本日(10 月 25 日)の投稿では、10 月 18 日~ 10 月 25 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
本記事では、脅威カテゴリごとに 25 個の関連ファイルハッシュと最大 25 件の IOC のみを含めています。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちら
の JSON ファイルをご覧ください。これまでと同様に、本記事に記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは悪意があると断定できないことに留意してください。
今回ご紹介する、最も蔓延している脅威は次のとおりです。
| 脅威名 | タイプ | 説明 |
| Win.Dropper.Emotet-7355854-0 | ドロッパー | Emotet は、最近で最も活発なマルウェアファミリのひとつです。さまざまなペイロードを配布する非常に高度なモジュール型の脅威です。Emotet はマクロを含む Microsoft Office ドキュメントを介して配布されます。それらのドキュメントは通常、悪意のあるメールの添付ファイルとして送付されます。 |
| Win.Malware.Ursnif-7355802-1 | マルウェア | Ursnif は感染先から機密情報を盗むだけでなく、マルウェアのダウンローダとしても機能します。一般に、悪意のある電子メールやエクスプロイトキットを介して拡散しています。 |
| Win.Malware.Upatre-7355650-0 | マルウェア | Upatre はトロイの木馬で、多くの場合、スパムメールの悪意のある添付ファイルやリンクを通じて配布されています。他のマルウェアのダウンローダやインストーラであることが知られています。 |
| Win.Dropper.Kovter-7352197-0 | ドロッパー | Kovter は永続化をファイルレスで確立させる手口で知られています。Kovter 系のマルウェアは、悪意のあるコードを格納する不正レジストリエントリをいくつか作成します。また、ファイルシステムが感染から駆除された後でもシステムを再感染できます。過去にはランサムウェアやクリック詐欺のマルウェアを広めるために使用されてきました。 |
| Win.Malware.Trickbot-7352185-1 | マルウェア | Trickbot は、一部の金融機関の機密情報を狙うバンキング型トロイの木馬です。複数のスパムキャンペーンを通じて頻繁に配布されています。これらのスパムキャンペーンの多くは、VB スクリプトといった配布型ダウンローダに依存しています。 |
| Win.Virus.Expiro-7350682-0 | ウイルス | Expiro は既知のファイルインフェクタで、情報窃取型ウィルスです。デバッグ回避と分析回避により分析を妨害します。 |
| Win.Malware.Tofsee-7349716-1 | マルウェア | Tofsee は、多数のモジュールにより多様なアクティビティを実行する多目的マルウェアです。それらのアクティビティには、スパムメッセージの送信、クリック詐欺の実行、暗号通貨の不正マイニングなどが含まれます。いったん感染すると、システムが Tofsee スパムボットネットの一部と化し、大量のスパムメールを送信するために悪用されます。これにより他のシステムにも感染を広げ、攻撃者の支配下にあるボットネットの全体数を増やします。 |
| Win.Malware.Nymaim-7348211-1 | マルウェア | Nymaim は、ランサムウェアなどの悪意のあるペイロードを配布するために使用されるマルウェアです。ドメイン生成アルゴリズムを利用して、別のペイロードに接続するための潜在的なコマンドアンドコントロール(C2)ドメインを生成します。 |
| Win.Malware.Cerber-7343756-1 | マルウェア | Cerber は、ドキュメント、写真、データベースなどの重要なファイルを暗号化するランサムウェアです。これまではファイルを暗号化し、ファイル拡張子に「.cerber」を追加していましたが、最近のキャンペーンでは現象が一変しています。 |
脅威の内訳
Win.Dropper.Emotet-7355854-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS | 10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: Type |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: Start |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: ErrorControl |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: ImagePath |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: DisplayName |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: WOW64 |
10 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SPOOLERIPSPS 値の名前: ObjectName |
10 |
| <HKLM>\SOFTWARE\CLASSES\MFCCALC.CALCULATOR | 10 |
| <HKLM>\SOFTWARE\CLASSES\MFCCALC.CALCULATOR\CLSID | 10 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{62C4DD10-F45E-11CD-8C3D-00AA004BB3B7}\PROGID | 10 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{62C4DD10-F45E-11CD-8C3D-00AA004BB3B7}\INPROCHANDLER32 | 10 |
| <HKLM>\SOFTWARE\CLASSES\MFCCALC.CALCULATOR | 10 |
| <HKLM>\SOFTWARE\CLASSES\MFCCALC.CALCULATOR\CLSID | 10 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{62C4DD10-F45E-11CD-8C3D-00AA004BB3B7}\LOCALSERVER32 | 10 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{62C4DD10-F45E-11CD-8C3D-00AA004BB3B7} | 9 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{62C4DD10-F45E-11CD-8C3D-00AA004BB3B7} | 9 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{62C4DD10-F45E-11CD-8C3D-00AA004BB3B7}\PROGID | 9 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{62C4DD10-F45E-11CD-8C3D-00AA004BB3B7}\INPROCHANDLER32 | 9 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{62C4DD10-F45E-11CD-8C3D-00AA004BB3B7}\LOCALSERVER32 | 9 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\\PROGID | 1 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\\INPROCHANDLER32 | 1 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\\INPROCHANDLER32 | 1 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID | 1 |
| <HKLM>\SOFTWARE\CLASSES\WOW6432NODE\CLSID\\LOCALSERVER32 | 1 |
| ミューテックス | 発生回数 |
| Global\I98B68E3C | 10 |
| Global\M98B68E3C | 10 |
| Global\M3C28B0E4 | 8 |
| Global\I3C28B0E4 | 8 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 45[.]33[.]54[.]74 | 10 |
| 54[.]38[.]94[.]197 | 9 |
| 173[.]194[.]68[.]108/31 | 8 |
| 74[.]208[.]5[.]15 | 7 |
| 193[.]70[.]18[.]144 | 7 |
| 172[.]217[.]10[.]83 | 7 |
| 74[.]208[.]5[.]2 | 6 |
| 74[.]6[.]141[.]50/31 | 6 |
| 205[.]178[.]146[.]249 | 5 |
| 173[.]203[.]187[.]10 | 5 |
| 173[.]203[.]187[.]14 | 5 |
| 205[.]204[.]101[.]152 | 5 |
| 74[.]6[.]141[.]44/31 | 5 |
| 17[.]36[.]205[.]74/31 | 5 |
| 178[.]128[.]148[.]110 | 5 |
| 209[.]141[.]41[.]136 | 5 |
| 217[.]69[.]139[.]160 | 4 |
| 205[.]178[.]146[.]235 | 4 |
| 69[.]147[.]92[.]12 | 4 |
| 65[.]55[.]72[.]183 | 4 |
| 159[.]127[.]187[.]12 | 4 |
| 94[.]100[.]180[.]70 | 4 |
| 94[.]100[.]180[.]160 | 4 |
| 23[.]227[.]38[.]64 | 4 |
| 172[.]217[.]3[.]115 | 4 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| secure[.]emailsrvr[.]com | 8 |
| smtp-mail[.]outlook[.]com | 8 |
| smtpout[.]secureserver[.]net | 8 |
| smtp[.]mail[.]com | 7 |
| smtp[.]mail[.]ru | 7 |
| smtp[.]aol[.]com | 6 |
| smtp[.]comcast[.]net | 6 |
| smtp[.]1and1[.]com | 5 |
| smtp[.]prodigy[.]net[.]mx | 5 |
| ssl0[.]ovh[.]net | 5 |
| mail[.]paypal[.]com | 4 |
| mail[.]mail[.]ru | 4 |
| smtp[.]dsl[.]telkomsa[.]net | 4 |
| mail[.]widatra[.]com | 3 |
| smtp[.]dropbox[.]com | 3 |
| outbound[.]att[.]net | 3 |
| smtp[.]emailsrvr[.]com | 3 |
| smtp[.]verizon[.]net | 3 |
| smtp[.]idmsa[.]apple[.]com | 3 |
| smtp[.]cox[.]net | 3 |
| mail[.]enterprisesolutioninc[.]com | 3 |
| smtp[.]mxhichina[.]com | 3 |
| mail[.]americashomeplace[.]com | 3 |
| smtp[.]fatcow[.]com | 3 |
| relais[.]videotron[.]ca | 3 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| %SystemRoot%\SysWOW64\spooleripspsa.exe | 1 |
| \TEMP\aatgsjewU4YpaJ.exe | 1 |
| \TEMP\4uwvBUGZ.exe | 1 |
| \TEMP\sqjjfdnz8obMXZL.exe | 1 |
| \TEMP\D9VaRGmZ.exe | 1 |
| %SystemRoot%\TEMP\D3F5.tmp | 1 |
| \TEMP\PdapKX6bjx.exe | 1 |
ファイルのハッシュ値
0bf9f6907fd3f6a3f5734b23120671230c480b03c96a1779348f9cdc49bb58f8 11f97585ad2aeb41f4c972b2e29523d4ca70cc4a065547d9abca659d2c3193d1 418ba2dbbda1d95428128998352856705040857f1008fbdf809cdeb7c174211f 9d8895333339dde00e8778e9181cfbf0df29e35c0dda842aa30ff7a44b96cd11 a3a3de174e94beb142799b6f03c84bfe4c563e287a6a5288bbd64ccc9910ce24 aea84511050a07ff22e621888f19921585485fd171228cc6ad723f4c1b90225f b988217de26056f0db1ba17940d5fc0e138c59fc46652d7b5046281f8152aa0b ca3889a38bf35766b0ad59605bd6d3f6c333309f690708a3b51f7e80cc32be85 d4363da6ccb0a0ef3c69010d7351a2d9459e4c5fef26fe00c240eb901125cd78 ddb191fb3328dd25f79f79133e821cdb36590a80cabb1e6a1206fd11a19445ec
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Malware.Ursnif-7355802-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: api-PQEC |
10 |
| <HKCU>\SOFTWARE\MICROSOFT\IAM 値の名前: Server ID |
10 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\MICROSOFT\D31CC7AF-167C-7D04-B8B7-AA016CDB7EC5 値の名前: Client |
10 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\MICROSOFT\D31CC7AF-167C-7D04-B8B7-AA016CDB7EC5 値の名前: {F50EA47E-D053-EF14-82F9-0493D63D7877} |
10 |
| <HKCU>\SOFTWARE\APPDATALOW\SOFTWARE\MICROSOFT\D31CC7AF-167C-7D04-B8B7-AA016CDB7EC5 値の名前: {6A4DAFE8-C11D-2C5C-9B3E-8520FF528954} |
10 |
| ミューテックス | 発生回数 |
| Local\{57025AD2-CABB-A1F8-8C7B-9E6580DFB269} | 10 |
| Local\{7FD07DA6-D223-0971-D423-264D4807BAD1} | 10 |
| Local\{B1443895-5CF6-0B1E-EE75-506F02798413} | 10 |
| {A7AAF118-DA27-71D5-1CCB-AE35102FC239} | 10 |
| {<random GUID>} | 10 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 208[.]67[.]222[.]222 | 10 |
| 172[.]217[.]10[.]110 | 10 |
| 172[.]86[.]121[.]117 | 10 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| resolver1[.]opendns[.]com | 10 |
| 222[.]222[.]67[.]208[.]in-addr[.]arpa | 10 |
| myip[.]opendns[.]com | 10 |
| 作成されたファイルやディレクトリ | 発生回数 |
| \{4BC230AC-2EB3-B560-90AF-42B9C45396FD} | 10 |
| %APPDATA%\Microsoft\Dmlogpui | 10 |
| %APPDATA%\Microsoft\Dmlogpui\datat3hc.exe | 10 |
| %TEMP%\<random, matching [A-F0-9]{3,4}> | 10 |
| %TEMP%\<random, matching [A-F0-9]{3,4}\[A-F0-9]{2,4}>.bat | 10 |
| %TEMP%\<random, matching [A-F0-9]{4}>.bi1 | 9 |
| \TEMP\4F03FE~1.EXE | 1 |
| %TEMP%\CE0E\6707.tmp | 1 |
| \TEMP\69E08A~1.EXE | 1 |
| %TEMP%\47D0\A3E8.tmp | 1 |
| \TEMP\85FD74~1.EXE | 1 |
| %TEMP%\903.bi1 | 1 |
| \TEMP\906352~1.EXE | 1 |
| \TEMP\A11B56~1.EXE | 1 |
| %TEMP%\3634\1B1A.tmp | 1 |
| %TEMP%\3E3E\1F1F.tmp | 1 |
| \TEMP\BB271B~1.EXE | 1 |
| \TEMP\C1C116~1.EXE | 1 |
| %TEMP%\8878\443C.tmp | 1 |
| \TEMP\CA13C5~1.EXE | 1 |
| %TEMP%\C9AC\64D6.tmp | 1 |
| \TEMP\D66D2E~1.EXE | 1 |
| \TEMP\E4F5F1~1.EXE | 1 |
ファイルのハッシュ値
4f03fe32e46386a2379e65b631e786cdeeec223017069d2731a723e4d2c50393 69e08aa34638b3b213dc3c7f7a188e4d56685ca8abd4bfa97f575757a1f4bc12 85fd74ee1f19173597c3995376c31c617c0cd615d1d4e862edbe2459200397ed 90635217dd43e1ccfc8c25aef6619b1a929b5e7d1800b9cebd8686d052243611 a11b566c7bd562cb4cdee2c1bc92313a11ebdacf4fdde58c224eb7eac0e6faf1 bb271b6725170345188008dfb90069c9f741b93cf0a504a9c70f177c2dd670cb c1c1165edb4b0853d6433961aec1b54982fe3273a094d53bb1b2f23e9f6713de ca13c5fb577c3a218a3be31c59145137e11b4c7188839b7962a3ce3e7d6277ec d66d2ea9744ca077c3dc76c303a284c1d2b863151931ddcce656fb35a52289e6 e4f5f19e945a41ad8f0ec7e9c35b23ea039a5a2bdaaf8e42a78c8f86b231334e
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Malware.Upatre-7355650-0
侵害の兆候
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 83[.]136[.]254[.]57 | 8 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| cardiffpower[.]com | 8 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\hcbnaf.exe | 18 |
| %TEMP%\hgnddkje.exe | 17 |
ファイルのハッシュ値
0001e614c453604df0274956181e30350b7d6b1b91a169efdcbfee9a14a17626 01cd20d9212c000b7d8d97c47029b1b487050ead1b65e1c9c34e475f0f178add 055c1293bfc73671ac423aca35488dc3ec7510523695b8bf50d2f52e625680b7 1abc3b0481dc17e7aa7176b87605503b0baa9e340b4c5e673597fd06725f72f8 1f1db1372645d08bf117d2154ef9f67a2163295900b6311e4cd2268669601c1c 27e9f49d26c1202470242da4fe53199b74f525ee13bee5b34b1d613f2d5f2983 4200aca5bfb24f7b02cbcd39c7d6f4c773ed34eec17ac11ad9d5cee5aaba1940 669b62caaa55cf04de326355b319e16f481092c8098b418f9f2b09051b5e9088 8412bf5346bedec07e58c31bd15ddd98d31e8686c9f870444b2bbd1c8b527cb7 9476469b243db70017ef61c6da483e516516380136a4799015a4ef056e9f1742 9fe8e8a4818e3d63741c4c21ebb9e240d1a26573614162c0b313246b387ef13d a9d192a121401a7bb63b4fb403f346153090f239ff0761d2f12d12b7bc49741f bcecb26d7f81aa151a5d2f74f91029a6b1160bc02f431b3c617971ecdeb9e79b e0b5ae5ad859b17ee532cb274f952ee18254fe941b3d8a129fddda85c65225fb f480866abfdfd00f7c4a383f1acc9cdd01915d67fed1db367e8dd1cb41171983 f4968453af8a196794abe13cca1747da16b15850c99428778c9a1f6609ca22db fbd5dcf3f1a93947cb72d9b9d48189810c630d32e94b6f2bbb1811a349e1fb00 fc51c46b56c0a23b400789cd2408a8e8f0204ebb544a410298578c277227cea9
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
Win.Dropper.Kovter-7352197-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_BROWSER_EMULATION 値の名前: iexplore.exe |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_BROWSER_EMULATION 値の名前: iexplore.exe |
25 |
| <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_BROWSER_EMULATION 値の名前: regsvr32.exe |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_BROWSER_EMULATION 値の名前: regsvr32.exe |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\3E7DC3D9A3 値の名前: ab87b5d3 |
25 |
| <HKCU>\SOFTWARE\3E7DC3D9A3 値の名前: ab87b5d3 |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\3E7DC3D9A3 値の名前: 626beb1a |
25 |
| <HKCU>\SOFTWARE\3E7DC3D9A3 値の名前: 626beb1a |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\3E7DC3D9A3 値の名前: 52e3fdae |
25 |
| <HKCU>\SOFTWARE\3E7DC3D9A3 値の名前: 52e3fdae |
25 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ EXPLORER\RUN |
25 |
| <HKCU>\SOFTWARE\3E7DC3D9A3 | 25 |
| <HKLM>\SOFTWARE\WOW6432NODE\3E7DC3D9A3 | 25 |
| <HKLM>\SOFTWARE\WOW6432NODE\3E7DC3D9A3 値の名前: 13faecd5 |
25 |
| <HKCU>\SOFTWARE\3E7DC3D9A3 値の名前: 13faecd5 |
25 |
| <HKCU>\SOFTWARE\3E7DC3D9A3 値の名前: 214fab25 |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\3E7DC3D9A3 値の名前: 214fab25 |
25 |
| <HKCU>\SOFTWARE\3E7DC3D9A3 値の名前: 89d39e9a |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\3E7DC3D9A3 値の名前: 89d39e9a |
25 |
| <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUN 値の名前: 3f88794a |
25 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ POLICIES\EXPLORER\RUN 値の名前: f50e45da |
25 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 値の名前: 3f88794a |
25 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101 値の名前: CheckSetting |
25 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103 値の名前: CheckSetting |
25 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100 値の名前: CheckSetting |
25 |
| ミューテックス | 発生回数 |
| 4C2A424BDFE77F08 | 25 |
| Global\377DB1FA5041B00C | 25 |
| 2CAEEF5D79FF2C96 | 25 |
| 5F02253DDD3215C1 | 25 |
| 0F8579C06C8A73E7 | 15 |
| Global\148FEA91D04ADF73 | 15 |
| 35A61B8070E50AA3 | 15 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 82[.]21[.]65[.]83 | 1 |
| 166[.]141[.]185[.]163 | 1 |
| 93[.]229[.]231[.]137 | 1 |
| 142[.]250[.]246[.]73 | 1 |
| 159[.]182[.]203[.]131 | 1 |
| 63[.]121[.]210[.]194 | 1 |
| 42[.]97[.]167[.]153 | 1 |
| 113[.]179[.]182[.]225 | 1 |
| 156[.]34[.]80[.]75 | 1 |
| 218[.]64[.]159[.]231 | 1 |
| 182[.]94[.]255[.]58 | 1 |
| 84[.]226[.]162[.]67 | 1 |
| 212[.]123[.]72[.]164 | 1 |
| 183[.]74[.]168[.]214 | 1 |
| 20[.]118[.]2[.]20 | 1 |
| 168[.]141[.]179[.]181 | 1 |
| 114[.]97[.]61[.]121 | 1 |
| 201[.]32[.]115[.]236 | 1 |
| 108[.]124[.]8[.]164 | 1 |
| 212[.]246[.]227[.]79 | 1 |
| 68[.]6[.]254[.]161 | 1 |
| 159[.]133[.]144[.]196 | 1 |
| 16[.]215[.]96[.]194 | 1 |
| 189[.]183[.]233[.]195 | 1 |
| 60[.]194[.]81[.]71 | 1 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| www[.]cloudflare[.]com | 2 |
| cpanel[.]com | 1 |
| httpd[.]apache[.]org | 1 |
| cp[.]aliyun[.]com | 1 |
| netcn[.]console[.]aliyun[.]com | 1 |
| bugs[.]launchpad[.]net | 1 |
| manpages[.]debian[.]org | 1 |
| files[.]ofile[.]com | 1 |
| www[.]zerodistance[.]fi | 1 |
ファイルのハッシュ値
015d420249c90969fc15bd3c81839c05242c68e42135bc6e04743f16c3db8247 119e68e1ed3d764e9ccedbffb4e2adc1522b9a9c4672c8a52c70d3b75af919f1 19595e9e80a2da27c682814726e373d7207e6681b9a4b96a5744736976342f46 1fc7d5d27d4817cacae040833970a636a41a6cfe9fa783de92cdad2e93a620ac 21f75f1a46cc68cde8bc7cc10d63bca95a561268ad49d943afc8ca177cc89184 26555d26c4afce1e035031d293aab4acdb12a77530b375421be6e0bb80742057 41ce8bc25ec1a3bf85e346656cdfdcd1eaa4070c3783d133f25ffcebf55bb6d8 423e4d33687cb3e6fe4ebce6d36fa2d0b94006b28ad08de89fa2d2be2db4046a 533b055f7be13fe6c40eb49bebf93901b22ea3ada9babf100675c7ca53cd0c03 605ea58c8282dc5ef581f31b24647d463562d646a5be2004a174773416ec106c 6181608294d3482931e3a65f1e7c63182327076506e1c7c51583b57ef115d8ed 69ba2b3868404234ead2f364cbbfd1a13af9da0fbfa77845a09e06525f3c107f 72e70aa9877033cdf9c6d77f767545cd1365f7034a4da22c823eea4d60eb1bee 76d567e13a7cb9d97682944975accbeb0c4f3f6858ab84f64af849c4d5df25bb 8136ceed3bc05c0ebe9b0ac8bb9c9925eb781f6fa4a994c976f3ff24f692e962 91f71c8b5385d7441e2f8b82ce5be7f17a9c9fddd431c45dafab309d2fd76145 9218ea373d7322c49a3248b94b13366499f23d30b1f17ea63c3c19fe788376a6 97603c7315e26964dd15bdfb9a5932340271a949352364ebcb694282dd282ed1 9e7ce5f193afa02fc3165a34366981a34a1685deaf2b249f4fb089c8a25e77fd a318a5c36defbd74a7ad1ef3cca3670dadb918d692ce1e97c62b8022bb5a7ee6 c36a861e05aac4fa885836f60b871cc116085e05351d8a1a586db85dc902786f d0120bc8873d60781fd8a0640ce9d37a2f8daefc90747196ba70f4e7b5af41c1 d1fe8fea741f9758292df1b335ed203c4f9f6ec462690dd7338f043a01ffae8c d89115020458a087bb71f7f338e8b5cc9182c98d6559cf0573c5a87304fdd65b dfe7a1d91600e7bde92d16deb4a3bee5da7c01391d55f3e03c57e817d7bff7c6
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Malware.Trickbot-7352185-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前: DeleteFlag |
23 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前: Start |
23 |
| ミューテックス | 発生回数 |
| Global\316D1C7871E10 | 23 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 200[.]122[.]209[.]78 | 8 |
| 176[.]119[.]156[.]225 | 6 |
| 31[.]202[.]132[.]22 | 5 |
| 190[.]0[.]20[.]114 | 3 |
| 152[.]89[.]245[.]209 | 3 |
| 103[.]122[.]33[.]58 | 2 |
| 181[.]143[.]17[.]66 | 2 |
| 45[.]160[.]145[.]216 | 2 |
| 37[.]44[.]212[.]179 | 2 |
| 80[.]173[.]224[.]81 | 1 |
| 119[.]92[.]23[.]203 | 1 |
| 201[.]184[.]69[.]50 | 1 |
| 190[.]109[.]178[.]222 | 1 |
| 68[.]186[.]167[.]196 | 1 |
| 45[.]160[.]145[.]11 | 1 |
| 185[.]255[.]79[.]127 | 1 |
| 45[.]160[.]145[.]179 | 1 |
| 117[.]204[.]255[.]139 | 1 |
| 103[.]87[.]48[.]37 | 1 |
| 195[.]123[.]237[.]155 | 1 |
| 190[.]109[.]169[.]49 | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %APPDATA%\browser\settings.ini | 23 |
| %APPDATA%\browser | 23 |
| %System32%\Tasks\BrowserStorage | 23 |
| %APPDATA%\BROWSER\<original file name>.exe | 23 |
ファイルのハッシュ値
0627afe0eb7517208d514c54b83436885eae259fa984bd6dbcfeb788ce5f2b80 0e21da4e3c8dfd077454f417b8b602b281887dbc487cce3e60a508b03ec7a897 2820d3a726768ac98f7357f182fa0f27e63743c025a40025f316a281dbecfe66 4e6f460398ab227ece450409e1343665b73a73f1c330b9ebbb8a03c8c2171f1b 587e038e8e3bf1e2a4005a89dea96f084d2e6a2c89ab0eea9c3a112997e48c1e 66b9b21677bfbb131aaab959f603091db4ce740a92c2376d84df43343b2de68d 69b4a369319e0c9c16fee1fe7db6f5ccc20076e4296a000f92f756ef1cb31533 756bf7440aa067883f18db9c567fa11c45aa9a7ee05e86bd2f759a726500d90d 80096a877332490f8e5d303906335e5420e8a95f90109c08596330ab0d77cf8a 843019efa320b08991d64ce99faaa5a254af828f6f8be64715f6e5f3833769be 877f01088ac912f8e7cfffd81b86ba21d8eeaccb5e3f675fd5299efab7e8fc5f 8fc61570c2e05fd746da7e7e14d9558afe38b0f00e6ccf2c43e0fd46247fb8f2 9706de7a46a3a13ba3275aa583ac70b31071a8fb30e3bd1061ceb0c3ea6532fe a5eb7f6a1d253fe60bf02e19a8858fd80dc4a7358f660d84fa85b6f6e011b11e bd26a6bd3d52b26c66f1b3503b0dd901a68318a66caa846d77fde10ad6f9668a c84b91da836a003057d90123e25cbaec576a20d1f98c621d777de47cdfdd40e3 cad65e1ce6ec9e36e8073c79a0a406997ed825e65af3952e55ea9c44c6e39122 ce5393632e1c0adb91af5ffc8a6b486141cb895a3b762b853ebfdb3518563dbf d0e9f2ba27da2bee48617c219a2a5e4b2db9d96b5e19ac16098384c3bb36c65f d54747ba18aec6ee4a9670148fd420dab486992f37df1e577abd9bc4d5dd2eb6 dd5ae9ad15a51845b317b83ba6d0bf2f010b2dfae3c85e7099b95c9bb0ea09a0 f79bac124531d2050d668a510e074930f5c1c9af7997a9513a8f16eb7549a8b7 fc061e1261397c24a7d074a7cac01e74af9f47b6300911f3734104c1557928d8
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Virus.Expiro-7350682-0
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_32 値の名前: Type |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V4.0.30319_32 値の名前: Type |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V4.0.30319_32 値の名前: Start |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\COMSYSAPP 値の名前: Type |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\COMSYSAPP 値の名前: Start |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MOZILLAMAINTENANCE 値の名前: Type |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MOZILLAMAINTENANCE 値の名前: Start |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MSISERVER 値の名前: Type |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MSISERVER 値の名前: Start |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\OSE 値の名前: Type |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\OSE 値の名前: Start |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\CLR_OPTIMIZATION_V2.0.50727_32 値の名前: Start |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\AELOOKUPSVC 値の名前: Type |
16 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\AELOOKUPSVC 値の名前: Start |
16 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101 値の名前: CheckSetting |
16 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103 値の名前: CheckSetting |
16 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100 値の名前: CheckSetting |
16 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102 値の名前: CheckSetting |
16 |
| <HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104 値の名前: CheckSetting |
16 |
| ミューテックス | 発生回数 |
| kkq-vx_mtx1 | 16 |
| gazavat-svc | 16 |
| kkq-vx_mtx67 | 16 |
| kkq-vx_mtx68 | 16 |
| kkq-vx_mtx69 | 16 |
| kkq-vx_mtx70 | 16 |
| kkq-vx_mtx71 | 16 |
| kkq-vx_mtx72 | 16 |
| kkq-vx_mtx73 | 16 |
| kkq-vx_mtx74 | 16 |
| kkq-vx_mtx75 | 16 |
| kkq-vx_mtx76 | 16 |
| kkq-vx_mtx77 | 16 |
| kkq-vx_mtx78 | 16 |
| kkq-vx_mtx79 | 16 |
| kkq-vx_mtx80 | 16 |
| kkq-vx_mtx81 | 16 |
| kkq-vx_mtx82 | 16 |
| kkq-vx_mtx83 | 16 |
| kkq-vx_mtx84 | 16 |
| kkq-vx_mtx85 | 16 |
| kkq-vx_mtx86 | 16 |
| kkq-vx_mtx87 | 16 |
| kkq-vx_mtx88 | 16 |
| kkq-vx_mtx89 | 16 |
* IOC の詳細については JSON を参照してください
| 作成されたファイルやディレクトリ | 発生回数 |
| \MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\DW20.EXE | 16 |
| \MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\dwtrig20.exe | 16 |
| \MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\ose.exe | 16 |
| \MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\setup.exe | 16 |
| %CommonProgramFiles(x86)%\microsoft shared\Source Engine\OSE.EXE | 16 |
| %ProgramFiles(x86)%\Microsoft Office\Office14\GROOVE.EXE | 16 |
| %ProgramFiles(x86)%\Mozilla Maintenance Service\maintenanceservice.exe | 16 |
| %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe | 16 |
| %SystemRoot%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe | 16 |
| %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\ngen_service.log | 16 |
| %SystemRoot%\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{33EC2C09-9668-4DE7-BCC0-EFC69D7355D7}.crmlog | 16 |
| %SystemRoot%\SysWOW64\dllhost.exe | 16 |
| %SystemRoot%\SysWOW64\msiexec.exe | 16 |
| %SystemRoot%\SysWOW64\svchost.exe | 16 |
| \MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\DW20.vir | 16 |
| \MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\dwtrig20.vir | 16 |
| \MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\ose.vir | 16 |
| \MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\setup.vir | 16 |
| %CommonProgramFiles(x86)%\microsoft shared\Source Engine\ose.vir | 16 |
| %ProgramFiles(x86)%\Microsoft Office\Office14\groove.vir | 16 |
| %ProgramFiles(x86)%\Mozilla Maintenance Service\maintenanceservice.vir | 16 |
| %SystemRoot%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.vir | 16 |
| %SystemRoot%\SysWOW64\dllhost.vir | 16 |
| %SystemRoot%\SysWOW64\msiexec.vir | 16 |
| %APPDATA%\Mozilla\Firefox\Profiles\1lcuq8ab.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest | 16 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
356d00dc8ff16fb18f68ccf4f622ab551979b6e14fb802a5c7f394038e19b384 40601e6f4ecb0879bf458b2ce1912ca780b723f971a6cf7c0dd900dd97ff024c 598726fe4b882d2510f3d05d60d58627fd9cf7b90d26187c344a5d9e27902588 5fb45cd8e75ac1418c72843ab892622ebcf9b6c744b5373bd79d825ddb202814 6ef92eff4e1fa8f4093880e24a99341fbe6f9365437920f995af24a73c73a71a 701ae8d2647c886f84c538a9846abdc98ebab9adf994143e17b298f7a6158085 7450df6862c201f3954495ee2b9e1f18b699b7a050cfbfe41db2f68c04b46d76 84f35b43d4f36e1135ce90853af4b5ee0bc1b4969740e4abb2551f067027c9ee 86e65f10866176f9b20bfb6b6b793d743576f532e811e638c4a6fa238e17c900 9739ae5c12dce410017a5ca6be2f169e97d23da942eaf85e0f365a33035478a4 9ce9ec31b261d6ecd124f6b5b2b408ae1b17ca78aea5287ea2b93e1ecfb76e8e a3c8e47460067b1733559dbbc2d7245a569e3e4aa67b36c67c74ca7f64511d26 acc76ce4ad9708b1a0562fcf8cc27c1ba06e9cbac781b438bdf6b57bd775d3dd c0f4595ecff664a7d0ec7669a084128915c9a01a4ba058ccb4c4ea04c636fe25 e35f51fc7fe79189d163f04b9f083bc2f0127b72645045693d864e6d0e4004af f5e1a8f1c48cd0cda719e7da167f91c3e0696f4a259a22b0160763b7aeacf602
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.M
alware.Tofsee-7349716-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: Start |
32 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> | 28 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: Type |
28 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: ErrorControl |
28 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: DisplayName |
28 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: WOW64 |
28 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: ObjectName |
28 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: Description |
28 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\<random, matching ‘[A-Z0-9]{8}’> 値の名前: ImagePath |
20 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WSCSVC 値の名前: Start |
4 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND 値の名前: Start |
4 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS 値の名前: Start |
4 |
| <HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC 値の名前: Start |
4 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\kjsstakc |
3 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\jirrszjb |
3 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\qpyyzgqi |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\fennovfx |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\wveefmwo |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\cbkklscu |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\ihqqryia |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\dcllmtdv |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\ DAC9024F54D8F6DF94935FB1732638CA6AD77C13 値の名前: Blob |
2 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\vuddelvn |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\lkttubld |
1 |
| <HKLM>\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS 値の名前: C:\Windows\SysWOW64\xwffgnxp |
1 |
| ミューテックス | 発生回数 |
| {<random GUID>} | 4 |
| Global\VLock | 3 |
| Frz_State | 1 |
| Sandboxie_SingleInstanceMutex_Control | 1 |
| 18550D22-4FCA-4AF2-9E8E-F0259D23694F | 1 |
| b7969e9f2199 | 1 |
| <32 random hex characters> | 1 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 103[.]248[.]137[.]133 | 28 |
| 111[.]121[.]193[.]242 | 28 |
| 104[.]47[.]54[.]36 | 17 |
| 104[.]47[.]53[.]36 | 11 |
| 40[.]113[.]200[.]201 | 7 |
| 40[.]112[.]72[.]205 | 4 |
| 40[.]76[.]4[.]15 | 4 |
| 5[.]9[.]49[.]12 | 4 |
| 144[.]76[.]133[.]38 | 4 |
| 45[.]63[.]25[.]55 | 4 |
| 89[.]18[.]27[.]34 | 4 |
| 87[.]98[.]175[.]85 | 4 |
| 104[.]215[.]148[.]63 | 3 |
| 5[.]135[.]183[.]146 | 3 |
| 45[.]32[.]28[.]232 | 3 |
| 141[.]138[.]157[.]53 | 3 |
| 45[.]63[.]99[.]180 | 3 |
| 108[.]61[.]164[.]218 | 3 |
| 45[.]56[.]117[.]118 | 3 |
| 96[.]90[.]175[.]167 | 3 |
| 104[.]238[.]186[.]189 | 3 |
| 84[.]201[.]32[.]108 | 3 |
| 185[.]133[.]72[.]100 | 3 |
| 193[.]183[.]98[.]154 | 2 |
| 23[.]94[.]5[.]133 | 2 |
* IOC の詳細については JSON を参照してください
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| microsoft-com[.]mail[.]protection[.]outlook[.]com | 28 |
| ponedobla[.]bit | 4 |
| myexternalip[.]com | 1 |
| ipecho[.]net | 1 |
| checkip[.]amazonaws[.]com | 1 |
| nekfad[.]xyz | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\<random, matching ‘[a-z]{8}’>.exe | 28 |
| %SystemRoot%\SysWOW64\<random, matching ‘[a-z]{8}’> | 28 |
| %TEMP%\<random, matching ‘[0-9]{4}’>.bat | 28 |
| %System32%\<random, matching ‘[a-z]{8}\[a-z]{6,8}’>.exe (copy) | 27 |
| %TEMP%\<random, matching ‘[a-z]{4,9}’>.exe | 7 |
| %APPDATA%\By\By.exe | 4 |
| %APPDATA%\winapp\client_id | 3 |
| %APPDATA%\winapp\group_tag | 3 |
| %System32%\Tasks\services update | 3 |
| %APPDATA%\winapp | 3 |
| %APPDATA%\WINAPP\<original file name>.exe | 3 |
| %APPDATA%\winapp\qtmld.exe | 1 |
| %APPDATA%\HNC\User\Common\90\Fonts\Fontlist\signons.exe | 1 |
| \container.dat | 1 |
| %LOCALAPPDATA%\589ff121627b2b278b78a4a16bbdac82a879c808 | 1 |
| %LOCALAPPDATA%\589ff121627b2b278b78a4a16bbdac82a879c808\container.dat | 1 |
| %SystemRoot%\Temp\1676.bat | 1 |
| %SystemRoot%\Temp\atfjtxxz.exe | 1 |
| %TEMP%\updbb837023.bat | 1 |
| %APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\compatibility.mik | 1 |
| %APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\cookies.wic | 1 |
| %APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\extensions.exe | 1 |
| %APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\webappsstore.oty | 1 |
| %APPDATA%\MozillaMaintenanceServiceu | 1 |
| %APPDATA%\MozillaMaintenanceServiceu\MozillaMaintenanceServiceu.exe | 1 |
* IOC の詳細については JSON を参照してください
ファイルのハッシュ値
074af81963d44e82625056fa1772e2ab6e8b5bbfb58919c4ed4fea1e22df0a58 0d84479eb9868d33fc22a93e8f8a8555dc80c38a00197017bc86e91b3af9da9c 0f6a235a6e9a6eb292a6c5ada9043ad1efde537f19598849682f1eeb0d828e75 173100397fab511b430ba1d2f417ed19fcaadfe3d8ca8e97af6a05432fbaf3a6 2b5f5d317466ee9c4b54b6d840c0cf0e76e9633640df3a9c8f041212239839d2 2e3e02ff35a656d7edfcf29878e501492d4529f68b90b9d2bfa56314f5ffac99 37c6a10dc539555beaef7b4f73418f6721a37b2dbd1f0cecd891381b779a2d22 38ae264016466acb3d215c1451898050580e2a5bbc41cfe6dc441ce9e9dc0690 39ae2c5a2c33d0182ac83cc4440fc1ff6d5c78e3f6a861d0cc2bbc67ec16d0a4 3a303bc815ab0032c143f191f949ff833b0cc31b4349de8460bb4efd7dc1d4d8 3d085c1a1719b6520867aa16997a3aaa214efb2bac1e3ba9f4365def6cd3425e 3ecff383a31433ee6ea3b4faf9a83ed88beba6836d73cf5e45c35c4b2da88fb5 49e4a03514e44969dfd0e0e9d8c6ab90aad572461e92de573ed07f2fd289e943 5099df074e08c348f605a2171b0bd2c0fd8d118eee0d2c53f70f148aa0819e3c 519e96344029271df9b3f758a6891f8342492e43f28efa02796880e8cfaedd70 51be864bb2a297d99bf04cea956400e088ff86029c0031aa9c42f0491efcb544 530d0f977e0f3f34e4876e145677280dc662ea1d84ceb23ba34c7406582bfc71 544d256e79b29963fdeb13a39843c9c40f346d1fb977927c9ede0b37d9bea71e 5d3796595808d10fc9953dc33085e88722a75238f478471cc3723e74b1fffc7f 5fa50f66fd754d9207960ddae6764e45bfb084e9134ac5c4e7755cb9a1e92825 62386fac16d57a15f34b0874a7125f20e21442da376eb7ca1eca86f9edd8cf48 63c93baef82f65d8b47634c77eb5c250ec0546e8f86395ecad2b96a0c6e726b8 655726d8f43ae4d74631cbd1dfcf0a9649461360ee402ae574cc48a2b869a913 6d7fd6fd6ef01477b0e3b075f3d0783ce9168abded6d237f4579987d3a02f744 770dba34f27b6d21d3857e54d9fbb22694428aa1d019b5da7e93d8bedcb1b92f
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
UMBRELLA
Win.Malware.Nymaim-7348211-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKCU>\SOFTWARE\MICROSOFT\GOCFK | 9 |
| <HKCU>\SOFTWARE\MICROSOFT\GOCFK 値の名前: mbijg |
9 |
| ミューテックス | 発生回数 |
| Local\{369514D7-C789-5986-2D19-AB81D1DD3BA1} | 9 |
| Local\{D0BDC0D1-57A4-C2CF-6C93-0085B58FFA2A} | 9 |
| Local\{F04311D2-A565-19AE-AB73-281BA7FE97B5} | 9 |
| Local\{306BA354-8414-ABA3-77E9-7A7F347C71F4} | 9 |
| Local\{F58B5142-BC49-9662-B172-EA3D10CAA47A} | 9 |
| Local\{C170B740-57D9-9B0B-7A4E-7D6ABFCDE15D} | 9 |
| Local\{74966FCB-4057-0A33-C72F-DA1761B8A937} | 9 |
| Local\{457A7A9B-8007-F010-1620-E1BCC38A93D1} | 9 |
| Local\{<random GUID>} | 9 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 64[.]71[.]188[.]178 | 13 |
| 66[.]220[.]23[.]114 | 8 |
| 184[.]105[.]76[.]250 | 5 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| qjgtlozoh[.]com | 14 |
| ezgouisk[.]pw | 9 |
| ryron[.]com | 1 |
| onubkqstb[.]com | 1 |
| jeajlfdtoua[.]in | 1 |
| ysxmebrfyg[.]net | 1 |
| oxfab[.]pw | 1 |
| bwapyvznpflh[.]pw | 1 |
| voszetuy[.]in | 1 |
| klspisvji[.]in | 1 |
| ofiracujrsdy[.]net | 1 |
| istpmxnf[.]net | 1 |
| sianowq[.]pw | 1 |
| gpkoz[.]pw | 1 |
| sdghuwtwxsm[.]com | 1 |
| uslrspq[.]pw | 1 |
| kwchhgmla[.]in | 1 |
| 作成されたファイルやディレクトリ | 発生回数 |
| %TEMP%\fro.dfx | 19 |
| \Documents and Settings\All Users\pxs\pil.ohu | 19 |
| %ProgramData%\ph | 9 |
| %ProgramData%\ph\fktiipx.ftf | 9 |
| %TEMP%\gocf.ksv | 9 |
| %ProgramData%\<random, matching ‘[a-z0-9]{3,7}’> | 9 |
| %APPDATA%\<random, matching ‘[a-z0-9]{3,7}’> | 9 |
| %LOCALAPPDATA%\<random, matching ‘[a-z0-9]{3,7}’> | 9 |
| %TEMP%\bpnb.skg | 1 |
| %TEMP%\mlo.aqz | 1 |
| \Documents and Settings\All Users\ju\xcio.cxj | 1 |
ファイルのハッシュ値
3ef2abee25c7ba9f153048e3c400f2935e3e40f988e79b55d12843a90b85a2c1 5816c31cfc9208418279e80e661be48705b54eef97612e2a3acb6b43e1520707 6743826da7e312a954d21cffa0e795599c64ac484ab913da0516d9a8c27c7d8f 74eba0187ce6b3abbc20e1ab98c0732fbf79f680b65ecd7c45eafd81370d0e5e 8dcf86bd3796d59fa421e8b2c442355a72c8a58eb489bc268063c8823bc880ba 97950901d1a3cb6713d8e59e21b4312e3ebc98f0e67071590b0b0514a67cdf1e 98e61798ed2d611ddb45b515bb45fbdd8b45ca5820f50297b4a3152e20d6768b a6bedf7f7e6fa95b3181e466468ec1812227396d18b51e027ffd670fc4699d4d a97dc1afeec16c38f5d92e1096930bfa61a60a8c4ccd3f378f5eb6f27ac5a58d ae65aa4775949b46281b12ffccd29da2aa2ba9463b7a26b17d9170153da8ab85 aee701fe3b36b6441a17ae591f6272764dfaf1361d688ca353813e022b90b545 b8d7cf0c79024e1cd6564731df735059705896d635951019b21d3719a69e64e6 bfa4b25db8ca23842ea3c6d977668c6110b0ca23919b395864065f09e8f15638 c3791696930b1226ccc03537ee50cdf275069b39524b808e3857ae9e85d6ca15 c8f6c7ff30e91b7236802bffaa759ada33ad7963bd3401912d3df9c108205a10 d1c761853ebdfd063cbe19d1a6f5ca1823bef0f6c527064846e20f1c8df8c54e d913691cdc1b1140905af020364afbc3144989b7a7947332efb29ef95440597d de8ff7107c7566fa9d68c49f0808c2c47df83fabeaa99b70a2f30da9f6d4c1a1 deee1f14fe06f8ceac4f617cba37d027664b9bc171cf0f1a3fca9c78da4df525 e5210cb809f2f6c04d51994491cf29edcaadc338df7294051406e5dd6b0d2d8e eb5ac18bb9bbce53b7522955ee36eccc8d21c5347c54b3830c5085cb323b6838 f9f839ec0ee45b5bc8b2dc65ed2747c662de954d7b14d8d00cb1fc47878f513a fe76a31b8ac35d140fb815504c739f952bc9f1625f5d936e837af21e5f1c1b3b
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
Win.Malware.Cerber-7343756-1
侵害の兆候
| レジストリキー | 発生回数 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | 28 |
| <HKLM>\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER 値の名前: PendingFileRenameOperations |
25 |
| ミューテックス | 発生回数 |
| shell.{<random GUID>} | 26 |
| shell.{381828AA-8B28-3374-1B67-35680555C5EF} | 25 |
| マルウェアから接触があった IP アドレス(必ずしも悪意があるとは限りません) | 発生回数 |
| 178[.]33[.]158[.]0/27 | 26 |
| 178[.]33[.]159[.]0/27 | 26 |
| 178[.]33[.]160[.]0/25 | 26 |
| 178[.]128[.]255[.]179 | 17 |
| 150[.]109[.]231[.]116 | 15 |
| 54[.]164[.]0[.]55 | 13 |
| 34[.]206[.]50[.]228 | 12 |
| 104[.]24[.]111[.]135 | 11 |
| 104[.]24[.]110[.]135 | 6 |
| 216[.]218[.]206[.]69 | 1 |
| マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません) | 発生回数 |
| api[.]blockcypher[.]com | 25 |
| bitaps[.]com | 17 |
| chain[.]so | 17 |
| btc[.]blockr[.]io | 17 |
| bc-prod-web-lb-430045627[.]us-east-1[.]elb[.]amazonaws[.]com | 9 |
| hjhqmbxyinislkkt[.]1j9r76[.]top | 5 |
| 作成されたファイルやディレクトリ | 発生回数 |
| <dir>\_R_E_A_D___T_H_I_S___<random, matching ‘[A-F0-9]{4,8}’>_.txt | 28 |
| <dir>\_R_E_A_D___T_H_I_S___<random, matching ‘[A-F0-9]{4,8}’>_.hta | 28 |
| \I386\COMPDATA\EPSON3.TXT | 26 |
| %TEMP%\8f793a96\4751.tmp | 26 |
| %TEMP%\8f793a96\da80.tmp | 26 |
| \I386\COMPDATA\BOSERROR.TXT | 26 |
| \I386\RUNW32.BAT | 26 |
| %TEMP%\tmp1.bmp | 26 |
| <dir>\<random, matching [A-Z0-9\-]{10}.[A-F0-9]{4}> (copy) | 26 |
| %TEMP%\d19ab989\4710.tmp | 25 |
| %TEMP%\d19ab989\a35f.tmp | 25 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.tmp | 25 |
| %TEMP%\tmp<random, matching [A-F0-9]{1,4}>.bmp | 25 |
ファイルのハッシュ値
0571ddf62e8bcf0dfc91f61079145ef5a334ade39ffd45d7ce88b4cbe42a15d3 09606b24a726b8179417a36c9aca18f44ebcf98f2240fbb398b70c49090d050b 162012945f91033f3683b742d660795cc2e184f41d6db3a15703e38024ce7985 1974b3f6d08447d18279bce6cd737aec3438cbda3cc90d8fd625fdc9e06339eb 1f86d067251a326322db9afea633b6ef9419eb456eded355220fe590ea2f11c5 283bd9ce2b81146780f060c00fdb7e11701cb617a55b5b6e15217b8041fb5480 2b75044e81ecbee8f6da594a277e37d7a232e934ef9de81b8185e4c0213564a6 2dbf7bed5adcba2ce1f48736431a2041ec2c6a581a6edc4c0883f6394022316c 34012082527c5206f58fe4dc7ed65aa785864ffc57b69ef36a2684a0bd77df93 37ae3f37a90f62a3247ac2b2afaa2a7b7feca603fd9258a23be3b0c06fad3baf 394e282ad6f08c49e67258afb5be535d98ca35b2bffdfd4cc6f866ff909da21c 41dfd05edf2657153e9f265e5f41877660b0fe9b3d4c46d82a0560234fe7d911 54be4270379a47819af99f6b455af363531d0c035f6f645b0505240cbe2e18df 58a71b81fb151fc64383e7adad9aadab56188c8e5107fe157889b598d80331b9 5cde373946029302a628504ae7fe6c26037ba6c6e7cf575aa33258808dc7b4d3 5e3b677a238a772109ab8282964d0a7dc4a68e422471589eeb58dacf4f3b1917 5f5c89d4cae98e32d764146b5ea87879ed6c355171535e1ca1b65f8a5d2fc296 69747e554bef6e4fec803333c19df48b7317848feb58842849fdb3797d41f66c 6d1ed5c4c21f2f9fa42d1cede8411ae9347ae85c03a76dd212856187c66328b3 797adc29fe0dddbfb03aec9344dd2f93a702bb57920f35bd7decb92873b2ea86 79acc4d7034c595c35d2280281699064e114bc6ca7dcc461c2077a2d350f78c4 821923194cc976d5b0785d114769c85b473e7e7316f0bfab3e60f94404bd9a91 8232399d1c7350132d3347c6aeffcea06c38e6c8fbf3527399a51d7fc3bff1bb 831872753224405c5800a509d3ac4af91032d789cba67977e43e1b0b68abe543 91f928319c927531fb3c2863eefd2fff358a962887d8fd8deeeead74d3602562
* IOC の詳細については JSON を参照してください
カバレッジ
検出時のスクリーンショット
AMP
Threat Grid
マルウェア
エクスプロイト防止
Cisco AMP for Endpoints は、さまざまなマルウェア機能からユーザを保護し、エクスプロイトを防止します。エクスプロイトの防止能力は、難読化されたマルウェアやエクスプロイトによって一般的に使用されるメモリ攻撃からエンドポイントを保護します。以下のエクスプロイトは特定の手口により一般的なウイルス検出を回避しますが、AMP の高度なスキャン能力により逃さずブロックし、ゼロデイの脆弱性からも保護できます。
| CVE-2019-0708 の脆弱性を検出 -(69038) |
| CVE-2019-0708 のエクスプロイト試行が検出されました。「BlueKeep」と呼ばれる脆弱性はヒープメモリの破損に起因しています。細工されたリモート デスクトップ プロトコル(RDP)要求の送信によりエクスプロイトされる可能性があります。エクスプロイトには認証が不要であり、かつ任意コードのリモート実行を許すことを踏まえると、自動拡散するワームとして使用されることも考えられます。 |
| Madshi インジェクションを検出 -(2294) |
| Madshi は、プロセス内でスレッドを開始する他の方法が失敗した場合に、プロセスインジェクションを使用して新しいスレッドを開始するコード インジェクション フレームワークです。このフレームワークは多数のセキュリティソリューションで採用されていますが、マルウェアで悪用される可能性もあります。 |
| プロセスの空洞化を検出 -(321) |
| プロセスハロウイング(Process Hollowing)は、静的分析を回避するために一部のマルウェアで使用されている手口です。この手口では通常、まずプロセスが開始され、難読化または暗号化されたプロセスの内容がメモリにアンパックされます。その後、親プロセスは子プロセスを起動する最初の段階を手動でセットアップします。ただし子プロセスを起動する前にメモリがクリアされ、代わりに親プロセスからのメモリ内容で埋められます。 |
| 過度に長い PowerShell コマンドを検出 -(304) |
| 非常に長いコマンドライン引数を持つ PowerShell コマンドが検出されました。難読化されたスクリプトが検出された可能性があります。PowerShell は、全バージョンの Windows で利用できる拡張可能な Windows スクリプト言語です。マルウェアの作成者が PowerShell を使用する理由は、PowerShell ベースの脅威への対応が遅れているセキュリティソフトウェアなどからの検出を回避できることにあります。 |
| Dealply アドウェアを検出 -(226) |
| DealPly は、オンライン ショッピングの利用体験を向上させると主張するアドウェアです。他の正規のインストーラにバンドルされていることが多く、アンインストールは困難です。ポップアップ広告を作成し、Web ページに広告を挿入します。このアドウェアは、マルウェアをダウンロードしてインストールすることでも知られています。 |
| Kovter インジェクションを検出 -(183) |
| プロセスがインジェクションされました。おそらく既存の Kovter 感染によるものです。Kovter はクリック詐欺型のトロイの木馬で、情報詐取機能も備えています。Kovter には「ファイルレス」マルウェアという特徴もあります。つまり、悪意のある DLL を Windows レジストリ内に格納し、PowerShell を使用して直接メモリにインジェクションします。また、Wireshark などの監視ソフトウェアやサンドボックスの使用を検知し、C2 に報告する機能も備えています。Kovter は悪意のある広告やスパムキャンペーンを通じて拡散しています。 |
| Gamarue マルウェアを検出 -(156) |
| Gamarue は、ファイルをダウンロードし、感染したシステムから情報を盗み出すマルウェアのファミリです。ワームファミリ「Gamarue」の亜種は、感染したシステムに接続されている USB ドライブやポータブルハードディスクを介してさらに拡散する可能性があります。 |
| Installcore アドウェアを検出 -(88) |
| Installcore は正規のアプリケーションにバンドルされるインストーラで、インストール時に望ましくないサードパーティ アプリケーションを提案する可能性があります。望ましくないアプリケーションとは多くの場合アドウェアを指し、ポップアップ形式で、あるいは、ブラウザに広告を挿入する、Web ページに広告を追加する、または既存の広告を変更する方法で広告を表示します。マルウェアをダウンロードしてインストールするアドウェアがあることも知られています。 |
| PowerShell ファイルレス感染を検出 -(49) |
| PowerShell コマンドが環境変数に格納され、実行されました。環境変数は通常、以前に実行したスクリプトによって設定され、回避手口として使用されます。この手口は、Kovter および Poweliks のマルウェアファミリで使用が確認されています。 |
| リバース TCP ペイロードを検出 -(38) |
| 攻撃者が制御するホストに TCP 経由で接続するためのエクスプロイトペイロードが検出されました。 |
本稿は 2019年10月25日に Talos Group
Authors
コメントを書く