本日(10 月 18 日)の投稿では、10 月 4 日~ 10 月 11 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
本記事では、脅威カテゴリごとに 25 個の関連ファイル ハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちら
の JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。
今回ご紹介する最も一般的な脅威は次のとおりです。
| 脅威名 | タイプ | 説明 |
| Win.Malware.Zusy-7288173-1 | マルウェア | 「Zusy」はトロイの木馬で、中間者攻撃(MITM)により銀行情報を窃取します。実行されると、「explorer.exe」や「winver.exe」などの正当な Windows プロセスに自身を挿入します。ユーザが銀行の Web サイトにアクセスすると、個人情報の入力を促す偽のフォームを表示します。 |
| Win.Trojan.Lokibot-7288215-1 | トロイの木馬 | LokiBot は情報窃取型のマルウェアです。標的デバイスに保存されている機密情報を吸い上げる目的があります。モジュール型の性質があり、人気のある多くのアプリケーションから機密情報を盗み出します。一般に、スパムメールを介して配信される悪意のあるドキュメントによって感染します。 |
| Win.Worm.Esfury-7292180-1 | ワーム | Esfury はワームの一種で、一般にリムーバブルドライブや対話型プラットフォーム(電子メール、インスタントメッセージ、Web ページなど)を介して拡散しています。特定の Windows アプリケーション(セキュリティ製品、レジストリエディタ、タスクマネージャなど)の起動時に実行されるよう、複数のレジストリキーを変更します。また、リモートサーバに接続して任意のファイルをダウンロードして実行する能力も備えています。 |
| Win.Malware.Emotet-7292844-0 | マルウェア | Emotet は、最近で最も活発なマルウェアファミリのひとつです。さまざまなペイロードを配布する、非常に高度なモジュール型の脅威です。Emotet はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 |
| Win.Packed.Gozi-7329531-0 | パック処理済みマルウェア | 「Gozi」はバンキング型トロイの木馬ファミリーで、起源は 2006 年にさかのぼります。Ursnif、Dreambot、Vawtrak や GozNym といった有名な亜種が多く生まれています。Gozi の主な目的は、金融機関の Web サイトでログイン情報を盗むことです。 |
| Win.Virus.Neshta-7330232-0 | ウイルス | 「Neshta」はファイル感染型のマルウェアです。感染したマシンから機密情報を収集し、C2 サーバに送信する機能も備えています。 |
| Win.Malware.Gootkit-7333291-0 | マルウェア | 「Gootkit」はバンキング型トロイの木馬で、その分析対策手口は注目に値します。登場してから幾度となく更新されています。自動分析を回避し、リバースエンジニアリングを妨害するための手口などが追加されきました。 |
| Win.Dropper.Remcos-7334963-0 | ドロッパー | Remcos はリモートアクセスのトロイの木馬(RAT)です。感染したシステムでは、攻撃者によるコマンドの実行、キーストロークの記録、Web カメラの操作、スクリーンショットの取得が可能になります。Remcos はマクロを含む Microsoft Office ドキュメントを介して配布されています。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 |
| Win.Dropper.Trickbot-7340237-0 | ドロッパー | Trickbot は、一部の金融機関の機密情報を狙うバンキング型トロイの木馬です。複数のスパムキャンペーンを通じて頻繁に配布されています。これらのスパムキャンペーンの多くは、VB スクリプトといった配布型ダウンローダに依存しています。 |
| Win.Malware.Bublik-7340719-1 | マルウェア | Bublik は、Windows ホストを対象とするダウンローダです。バンキング型トロイの木馬を配布するマルウェアとして主に使用されていますが、ホストから機密情報を抽出または窃取する能力も備えています。 |
脅威の内訳
Win.Malware.Zusy-7288173-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: F9E7DE7B |
43 |
| ミューテックス | 発生回数 |
| F9E7DE7B | 43 |
| 5D79E0A3 | 19 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 216[.]218[.]185[.]162 | 23 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| spaines[.]pw | 8 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %HOMEPATH%\AppData\LocalLow\F9E7DE7B | 43 |
| %APPDATA%\F9E7DE7B | 43 |
| %APPDATA%\F9E7DE7B\bin.exe | 43 |
| %APPDATA%\5D79E0A3\bin.exe | 23 |
ファイルのハッシュ値
035bcabbe75aa88cbb8dc016119ad2c1901ea759fb90b69eee45b3809e98f381 066b0fc2b1d64ddd9ff30b8046686a6cc8f43656e54f8301ddd7d3a1baf9170c 0a8cc8f4dc0dc5c04431546304d67187403caa684d60ff0787084fdde5d40abe 0c04864961c1edea6dd4231766af85f4031d3eae0756eec731bba81a98b46505 0f00ea06e5b2bc5801a0d4370facc65c0a51e00d810d9f6b16723629a1b7536b 0f91c67b52b53430a9bd2e1a9df5b151056cfee5f026c1da0b5e2342cf9c936e 107dff905969dbbe792ab5d170f2d47538afe49fa6c07f20b26f4de1edd88688 125e0437a1098570183dca847d7533461318214e4a5a746c5ed7933a1cc8d17d 130c0eeebc22bcc4fd4edf40239b66fc5d12d497c7a39851a580e82aa4433e9a 1746421b4db63c1a41a395541947fb44e9f889fd0ea62b9de6759b42c3f5e096 181be8f9157f806aea3f70181b143e12a8c95e85842f10dc31120db4dfb0e1a5 19af7d81cf89adf71bb0af50d6bfe4171b7454daaece6e2883aa08fa06629274 203bfb6936585624eaeefadb5ef6f0679663b09df0b46d9a9945936a787ab20b 2143c563658e9288b205d78775d73ab849ef5de550a398d6976e44c93988da98 217b3f26c0b5033615a26161c5f34b42ac6dc3c12385b9efcc5a6baab1ca0369 225ebaaeafb848823607654663516210377b0901e5e354c8603b9c8c2d85a650 28e5c75b145351bc1cc78829e43328a25d14028aff806947884e60940c8572f8 29ab42409df20428f7e03bce732c534698c260338e410985d112ce4410738579 2a94932f389d8c44cea94a8ac8099869312cd3337d81a423e58bcf041819f803 2b8c4770f8239882117c9e990e9a96aeb134d23be3f3cd147800594d4aad9992 2e668b329248a40c1f1dd54864023731d6862dce26efe70690d7e6ad9f2082f5 310a36c24661d877f07b3c6745efe7cf3d2480f7d43f1361cfe71ac3a6196068 43039465047c23211ef9831701d46fcb73effcf40ca7485c95a6d9c786ca6c5f 4b105589e8a96f695998816c224f250bcc02973f92bcbace3205487c75a4877f 4eb88671b506f84d1f3bd63c7e857e1082820f2d90aba7091a93bf70d9f6d290
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
Win.Trojan.Lokibot-7288215-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: D282E1 |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: ousehehehheheheh |
1 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: ngngngnngngngn |
1 |
| ミューテックス | 発生回数 |
| 3749282D282E1E80C56CAE5A | 16 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 185[.]55[.]227[.]147 | 2 |
| 5[.]160[.]218[.]88 | 2 |
| 8[.]208[.]76[.]80 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| suksez-ab[.]com | 6 |
| versuvius[.]ru | 2 |
| novinsazvar[.]com | 2 |
| majidfathalibeygi[.]com | 2 |
| lapphuongshoe[.]com | 1 |
| pliykies8[.]net | 1 |
| orientsdelivery[.]xyz | 1 |
| arkhesol[.]info | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\D282E1 | 16 |
| %APPDATA%\D282E1\1E80C5.lck | 16 |
| %HOMEPATH%\ousehehehheheheh\ousehehehheheheh.exe | 1 |
| %HOMEPATH%\ousehehehheheheh | 1 |
| %HOMEPATH%\ousehehehheheheh\ousehehehheheheh.vbs | 1 |
| %HOMEPATH%\ngngngnngngngn\ngngngnngngngn.exe | 1 |
| %HOMEPATH%\ngngngnngngngn | 1 |
| %HOMEPATH%\ngngngnngngngn\ngngngnngngngn.vbs | 1 |
ファイルのハッシュ値
11ce93263d26a1d77158f01d3964e36753a90e26487560b52e26658dd935d2f8 4e0b291e2ce71731179d297d11186265907fe73ae9feb6734d9520784dd643ab 6333008e4ed2f8af449faa9c222bf412733928a4dd0fb8011ef50d07f23bb926 6c5b6bd100bdbb0680c9bcefc4fddeec307400fcbef04bc8adaf466b99a3bd69 7a8ace6f25d06c3b91e5aeb33304576fda2ec9664caee9f1489bfd39392d927b 7ad49cca3a6db9a75954dc7d137ed702cf3b5102588e22234a53861d47df1371 842f8e3e24829467b0c4becd601cf310569cfc40320fef7242dd05d292c02bea 906215654e5e6e6cee920b8d245c0eb7dedcc35e923e0e50f1cb8091339ef420 930dea8f876d9f5f8f0d49886477b7d22fb72a73c5d22f01f0f0fb8fe674b076 9627bcfd08a534505001cb8e2e3166cba4e60dc20af10dfa50a00c24425447b3 9986a87b66047bca053c918b33d18c4779c25afa0badfdec5e15742c98cb214e 9e4101e8a41db4810e032fcf0c13eb3dc1213b0d864ab4a0b76183ee17ec6fa9 a84d17a5eb16dfc8202648bb9580a3381d71b567069efb68339607c2c3594e23 c3e63e52d9810263c08ae33457a8995f822d6159b61904e77c1d338fa4dd0513 f3c3be739e71786ca3a56d7570a109593ebedeec931be2eaca8b241a6d008dae f93b944b29282aa07065b9f34298db2b351cdbbe60c340984d6bb4bb822d9763
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
Win.Worm.Esfury-7292180-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\GPEDIT.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PRCKILLER.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PORTMON.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PROCEXP.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PROCMON.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FILEMON.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FIREFOX.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CRASHREPORTER.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\UPDATER.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\HELPER.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CHROME.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\OPERA.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SAFARI.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\NETSCAPE.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVCENTER.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVCONFIG.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVGNT.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVGUARD.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVNOTIFY.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVSCANAVSHADOW.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVUPGSVC.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVWEBLOADER.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AVWSC.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\FACT.EXE 値の名前: Debugger |
19 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\GUARDGUI.EXE 値の名前: Debugger |
19 |
| ミューテックス | 発生回数 |
| @0MPfV5@mqt«sL+EVQ@XPbGP9@ | 19 |
| @0MPfV5@mqt sL+EVQ@XPbGP9@ | 17 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 50[.]23[.]131[.]235 | 13 |
| 104[.]28[.]24[.]179 | 11 |
| 67[.]202[.]94[.]93 | 7 |
| 67[.]202[.]94[.]94 | 7 |
| 104[.]28[.]25[.]179 | 5 |
| 67[.]202[.]94[.]86 | 4 |
| 173[.]192[.]200[.]70 | 3 |
| 35[.]231[.]151[.]7 | 2 |
| 208[.]100[.]26[.]251 | 1 |
| 5[.]79[.]71[.]205 | 1 |
| 5[.]79[.]71[.]225 | 1 |
| 206[.]189[.]61[.]126 | 1 |
| 35[.]229[.]93[.]46 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| widgets[.]amung[.]us | 19 |
| whos[.]amung[.]us | 19 |
| dns[.]msftncsi[.]com | 19 |
| www[.]whatismyip[.]org | 19 |
| z-9-4-0-l-n-x-5-6-g-6-4-y-1-u-6-f-8-e-1-2-m-h-z-k-l-5-q-3-j-7-[.]xz5-af-fj-o4-it-ok-n-9j-zjg-pz9x-1z-zekv-y4f-acg-cq3v-j[.]info | 3 |
| 7-0-3-h-m-a-v-l-c-b-3-z-q-d-7-p-k-7-r-7-a-9-b-t-n-2-v-y-o-y-9-[.]5-68-wk-5g-z2-pu6-e5x-4h-yij-yx-duv-wpx-2r8-7vc-ox-4q-u[.]info | 3 |
| l-r-j-5-m-2-x-1-n-9-4-3-y-1-5-1-2-2-r-o-s-i-6-d-x-6-6-k-p-n-y-[.]rb-e-e3-j-fi-1-il-h-il-3e-z-u-r-u-lk-h-wm-3-6-g-0o-s-dx[.]info | 3 |
| www[.]kryptoslogic[.]com | 2 |
| n-0-2-q-l-1-3-3-y-7-4-9-p-q-r-9-9-h-f-u-9-7-4-y-8-g-2-9-v-z-u-[.]81r-x7-tr2p-7c-5lk-huxs-0wq-bma-0wvi-2y-a8s-elw-hv-o0-6[.]info | 2 |
| 8-5-q-5-9-a-2-t-5-z-7-8-v-m-r-9-0-3-4-6-0-5-h-m-a-8-6-b-z-4-5-[.]z-hk-yl8-k-7o-8z-l-v-uhb-u-td-8i-oe-0gp-e2g-we6-ws-2vpd[.]info | 2 |
| y-n-f-3-8-5-3-5-1-7-9-k-i-7-z-8-8-h-k-x-l-9-7-9-j-5-w-x-8-0-2-[.]z-hk-yl8-k-7o-8z-l-v-uhb-u-td-8i-oe-0gp-e2g-we6-ws-2vpd[.]info | 2 |
| 2-l-q-l-o-0-5-x-8-5-3-6-3-c-3-u-6-1-6-9-7-t-7-i-8-k-g-4-8-2-l-[.]mw9g-ns-k-q0-e3r-6s-23-m2wf-7xy1z0-c0u-5wc-g0rb-2-1-5-l[.]info | 2 |
| l-6-0-2-c-d-a-5-9-w-4-7-5-6-t-g-6-6-9-i-9-w-l-0-a-3-1-0-p-v-9-[.]z-hk-yl8-k-7o-8z-l-v-uhb-u-td-8i-oe-0gp-e2g-we6-ws-2vpd[.]info | 2 |
| 4-7-3-9-r-h-h-j-5-n-2-i-l-6-l-9-0-4-l-9-t-3-g-0-7-4-n-8-r-d-4-[.]rb-e-e3-j-fi-1-il-h-il-3e-z-u-r-u-lk-h-wm-3-6-g-0o-s-dx[.]info | 2 |
| c-0-r-5-0-5-c-7-i-z-v-4-2-j-5-n-s-1-6-d-y-z-8-r-8-s-5-j-y-t-2-[.]i-9t3-sy-7i-5j3-sf7-8z5-54-n8v7r-0-ih7-36992m-o3-0q-g-3[.]info | 2 |
| 1-j-7-k-x-2-7-7-4-i-6-2-5-e-2-2-4-5-y-0-7-u-6-9-m-6-m-o-8-x-0-[.]h6y-aj-r6-ut0-jwl-9-th9-i4k-nt1s-sz4-mk4-ahr-hf8-yi-c-6[.]info | 2 |
| 4-s-1-c-f-p-0-f-8-n-x-7-o-i-8-6-4-7-m-w-5-z-0-g-8-9-6-u-7-3-u-[.]2e-01j-y1a-zu-s-no-bq-q1p8-qjr-j1hr-nh8-22-af3q-7q-gu-7[.]info | 2 |
| k-1-e-b-0-x-j-0-i-8-p-o-5-r-8-m-0-3-3-f-2-k-c-8-6-6-q-s-3-7-d-[.]0-0-0-0-0-0-0-0-0-0-0-0-0-37-0-0-0-0-0-0-0-0-0-0-0-0-0[.]info | 2 |
| 1-5-4-t-6-y-m-k-1-3-9-r-u-8-5-3-x-s-2-t-8-2-2-3-7-k-u-u-7-0-4-[.]p9b-8-na-5w-2z3-djmu-7pk-qy-0-bok-re9-ym-v9h-av-njx-2es[.]info | 2 |
| t-3-r-2-p-0-h-n-g-m-z-8-u-r-m-i-x-r-l-x-4-2-4-9-m-p-9-1-0-5-k-[.]81r-x7-tr2p-7c-5lk-huxs-0wq-bma-0wvi-2y-a8s-elw-hv-o0-6[.]info | 2 |
| 2-g-6-2-s-x-7-7-x-7-c-s-a-a-q-5-d-9-3-a-7-4-3-4-0-8-u-u-e-9-w-[.]0-0-0-0-0-0-0-0-0-0-0-0-0-9-0-0-0-0-0-0-0-0-0-0-0-0-0[.]info | 2 |
| l-v-4-r-s-5-o-4-5-m-6-6-l-8-s-6-5-g-v-n-0-4-u-8-i-h-9-m-q-1-9-[.]h6y-aj-r6-ut0-jwl-9-th9-i4k-nt1s-sz4-mk4-ahr-hf8-yi-c-6[.]info | 2 |
| 4-0-6-4-p-2-j-2-6-3-1-e-c-7-i-x-s-d-l-7-e-o-0-h-w-9-7-6-b-d-4-[.]v32c-to-5-8w-0yc-tzl8-h2a-7f-ezc-oxt1-7-8y-0elh-be-3k-d[.]info | 2 |
| 4-i-0-0-q-y-s-3-3-y-6-9-9-9-3-s-p-9-b-e-z-p-b-9-4-8-3-t-g-0-u-[.]p9b-8-na-5w-2z3-djmu-7pk-qy-0-bok-re9-ym-v9h-av-njx-2es[.]info | 2 |
| k-h-4-2-o-5-8-0-z-g-3-j-3-2-3-0-n-h-o-v-1-d-u-j-i-s-2-o-i-r-h-[.]i-9t3-sy-7i-5j3-sf7-8z5-54-n8v7r-0-ih7-36992m-o3-0q-g-3[.]info | 2 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| \autorun.inf | 19 |
| \$RECYCLE.BIN .LNK | 19 |
| %System32%\drivers\etc\hosts | 19 |
| \h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN80Dnz PQXQY2sziakx2axTnS4SA0447SPkbMnv4Qm\S-4-7-01-4639107501-4494491267-104133574-046\Desktop.ini |
19 |
| \h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN 80DnzEPQXQY2sziakx2axTnS4SA0447SPkbMnv4Qm\ S-4-7-01-4639107501-4494491267-104133574-7046\o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe |
19 |
| \h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN80DnzEPQXQY 2sziakx2axTnS4SA0447SPkbMnv4Qm\o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe |
19 |
| %HOMEPATH%\Administrator1 | 19 |
| %HOMEPATH%\Administrator1\winlogon.exe | 19 |
| E:\autorun.inf | 18 |
| E:\h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN80DnzEPQXQY 2sziakx2axTnS4SA0447SPkbMnv4Qm |
18 |
| E:\h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN80DnzEPQXQY 2sziakx2axTnS4SA0447SPkbMnv4Qm\S-4-7-01-4639107501-4494491267-104133574-7046 |
18 |
| E:\h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN80DnzEPQXQY 2sziakx2axTnS4SA0447SPkbMnv4Qm\S-4-7-01-4639107501-4494491267-104133574-7046\Desktop.ini |
18 |
| E:\h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN80DnzEPQXQY 2sziakx2axTnS4SA0447SPkbMnv4Qm\ S-4-7-01-4639107501-4494491267-104133574-7046\o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe |
18 |
| E:\h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN80DnzEPQXQY 2sziakx2axTnS4SA0447SPkbMnv4Qm\o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe |
18 |
| E:\$RECYCLE.BIN .LNK | 18 |
| %HOMEPATH%\Administrator1\VERSION.TXT | 2 |
ファイルのハッシュ値
094d75233bfdfc837e0b461eb47ef442277b022f102b8f6adc80e20ec0909e2b 0f32b4ed36c393942ae9177eb4b2acd977bb2283de1b3278256a24049c2e7b8f 14e3b621de29654add1fe1fe1a1770279330dfb1920cdd0bc92cdd0f8ca489f6 17ce758c92d7c785b153845c53809f7b04a77d6f0352dff7944057cb6ace4c8f 1a6aab3064593291c0696c1efd2ac2dcd5df96bf923ae7670562cfeac3ee5478 47f286283bb6d0451650d993e656cfe32c33fc547838b8fe7cfbf1f648694d1a 5a5c0a62f7d53b6b1ee826a5baf8ff0c39d35ce6817fbee78a6398355747042f 78d3586250c6c996c1412daf885e59ca954a77384ad4eda4028f2a81024dcf1c 7de79a67d497d9bb88af291e625b233a9972f2aae9cff137c6416689e50aed98 920e28b817c5d1376715b7654ee6c5476b6b80adff54bafe2f7c5f1d952f1bc9 a3ea1ebdf50099d17c429042c5c6faeb7a60d6f42d9256ce3e89a217fed81198 b4c81dcc370ebb3bb2361000a64e87d15939c1dc10beb740b577de29cd8dde93 b75e84103d3e74ab2ab1b3a0bab01e0272fd361ec808942a598a0165e169edb0 b7e13fae589f5403964e0169c1269c91ddd6a7e06f06404207ca4f61922fa30b ba4accd438dedd49930217bcd04cda2230e3a9d32d1f457ab98c50dec9dffa9e d3867c8d29d5f430de171e9269a1766ed9b0a565dd38bb01438f50fd7902c6ea d70d846815613e61511492bafcc00470c9af8579b1491fa9996a1f5267e47ce2 eae56ea32d876fa7b1559e6e005c9572f3ef8a84665ff660c3e21180f646d220 f4bbf7ec8be46bc611663482937506b1288b5f2d0b479df2d4aa24a5207435ba
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Malware.Emotet-7292844-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS 値の名前: ProxyEnable |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS 値の名前: ProxyServer |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS 値の名前: ProxyOverride |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS 値の名前: AutoConfigURL |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS 値の名前: AutoDetect |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} 値の名前: WpadDecisionReason |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} 値の名前: WpadDecision |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} 値の名前: WpadNetworkName |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} 値の名前: WpadDetectedUrl |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\CONTENT 値の名前: CachePrefix |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\COOKIES 値の名前: CachePrefix |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\HISTORY 値の名前: CachePrefix |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MINIMUMPIXEL 値の名前: Type |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MINIMUMPIXEL 値の名前: Start |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MINIMUMPIXEL 値の名前: ErrorControl |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MINIMUMPIXEL 値の名前: ImagePath |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MINIMUMPIXEL 値の名前: DisplayName |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MINIMUMPIXEL 値の名前: WOW64 |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MINIMUMPIXEL 値の名前: ObjectName |
24 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MINIMUMPIXEL | 24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\{E54C0DDD-6FAB-4796-8BBE-EE37AF7CD25A} 値の名前: WpadDecisionTime |
24 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\88-22-E5-B6-57-EE 値の名前: WpadDecision |
1 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\88-22-E5-B6-57-EE 値の名前: WpadDetectedUrl |
1 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\4A-80-98-B4-22-0C 値の名前: WpadDecisionReason |
1 |
| <HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD\4A-80-98-B4-22-0C 値の名前: WpadDecision |
1 |
| ミューテックス | 発生回数 |
| Global\I98B68E3C | 24 |
| Global\M98B68E3C | 24 |
| Global\M3C28B0E4 | 24 |
| Global\I3C28B0E4 | 24 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 74[.]125[.]192[.]108/31 | 15 |
| 82[.]223[.]190[.]138/31 | 13 |
| 17[.]36[.]205[.]74 | 12 |
| 193[.]252[.]22[.]86 | 10 |
| 62[.]149[.]128[.]179 | 10 |
| 213[.]209[.]1[.]144/31 | 10 |
| 62[.]149[.]128[.]200/31 | 9 |
| 212[.]227[.]15[.]158 | 8 |
| 193[.]70[.]18[.]144 | 8 |
| 195[.]110[.]124[.]132 | 8 |
| 81[.]88[.]48[.]66 | 8 |
| 62[.]149[.]157[.]55 | 8 |
| 74[.]208[.]5[.]14/31 | 8 |
| 86[.]109[.]99[.]70/31 | 8 |
| 91[.]83[.]93[.]105 | 8 |
| 80[.]67[.]29[.]4 | 7 |
| 107[.]14[.]73[.]68 | 7 |
| 74[.]202[.]142[.]71 | 7 |
| 212[.]227[.]15[.]151 | 7 |
| 62[.]149[.]152[.]151 | 7 |
| 86[.]96[.]229[.]28/31 | 7 |
| 62[.]149[.]128[.]210/31 | 7 |
| 37[.]187[.]5[.]82 | 7 |
| 185[.]102[.]40[.]52/31 | 7 |
| 70[.]32[.]94[.]58 | 7 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| smtpout[.]secureserver[.]net | 12 |
| smtp[.]1and1[.]es | 10 |
| secure[.]emailsrvr[.]com | 10 |
| smtp[.]orange[.]fr | 10 |
| smtps[.]aruba[.]it | 10 |
| pop3s[.]aruba[.]it | 10 |
| smtps[.]pec[.]aruba[.]it | 10 |
| smtp[.]serviciodecorreo[.]es | 9 |
| smtp[.]office365[.]com | 8 |
| smtp[.]secureserver[.]net | 8 |
| smtp[.]mail[.]me[.]com | 8 |
| pop[.]secureserver[.]net | 8 |
| smtp[.]1und1[.]de | 8 |
| smtp[.]libero[.]it | 8 |
| mail[.]aruba[.]it | 8 |
| pop3s[.]pec[.]aruba[.]it | 8 |
| mail[.]serviciodecorreo[.]es | 7 |
| smtp[.]outlook[.]com | 7 |
| mail[.]outlook[.]com | 7 |
| smtp[.]mail[.]com | 7 |
| mail[.]secureserver[.]net | 7 |
| pop[.]serviciodecorreo[.]es | 7 |
| smtp-mail[.]outlook[.]com | 7 |
| outlook[.]office365[.]com | 7 |
| smtp[.]aruba[.]it | 7 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %SystemRoot%\SysWOW64\minimumpixelb.exe | 1 |
| \TEMP\5wgj1pj85exl95u.exe | 1 |
| \TEMP\zk_4987.exe | 1 |
| \TEMP\60hmsbnu_02.exe | 1 |
| \TEMP\5jg_9376.exe | 1 |
| \TEMP\cven8_6.exe | 1 |
| \TEMP\ifm_6.exe | 1 |
| \TEMP\uv1m953217in7u.exe | 1 |
| \TEMP\d6xka8_28.exe | 1 |
| \TEMP\z_0.exe | 1 |
| \TEMP\9_8776851.exe | 1 |
| \TEMP\5kn4h7rfngma.exe | 1 |
| %SystemRoot%\TEMP\8435.tmp | 1 |
| \TEMP\q_8103149.exe | 1 |
| \TEMP\m4tpybzlh_327464286.exe | 1 |
| \TEMP\15pk0i_09552197.exe | 1 |
| \TEMP\izp8se3tl3b.exe | 1 |
| \TEMP\2qcsdiacpc_27712037.exe | 1 |
| \TEMP\18k5b_0082228.exe | 1 |
| \TEMP\w_752582225.exe | 1 |
| \TEMP\43vcrfe61.exe | 1 |
| \TEMP\n0n_4621.exe | 1 |
| \TEMP\su1ygco.exe | 1 |
| \TEMP\ujtcb6ddd.exe | 1 |
| \TEMP\su4gvrcyup.exe | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
066d31cc0e6f45e89297334aad69cca12d60e9b4fe6aad341d08bcf6bce37c45 0fe2c7cfab6e55d92fcfe60d66e236bef5d44450c6ae7b759bf694f6097d935d 14bc54ea2759508a18c4e79734d328510897db0a2c71bd4ac2dffb34f99df2b2 1e4cdfb7252c74369fc5007e70c6746994f9e7a2e9f2f11b3012718b415d77a1 289c04314df3679f04bf1817fbf1589fb19dbd481f8c20daac8861068a7c5a32 2bc8c8cf127365a2a94bf47dc26ae14d11e62c38fd0df564bfc7867e025d94c1 3251a00155619dd1ba363b7fe477dab326fe791d2135129d3133c0cb716dd58b 4a98c1b48e25ed7a590d7fc89d65e07e40896e90c7977658c3bfcd8da7392181 52dae4128bb378dc4a877aab9287fc1ceb7576e1cc8506351a5679c6e9dd2e95 5e121e16757f3a3bafbc9b3e696de9473b4f1af5a314194cdfca68ab40332e9c 5ef1a5f4d7f7e3fd74392e514680e3439de5af3c1c818d560d82a62c77eb0a91 63cb6cd04a691f5af02e6a045cdf357e93ee8be5002100b90088b5dd65b24b70 640086c532c00aade40f11146f735fd3e969fe1565e5890800fe4b7551100523 68cb95f7e0d2a77e5a4832fb75243520a5ccc109849bbc933062379df4e7d164 9af3c4f8514d9c318ac90df6fc0e3a0278b41247ecd568b30a8266d0370f3eb0 ac8e332e3a99f1020e0cfeddfb672501d9da72d025d35c5edbcd0f347d5fb6a1 b5617d46830e9a3a362c97b9c6140c15c04b1dd64136ac1abf1dea3e65d83ccf b6c5d6655ef066545f8b9b8094c7347bf283e771b8f9b46b8e8f6e08144dcf13 b77f540a0cf278192870bab7fa677c0e858269ce1321814573934a6d095d89e4 cdbe742cd698ed504e7636811a13b8328c0a9905f4158fb25cde01dca66230fc d8614f65c65df8ca408d493fa9ef65894a84d9a49ddcb08be7b0798b670d367d db9ab62920e6a46ca2ed59de12132eb16c5c6205f3328a4d5a26cb52ae298ebb e6630adfc5882be333236fd4da6b8fb8c86866b4768b7914fa9102a3de3bc3b0 ee35b43c9bf1a9c24ab983a470e1cf5eb9508c741df45f5829c8d918a771b584
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
Win.Packed.Gozi-7329531-0
侵害の兆候
| ミューテックス | 発生回数 |
| Local\55C37268-60E9-964A-3299-E2046F3CC613 | 72 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 193[.]183[.]98[.]66 | 72 |
| 51[.]15[.]98[.]97 | 72 |
| 192[.]71[.]245[.]208 | 72 |
| 172[.]104[.]136[.]243 | 72 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| api[.]frame303[.]at | 72 |
ファイルのハッシュ値
0003b0a5bfd7488160015e4e0e81e2d2a61ea5f5db53cabd9b4a404be8412250 0551e4b2c94f0796f7bd0108a1415ddbbb1126b9ff489fc5467e7dc3ab602f9b 064409558cbc89bbff58cbd3baaad0227a15109d4771635deb4b4f5a7f226ff3 0c527506d50c4f105f4e85180c3f2e2db58d969303883e7fdda26673d7a9e460 0ef66832ac9e94ce9f81840d4a40fa5e65bab3d930ad93503fbd77de4b74559a 10b22994ffe103af6f1d690ba1abf3e13cec9712a913ff024d9d1c656b92dbc0 12e98f72b4b5e225a1d465a7b121f56360bc9fd6ad538d56ee774874e4159e97 135653620d85d3016638d83a2f863eb480bc5e5f113f45e357037aedc7dd045a 1bd260a766aef952a2bb52dc926af5042f7d0361a5d869a167465400ab4af823 1fbeca47536689cd3ab5b692171a6bd8c93cd21a2d327d107631ce98e85429bd 23e78be8e4244831011a7bd02e497d15cf8ab29b8fd647881418e664ff0ab4be 2be8b60b9bf8fc8f81e8c1ec54af862351e6428922f285d4c816d64aab86189a 2de56515f487b70c3ad879e784838da3efb0d3f44539c1eddd9ea218398a3335 3214ab12ebd572aff4147227140915d21f0c5ca0f3efb949cf6796356f6d4d11 33a74f4ec4ae12674a0079c6af7c22c059ca950690a82e1fd11e4bb1f3f21305 3509cf8e68799db2677703e49caea882b6d2c5971379ac0e8619aeb30876a2a8 384373f044464197697af0c96e2028a6d76875524d6bf6650ff68a5e5e92eabf 3bf729f719580998bd65e13d02129e96efdd74448f84c504829f418ed87607e3 3ce58e9e556c87216307495378b2b1d0eb61517771b9bb10426a2ab7d14aeefe 3da63842c752a0c705180cea273b0b397ebb3cd9b8e6087401db14fe254a44ff 3e41a7ae208fa0e8cf28a8610533dd2ef965062f38577af2c35dd8f8950669bf 42ce932aae9b15b7deaf92694fb5a4db12f0bf9936da2f1d06c7a20714af3ca0 47109959af2b7fee21af66b6eeaf948ad4bb28c7428f59c9bb90ac7ea3753f24 48f89fac46dcc1f813d87d4cbedbae83d90f660558718e52bdcad554d71ecd35 49cf6e4d3589018819869dc3cd1733a1b3c42326b52cc0e48edafe113593019c
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Virus.Neshta-7330232-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\CLASSES\EXEFILE\SHELL\OPEN\COMMAND | 25 |
| ミューテックス | 発生回数 |
| MutexPolesskayaGlush*.*svchost.comexefile\shell\open\command‹À “%1” %*œ‘@ | 25 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\tmp5023.tmp | 25 |
| %SystemRoot%\svchost.com | 25 |
| \MSOCache\ALLUSE~1\{90140~1\DW20.EXE | 25 |
| \MSOCache\ALLUSE~1\{90140~1\dwtrig20.exe | 25 |
| \MSOCache\ALLUSE~1\{91140~1\ose.exe | 25 |
| \MSOCache\ALLUSE~1\{91140~1\setup.exe | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\1033\ONELEV.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\1033\SETUP.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\ACCICONS.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\BCSSync.exe | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\CLVIEW.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\CNFNOT32.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\GRAPH.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\GROOVEMN.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\IECONT~1.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\INFOPATH.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\MSOHTMED.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\MSOSYNC.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\MSOUC.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\MSQRY32.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\MSTORDB.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\MSTORE.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\NAMECO~1.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\OIS.EXE | 25 |
| %ProgramFiles(x86)%\Microsoft\Office14\ONENOTE.EXE | 25 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
010a8e1d056b6a79142ec8abc46ae9bcd54c914f62d453370e4b74e75076b1e0 017ebabf7dc178eea75e6a5c9fe393a2f04bee2739e1d8d8085ceb4f6cf536c8 01e63cc8ed89f76c54a66baf631072f275ca0b4d90f316b3582325637260c206 1077dd3eae47e67505ddbfca24db29cc86a8272f4cd292dc134f8b3abfac2350 1d62a3dc5a827604e330ff1ee26dd32786b2b371adec06bc136c4d02dc31d3a1 1e5802bd82d8f5944e573720a81ba56de336600e576c8b6b095d1130b61c5e16 22b47cc60096f63ec4e90f65a710013688d51f6e1350df7165fe78eabc289973 24cd7a38f026dd924b59253c62616dec2bc20498ee7226be8a00bcfa1631e164 2d3c192dd31356f05dd53a8b0d489a48bbb28e0dfc02be3337e572d5b6e78ad5 2df99a6334f489425dbe0e0cb2b84e2fc708ead88e4bfcf8773bd614f16ab97b 321019b6ce05ad99ae59065d7c18f8ea6467809973eaf57b01e7482c6701e1ad 34bc860348e7b7600d41043ff0b613b93c91e3d079a066f7cd7e3a25998fb0e5 34d03297d8dfaaad8b61b26b2b45287da4a3b252a47bc9fd64bcd4cb1478f2c7 364f32c03907258b42fdd69dc0015a130e1604398d86ae4302d912bfdcf7e129 376fa4f35782601e163d4d8f8aca8589ab4b44d44b89bf13c50c639809976b87 400e12d8203bbafff024427b8287ccbc580060b4c2518127364e559b6c1dbc5b 411d9aad484f849527e3c0ea7c3f08cf5ceae2d62766c5de08fdd16e33154516 425de37d3bb1fcbac8b837fb625b5fc76c9ca2403a298faef8587aef28b0c4a9 4305e15188cc8a790513b9dd280706b13a4c3ecd53e79d7ad2c51177b3685676 496fb4b66415e7269cc6f20be797434401d94876757f6a5e0e1e0732fb27dc41 4ddb68f739d10596394f5ddc102ae1cd688630d98f58317ee50aba958d4cc6be 54a789da6eb9b456025487c386077e168b96e99682b2ede1f3d2a5609b1410e9 5845d3c49fd007012f5ee92b271757221d53eb948ecb6acacb924e5c2a8845c3 5a675fced512cadb2971f8d23d8d66aecae3c62e54cdbf110aae55facf609aee 5b3da2505153ca4146151f8d7de873868ce3041487c343cf5a43a30fd223cbe4
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Malware.Gootkit-7333291-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\IEAK | 26 |
| <HKCU>\SOFTWARE\MICROSOFT\IEAK\GROUPPOLICY\PENDINGGPOS 値の名前: Count |
26 |
| <HKCU>\SOFTWARE\MICROSOFT\IEAK\GROUPPOLICY\PENDINGGPOS 値の名前: Section1 |
26 |
| <HKCU>\SOFTWARE\MICROSOFT\IEAK\GROUPPOLICY | 26 |
| <HKCU>\SOFTWARE\MICROSOFT\IEAK\GROUPPOLICY\PENDINGGPOS | 26 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_14 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_15 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_16 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_17 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_18 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_19 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_20 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_21 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_22 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_23 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_24 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_25 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_26 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_27 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_28 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_29 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_30 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_31 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_32 |
2 |
| <HKCU>\SOFTWARE\APPDATALOW 値の名前: DpiSsys_33 |
2 |
| ミューテックス | 発生回数 |
| ServiceEntryPointThread | 26 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 109[.]230[.]199[.]13 | 4 |
| 208[.]91[.]197[.]91 | 3 |
| 31[.]214[.]157[.]162 | 3 |
| 185[.]189[.]149[.]174 | 2 |
| 176[.]10[.]125[.]87 | 2 |
| 192[.]35[.]177[.]64 | 1 |
| 185[.]212[.]44[.]209 | 1 |
| 185[.]158[.]249[.]46 | 1 |
| 185[.]212[.]47[.]97 | 1 |
| 109[.]230[.]199[.]248 | 1 |
| 31[.]214[.]157[.]14 | 1 |
| 109[.]230[.]199[.]180 | 1 |
| 185[.]158[.]248[.]133 | 1 |
| 194[.]76[.]224[.]123 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| me[.]karysmarie[.]me | 2 |
| adp[.]mjmentertainment[.]com | 2 |
| kkillihhy[.]top | 2 |
| picturecrafting[.]site | 2 |
| otnhmdmwnz[.]top | 1 |
| tics[.]cibariefoodconsulting[.]com | 1 |
| roma[.]simplebutmatters[.]com | 1 |
| me[.]woodlandsareareview[.]com | 1 |
| top[.]hymnsontap[.]com | 1 |
| adp[.]reevesandcompany[.]com | 1 |
| bud[.]ttbuilders[.]com | 1 |
| pic[.]picturecrafting[.]com | 1 |
| me[.]kaleighrose[.]me | 1 |
| it[.]its1ofakind[.]net | 1 |
| me[.]jmitchelldayton[.]com | 1 |
| me[.]thebellamyfamily[.]me | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp | 1 |
| %ProgramData%\{d781e3a1-e512-422f-aa6c-27428437cbc4}.lock | 1 |
| %TEMP%\TMP2834788.tmp | 1 |
| %TEMP%\markwde316.tmp | 1 |
| %TEMP%\TMPwde316.tmp | 1 |
| \uv\04F28BB8-1480 | 1 |
| \uv\04F8C430-1480 | 1 |
| \uv\051EE940-852 | 1 |
| \uv\051EEAC0-852 | 1 |
| \409494144.inf | 1 |
| \409494162.inf | 1 |
| \409494248.inf | 1 |
| \409494334.inf | 1 |
| \409494418.inf | 1 |
| \409494444.inf | 1 |
| \409494588.inf | 1 |
| \409494628.inf | 1 |
| \409494124.inf | 1 |
| \409494190.inf | 1 |
| \409494298.inf | 1 |
| \409494658.inf | 1 |
| \409494820.inf | 1 |
| \409494840.inf | 1 |
| \409494920.inf | 1 |
| \409494996.inf | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
02b5fd5e99d5df445989bdf6fc390c6a91868627931a215ffe4b7c0c6575d3d2 087e3e740b260ad83ba5881be43822ecccf5bcefc3c3246a62d8f5cb11065891 0a75195584a2ff98ff416153d7ae3c5f470201bacae816a9040e1545ad1ed71c 0a98f18e5602852de2a00e1d4e4b87a9aa73bada595e14b7d05844aa85a0cb3a 0e6f4226f190a84de26df937557d624fb130e4a0b0e692a494a937d144506433 0ed33f996aa50dc73876f30aec07446dcaa0384c2c8268478a7857724c118759 195932578c922415b99e2e292acbaf32133de4727384f5860c9c5d59436ce671 20d12b744bd651c35171626f1ce6d85bd9a3362acfee4f91934da6f7d4414cce 26f188069d3f42e5a0e5f217e807703347d46c84953ccd4d39e897dd0d4ac45e 279306903e6702c79e229db28bb3d119de8641c8ad4bb24bd0e9da7559440b36 29e776ef6349ee6f4d37aa5b099b7b6abb433d950e8ec04f25069813178a2f72 3e8167eb0800a7be23864cd48db852623c95b884682df95c13c196bec9122bc7 417d2f400fb2c53c28407632edf46189f4cb4482cf5b323b55b3d75312c954dd 4957073bcc69c602b3fd1e4c98f4cc8937ebfce5f61756db4d1021a9039a5be5 5c077e0950fdd99df11e389d2b830f241b35efdfb9dc6522b457c66fd64b79a0 60a751e56901c1b593e3a58c1e0770b9fbefb83c8e75433fdbc16e55c21cebc8 73541008d1f6fbbfb7321f39ff083398d4f5ee86bde9eca2574e67a952c7a37f 76ea09817ea2aba02f6b6701ebd786adfd0a02b42ac53a51b1f334245f21004d 7a2ae75210913c882e0f6d848bfc06d729b7d0c6faf1c42ea9dec67da18c41e4 7eb13e84eac78a616ef498adb7fad002e912fbdd699891a8b0da63f224a7c277 877b0ef2e019d8f102373c6a09975c84053eb5705b8e8d4508e0b4b9418b458f 9da94873a87609b0c6471981b57fc4e6a8abe1b649e571a0eaffbaa80f4b4961 c96b2b221a2071b92cc21f75edfb0fea967271b8d15bedfece0ab686ad6431a7 d3c1a8df4b8112ebf3c3edc53ebe8adb3680accebc243040b3d438a4e5489f2a d6fbd9d2e70a77a6bfa308ef2ce0d8ad13266a4a41ed59089a52c2ee7e550bfc
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
Win.Dropper.Remcos-7334963-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\REMCOS-8N5JSJ | 25 |
| <HKCU>\SOFTWARE\REMCOS-8N5JSJ 値の名前: licence |
25 |
| <HKCU>\SOFTWARE\REMCOS-8N5JSJ 値の名前: exepath |
25 |
| ミューテックス | 発生回数 |
| Remcos_Mutex_Inj | 25 |
| Remcos-8N5JSJ | 25 |
| TreeSee | 25 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 208[.]91[.]197[.]91 | 25 |
| 185[.]158[.]249[.]88 | 25 |
| 108[.]168[.]157[.]70 | 25 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| pearlsolutions[.]com | 25 |
| finnanlinks[.]com | 25 |
ファイルのハッシュ値
0164052cd74b2d406c5503faf58f1794d6ba14092b7a9fa9509bc8a85eae01cd 24175b88c78d6089ee1dac7875b71c6194c5292d826911050bde8ebc55b4491f 24d2b912a0ffbde3afbef7e4460693ae84976b689ae7a150b914fb09a7551b13 2ccb899ef52566bceb4d8e09163dd21291624a73b5ad554fd58f920434af9076 2f260e1c62dd6ce1d6c042bd488881d4b562ee1990d20cc383866fd6f805abdc 47232b513efbd2c6fcd3dd1778aa00ca018710c8afd597d238ab1c94433747c4 47a9af0fcc8f26b71865398d4cf372b2d8005f5b93cf75233f44439da9378beb 4cf3770d9c9b2ea152ccf677f4f03e46fd6ee497362fa1a9fbd4d6994ec48244 556c8f046af879ab852ab13e2cde6ebf653fa436840bde821c4b7b26cc626f73 5a5b57e664e35d5528b3c9c32b7123861125e5b6789a7699e076821e0eaece10 65573233fca2347e6aa28de9caec5f49d3ff0f5b844aa1d672d822970228d8f0 6eebb872f1c301f54c77849a128e5500a7e3cfaafee2513004fabaf880bb75f9 7d2b477f6a2ae69257c9626cd87ca89b741b0397e2b4743194b1e95d802637d4 7e559c9077c5b416db0fcd99cfee7e9fa80212ed53b0bef7c37c00373c7e2cc2 81685e6e788710a878b16cb2febbc7cff3f8bf5905811fc392e840da73f79b50 8e4638e4d6cc97ebc401533a5bd4cd22ccaca17a584f24610040aff5e8ffa64e 9996145757ae9e7ca9fc01709e3b597be530d189f50fe2955db438dde9f07c77 9f01d27ac72c5194859d657ee8b024786469661cc65b29cf795b66d10fb35770 b03eece2320b96ba1c1057f3adead7c347626f6f45e867af798f03a78d030fe9 b0894a209477e906130c6a493a8d34cde4ae16442753c2513053f4e33a39ca80 b29bd09e5a11bb8b46ca1363f3455d66057c8bd24f3ea6a643851d288ee0239c b6c098d02c8eceaf072fdf7b91c832a0c86e529a7c276fbc28ed2c242053a35a c5ff8271d4820962d7ad72526ae7aca7b7df84e2cab249dcff099f4bfa740bc1 c9e5d6fbd34df48009a162af73ce141406c182cb072e92a7a815762ff90dcd4f caffbaf16f0fa50066efc7435b21330c05b2b3ca602253558e4bf30cb0ddad67
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Dropper.Trickbot-7340237-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\ DAC9024F54D8F6DF94935FB1732638CA6AD77C13 値の名前: Blob |
9 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PROFILELIST\S-1-5-21-2580483871-590521980-3826313501-500 値の名前: RefCount |
5 |
| ミューテックス | 発生回数 |
| Global\316D1C7871E10 | 42 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 185[.]79[.]243[.]37 | 11 |
| 185[.]222[.]202[.]222/31 | 7 |
| 172[.]217[.]3[.]115 | 6 |
| 200[.]116[.]199[.]10 | 5 |
| 194[.]5[.]250[.]82/31 | 5 |
| 45[.]142[.]213[.]58 | 5 |
| 66[.]55[.]71[.]11 | 5 |
| 46[.]30[.]41[.]229 | 4 |
| 31[.]184[.]253[.]37 | 4 |
| 185[.]244[.]150[.]142 | 4 |
| 45[.]66[.]11[.]116 | 4 |
| 176[.]58[.]123[.]25 | 3 |
| 104[.]20[.]16[.]242 | 3 |
| 190[.]154[.]203[.]218 | 3 |
| 187[.]58[.]56[.]26 | 3 |
| 36[.]89[.]85[.]103 | 3 |
| 181[.]113[.]20[.]186 | 3 |
| 94[.]156[.]144[.]3 | 3 |
| 109[.]234[.]34[.]135 | 3 |
| 45[.]80[.]148[.]30 | 3 |
| 177[.]103[.]240[.]149 | 2 |
| 185[.]65[.]202[.]127 | 2 |
| 200[.]21[.]51[.]38 | 2 |
| 186[.]42[.]185[.]10 | 2 |
| 107[.]22[.]193[.]167 | 2 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| 250[.]5[.]55[.]69[.]zen[.]spamhaus[.]org | 11 |
| www[.]myexternalip[.]com | 6 |
| ident[.]me | 3 |
| icanhazip[.]com | 3 |
| api[.]ipify[.]org | 3 |
| api[.]ip[.]sb | 1 |
| wtfismyip[.]com | 1 |
| 46igeuohbyzeokpe[.]onion | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\HomeLan | 42 |
| %APPDATA%\HomeLan\settings.ini | 42 |
| %System32%\Tasks\Home lan application | 42 |
| None | 41 |
| %TEMP%\<random, matching ‘[a-f0-9]{3,5}’>_appcompat.txt | 20 |
| %TEMP%\<random, matching ‘[A-F0-9]{4,5}’>.dmp | 20 |
| %APPDATA%\HomeLan\data\pwgrab64 | 5 |
| %APPDATA%\HomeLan\data\pwgrab64_configs\dpost | 5 |
| %APPDATA%\HomeLan\data\systeminfo64 | 5 |
| %APPDATA%\HomeLan\data\psfin64 | 1 |
| %APPDATA%\HomeLan\data\psfin64_configs\dpost | 1 |
ファイルのハッシュ値
01639c6060f371a5c4d063bcc5827577b2fc0f4c7576e018493f0f2fbaa0971c 051c1d65aa3f07c6f0c12177e66db74593cf19187a5d5279a1060215d1fd693f 0a62e631b10f9a4c3b2e18b2e1cd891de5617ed77d3486a895d5b0e300f9c03a 0b0958d9893a048f798947d43f40a8e73c39a58314ca54efcfd9b44c2fbf70c2 0dedc6c5d7f16e280b91f0fcc39776e5a81a9256679039ccf766ad47c3280107 123624171e54c4fb17187cee3bba2a42beceb6e14a533d3f678b4b79322e5ecc 176555c1164babd31c1b5cf572f04e4ae9272f749c34da82450f34496f2e38ae 19040036454f1ed997841efb79601c14ad4ddbfe8716d792645f02ad639cc4c5 19067755e33f789405fff9be3a0083fe46a9f723cbd478d8b4fc7eee02e1747b 1ab1b32131737818d95fd57c3878ad2c5ed5319915fa570742d3f72ba77a3618 1b8aa6a3db661ceba43b3e564536502e8babe78050236f35261865ab5227369c 2258ed23ff9b9999e542fd9adec574a2ea7aaa25cb72dbcd03853f74d64f10ae 24e6854a3138b45709bf7144f1e4abb69f86722a828cfd563a8b27e1dab95a9f 277a447321a678f7bc82683fab3e4b52b2a7288be76b87c014a0c33e3a187cff 2c4dda46da1f5943ee7caee3ce42454e53364371763e2bb84d4831c87636ee40 3302b6b60869d67af98b83e9a795afa6fe3ac3cfd492ff89ed284eb04dcd8a31 33111cf63f3781a3be253cfd560fef13904a80d95e0484d8be3e2515a050cf78 33528d4f9144d9f5882ad5a29602e0068d2f88926908d7fb464ec4faa502b261 351385b5ba3932321d3f830fa7accb71317832be3362636dc4e53b4ad8dc7c8c 36d985f970096d5ac23193d3d564f51402b0d815ebf3490c46b90daca05c5796 3e2e719d3c8a79ad31df38e3d8071268325cc9de90cb1d9374da205196085640 410702470b3719dba334d8e86e53560c307f9220ef0598829690d6e2f09eb8ca 414c44aedca4bf53ea9594795e50512895bb5bc84df5718111de6dc3b935baad 4d8b363440ac876738d71a5822cc49b54d6466afb05a91e69f1bfc2e20a6f5a1 4e26ef3e451e37ce362fd98f6d4ab8f6d6ee581c58094a963a594e322a0aa3be
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Malware.Bublik-7340719-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\ STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST |
14 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ APPCOMPATFLAGS\LAYERS |
14 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\ DOMAINPROFILE\AUTHORIZEDAPPLICATIONS\LIST |
14 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\ STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST 値の名前: C:\Windows\SysWOW64\igfxcn86.exe |
11 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\ DOMAINPROFILE\AUTHORIZEDAPPLICATIONS\LIST 値の名前: C:\Windows\SysWOW64\igfxcn86.exe |
11 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Intel Network Service |
11 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ APPCOMPATFLAGS\LAYERS 値の名前: C:\Windows\SysWOW64\igfxcn86.exe |
11 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\ APPCOMPATFLAGS\LAYERS 値の名前: C:\Windows\SysWOW64\wmpnd86.exe |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\ FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST 値の名前: C:\Windows\SysWOW64\wmpnd86.exe |
3 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\ FIREWALLPOLICY\DOMAINPROFILE\AUTHORIZEDAPPLICATIONS\LIST 値の名前: C:\Windows\SysWOW64\wmpnd86.exe |
3 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: Windows Media Networking Device |
3 |
| ミューテックス | 発生回数 |
| V8x | 14 |
| muipcdraotse | 14 |
| S3xY! | 14 |
| Global\<random guid> | 6 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 195[.]137[.]213[.]67 | 14 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| vps573[.]intelbackupsvc[.]su | 7 |
| vps531[.]intelbackupsrv[.]su | 7 |
| j13[.]bull-quantum-media[.]su | 3 |
| j35[.]evil-quantum-servers[.]su | 2 |
| j65[.]coax-quantum-media[.]su | 2 |
| j16[.]fast-quantum-servers[.]su | 2 |
| j67[.]fast-quantum-servers[.]su | 2 |
| j30[.]bull-quantum-media[.]su | 1 |
| j71[.]evil-quantum-servers[.]su | 1 |
| j52[.]coax-quantum-media[.]su | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| \Autorun.inf | 14 |
| E:\Autorun.inf | 14 |
| E:\TmpMount004.{645FF040-5081-101B-9F08-00AA002F954E} | 14 |
| E:\TmpMount004.{645FF040-5081-101B-9F08-00AA002F954E}\tmpmount-t285019593.bin | 14 |
| \TmpMount004.{645FF040-5081-101B-9F08-00AA002F954E}\tmpmount-t285019593.bin | 14 |
| %SystemRoot%\SysWOW64\igfxcn86.exe | 11 |
| %SystemRoot%\SysWOW64\wmpnd86.exe | 3 |
ファイルのハッシュ値
0d105c7c5ac13e3840a816cd229b19305655df295c9bafaefe23bff7e337feeb 16d64ea86143cbf62c020f313c87210c12775011368bc5add13a4a7f059d5beb 1ee966faa45a71c137856951731912e1523e8ae5bce27d40bacf53c3650398f2 2315e6edf1fcbd389e9eaae91af5e2a259a57a7b72392444da732ad896fe8fa0 24f246aafdbe4e6b1e8a209e1b1a8370e27a8c1966e5abe924a67fb9ba56d3ca 38b11c4bb0aa58d0d1ecab7aea4c4154c0202cea808c829176a43bd96ab98c12 3b6ce3103a80773196a7b5a98fb22a348a6b26feaca7180fc162e3a7aa18e14b 44618007516d7b38ce0f36a25f0a1ddc79b624a8132288cf24efacb193ef9fbe 497edec65e55215f67734aeb317f2e426238de6fe587050c5b0aa7589749ba1f 568ac42883664e6e3626b5cb47920fa29f76daa8ffc707a321092a2b5aeda070 710a0f2bf3915c8bcd56e7e019c945094356d513022a7973a024a2469041cd43 7c387616f2b369799db06728f44c01c24187545e2c0fb7850889dd63f181dfc6 817ec74768baf0c4772a072188e0c6016991208266d165bf409ca3aec8efd5d0 9557cbe21cb18643397a2a40ab7cd248006c396b83857c19ba630936b6def5fd 9f658c498057ac8c372f1eaf28c49d821ffd1ef409858127d387c6a2e2696c90 a74379225d10237dc3175bbec1dcfb8b3b01c0d44b4e2149bc5139306a9188d1 aedf45d7c403502528b581d16253b2e113ed90032fdb304a3fef3350503c90be b8796b91c089d9487a2969ff3675cfed0565820bfe1fd20e529c2c474e0b550d bd96928db2ce25f1c86d64b355fc551c4a31fd72af567cc05d402d06bd12c3b8 c3d16015a4791380211dd51c0a90b3042d5820d2afd9dfe935fd94160c0e7dac c51fd0b0190e9a1b9356b5870dceb055edb9788e5706b7da1d1ed5d737e6980d d335b629182955cfbef363b4cad3462342e573e205a8c2defea842b6f004755c e396ba55fd116b35179f392cc24edc5f348cdf28d2bbbd1704ea0df8e77ea535 e46c7b72ff1458e2a0937c445029063a88e2af9833e034f5ff539a3efc26e44b edf4eb3860904170a2b5ce8cac27db7dcc7f676f5dd9d767f63ce2cabcee3d99
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
エクスプロイト防止
Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。
| CVE-2019-0708 を検出 -(26364) |
| CVE-2019-0708 のエクスプロイト試行が検出されました。「BlueKeep」と呼ばれる脆弱性はヒープメモリの破損に起因しています。細工されたリモート デスクトップ プロトコル(RDP)要求の送信によりエクスプロイトされる可能性があります。エクスプロイトには認証が不要であり、かつ任意コードのリモート実行を許すことを踏まえると、自動拡散するワームとして使用されることも考えられます。 |
| Madshi インジェクションを検出 -(3206) |
| Madshi は、プロセス内でスレッドを開始する他の方法が失敗した場合に、プロセスインジェクションを使用して新しいスレッドを開始するコード インジェクション フレームワークです。このフレームワークは多数のセキュリティソリューションで採用されていますが、マルウェアで悪用される可能性もあります。 |
| プロセスの空洞化を検出 -(1973) |
| プロセスハロウイング(Process Hollowing)は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。 |
| 過度に長い PowerShell コマンドを検出 -(1169) |
| 非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティソフトウェアなどからの検出を回避できることにあります。 |
| Gamarue マルウェアを検出 -(190) |
| Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。ワームファミリ「Gamarue」の亜種は、感染したシステムに接続されている USB ドライブやポータブルハードディスクを介してさらに拡散する可能性があります。 |
| Kovter インジェクションを検出 -(100) |
| プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter には「ファイルレス」マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパムキャンペーンを通じて拡散しています。 |
| コードインジェクション手口の「Atom Bombing」を検出 -(83) |
| プロセスが疑わしい Atom を作成した場合は、「Atom Bombing」と呼ばれる既知のプロセスインジェクション手口の兆候です。Atoms は、文字列を 16 ビット整数に関連付ける Windows 識別子です。これらの Atoms は、グローバル Atom テーブルに配置することで、プロセス間でアクセスできます。マルウェアはこの仕組みをエクスプロイトするため、シェルコードをグローバルな Atom として配置し、Asynchronous Process Call(APC)を介してアクセスします。ターゲットプロセスは、シェルコードをロードして実行する APC 関数を実行します。Dridex のマルウェアファミリは Atom Bombing の使用で知られていますが、他のマルウェアも同じ手口を利用している可能性があります。 |
| Installcore アドウェアを検出 -(70) |
| Installcore は正規のアプリケーションにバンドルされるインストーラで、インストール時に望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。 |
| 「スペシャル オファー」広告のアドウェアを検出 -(46) |
| 「スペシャル オファー」広告のアドウェアは、ポップアップ形式で、あるいはブラウザ上で Web ページの広告を変更する方法で、望ましくない広告を表示します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。 |
| IcedID マルウェアを検出 – (34) |
| IcedID はバンキング型トロイの木馬です。Web ブラウザに対してインジェクションとリダイレクトの両方の手口を使用することで、銀行などの金融機関のログイン情報やデータを盗み出します。IcedID の機能や高度な手口は、マルウェア作成者の知識と技術力の高さ、そして類似マルウェアにおける経験の豊富さを物語っています。IcedID の感染手段としては、Emotet と Ursnif が確認されています。IcedID に感染したシステムでは、他のマルウェアへの感染も調べる必要があります。 |
本稿は 2019年10月18日に Talos Group
Authors
コメントを書く