本日の投稿では、9 月 27 日 ~ 10 月 4 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
本記事では、脅威カテゴリごとに 25 個の関連ファイル ハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。
今回ご紹介する最も一般的な脅威は次のとおりです。
脅威名 | 脅威の種類 | 説明 |
Win.Malware.Zusy-7191579-1 | マルウェア | 「Zusy」はトロイの木馬で、中間者攻撃(MITM)により銀行情報を窃取します。実行されると、「explorer.exe」や「winver.exe」などの正当な Windows プロセスに自身を挿入します。ユーザが銀行の Web サイトにアクセスすると、個人情報の入力を促す偽のフォームを表示します。 |
Win.Malware.Osiris-7191711-1 | マルウェア | Osiris はバンキング型トロイの木馬「Kronos」の亜種です。Tor を介してコマンドアンドコントロール(C2)サーバと通信する機能や、Web フォームに入力されたログイン情報を傍受する機能などを備えています。 |
Win.Dropper.Cerber-7192026-0 | ドロッパー | Cerber は、ドキュメント、写真、データベースなどの重要なファイルを暗号化するランサムウェアです。これまではファイルを暗号化し、ファイル拡張子に「.cerber」を追加していましたが、最近のキャンペーンでは現象が一変しています。 |
Win.Virus.Expiro-7192043-0 | ウイルス | Expiro は既知のファイル インフェクタで、情報窃取型ウィルスです。デバッグ回避と分析回避により分析を妨害します。 |
Win.Malware.Neurevt-7192122-0 | マルウェア | NeuBott (別名 BetaBot)はリモート アクセスのトロイの木馬です。複数のデバッグ回避手口や分析回避手口を備えています。 |
Doc.Dropper.Emotet-7181950-0 | ドロッパー | Emotet はバンキング型トロイの木馬です。検出を回避するために継続的に進化しており、依然として注意が必要です。一般に、悪意のある電子メールを介して拡散しています。2019 年の夏季は鳴りを潜めていましたが、最近になって再び活発化しています。 |
脅威の内訳
Win.Malware.Zusy-7191579-1
侵害の兆候
レジストリ キー | 発生回数 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:EEFEB657 |
82 |
ミューテックス | 発生回数 |
EEFEB657 | 87 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
216[.]218[.]185[.]162 | 54 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
brureservtestot[.]cc | 57 |
作成されたファイルやディレクトリ | 発生回数 |
%HOMEPATH%\AppData\LocalLow\EEFEB657 | 84 |
%APPDATA%\EEFEB657 | 82 |
%APPDATA%\EEFEB657\bin.exe | 82 |
ファイルのハッシュ値
Set WXWYKNRG = CreateObject(“Wscript.Shell”) 027ecc7f1e2d38d420486e9e0fe9d50bdceb8b50512258a922e69f55e0c18ec7 0a72c56814a288218c9346115935828be03e870fa858a721f738af4dab311205 0a9fd449b13193c771c2d401dd6538cab6dbb2c37e0573b05cc72802b90687cf 0b1fa36c3ae5bdb7c52c40e08566cceac37965265e5b2552fdf121add431ce45 0ce401aa748f86238016408aa5c7b082a83499a2cbf2d5a1370b3bef8b983be1 1266c2bccc5fa61af8b611d3c7f210b11fed7d22dbb24305bf6003b1891399fe 12ef657ff31b48b90fbb20b212643f7aa62b66dae80cd19feed7356089f18451 149e17e85475bf4f6b4be6c0f1924e8554ec982f949fcb833c8c6bc3a7673669 1a0d6dda8e405f9342fadc87a1a6b395250bfcf910f5e2e4cfba806de2b58eee 1b3ddf7b2a71290a0a86e974a323dde16999e7eaa2be2b8cd63c066a7ba6a052 1fa747673986b53ed65fa0a6b39a024ef02191966184a6fd8844e742fdbc3d58 22b172ead1618e0c49a6d94c4da6c7ba1d401549276bc3a7f3d78c18909e6793 2b9b82e7ee0d8661b2268f83a010e8379e28930cc7f9f224d06fcd37b48f566d 2ba984bf6a2e039225b78faf309d087db56a6a2eac5efc73f5f20ff941c58442 2c33aa852da4527f49dae1e6bb1940b4c7cd2c814da0a90ab8a2a5de5fee6726 2c594bcf891b90e24c8bd445d5ddbe9cb50f5d101d559d564ab8246535d2af53 306774877254b8ca51a2bf446834cc34126ac56ebaf9d935442c25e533485fc1 38efe6d2c2e264e83d54cebc4bb14766c344741e39b510b027882d1ef2bbb798 43aee0e0761a3e90aa35d3401634397be8d1691d88ed2bdaaf2f60c915de53e2 467e66e8fc95c740cc3beee432d6a5e85bc533aa6dd609865376dacf0a0ef6e7 47bc6db08ad7826b5a68644d6f013405e4e6842525b8a4d05a2abdabfd735fc4 484f52c4598eddc67147f8558c9bf9701d1c4d2f5bcc1b619a43422863d1e8ce 48624a37bd7f3faacc3d56c106a40189c413dc4ec4407c00a1034578cfb6a9b3 4a3a67a893cf7e49a5aef587d840867589841e93ae7f418019d6f94daba58c47 4bd1deaa13a4a9cef75f84dba895645a24ac7f4b4bd69d22ea5800a3c682cc54
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
THREATGRID
UMBRELLA
Win.Malware.Osiris-7191711-1
侵害の兆候
レジストリ キー | 発生回数 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED 値の名前:Hidden |
11 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED 値の名前:HideFileExt |
11 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION 値の名前:d41d8cd9 |
11 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION 値の名前:d41d8cd9 |
11 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:d41d8cd9 |
11 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:d41d8cd9 |
11 |
ミューテックス | 発生回数 |
Global\d41d8cd98f00b204e9800998ecf8427e | 11 |
Global\{B1F6EFF9-6297-200E-B1F6-F9EF29AA7A00} | 11 |
Global\{BF6093C4-5FBA-D878-BF60-C4933C20A000} | 9 |
Global\dd4b21e9ef71e1291183a46b913ae6f2 | 9 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
updateserver4[.]top | 11 |
updateserver7[.]top | 11 |
updateserver5[.]top | 11 |
updateserver9[.]top | 11 |
updateserver2[.]top | 11 |
updateserver8[.]top | 11 |
updateserver10[.]top | 11 |
updateserver6[.]top | 11 |
updateserver3[.]top | 11 |
作成されたファイルやディレクトリ | 発生回数 |
%APPDATA%\Mozilla\Firefox\Profiles\<profile ID>.default\user.js | 11 |
%System32%\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb | 9 |
%APPDATA%\Microsoft\{56984C2C-8905-4BFA-8553-0BE17726FCD5} | 4 |
%APPDATA%\Microsoft\{56984C2C-8905-4BFA-8553-0BE17726FCD5}\d41d8cd9.exe | 4 |
%APPDATA%\Microsoft\{56984C2C-8905-4BE2-8553-13E17726E4D5} | 2 |
%APPDATA%\Microsoft\{56984C2C-8905-4BE2-8553-13E17726E4D5}\d41d8cd9.exe | 2 |
%APPDATA%\Microsoft\{9A96A2D0-FE36-485E-B81C-0132628C474C}\dd4b21e9.exe | 1 |
%APPDATA%\Microsoft\{03FFB58D-7238-49DA-9378-5224CBD1F546}\dd4b21e9.exe | 1 |
%APPDATA%\Microsoft\{575A5E0A-FD63-4DF1-BF50-033349A4ADA1}\dd4b21e9.exe | 1 |
%APPDATA%\Microsoft\{33C67668-6248-47D0-8FDF-197713CA89A1}\dd4b21e9.exe | 1 |
%APPDATA%\Microsoft\{FA144B4E-77DF-4C1F-A472-60E20FF489C2}\dd4b21e9.exe | 1 |
%APPDATA%\Microsoft\{507C47B0-1E13-4926-92BC-C40E8A4CB040}\dd4b21e9.exe | 1 |
%APPDATA%\Microsoft\{F807BD90-CAC5-40B0-828A-CA06ED52C5F4}\dd4b21e9.exe | 1 |
%APPDATA%\Microsoft\{780EBCFD-EADA-4438-9DC3-324538311844}\dd4b21e9.exe | 1 |
ファイルのハッシュ値
05ba5705db7ff502d4422ea7d4ef32422d9b2c0966a42b6b3d76c126d51e846d 0aae22c6557c43cf199421eb6b367d23469909b5f860468c1e42b0e5730808d5 2c5fdc198324cc33dc93d20dc58195608661ed5c83cf10619efdbc1fddeb51e5 4c6f284b0be38d51af26ee87e687cbba32184e0b21203758419953e1f476e841 4f645f4ae3dcf8bfebf4dde1b6d20497ce25fbbc1f6f691d40a95d7bff7a2d6c 5ba866dbb2ace005cfa32382404ac0927695f52bedce0804564549e633be8318 6478b2ce18a6a7671a39aa254ba0c4aaf123a0f5b27e9c86e323b663332f18f8 6f2add6401f59d813de66bc1152240f2e7622e293a0b10c5a804790b7068195b 6f9d45cf7571949de6db54d2e4c642ae63e30ba0eaf4f3075b8cd36749171377 919d3b68ee264053ae4f0f3d9caf93c055c421dabdc419d5d52d09d089142498 f7ce779ae0308c0c0da8280d3182506eda97778e91969eb4ea86dc3bfddb12df
カバレッジ
検出時のスクリーンショット
AMP
THREATGRID
UMBRELLA
Win.Dropper.Cerber-7192026-0
侵害の兆候
レジストリ キー | 発生回数 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER 値の名前:Run |
25 |
<HKCU>\SOFTWARE\MICROSOFT\COMMAND PROCESSOR 値の名前:AutoRun |
25 |
<HKCU>\CONTROL PANEL\DESKTOP 値の名前:SCRNSAVE.EXE |
25 |
<HKCU>\PRINTERS\DEFAULTS\{21A3D5EE-E123-244A-98A1-8E36C26EFF6D} | 25 |
<HKCU>\PRINTERS\DEFAULTS | 25 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Magnify |
2 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:Magnify |
2 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:wusa |
2 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:wusa |
2 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:LocationNotifications |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:FlashPlayerApp |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:FlashPlayerApp |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:DWWIN |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:DWWIN |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:mshta |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:mshta |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:autoconv |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:autoconv |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:RMActivate_isv |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:RMActivate_isv |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:eventcreate |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:eventcreate |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:w32tm |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE 値の名前:w32tm |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:netbtugc |
1 |
ミューテックス | 発生回数 |
shell.{381828AA-8B28-3374-1B67-35680555C5EF} | 25 |
shell.{785F99DE-E95E-3921-EE78-D7777849AA01} | 1 |
shell.{967822DD-7042-E624-BEA7-C7EF520E90F5} | 1 |
shell.{A92873EC-3840-982A-DA5D-DDDC12AA8495} | 1 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
31[.]184[.]234[.]0/25 | 25 |
216[.]239[.]34[.]21 | 8 |
216[.]239[.]32[.]21 | 7 |
216[.]239[.]36[.]21 | 5 |
216[.]239[.]38[.]21 | 5 |
54[.]88[.]175[.]149 | 3 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
ipinfo[.]io | 25 |
作成されたファイルやディレクトリ | 発生回数 |
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2} | 25 |
%TEMP%\# DECRYPT MY FILES #.html | 3 |
%TEMP%\# DECRYPT MY FILES #.txt | 3 |
%TEMP%\# DECRYPT MY FILES #.url | 3 |
%TEMP%\# DECRYPT MY FILES #.vbs | 3 |
%HOMEPATH%\# DECRYPT MY FILES #.html | 2 |
%HOMEPATH%\# DECRYPT MY FILES #.txt | 2 |
%HOMEPATH%\# DECRYPT MY FILES #.url | 2 |
%HOMEPATH%\# DECRYPT MY FILES #.vbs | 2 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\Magnify.lnk | 2 |
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\Magnify.exe | 2 |
%System32%\Tasks\Magnify | 2 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\wusa.lnk | 2 |
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\wusa.exe | 2 |
%System32%\Tasks\wusa | 2 |
%System32%\Tasks\mtstocom | 1 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\odbcconf.lnk | 1 |
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\odbcconf.exe | 1 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\netbtugc.lnk | 1 |
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\netbtugc.exe | 1 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\expand.lnk | 1 |
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\expand.exe | 1 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\AdapterTroubleshooter.lnk | 1 |
%APPDATA%\{6F885251-E36F-0FE6-9629-63208157D7A2}\AdapterTroubleshooter.exe | 1 |
%System32%\Tasks\autoconv | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
151143935c4283f66a837eca1761400ab0573929e04217a5be0286b28eeb9d15 1736c692db984e5ceb7e15a127f2478400a78c30785fd3c195ae4d9468b80259 185f85a2fbc3e27f87b099ff50a1f03f89e724e7927ec9edac4c4416dc87c109 1da732e9670f73e980723ea167abb29c5b553603c3804ec4bb9a03a4d506e8a4 3a6ca5a46ac5ac3ef7972b22e2fa5cdc4af2e137150691ed1b7a15b1ce9030a4 3c7e1a50d31138b53165e98d7bc2ba570304359bb4f7baab7ded17cc3fb3bc4c 4574e5aeda39aadfadb399654d2a6db00884be85b0882fb0acc4dbf14153ca0e 4e242ff308fc31ada637861fed73373c30eb2d5ecfda92760498fcbe30a9bb07 503baff89f763142c5b49a527972c7119be3f95fcc8cc2a1cde8bb71fd76cd02 561caadf62f59ee8dfd6d9c97e5692875458c55b3e2d53ba43e9496c40ee0824 5dbfa76bd1edb0ae7a516a08c760e2234506d64ae7c905f8e0e8830d74ef8613 65afc018d8cdcc9ec4756e98000265e3ecc3e394b7e5d493dfd6d106cc15118a 6971a5b1aa7e57abad2939f4be1a92651ea7ac12251b804ae17f2ecb1e1bf200 70b5c51e692dcd2f432c05170f7f823fdfd5b6857267117a92fe9d358a7026ed 84a45eec021015ee2eeb5acb7251f3c50c626b41bf47b8fce7c822253e175c64 999a1e5659ac864771ad420c7cad50de5b5118adb5abb80ffe18ad28c932f5a0 a51de392aae3ade74991dd86b1d205c2cc5ecb0752cac2a02c95d61ff14a558c a80ace30082b76edb75d6c9a4f9165af721a8f8b13ac0862bc438589e0af01bd a8fe11512ba3e48b178ad9ef994f48ec581394e69cbdb808f15c1432a762c636 b1e46c28ddff91c0d586933b500ce29bcf83fc094864c4227b6e70fa1981f064 b7cf83e8596736ced202a1de5e67fbaa5bdf9074697d548fdd83800802732ec4 b8c85a34ed5ccfe058c8ba65606add1efdcfe694d0f32e6b91e4b977da1392a8 bd68985801dd6b820c3a0c21883aa4ace809b2a62cbba278ac3a4d53166bcf85 cc1efac0bf7786ea4bbd4963d78aee4498e034dd778adce6977eca3d78666483 d3080983742d3deacdbc53a43b1482cfe1573ec8d957fba0f456a676dca3bd90
カバレッジ
検出時のスクリーンショット
AMP
THREATGRID
Win.Virus.Expiro-7192043-0
侵害の兆候
レジストリ キー | 発生回数 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_32 値の名前:Type |
8 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_32 値の名前:Start |
8 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:AntiVirusOverride |
5 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:AntiVirusDisableNotify |
5 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:FirewallDisableNotify |
5 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:FirewallOverride |
5 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:UpdatesDisableNotify |
5 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER 値の名前:UacDisableNotify |
5 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM 値の名前:EnableLUA |
5 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE 値の名前:EnableFirewall |
5 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE 値の名前:DoNotAllowExceptions |
5 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE 値の名前:DisableNotifications |
5 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前:Start |
5 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前:Start |
5 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前:Start |
5 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION 値の名前:jfghdug_ooetvtgk |
5 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:JudCsgdy |
5 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\WUAUSERV 値の名前:Start |
5 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Windows Defender |
5 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:Userinit |
5 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON 値の名前:Userinit |
5 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_64 値の名前:Type |
3 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_64 値の名前:Start |
3 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V4.0.30319_32 値の名前:Type |
1 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V4.0.30319_32 値の名前:Start |
1 |
ミューテックス | 発生回数 |
SetupLauncher | 12 |
Global\<random guid> | 11 |
gazavat-svc | 8 |
kkq-vx_mtx<number, matching [0-9]{1,2}> | 8 |
{7930D12C-1D38-EB63-89CF-4C8161B79ED4} | 5 |
{79345B6A-421F-2958-EA08-07396ADB9E27} | 5 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
172[.]217[.]10[.]110 | 5 |
87[.]106[.]190[.]153 | 4 |
18[.]213[.]250[.]117 | 2 |
91[.]195[.]240[.]126 | 2 |
208[.]100[.]26[.]251 | 1 |
18[.]215[.]128[.]143 | 1 |
46[.]165[.]220[.]145 | 1 |
46[.]165[.]254[.]198 | 1 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
atw82ye63ymdp[.]com | 3 |
xxsmtenwak[.]com | 3 |
grbjgfprk[.]com | 3 |
ydchosmhwljjrq[.]com | 3 |
ygqqaluei[.]com | 3 |
wwyreaohjbdyrajxif[.]com | 3 |
bekvfkxfh[.]com | 3 |
caosusubld[.]com | 3 |
warylmiwgo[.]com | 3 |
xomeommdilsq[.]com | 3 |
mdofetubarhorbvauf[.]com | 3 |
gfaronvw[.]com | 1 |
wstujheiancyv[.]com | 1 |
kbivgyaakcntdet[.]com | 1 |
dvwtcefqgfnixlrdb[.]com | 1 |
yrkbpnnlxrxrbpett[.]com | 1 |
oawvuycoy[.]com | 1 |
citnngljfbhbqtlqlrn[.]com | 1 |
bungetragecomedy9238[.]com | 1 |
oeuwldhkrnvxg[.]com | 1 |
kbodfwsbgfmoneuoj[.]com | 1 |
wdgqvaya[.]com | 1 |
ypwosgnjytynbqin[.]com | 1 |
jlaabpmergjoflssyg[.]com | 1 |
ausprcogpngdpkaf[.]com | 1 |
* IOC の詳細については JSON を参照してください
作成されたファイルやディレクトリ | 発生回数 |
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe | 8 |
%System32%\alg.exe | 8 |
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ngen_service.log | 8 |
%SystemRoot%\SysWOW64\svchost.exe | 8 |
%System32%\<random, matching ‘[a-z]{8}’>.tmp | 8 |
%SystemRoot%\microsoft.net\framework\v2.0.50727\<random, matching ‘[a-z]{8}’>.tmp | 8 |
%LOCALAPPDATA%\bolpidti\judcsgdy.exe | 5 |
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\judcsgdy.exe | 5 |
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ngen_service.lock | 5 |
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ngenservicelock.dat | 5 |
%LOCALAPPDATA%\bolpidti | 4 |
%SystemRoot%\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe | 3 |
%SystemRoot%\Microsoft.NET\Framework64\v2.0.50727\ngen_service.log | 3 |
\TEMP\ShMnr23 | 3 |
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe | 1 |
%SystemRoot%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe | 1 |
%SystemRoot%\SysWOW64\cjnnhbik.tmp | 1 |
%SystemRoot%\SysWOW64\hmdklpnd.tmp | 1 |
%SystemRoot%\SysWOW64\ghnjiafh.tmp | 1 |
%SystemRoot%\SysWOW64\nojnfemc.tmp | 1 |
\TEMP\emf | 1 |
\TEMP\J3OHIb3 | 1 |
%SystemRoot%\SysWOW64\ggaiaabg.tmp | 1 |
%SystemRoot%\SysWOW64\elmmpkjb.tmp | 1 |
%SystemRoot%\microsoft.net\framework64\v2.0.50727\jjicllfe.tmp | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
08c199483a9569dbe74565c65ab0dfe038338ffe0c37061316a3a45116a9adb0 0b75593bf5cec1a4e6beecce8927ba895307c03d22387611fb6ced7805c2fa7b 293263135eb196a8027f6aea0f74038d60b848103f09db6d39e55b763d6bf26a 29ec1dfc85cfed46ccf8a53ca2e9f207cb126f6cec92a3b829ae61590bea1b1c 32ed07783188242c60837a208a6ebab9e37fa69fb69da9b28629c3e3971ccfa6 36e5bd8e4a5c7758dd28acda1ad479bfbfb268ca1c5339b4e9953daea48392ac 63530b594d1605211d405951823a3f5ac249660aa0ca542cb00247652dc3b544 664bd013762c59a6f0b0c8fbd7dbed06f971d2dfbc2921e10faf8b5e8aba2e8a c075f037fea0578197e56a520708152779a9332195b96a52bac64ff10a914d82 d28f2744b436cb2816ee6a63a44e2cfd4f952483b65c026ea8b4f384cc6b7e5e ea5a419cb19fc22c11d3751f0560f049631571b99c33d37482ddbca1ee4e3d6f f2fffb85b3e49c138128ef141b69a49fd09e3c7362ed8beed43dc6c46deadbcb f5fec4cf85c3e2c936455b0f0ec8a6cbbb138dfa5e31db4920037f9baf46ab65
カバレッジ
検出時のスクリーンショット
AMP
THREATGRID
UMBRELLA
Win.Malware.Neurevt-7192122-0
侵害の兆候
レジストリ キー | 発生回数 |
<HKCU>\SOFTWARE\WIN7ZIP 値の名前:Uuid |
26 |
<HKCU>\SOFTWARE\WIN7ZIP | 26 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101 値の名前:CheckSetting |
26 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103 値の名前:CheckSetting |
26 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100 値の名前:CheckSetting |
26 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102 値の名前:CheckSetting |
26 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104 値の名前:CheckSetting |
26 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE 値の名前:EnableFirewall |
9 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\PUBLICPROFILE 値の名前:EnableFirewall |
9 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\SSDPSRV 値の名前:Start |
9 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\RSTRUI.EXE | 9 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\RSTRUI.EXE 値の名前:Debugger |
9 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:random |
2 |
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\10DF0332\CG1 値の名前:GLA |
1 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\OMYLCQKSW.EXE 値の名前:Debugger |
1 |
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\6EDA084A\CS1 | 1 |
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\6EDA084A\CW1 | 1 |
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\6EDA084A\CW1 値の名前:1916 |
1 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前:Javaupdate |
1 |
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\6EDA084A\CG1 値の名前:GLA |
1 |
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\BZSBKOTIU.EXE 値の名前:Debugger |
1 |
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\5BDD0726 | 1 |
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\5BDD0726\CS1 | 1 |
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\5BDD0726\CW1 | 1 |
<HKCR>\CLSID\{7C59DF73-6FE7-724E-963F-58E2D8DE89F2}\5BDD0726\CG1 | 1 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
239[.]255[.]255[.]250 | 9 |
52[.]185[.]71[.]28 | 5 |
208[.]100[.]26[.]251 | 1 |
40[.]76[.]4[.]15 | 1 |
20[.]41[.]46[.]145 | 1 |
40[.]67[.]189[.]14 | 1 |
94[.]130[.]148[.]39 | 1 |
176[.]56[.]236[.]180 | 1 |
143[.]215[.]215[.]205 | 1 |
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
update-silo[.]com | 1 |
frizzcams[.]com | 1 |
fapncam[.]com | 1 |
theafam[.]info | 1 |
pl1[.]co[.]vu | 1 |
kasn5[.]name | 1 |
up-windows[.]in | 1 |
myssfii[.]eu | 1 |
emicrosoft[.]eu | 1 |
allegro[.]ga | 1 |
frky7[.]name | 1 |
marklou1[.]eu | 1 |
s1allegro[.]net | 1 |
b[.]dqwjnewkwefewaaaaa3[.]com | 1 |
fe298c697c247af42926ae65f504cbab[.]380d71f68b776c687229362c8017cfd4[.] sink1[.]doombringer[.]pw |
1 |
b[.]2uandmearevideos2k2[.]com | 1 |
e4afed3b6057875d3cab2c8acadf19b0[.]9079efdb6bd50d249cecbf60d0cf8a59[.] sink1[.]doombringer[.]pw |
1 |
b[.]12thegamejuststarted10k12[.]com | 1 |
9f1338aaa955b14adce82b28456563dd[.]8e38e1a12b675dd8ad0879ac9df9dd43[.] sink1[.]doombringer[.]pw |
1 |
0a3871225132117b6a5a3ca80e3637e7[.]bd822b74f0f09fe15387a4e573dfd4b8[.] sink1[.]doombringer[.]pw |
1 |
5fa5dd9e6db7852950c1d75652840205[.]d30bfb82739133ccfd1a869f816afd1e[.] sink1[.]doombringer[.]pw |
1 |
a289b7027c3a8ccd97e35492ec62c4a7[.]79c70407c7e6ecfca660191065cb2e91[.] sink1[.]doombringer[.]pw |
1 |
82ffe6077d09c53372a2f4177b3a00fd[.]2418805ba4dbdf2b323c3ee2d28fd899[.] sink1[.]doombringer[.]pw |
1 |
b[.]6worldwipemek6[.]com | 1 |
ce5ccbd7434dc4f3e00d5d615c8f1cfe[.]f919bc55f255fc49078e2b0e54e60b5e[.]s ink1[.]doombringer[.]pw |
1 |
* IOC の詳細については JSON を参照してください
作成されたファイルやディレクトリ | 発生回数 |
%HOMEPATH%\My Documents\My Videos\Desktop.ini | 18 |
%System32%\Tasks\Windows Update Check – 0x00000000 | 17 |
%ProgramData%\riaiccape | 3 |
%ProgramData%\riaiccape\desktop.ini | 3 |
%ProgramData%\ubvhynpxh | 2 |
%ProgramData%\ubvhynpxh\desktop.ini | 2 |
%ProgramData%\hemxccape | 2 |
%ProgramData%\hemxccape\desktop.ini | 2 |
%ProgramData%\randomfolder\desktop.ini | 2 |
%ProgramData%\rpeulaaql\desktop.ini | 1 |
%ProgramData%\odoaztybt\desktop.ini | 1 |
%ProgramData%\mwvaztybt\desktop.ini | 1 |
%ProgramData%\safpdndnn\desktop.ini | 1 |
%ProgramData%\Javaupdate\desktop.ini | 1 |
%System32%\Tasks\Windows Update Check – 0x6EDA084A | 1 |
%ProgramData%\dtdasndku\desktop.ini | 1 |
%ProgramData%\Winrar_Update\desktop.ini | 1 |
%System32%\Tasks\Windows Update Check – 0x6E3308B1 | 1 |
%ProgramData%\omylcqksw\desktop.ini | 1 |
%System32%\Tasks\Windows Update Check – 0x5FF907D6 | 1 |
%ProgramData%\svchost\desktop.ini | 1 |
%System32%\Tasks\Windows Update Check – 0x19CF045A | 1 |
%System32%\Tasks\Windows Update Check – 0x0E7302EC | 1 |
%ProgramData%\skskjbpjx\desktop.ini | 1 |
ファイルのハッシュ値
00922eea9dc5d3b1d91cf0e5b244d86957e0a5dab9f22b37db91983d154849f5 00e830529982d3b12b63616473f8e77b1e9f59d26d7464a916ab4ccb7d252338 0f9b382f50574eb1da03ab59cc0138d0cdddbcccdbf4fb04377235377e2bce60 19a17d03eaa9d66aee48704b368513cb4ce2ea571004561046897e5fe194fcb5 1d5a814d7034b2ffc16acb036e10021410d1592b491fd4e3c6737ffa48c19f55 205a780668f504064a7a326217529d3dd585fefe2c91b9ee141aa0c0411c88d6 2252337eb1ee8bfcdc05cdd90533c4f9c73326c3c38438730feffb47a67dde13 228cdf170c3b7f8c4b08f89def8b979c147aada601d7e1d0708916a3101732fc 23b79c36c6c5b9b35e11159486bf8f1e0a2366af780c9508bfee93de63fdeb86 2b55f40e873b564258185612ea6518761ab9393f271d1acd3908d65dda91c3f2 2d6b0b02396b515544d508ace60ef5de186961843c6fda12c311716c63b631b4 47fce8ed6989d5946ef8b4a10898d103ded7ffe6d5046d1583aefa21218cbe49 48b4df7d8192fb653ca5d4ef80903794b6cf7baa25bca70624acbcafd1c5f4e1 514e41ef73aa0e6b581168304fc5e4c11a81706d4a00e8dadd8c5e604493e85f 5822b7304c297b694c9826e07c653d1a5071af711f24abf374213dbf73df99d8 69808dfac8e39bb71644ca5b9a354c8407d713e723c49a2bb54ba6a6f54e52d3 699b83596749933b26e4a8cd79df7e961859dce598a28b0a09a7d1a6ef051ba5 714042e00adf37f5772ade261d283e66bfd787ba4622ff188ec9befc05817bcb 82fd5b23902d7114095c356c9820e65b89d7c4dd5da1312e262373608e536e4e 8f0ab0d5a8d06ffb54e69dec00c3d2e920794be65cb3b9f316a04af9c3d3ed35 96e0342a3295906bf604f8fcffb8845e3d4a72ceb8ca34443f54216616467ddc 97f3a82738d8dc6703828c406ecafd16acbc019bf8c810516912302ec1d2b553 a925cb47ff812a85faee0d1a39c2f16ac6b99dff405d01741fc253ec76cf29aa ac2c823fe5be07bc030e77510922ec076642c5ef5966b0ec56b6dfefcba06e34 aee901442f82ad32986e1c36969d48d76d4cc88bb8b084d0a2749220a86a26b5
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
THREATGRID
Doc.Dropper.Emotet-7181950-0
侵害の兆候
レジストリ キー | 発生回数 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JS\OPENWITHPROGIDS 値の名前: JSFile |
38 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JS | 38 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JS\OPENWITHPROGIDS | 38 |
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JS\OPENWITHLIST | 38 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER 値の名前: Name |
37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER 値の名前:Path |
37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER 値の名前:Extensions |
37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS 値の名前:Name |
37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS 値の名前:Path |
37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS 値の名前:Extensions |
37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X 値の名前:Name |
37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X 値の名前:Path |
37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X 値の名前:Extensions |
37 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS 値の名前:Type |
37 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS 値の名前:Start |
37 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS 値の名前:ErrorControl |
37 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS 値の名前:ImagePath |
37 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS 値の名前:DisplayName |
37 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS 値の名前:WOW64 |
37 |
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\YELLOWREPORTS 値の名前:ObjectName |
37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS | 37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT | 37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\RECOVER | 37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WRDPRFCTDOS | 37 |
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\OFFICE\14.0\WORD\TEXT CONVERTERS\IMPORT\WORDPERFECT6X | 37 |
ミューテックス | 発生回数 |
Global\I98B68E3C | 37 |
Global\M98B68E3C | 37 |
Global\M3C28B0E4 | 19 |
Global\I3C28B0E4 | 19 |
マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
181[.]123[.]0[.]125 | 15 |
18[.]217[.]99[.]164 | 15 |
119[.]159[.]150[.]176 | 13 |
80[.]240[.]141[.]141 | 13 |
184[.]69[.]214[.]94 | 13 |
186[.]75[.]241[.]230 | 11 |
124[.]240[.]198[.]66 | 11 |
209[.]182[.]195[.]22 | 9 |
173[.]194[.]68[.]108/31 | 8 |
69[.]43[.]168[.]232 | 8 |
104[.]31[.]71[.]182 | 8 |
110[.]36[.]234[.]146 | 8 |
197[.]211[.]244[.]6 | 8 |
125[.]99[.]61[.]162 | 8 |
115[.]88[.]70[.]226 | 8 |
207[.]204[.]50[.]44 | 7 |
217[.]116[.]0[.]228 | 7 |
162[.]251[.]80[.]26 | 6 |
104[.]31[.]70[.]182 | 6 |
72[.]167[.]238[.]29 | 5 |
74[.]208[.]5[.]15 | 5 |
196[.]25[.]211[.]150 | 5 |
17[.]36[.]205[.]74 | 5 |
217[.]116[.]0[.]237 | 5 |
148[.]72[.]198[.]247 | 5 |
* IOC の詳細については JSON を参照してください
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
themodifiedzone[.]com | 15 |
www[.]pics4game[.]com | 14 |
www[.]creativespad[.]com | 9 |
smtpout[.]secureserver[.]net | 8 |
smtp[.]secureserver[.]net | 7 |
mail[.]secureserver[.]net | 6 |
mail[.]apnabazar[.]co[.]in | 6 |
smtp[.]1and1[.]es | 5 |
smtp[.]mail[.]com | 5 |
pop[.]secureserver[.]net | 5 |
secure[.]emailsrvr[.]com | 5 |
mail[.]heraldsopenaccess[.]com | 5 |
mail[.]heraldsopenaccess[.]us | 5 |
smtp[.]mail[.]me[.]com | 4 |
pop3[.]telkomsa[.]net | 4 |
smtp[.]telkomsa[.]net | 4 |
outlook[.]office365[.]com | 4 |
smtp[.]orange[.]fr | 4 |
remote[.]jubileelife[.]com | 4 |
mail[.]keycargroup[.]es | 4 |
server[.]isnstores[.]com | 4 |
mail[.]r10networks[.]com | 4 |
smtp-mail[.]outlook[.]com | 3 |
smtp[.]comcast[.]net | 3 |
mail[.]rediffmailpro[.]com | 3 |
* IOC の詳細については JSON を参照してください
作成されたファイルやディレクトリ | 発生回数 |
%LOCALAPPDATA%\Microsoft\Schemas\MS Word_restart.xml | 38 |
%TEMP%\0.7055475.js | 38 |
%TEMP%\<random, matching ‘[a-z]{3}[A-F0-9]{3,4}’>.tmp | 38 |
%System32%\adjustmove.exe (copy) | 19 |
%SystemRoot%\SysWOW64\yellowreportsb.exe | 5 |
%SystemRoot%\SysWOW64\<random, matching ‘[a-zA-Z0-9]{4,19}’>.exe | 4 |
%TEMP%\inq6vpuc4.exe | 1 |
%TEMP%\llh1np4ba.exe | 1 |
%TEMP%\x5ra7abr9.exe | 1 |
%TEMP%\tlcebiev2.exe | 1 |
%TEMP%\qy2w0i9c1.exe | 1 |
%TEMP%\jrtj6nk6o.exe | 1 |
%TEMP%\fe2zt4mrb.exe | 1 |
%TEMP%\zmmkb0j7x.exe | 1 |
%TEMP%\ns8q8axim.exe | 1 |
%TEMP%\s1ucq6p8d.exe | 1 |
%TEMP%\fxmnkq4qt.exe | 1 |
%TEMP%\4l4u8k8s6.exe | 1 |
%TEMP%\lvn7pj1tq.exe | 1 |
%TEMP%\qz03ja0fx.exe | 1 |
%TEMP%\o2a6n5yed.exe | 1 |
%TEMP%\h04mv88ph.exe | 1 |
%TEMP%\9m0sfw639.exe | 1 |
%TEMP%\waymo412t.exe | 1 |
%TEMP%\9611f6amr.exe | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
04506f92dbebbdad34850d0344014c9acf170a1f532660d18512975d62756fbd 16a9929e17b9fcc99f8d2eb5ec86b365239b0f957b187594f77319540ce5e5f1 1b5fd4653bdbb88ef0615c3a4b38e642630fddfd738ceafb893b6c860beb117a 1be7caaba5194edf4387892d03521e968be5fa4b784a833b0c6321285694a660 1cfe976389fe9d737b7419de0fac59fa4dce4e78c73714124b1689011e3ce732 1f8d4a7a30a8f819c87095b98c10328764b56a877915105815442f4192804571 26706d48f23fdb7c40aca350271921e8050870ce4f6d957d94ad308dd3f409a2 298762d4a2ff39b2de5427c13ff95e75a4f4ac07b5f64c46d82ee1043fc52ed8 2b05fd27faf1cc06b2db7e25b67e19ce5ff5c7852e61bf122eaae92345b54a77 2e8ec9034066e25159978c9c8429e0b2762a2e193a48a0d14fe5a45518c5b5a8 3643f64d1633ebca53e1f94f6aba030cc495b68942b532afae9c74f8016d631f 4331d5382007c68ac994c5a45e86985d8fcde1fb478aa69b394a19058d807f67 471ebd4880bf8cfee1920152ea36f170cf9331f37e45bf52f5b9bcfcbd326ffb 4781987ed5962518144b03612044b8dea7e5a29107a2ad2f7a2c0738313586ee 4e2f28c6260342e1d56264f6cb861d81987fff70905700660034a240c59d75d9 4ebd8502f68223342be072867f79338fb13dfe6b68b209bfdb27f5effef40d05 5fae5b96569a4759bd5cc6494b24edef1639bcc28ed105bc3eb8f9fa09bca4c9 7362434686fb62fe3ce77a4ea84886f0f82768112b6f9832cc86bbdfc83bdef9 7c067959175e72df745b86f91dd1fa402f4b3b3c0ad17ca70b77a1f6185a285c 7d06e0759eafca0709823dadb15c5d37c7a3cada38bad9bcb4ca678d3895bfb0 807cfe5cb5d6075af492a911fd096b0a3705f9fe7cd0a7263d94e4efa21a50f4 857f05b3df88059eeeaecea4da6901ad6e45e5cbb9be21d1ae7d17b946cba355 86c47685c49f4d0cec1c54b0b6cc8247ebd8c17b01a63da2ac19c0b02d426ebd 89763a9eefa6606d925392aa2718facb16958916ee2564025edcd1d74712536b a0703d7150ce06752f04e53ea2ad6f102551e1bdb8588fdc2e6bf90668e1de7e
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
THREATGRID
UMBRELLA
マルウェア
エクスプロイト防止
Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。
CVE-2019-0708 を検出 -(12639) |
CVE-2019-0708 のエクスプロイト試行が検出されました。「BlueKeep」と呼ばれる脆弱性はヒープメモリの破損に起因しています。細工されたリモート デスクトップ プロトコル(RDP)要求を攻撃者から送られるとエクスプロイト可能になる場合があります。エクスプロイトには認証が不要で、リモートからの任意コードの実行を許す可能性があるため、自動拡散するワームとして使用されることも考えられます。 |
過度に長い PowerShell コマンドを検出 -(5242) |
非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティ ソフトウェアなどからの検出を回避することにあります。 |
Madshi インジェクションを検出 -(2444) |
Madshi は、プロセス内でスレッドを開始する他の方法が失敗した場合に、プロセス インジェクションを使用して新しいスレッドを開始するコード インジェクション フレームワークです。このフレームワークは多数のセキュリティ ソリューションで採用されていますが、マルウェアで悪用される可能性もあります。 |
Kovter インジェクションを検出 -(933) |
プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter にはファイルレス マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパム キャンペーンを通じて拡散しています。 |
プロセスの空洞化を検出 -(443) |
プロセスの空洞化は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。 |
コード インジェクション手口の「Atom Bombing」を検出 -(389) |
プロセスが疑わしい Atom を作成した場合は、「Atom Bombing」と呼ばれる既知のプロセス インジェクション手口の兆候です。Atoms は、文字列を 16 ビット整数に関連付ける Windows 識別子です。これらの Atoms は、グローバル Atom テーブルに配置することで、プロセス間でアクセスできます。マルウェアはこれをエクスプロイトするため、シェル コードをグローバルな Atom として配置し、Asynchronous Process Call(APC)を介してアクセスします。ターゲット プロセスは、シェル コードをロードして実行する APC 関数を実行します。Dridex のマルウェア ファミリは Atom Bombing の使用で知られていますが、他のマルウェアも同じ手口を利用している可能性があります。 |
Gamarue マルウェアを検出 -(195) |
Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。Gamarue ファミリのワームの亜種は、感染したシステムに接続されている USB ドライブやポータブル ハードディスクを介してさらに拡散する可能性があります。 |
Dealply アドウェアを検出 -(186) |
DealPly は、オンライン ショッピングの利用体験を向上させると主張したアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。 |
Trickbot マルウェアを検出 -(174) |
Trickbot は 2016 年後半に登場したバンキング型トロイの木馬です。Trickbot と Dyre の類似性により、Dyre の貢献者の一部が今では Trickbot にも関与していることがうかがえます。Trickbot は登場してから数ヵ月で急速に進化していますが、依然として Dyre の機能の一部が欠けています。現在のところ、DLL インジェクション、システム情報収集、電子メール検索などを担うモジュールが含まれています。 |
Installcore アドウェアを検出 -(116) |
Installcore は正規のアプリケーションをバンドルするインストーラで、望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。 |
本稿は 2019年9月15日に Talos Group のブログに投稿された「Ransomware: Because OpSec is Hard?」の抄訳です。