1AWS6YF6TXG2_PERSIST 2
2V1AWS6YF6TXG2_SAIR 2
8KRK5M71VU1M5K 1
8KRK5M71VU1M5K_PERSIST 1
2V80730O046N4E 1
2V80730O046N4E_PERSIST 1
2V80730O046N4E_SAIR 1
52736ID51F81S2 1
52736ID51F81S2_PERSIST 1
21J3T4M0224831 1
21J3T4M0224831_PERSIST 1
21J3T4M0224831_SAIR 1
Global\a76de881-7963-11e9-a007-00501e3ae7b5 1
Global\a54a6c41-7963-11e9-a007-00501e3ae7b5 1
7IJA3Q405R67XA 1
7IJA3Q405R67XA_PERSIST 1
7IJA3Q405R67XA_SAIR 1
BAND78GIQB66CP 1
BAND78GIQB66CP_PERSIST 1
BAND78GIQB66CP_SAIR 1
IOC の詳細については JSON を参照してください

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
52[.]8[.]126[.]80 3
162[.]125[.]8[.]6 2

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
www[.]server[.]com 3
dl[.]dropbox[.]com 2
amphetamin[.]dyndns[.]org 2
bll3bll3[.]no-ip[.]biz 2
chugychugy[.]no-ip[.]biz 1
thecool[.]zapto[.]org 1
danyeltdc[.]no-ip[.]biz 1
cybergateratmortal[.]no-ip[.]biz 1
mark1[.]dyndns[.]info 1
NKG[.]NO-IP[.]BIZ 1
tomate12345[.]zapto[.]org 1
freecoolstuff[.]dyndns[.]org 1

 

作成されたファイルやディレクトリ 発生
%TEMP%\Administrator2.txt 15
%TEMP%\Administrator7 15
%TEMP%\Administrator8 15
%APPDATA%\Administratorlog.dat 15
%TEMP% 14
%SystemRoot%\SysWOW64\WinDir 3
%SystemRoot%\SysWOW64\WinDir\Svchost.exe 2
\directory 2
\directory\CyberGate\install\server.exe 2
\directory\CyberGate 2
\directory\CyberGate\install 2
%SystemRoot%\SysWOW64\Windefend 2
%APPDATA%\Windefend 2
%APPDATA%\Windefend\wdlc.exe 2
%SystemRoot%\SysWOW64\Windefend\wdlc.exe 2
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.IE5\SSZWDDXW\sqlite3[1].htm 2
%SystemRoot%\SysWOW64\Java 2
%SystemRoot%\SysWOW64\Java\Java.exe 2
%SystemRoot%\svchost.exe 1
%SystemRoot%\install\server.exe 1
%SystemRoot%\SysWOW64\Svchost\Svchost.exe 1
%TEMP%\fKbeeL8LAf7RNJz277.exe 1
%TEMP%\wNXued4pQq1zObh0H1.exe 1
%TEMP%\WqtgkF7HZR2P6A.exe 1
%TEMP%\yORdpf8sEy7.exe 1
IOC の詳細については JSON を参照してください

ファイルのハッシュ値

  • 042cc2f502cc7a8830f1422060bc7087218516dde6da1b82f13fce5dfb7fefc9
  • 09de6f1c248817500b6dd911e7cca1f662e4d4cc8f4ade8b9ede3af558553074
  • 15573121831d3e2c67bf219bbcd4e78c65e20d92f00bc16f2dbe564b02add7ce
  • 3041bd2d8b516685011bc96d42f6b0c5814790e51a7935a9b9a4f0e3d35b87f4
  • 33b215de55923f27998929217024c409e0b9059ae5f970aaeae6e8436185f615
  • 3708fb9505564ee292d27082f43ff080fe3545e5d9bdab204ac2b0e26825d4e9
  • 3a396d00735cb58475f7dfc44748a8b8b797157aa7c0ddbe73386434ad33382d
  • 98db7f273a141813f60c82b113635f0cbf0ec5e25ac58e518c629790a6536882
  • 9bffcee38ba555a0a522c3f18ac96fcb44b0a692007271fd239e8437756d379f
  • a192abef36bafcd1e7bad8620fc08a1618b285fcbec6a097521b0a99102d05c8
  • b64e1524cc098319cfd34d594e48b1ddad7690c9bb2e5a273e518fdf7b09ace2
  • c458867497286338031748ea86a7accb00bc03bd879cbcbf9102f5b4dcd9f360
  • f79c376b416bcfac45152f1b2a9809b12a1e7ee3afb50a0ccd4c1799b51735d3
  • fe712cd1343925500766a1bcff4c5221838998cf8dee475f0e84e9aa476a6583
  • fe9e3a928bdf85a0013f677b77acd177b7ae3a366cab7717a1871c537250b062

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

 

Win.Malware.Ursu-6977282-0

 

侵入の痕跡

 

レジストリ キー 発生
<HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR
値の名前:Locked
23
<HKCU>\SOFTWARE\VB and VBA Program Settings 23
<HKCU>\Software\VB and VBA Program Settings\Explorer\Process 23
<HKCU>\SOFTWARE\VB AND VBA PROGRAM SETTINGS\Explorer 23
<HKCU>\SOFTWARE\VB AND VBA PROGRAM SETTINGS\EXPLORER\PROCESS
値の名前:LO
23
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Explorer
23
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:Svchost
23
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED
値の名前:ShowSuperHidden
23
<HKLM>\SYSTEM\CurrentControlSet\Services\Schedule 23
<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess 23
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SCHEDULE
値の名前:Start
23
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS
値の名前:Start
23
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:Explorer
23
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE
値の名前:Svchost
23

 

ミューテックス 発生
該当なし

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
該当なし

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
該当なし

 

作成されたファイルやディレクトリ 発生
%SystemRoot%\Resources\Themes\explorer.exe 25
%SystemRoot%\Resources\spoolsv.exe 25
%SystemRoot%\Resources\svchost.exe 25
\atsvc 23
%System32%\Tasks\svchost 23
%SystemRoot%\Resources\Themes\tjcm.cmn 23
%System32%\drivers\oreans32.sys 23
%System32%\en-US\imageres.dll.mui 2
%SystemRoot%\Globalization\Sorting\sortdefault.nls 1
\??\NTICE 1

ファイルのハッシュ値

  • 2e95794cf4894836b24b8d63f7d01139135e15d5fd812551265155d3ec0a36e2
  • 373b6d81957c30c8b5cb4d5ff66511d9e0b308e3457023421ccc693bb60859ca
  • 39c6009a9f65fc0bd39f8e610783084e7611be480522e76d928e3e29b8b85a55
  • 3ab8dbe50d5b2a8d5e7643d59c0e2572fa4ee06dcebccbe633e996ce215d2fd0
  • 43ce287dab8e1471defe0f40f07c13fe4bf03ce03353b11fff3b2f2f1b5998a3
  • 47f97a745fd206df983cb63192aa2ad0cfe6f0a2ccbc2652bdcd83bf9c7bb707
  • 630e3a845a2099c100dd766f92a51100338a22c50849f00a805a05f3049ec844
  • 665b3e6eff2cc67b7c609af33521b00c93482612de5963f6924a6a68f2d07da2
  • 690259339ab8cec23f2461593a3620d910b6f76ff22e38ed7143472cd4ca667d
  • 6ca1e0caa0c5e634a66b3e1d3204cb93fc5806a8313a05d45a480c4903a7fde9
  • 6ccc81bec3a9344b374d9a62f297ac9811912b8d4f2fa887d5beb7fe7a16c116
  • 77a7bffcedc1638995971267e62a7e3f0b900ed7af4a98c7b831b4bf7c99d6d9
  • 7a636b56140c6b1ff69aa713d4db994b8be893f9009faea048016b92103c2310
  • 7c9dbb9c3ac7dd94bcc79e828596516e66b4348e0f8bd581fea660d5da0f7d68
  • 83a1152f36ce9eda3546517d4a2e96eb183f613870aae71b330a73b8d3f774db
  • 885bfa45c4c0dc4de65e777d4230ef3ba11a6d39f6785b9a7f4f231e37b9efca
  • 89ffe264e5d751253570f51215234cccb4daa74e01a4556611851db821c1b505
  • 8e31825cd4844cf15c4e69b3cd0e8daa410a6ece67324f26d65764934507b6d8
  • 8ff2a0391fac1832f423e1c0b156291751a81f3be34f31b9e77e39eb215c8acc
  • 9412fd31320ffb831d69a4a7db2317d17d6ed91f246b52d1fd0ff9dfd0ec9da8
  • 96f43911f3a315a34c2a29886d6b3bab6bacfa867bf3bdf85766c546f5e49ed1
  • ae352a71d00f328be74de101fe0a9ee2b08ba6a30b233c44505efd45c5af113c
  • b058353182c961e81209f09203f59da326fca6c7397c2d05ecdde7018c6191cd
  • b1db9ddfd0492846007e6ce13f295a463293bd45f36012d576aa9285830950ee
  • bd977100e6206d546c7b90be267bf8e6d6005327014a671c58fa44b8b104e91d
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

 

Win.Malware.Zegost-6977492-1

 

侵入の痕跡

 

レジストリ キー 発生
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:XXXXXX579E5A5B VVVVVVrr2unw==
24

 

ミューテックス 発生
AAAAAA9PT0vfT4rqenp70A/Pqpp6+vr58= BBBBBB9PT0vf4Fr7K0sr0A/Pqpp6+vr58= CCCCCC9PT0vQXpr7K0sr0A/Pqpp6+vr58= GGGGGG4wIF/vL7858= XXXXXX579E5A5B VVVVVVrr2unw== 24
\BaseNamedObjects\AAAAAA9PT0vfT4rqenp70A/Pqpp6+vr58= BBBBBB9PT0vf4Fr7K0sr0A/Pqpp6+vr58= CCCCCC9PT0vQXpr7K0sr0A/Pqpp6+vr58= GGGGGG4wIF/vL7858= XXXXXX579E5A5B VVVVVVrr2unw== 9

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
107[.]165[.]236[.]233 24
45[.]39[.]189[.]31 24
154[.]90[.]68[.]52 24

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
www[.]af0575[.]com 24
www[.]fz0575[.]com 24
www[.]wk1888[.]com 24

 

作成されたファイルやディレクトリ 発生
%SystemRoot%\XXXXXX579E5A5B VVVVVVrr2unw== 24
%SystemRoot%\XXXXXX579E5A5B VVVVVVrr2unw==\svchsot.exe 24

ファイルのハッシュ値

  • 05866fb33429838331d475305f0b208d9aba77147dbf3010dd5c1ed502aed237
  • 1bc0cc8e902068bced4d8a5a3995996e4004aaf4f7f7d472a137ead9d9531f6a
  • 7ba1eaf4a7b6298ea88d653015a586daedef1931b868d72067919b85f09192e3
  • a02b367269e6a04ff08f088f372dba36289890cb0ac0200ece43d9eb76f8fffa
  • b52acfe618192ea2c16518b22b565adae69496dce66e0fa344cf3c3c343d531d
  • b78f867b6c84795c7b1aba7e607ecea8ebbb2e05c72c4c6118bf2c73fc582641
  • b80a7942deb3a734e54a3e55e01fd5c8b548c8c263423861e8293d64358f8dd0
  • c2db0b91efc4d4d6f7f6b8261fbf87502234d8dddfee28d1fb3f3a0aa9036aa3
  • c4e18af265e4a04ef594e8eb4272e06a4d2d17b711318ed87e92e023e1e93cca
  • c7df429173e8ea67d0d6db359b4bb591b63d605e308c9e5782e98bc859dde11a
  • cdd73dcea4ebab00fef66f15eb816c35abebe2cabbd6c1083134c5f00604fa1b
  • d100a56dc5beb1b8e0cb061d8eac0ec7d9a38d59c9494e4b54cd9347c1d3990f
  • d19888826f2bc2c913123848d16a33ad2e4c2816926e2eb2b0d2b0b7e07ea743
  • d2963a935336cae74222b86b3cea3746b661b6cc2856b18ae90950f4074eb809
  • d4412464d02bbfe2e9594988854e14af082ee7a9ae3523839f333fdcf53aa338
  • d453f0d4bade25d5f69227940a93d1bda71708160ef2abdf395572a7a1092865
  • d505c38f3fea2def0c138cdac765458439f4d6485f5d4958b78c275a16bb1f6e
  • d6cdaf52318fbd8a246b229130c9f0f65a2f47825f69110ddac6466651c2ee78
  • d84754b76bea45d66d81d7e9b21508cd0444166d972ebed290e6579b9232500b
  • d8ed266a2992c92c6cdb8c091347fa914c0f6329bb7d1b7a534608780bafb34d
  • dad1288296135661b94cbd1d330c89664c60d6e62eb401aae07153d0a833a5bb
  • db3236cbfbbb26811e79d0c406d69b0c07d90bb757fc167815187c7880049a2b
  • dd90a85a837547695bb16b420c60f0736ce2d941f39f89a2784a26d3a69fd137
  • de92f9212a5cef7538654b04e0c12939ef29bbed1899346130b934e05eb74a1a
  • e07953b5a16b4a232dcd0029f277290114c10d17bfaf85c1743dc6a0fa6b1583
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

Umbrella

 

Win.Packed.Shipup-6973041-0

 

侵入の痕跡

 

レジストリ キー 発生
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS
値の名前:LoadAppInit_DLLs
32
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS
値の名前:AppInit_DLLs
32

 

ミューテックス 発生
該当なし

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
該当なし

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
該当なし

 

作成されたファイルやディレクトリ 発生
%ProgramData%\Mozilla\thfirxd.exe 32
%System32%\Tasks\aybbmte 32
%ProgramData%\Mozilla\lygbwac.dll 32
%HOMEPATH%\APPLIC~1\Mozilla\kvlcuie.dll 31
%HOMEPATH%\APPLIC~1\Mozilla\tfbkpde.exe 31
%SystemRoot%\Tasks\kylaxsk.job 31

ファイルのハッシュ値

  • 052547bc8db09ae2df36819ad53a4174d593082c4a416d06a09e40598163c318
  • 052d32680a239673a9972d09723fdd4f75ea05af4671d971031bbc48d6da9501
  • 0e841ddbe5a8ea180d0e3ca81cb3d88fe9a78b5ab04f9374220c82a4f9a7ab46
  • 0ecb413195e8be913236983ef106a90197f815ecfbd94d78dafadefd37025628
  • 13ca3ebbaf2c837078de5a6bbc8de54c8cf3762f7ece550f8066df6523ab6c96
  • 13e9aa44c96f7eb8272d232924facc85c184329e2a776f627a49af9a00f5ac95
  • 15e2fa7064464e8e3b9a1ec51d032e8170084c9e232396e649f0e8bdc8e6b9b0
  • 15f9e930562516a455a50ccab4b413121dd1f5dae7ed7ebbf777bbf9c6d3ce43
  • 179405e24adc742b476282a1849f96de091a92bac7f1fa5399750c74089f706b
  • 3e8d09e57b8b169940c173c76c36cb6306ad194be51b568829afda9abe5c9dac
  • 437028671afa7e4b26814fad641b8f8b59bdb8ab838461ffc359c8fb1ba6505c
  • 44628bc60cf2fcbb774b7102add73b0ec05c90db6a5c0a51e58a2b8b03187ce9
  • 4f4eed8ad44a81f5bcea4956c17793c467d2f35d751bd3d5041bdb02173dceef
  • 5ca3a2ff96cc24eb5c555ccb2c5fa22b86248f742ce3c6e0c930a57f530a5558
  • 607ca3c1344a6dca8a0df8ca61924247f5d7abe5fb082546e66282a85a463d83
  • 77b1590916699002e1211803f858749dfe258de2faeba7cb33da399992a7a021
  • 7c81845b0a79769bd476c01a51cfb1f10774be0e082ed52b431899e5756810e3
  • 7ed507a6eb3af46b6c14c91772fce87c6968d025ad4a8747963fc5ae8205dde2
  • 842a281a82d966ec59f255326ab5a37fdeff6028d59a164fd00de8c77dc5146c
  • 889284a84faf65ba6ef4295f35dd6aa3c524965226c725337639e62dd17c0d78
  • 9f2f173a793d3e02f67047c09e3e5680b017eecc9a2ecef2269cf72a3e6e2801
  • a662fcb03c1837ddbb13b145e7f1236a2839c25c7bbf30afb11836b5a01cf5a7
  • b69fb1c8cfc8cf49b20f00591ff647e4629370f68010e6f0900d5266817d0bcc
  • cb8365c6b74023800369bd87743d23c481adc2f8965b8b2e1c0e4ee6074d2f30
  • dc45c478635d4bd2b242dbd49218aeeafb3e3a92e10edf4417c46c48a49f54a5
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

 

Win.Ransomware.Razy-6972250-0

 

侵入の痕跡

 

レジストリ キー 発生
<HKCU>\Software\zzzsys 29
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM
値の名前:EnableLinkedConnections
29
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
値の名前:aroinics_svc
29
<HKCU>\SOFTWARE\ZZZSYS
値の名前:ID
29
<HKLM>\Software\Microsoft\DownloadManager 2
<HKCU>\Software\DCAE84951C1ABA1 1
<HKCU>\SOFTWARE\DCAE84951C1ABA1
値の名前:data
1
<HKCU>\Software\1CB360B14DD9DEE 1
<HKCU>\SOFTWARE\1CB360B14DD9DEE
値の名前:data
1
<HKCU>\Software\4A8D80F87D78C75 1
<HKCU>\SOFTWARE\4A8D80F87D78C75
値の名前:data
1
<HKCU>\Software\3C10A2EC8C6F11A3 1
<HKCU>\SOFTWARE\3C10A2EC8C6F11A3
値の名前:data
1
<HKCU>\Software\B23F47051906EBA 1
<HKCU>\SOFTWARE\B23F47051906EBA
値の名前:data
1
<HKCU>\Software\EDF09EC2BB87785A 1
<HKCU>\SOFTWARE\EDF09EC2BB87785A
値の名前:data
1
<HKCU>\Software\43A7BE96FA393A15 1
<HKCU>\SOFTWARE\43A7BE96FA393A15
値の名前:data
1
<HKCU>\Software\B26B751ACE1935 1
<HKCU>\SOFTWARE\B26B751ACE1935
値の名前:data
1
<HKCU>\Software\2B359187F23A1A5 1
<HKCU>\SOFTWARE\2B359187F23A1A5
値の名前:data
1
<HKCU>\Software\66655966ACCADC47 1
<HKCU>\SOFTWARE\66655966ACCADC47
値の名前:data
1

 

ミューテックス 発生
\BaseNamedObjects\345432-123rvr4 29

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
204[.]11[.]56[.]48 29
97[.]74[.]249[.]1 29
23[.]225[.]15[.]164 27
204[.]79[.]197[.]200 11
13[.]107[.]21[.]200 8
88[.]99[.]146[.]131 2

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
en[.]wikipedia[.]org 29
www[.]torproject[.]org 29
rbg4hfbilrf7to452p89hrfq[.]boonmower[.]com 29
sappmtraining[.]com 29
multibrandphone[.]com 29
vtechshop[.]net 29
controlfreaknetworks[.]com 29
tele-channel[.]com 29
shirongfeng[.]cn 29
irhng84nfaslbv243ljtblwqjrb[.]pinnafaon[.]at 24
t54ndnku456ngkwsudqer[.]wallymac[.]com 24
bfd45u8ehdklrfqwlhbhjbgqw[.]niptana[.]at 5
kh5jfnvkk5twerfnku5twuilrnglnuw45yhlw[.]vealsithe[.]com 5

 

作成されたファイルやディレクトリ 発生
%HOMEPATH% 29

ファイルのハッシュ値

  • 1905c1e8b2d6c268f627e8dbc059555510cbe2871ad529894e8d6353418a05ab
  • 22957751bc62369fd5349c30bfa365ea37b8e132af29abd40a3b920f47b6eb32
  • 2c6da4b5560472d787e4fdf7ae5f40e28d4fbf31648874d30b3ee62f6f94d621
  • 45cfcd5fc1d12f0b8c5ecd100f9b2d7e537a3804605337e581b2e6f7d8769662
  • 4955d9cb5931f433c3e52b30c6089e5466af4da52eec32842115a169b7a0d5d4
  • 751a1db3495b1c2d385b4ceaf33a4051a7fcdc3fb93b306fdbe1f6b143694db5
  • 937e5573b147a897e27aba03bc8e21c3e4e32b89e4c596bf5a1b65eddafe88cd
  • 939e5d2051e8e0256d39f1c55f847831f9de1b140fc8581edd324f5ae08c26b8
  • 94dbe3111292115fc9ec7616ff8c32f636315f2589b05292e32f8bf4da42757d
  • a2be2b0912b691d4c3d85f458b6e01228680df6d0d7ec2820467fc8794b0bab0
  • a76170367b5a5b49eed6c02bfe35d62506781fb25abd42f151a088b39526cc76
  • aafa9d17e3e276c0d3ebbca2d7f9b51e658ee19181543f57029da7f0ecb16c85
  • aba204cbd49df46ca1a1bce301de80cdf85440928a70207a35df3768eca2ba03
  • ae5f00f552b48e9d4ab11ec2c110ec7d2040f638507e074fc59e8e6f195a9e96
  • b4d601ff6d892011692e72b14fa102f674015b6f673bb67ddb6ce299f5fc0225
  • b4f43a3b21f24af7639f8d505a729fd063ea617efe5e2bf3d1b7cfc972a1174c
  • b719d46aa7b9a2af7164e4b2b50bb6fb569405c11d65c3d79715b56eba30abe8
  • b81df15c1e85bfbd32732e1415b88534d30949030da784d44094bc464e784929
  • ba784059fa75fa4669b0bdf1f9c37846b72dbc475fd616e3d919da320585bb26
  • bdbc5002551f35b9828206efe63775cda2a3b0ddc0b1a3cea69712645acae9f6
  • c1200ec3e6d577abbdf3ffa675c0c5a74c19404b48f17c7a9575e52f9f587fdd
  • c29e65f5d0a286c4a6200eff1243110665b50225a60f293ad3993a4433f75eab
  • ca3857d4f20eb830c5d281b36fb5cfa9e1dc3195e07763d8541d4782a297cb41
  • d27199f85f5225fd359532c6f72d82d86d54c4a9eb2094ea1987701cce9a13d2
  • d2c51c28a29b7188d7597867ecf3b46d6c680f3fc5b08d1b62b11d7e35f7c432
  • IOC の詳細については JSON を参照してください

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

Umbrella

マルウェア

 

Win.Malware.AutoIT-6974564-1

 

侵入の痕跡

 

レジストリ キー 発生
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS
値の名前:Load
23
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\avgui.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\avgcsrvx.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\avgidsagent.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\avgrsx.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\avgwdsvc.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\egui.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\zlclient.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\bdagent.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\keyscrambler.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\avp.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\wireshark.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ComboFix.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSASCui.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MpCmdRun.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\msseces.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MsMpEng.exe 20
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\RSTRUI.EXE
値の名前:Debugger
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVASTSVC.EXE
値の名前:Debugger
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVCONFIG.EXE
値の名前:Debugger
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVASTUI.EXE
値の名前:Debugger
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVSCAN.EXE
値の名前:Debugger
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\INSTUP.EXE
値の名前:Debugger
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MBAM.EXE
値の名前:Debugger
1
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MBAMGUI.EXE
値の名前:Debugger
1

 

ミューテックス 発生
a6aa8a0b-6e56-4c3b-907b-050c9f3cd849 23

 

マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) 発生
該当なし

 

マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) 発生
該当なし

 

作成されたファイルやディレクトリ 発生
%TEMP%\AppVShNotify 23
%TEMP%\AppVShNotify\adsldpc.exe 23
%TEMP%\tmp1.tmp 19
%TEMP%\9820e8a7-0923-3042-c2a0-c5f11027aa0c 1
%TEMP%\e2fa612d-1e2f-35b5-a199-944faa71010b 1
%TEMP%\6b2d093a-7df5-80b3-3f99-4e2c9f1b13c8 1
%TEMP%\4f2d29d3-fbde-e6ff-ad4a-df0b85cdeddd 1
%TEMP%\fe5fdbd7-d952-2867-3827-7057bc588851 1
%TEMP%\c457fd8a-143f-203d-0170-439f7c58973c 1
%TEMP%\914c8aee-d3ec-de0a-1145-f7bddaa17f99 1
%TEMP%\ee04db46-f4ea-7f77-8bbc-01f32a7cc91d 1
%TEMP%\8b20e715-a03f-4588-1643-683c4f1c2815 1
%TEMP%\30c2a40c-4fe5-ce75-1ced-261814da72b9 1
%TEMP%\295bf3aa-19e0-3c5a-0683-f84fd23e5863 1
%TEMP%\159f88b1-1b0a-90f0-8fdc-216ce2a76423 1
%TEMP%\1781907d-118d-abbc-e63c-ffefec1db0fe 1
%TEMP%\ac2f593e-117e-d2e9-5326-7e5853e9a327 1
%TEMP%\b60fdf77-11cd-a028-be3d-31ad857bb8ca 1
%TEMP%\f1d8b9f0-0a08-9f11-7bf2-beb0259e0aba 1
%TEMP%\39fd9262-2c05-b304-c2e3-82be0f250151 1
%TEMP%\6db51643-db24-1925-0a44-6ec878aba104 1
%TEMP%\f7913a71-88aa-05ca-5d01-f9cd8ec5cf3e 1
%TEMP%\c0ebfd8e-41db-b5f8-8907-2aad802486f9 1

ファイルのハッシュ値

  • 13d1d9eeba3a08a30db5812b628d1c68fb87b2c320260850a32d37fdc45de2ee
  • 2d63201ae10bef24d9a28f054a504a4f4d7c5992656fccd2bc22a4515fa6b820
  • 2e1b4c9c33da8a159915d696e24cc658f98ef9793b80ddfc9ca7827cd00af279
  • 3e3c18e431e5782e8576766b9c3c8dbcf2e00eb5fb252b090fb5becd997004d7
  • 4670ed1f97a6c49498dc49f996daa8570ccdcd07922bfdacd3230861aec54a0a
  • 4ffd29b36c3059b81555f7dbb11e2e03b56b31a31f644e8d2267a1ef6d3229b2
  • 56ebb8570a0f3490449c95e1285d36ca87801f0a044f262aceac90c7e2dfe7f3
  • 714d4ef7cf6fad145d2e3bfa069957c4cc5ee6b3cd471e9ed8e64b7bbbb98369
  • 840c394f5562db9be1291578d19ba069016a62551ac15d5d062ad5623a0bc5e3
  • 8b568da7e24bef7371551c0a2541cbcf90294af04e4d99c196717d5473e399a3
  • 8ec63eae66ac11026ca51828206a784bcb5bc5c87f33e455ade4ac4c5d7c875e
  • 95ae77952c43bb538baf4f704e588b8ec229a3a116254d902b89a3dc999561da
  • 9b9aff6df6f3f71722a0499119b1b32d6d8f66f7a84dc71228395040d587d43e
  • 9df3b3b9eb5cd86fb0e56ae740c158b25fad2ce7936d266b83073f8021d032fe
  • a5e7b3a7b85e1c3f8a084e7d3a476c7bf04704200e6bd2e0b7975f830079673f
  • adeb18901edd0593719d05183644231b9da920db4ba640e7463ee4d4af6a68bd
  • b625c7a83fa0235a74106792181e684df7f109cf0d5123a95368fc649fb57862
  • bd949d0e8de9b1544505ee8a0bd18bfd438ec75652e6cf17c057062c798d7b44
  • c46563e9052f35a23b4ce4242fadf2e04edb038010ed7b49c5caab607199c59a
  • da9b5f246510d2751970cbbda141c6319feb58fb105c5235b40ce88c0385fea4
  • dd2343c12228a08717b9d4041c696b958d9d673b9a1f4894db4fd679e386e00d
  • ea03c2e4ed78fb0f2789d28b3ac5d2041bea1fd9cc576db83e7a1b9893b890c3
  • eea28710d09c0e9776bb877baa9a78a90286f38b3b947527cc4950b28d582829

 

カバレッジ

検出時のスクリーンショット

AMP

ThreatGrid

 

EXPREV

Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。

  • Madshi インジェクションを検出(3672)
    Madshi は、プロセス内でスレッドを開始する他の方法が失敗した場合に、プロセス インジェクションを使用して新しいスレッドを開始するコード インジェクション フレームワークです。このフレームワークは多数のセキュリティ ソリューションで採用されていますが、マルウェアで悪用される可能性もあります。
  • Kovter インジェクションが検出(2773)
    プロセスが注入されました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter にはファイルレス マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパム キャンペーンを通じて拡散しています。
  • PowerShell ファイルレス感染を検出(1849)
    PowerShell コマンドが環境変数に格納され、実行されました。環境変数は通常、以前に実行したスクリプトによって設定され、回避手口として使用されます。この手口は、Kovter および Poweliks のマルウェア ファミリで使用が確認されています。
  • プロセスの空洞化を検出(255)
    プロセスの空洞化は、静的分析を回避するために一部のプログラムで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。
  • Gamarue マルウェアを検出(186)
    Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。Gamarue ファミリのワームの亜種は、感染したシステムに接続されている USB ドライブやポータブル ハードディスクを介してさらに拡散する可能性があります。
  • 疑わしい PowerShell の実行を検出(151)
    PowerShell コマンドが、未署名の(または信頼できない)スクリプト コンテンツを実行するために実行ポリシーを回避しようとしました。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティ ソフトウェアなどからの検出を回避することにあります。
  • 過度に長い PowerShell コマンドを検出(69)
    非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティ ソフトウェアなどからの検出を回避することにあります。
  • Installcore アドウェアを検出(43)
    Installcore は正規のアプリケーションをバンドルするインストーラで、望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは、多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。
  • Atom Bombing コード インジェクション手口を検出(39)
    プロセスが疑わしい Atom を作成した場合は、「Atom Bombing」と呼ばれる既知のプロセス インジェクション手口の兆候です。Atoms は、文字列を 16 ビット整数に関連付ける Windows 識別子です。これらの Atoms は、グローバル Atom テーブルに配置することで、プロセス間でアクセスできます。マルウェアはこれをエクスプロイトするため、シェル コードをグローバルな Atom として配置し、Asynchronous Process Call(APC)を介してアクセスします。ターゲット プロセスは、シェル コードをロードして実行する APC 関数を実行します。Dridex のマルウェア ファミリは Atom Bombing の使用で知られていますが、他のマルウェアも同じ手口を利用している可能性があります。
  • 検出されたマルウエア「Corebot(34)
    Corebot は、他の有名なマルウエア ファミリで発見された機能を多く備えたトロイの木馬です。Corebot の特徴はプラグイ ンシステムで、C&C サーバからいつでも多様な機能を追加できます。これまでに、デスクトップのスクリーンショットを取得するなどのリモート アクセス機能が確認されています。ブラウザの通信を傍受して変更したり、データ(特に銀行関連のデータ)を盗み取ったりする機能も確認されています。

 

本稿は 2019年5月24日に Talos Grouppopup_icon のブログに投稿された「Threat Roundup for May 17 to May 24popup_icon」の抄訳です。

コメントを書く