JSAC2019

Similar documents
Drive-by Download Must Die

Drive-by Download RIG Exploit Kit

Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

2.3 1 RIG Exploit Kit (4) 4 Exploit Kit 2.2 RIG Exploit Kit RIG Exploit Kit 1 5 (1) Web Web (2) RIG Exploit Kit URL (3) URL iframe RIG Exploit Kit (4)

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

マルウェアレポート 2018年4月度版

SQLインジェクション・ワームに関する現状と推奨する対策案

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

Drive-by-Download攻撃における通信の 定性的特徴とその遷移を捉えた検知方式

PowerPoint プレゼンテーション

<4D F736F F F696E74202D E9197BF C A837B C EC091D492B28DB8284E E B8CDD8AB B83685D>

マルウェアレポート 2018年2月度版

サイバー攻撃者による不正な仮想通貨マイニングの実態

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

マルウェアレポート 2017年12月度版

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

スライド 1

マルウェアレポート 2018年3月度版

プレゼンテーション

Microsoft PowerPoint - DNSSECとは.ppt

v6

ESET Smart Security 7 リリースノート

システム要件 Trend Micro Safe Lock 2.0 SP1 Trend Micro Safe Lock 2.0 SP1 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Wind


電子メール本文の分析 昨年 5 月 FakeGlobe と Cerber の両方のランサムウェアを配布するスパムキャンペーンを報告しました キャンペーンは数日間続きましたが 最近 同様のマルウェアが別のキャンペーンでスパムアウトされていることが確認されました このキャンペーンでは 同じ空白の件名と本

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

<4D F736F F F696E74202D E9197BF C A F B A834C C A5F C52E B8CDD8AB B83685D>

Trend Micro Safe Lock 2.0 Patch1 管理コンソールのシステム要件 OS Windows XP (SP2/SP3) [Professional] Windows 7 (SP なし /SP1) [Professional / Enterprise / Ultimate] W

目次 目次 2 著作権 3 免責事項 3 更新履歴 4 文書情報 4 1. はじめに 5 2. SpyEye の概要 動作概要 システムへのインストール 感染活動 他プロセスへの影響 SpyEye 隠ぺいルーチン H

PowerPoint プレゼンテーション

システム要件 Trend Micro Safe Lock Trend Micro Safe Lock 2.0 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Windows XP (SP1/

Web Gateway資料(EWS比較付)

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

1013  動的解析によるBOTコマンドの自動抽出

PowerPoint プレゼンテーション

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

PowerPoint プレゼンテーション

ログを活用したActive Directoryに対する攻撃の検知と対策

1.indd

/ 11

マルウェアレポート 2017年10月度版

マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~

ログ分析によるサイバー攻撃検知システムの構築

スライド 1

OSI(Open Systems Interconnection)参照モデル

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

割込み型迎撃方式 (Intercept) ディフェンスプラットフォームのご紹介 この資料は説明員からの説明が必要な資料です 第 17 版 C2014 Humming Heads Inc. All Rights Reserved.

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

9 WEB監視

1. Android.Bmaster 一般向け情報 1.1 Android.Bmaster の流行情報 Android.Bmaster はアンドロイドの管理アプリケーションに悪性なコードを追加した形で配布されている 見た目は正常なアプリケーションのように動作する アプリケーションは中国語で表記されて

Flash Player ローカル設定マネージャー

NortonAntiVirus for MicrosoftExchange

1012  ボットネットおよびボットコードセットの耐性解析

Agenda 1. 今回のバージョンアップについて a. バージョンアップ概要 b. バージョンアップ目的 c. 新バージョンのシステム要件に関する注意事項 d. 現行バージョンのサポート期間 2. 対応プラットフォームの追加 3. 新機能の追加および機能強化 2

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版


テスト

OSI(Open Systems Interconnection)参照モデル

SOC Report

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

Maser - User Operation Manual

Sample 5

WebEx を使用したリモート調査とは お客様のデスクトップ画面を共有し 障害調査を共同で実施するサービスです リモート調査は 精度の高い調査により 障害の早期解決を図るために実施します 対象の機器にアクセスできる中継端末をご用意頂く必要があります インターネット接続が可能な中継端末を経由して調査を

MWSCup2017c1-dist

Trend Micro Cloud App Security ご紹介資料

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

McAfee Application Control ご紹介

Tor Browser について ( その 2) Onion サービス Onion サービス ( 以前は hidden サービス と呼ばれていました ) は Tor ネットワーク経由でしかアクセス出来ないサービス ( ウェブサイト等 ) です Onion サービスは 非プライベートウェブ上の通常のサ

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

ESET NOD32 アンチウイルス 8 リリースノート

SOC Report

QualysGuard(R) Release Notes

Microsoft Word - XOOPS インストールマニュアルv12.doc

マルウェアレポート 2018年1月度版

SOC Report

Agenda APT10 による国内への標的型攻撃 ANEL を利用した攻撃の流れ 初期侵入 感染後の動き ANEL 詳細解析 バージョンアップによる変化 コード周りの特徴 暗号化手法の変化 バックドアコマンド数の増加 DLL ファイルのアンパック 暗号化された通信の復号 対策 1

allows attackers to steal the username-password pair saved in the password manager if the login page or other pages in the same domain are vulnerable

ESET Mobile Security V4.1 リリースノート (Build )

スライド 1

WannaCry( )

1 Windows XP/Vista/7/8 ( 有線 LAN) Ⅰ LAN ケーブル接続 Ⅱ ブラウザ設定 Ⅲ ログオン 端末登録 の順に設定を行う <ⅠLAN ケーブル接続 > 1-1 LAN ケーブルを差しこむ学内アクセスポイントには LAN ケーブルの差込口が用意されています LAN ケーブ

製品概要

サーバセキュリティサービスアップグレード手順書 Deep Security 9.6SP1 (Windows) NEC 第 1 版 2017/08/23

NOSiDEパンフレット

Si 知識情報処理

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

セキュアコーディングガイド最新版の紹介 JSSEC セキュアコーディングワーキンググループ

Apache-Tomcat と 冗長な UTF-8 表現 (CVE 検証レポート ) 2008 年 08 月 26 日 Ver. 0.1

2 0. 事前準備

SOC Report

QualysGuard(R) Release Notes

Mobile Access簡易設定ガイド

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ (Ursnif) が再び活動を再開した アースニフは金融圏で最も頻繁に発見されるマルウェアの一つであり 初期は北米 ヨーロッパ オーストラリアなど

/

ESET Mobile Security V3.6 リリースノート (Build )

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

ミーティング記録の管理

ESET NOD32アンチウイルス V4.2 リリースノート

PowerPoint プレゼンテーション

Transcription:

自己紹介 小池倫太郎 セキュリティエンジニア (1 年生 ) nao_sec でマルウェア解析以外を担当 専門は悪性トラフィック スクリプトの解析 中島将太 フォレンジッカー マルウェアアナリスト (1 年生 ) nao_sec ではマルウェアやシェルコード解析を担当 2

Drive-by Download 攻撃 ver 2017 攻撃キャンペーン pseudo-darkleech と EITest の活動停止 Seamless Fobos Rulan Ngay の出現と活発化 Malvertising 系の攻撃キャンペーンの繁栄 Exploit Kit Nebula と Disdain の出現と消滅 RIG の繁栄 Shadowfall による Domain Shadowing の停止 IP アドレスを用いた URL へ移行 ( 参考 :https://www.jpcert.or.jp/present/2018/jsac2018_04_koike-nakajima.pdf) 3

Drive-by Download 攻撃 ver 2018 攻撃キャンペーン Seamless(PseudoGate) と HookAds の繁栄 CoinsLTD や SlyIP Slots の登場と消滅 BlackTDS の登場 Exploit Kit Underminer と Fallout の登場と繁栄 RIG の衰退 GrandSoft の復活 新たな脆弱性の悪用 4

新たな脆弱性 CVE-2018-4878 Adobe Flash Player の RCE Magnitude RIG Fallout などで悪用 CVE-2018-8174 VBScript Engine の RCE RIG Magnitude GrandSoft Fallout KaiXin などで悪用 CVE-2018-8373 VBScript Engine の RCE KaiXin や Fallout などで悪用 CVE-2018-15982 Adobe Flash Player の RCE Fallout や Underminer などで悪用 5

攻撃キャンペーン 6

Seamless / PseudoGate 3 月頃から Seamless の活動が停止 代わりに 7 月頃から PseudoGate が登場し活発化 両方とも日本 カナダ アメリカが標的 Banking Trojan 特に Ramnit を頻繁に使用 Seamless と PseudoGate は同一 Actor の可能性? 7

Seamless / PseudoGate Seamless Malvertising Pre-Gate と Gate を用いて RIG へ誘導 ユーザの地理的情報を用いて処理を分岐 標的は日本 カナダ アメリカ 主に Ramnit を使用 8

Seamless / PseudoGate PseudoGate Malvertising 正規の Web サイトを改ざんして使用することがある 検知や遮断が困難 GrandSoft や RIG を使用 Panda Banker や Osiris(Kronos) Ramnit などを使用 日本 カナダのクレジットカード 銀行などの情報を窃取 9

HookAds Malvertising Decoy サイトと Gate を使って攻撃を行う Kraken Cryptor や GlobeImposter GandCrab などのランサムウェアを使うことが多い 10

HookAds Decoy サイト 88.208.7.192 と 88.208.7.193 Gate 185.56.233.186 11

Exploit Kit 12

RIG Exploit Kit 概要 2014 年頃から観測されている Exploit Kit 2016 年 9 月以降最も活発 非常に多くの攻撃キャンペーンで利用されている Fallout の登場でシェアは大幅に減少 それでも多くの攻撃キャンペーンが使用 基本的な機能 構成は昨年から変化せず 13

RIG Exploit Kit トラフィック 3 つのトラフィックによって攻撃が行われる 1. Landing Page CVE-2013-2551 CVE-2015-2419 CVE-2016-0189 CVE-2018-8174 SWF Exploit を読み込むための html 2. SWF Exploit( 他の脆弱性が悪用された場合は発生しない ) CVE-2018-4878 3. Malware Payload RC4 によって暗号化されたマルウェア 14

RIG Exploit Kit Landing Page 難読化は以前よりも簡単に 15

RIG Exploit Kit Malware Payload RC4 Encode 16

RIG Exploit Kit Landing Page の URL を生成する API のエンドポイントは BlackHat Asia 2018 で発表されており 変化なし ( 引用元 :https://www.blackhat.com/docs/asia-18/asia-18-papa-future-proof%20counter%20attacks%20against%20exploit%20kit%20infrastructure-wp.pdf) 17

RIG Exploit Kit 利用されたIPアドレスの分布 ロシア:2325, ドイツ:106, ウクライナ:8, カザフスタン6 18

GrandSoft Exploit Kit 2018 年 2 月頃から再度活発化 2012 年頃から観測されている PseudoGate で頻繁に利用されている 19

GrandSoft Exploit Kit 20

GrandSoft Exploit Kit 21

Underminer Exploit Kit 2018 年 7 月頃から観測され始めた 日本を中心とした東アジア圏で活発 処理を公開鍵暗号で隠すことで解析を妨害 トラフィックデータを見ただけでは解析することは困難 22

Underminer Exploit Kit 23

Underminer Exploit Kit form を使ってリダイレクト 送信情報にクライアント環境データを含む 24

Underminer Exploit Kit 25

Underminer Exploit Kit 26

Underminer Exploit Kit 1 公開鍵をダウンロード Random String 2 文字列生成 3 公開鍵で暗号化して送信 Random String ユーザ環境 Random String 4 秘密鍵で復号 Random String 5 文字列で暗号化したデータを送信 Underminer 6 データを復号して実行 27

Underminer Exploit Kit 28

Underminer Exploit Kit 29

Fallout Exploit Kit 2018 年 8 月頃から観測され始めた 非常に活発 多くの攻撃キャンペーンで利用されている RIG の商売敵 HTML から Exploitation に必要なコードを生成 Nuclear Exploit Kit に類似 URL に特徴がない フィルタや検知が困難 30

Fallout Exploit Kit 31

Fallout Exploit Kit Custom Base64 32

Fallout Exploit Kit RC4 33

Fallout Exploit Kit CVE-2018-8174 基本的には PoC と同じ 34

Fallout Exploit Kit CVE-2018-15982 Shellcode 部分以外は PoC と全く同じ 35

Fallout Exploit Kit 36

Exploitation(shellcode) 37

CVE-2018-8174 (RIG) RIG Exploit Kit 1 バイトの xor でシェルコードの後半をエンコード CreateProcessA でダウンロードしたマルウェアを実行 38

CVE-2018-8174 (GrandSoft) 6 月下旬以前のフロー 1. ランダム値の生成 2. ランダム値を使った鍵生成 3. 鍵を URL の末尾に追加 4. 暗号化されたマルウェアのダウンロード 5. デコード * in shellcode 39

CVE-2018-8174 (GrandSoft) 6 月下旬以降のフロー 1. ランダム値の生成 2. 鍵を URL の末尾に追加 3. 暗号化されたマルウェアのダウンロード 4. デコード * in shellcode 40

CVE-2018-8174 (Fallout) シェルコードの後半を 1 バイト xor でエンコード 41

CVE-2018-8174 (Fallout) ハードコードされた鍵で xor 42

CVE-2018-8174 (Fallout) 1/17 に観測! シェルコードで PowerShell をデコードして CreateProessA で実行 43

CVE-2018-8174 (Fallout) Anti Malware Scan Interface を Bypass マルウェアをダウンロード 44

CVE-2018-8174 (Fallout) CreateProcess を C# で定義し マルウェアを実行 45

CVE-2018-15982 (Fallout) シェルコードはほぼ 8174 と同じ Anti Malware Scan Interface の Bypass マルウェアをダウンロードし IEX で実行 46

CVE-2018-4878 (Underminer) API は add1505shl5hash32 でハッシュ化されている wininet API で WAV ファイルをダウンロード 47

CVE-2018-4878 (Underminer) WAV ファイルをパースして データを復号 48

PoC 公開から観測まで EK で利用される CVE の殆どが PoC を流用している 公開 観測 Rig 2018-05-25 GrandSoft 2018-06-14 Fallout 2018-08-30 ソース :https://malware.dontneedcoffee.com/2018/05/cve-2018-8174.html 49

マルウェア 50

RIG Exploit Kit Banking Trojan Ransomware Miner Info Stealer RAT GandCrab Slyip Ursnif ZeusPanda SmokeLoader Seamless/PseudoGate Ramnit DarkVNC Kronos Miner HookAds Clipboard Hijacker AZORult Retefe GandCrab Unknown 51 Ursnif AZORult BabylonRAT

GrandSoft Exploit Kit Banking Trojan Miner Ransomware Miner BlackTDS GandCrab GandCrab Slyip Ursnif SmokeLoader ZeusPanda PseudoGate AZORult Ramnit AZORult 52

Underminer Exploit Kit Trend Micro Malwarebytesのブログによると システムのブートセクタを改変するbootkitとMinerを配布 https://blog.malwarebytes.com/threat-analysis/2018/07/hidden-bee-miner-delivered-via-improved-drive-by-download-toolkit/ https://blog.trendmicro.com/trendlabs-security-intelligence/new-underminer-exploit-kit-delivers-bootkit-and-cryptocurrency-mining-malware-with-encrypted-tcp-tunnel/ 53

Fallout Exploit Kit Banking Trojan Ransomware Miner Info Stealer RAT SmokeLoader GandCrab Unknown SAVEfiles Ransomware AZORult Ursnif Dridex Paradise Ransomware Vidar Vidar Kraken Cryptor HookAds GlobeImposter Miner SmokeLoader AZORult KPOT GlobeImposter+ CoalaBot NetWireRAT 54

AZORult Info Stealer & Downloader 対象ソフトのアカウント情報 ブラウザ履歴 cookie 仮想通貨ウォレット マルウェアのダウンロード Malspam Exploit Kit で配布 2018 年は v3.2(7/17) と v3.3(10/4) にバージョンアップ Underground forum(exploit.in) で宣伝されている 引用元 :The Emergence of the New Azorult 3.3 - Check Point Research https://research.checkpoint.com/the-emergence-of-the-new-azorult-3-3/ 55

AZORult 何度もBuilderとPanelがリークしている 56

AZORult キャンペーン毎に窃取する情報が変化 HookAds と PseudoGate では収集する対象が異なる 仮想通貨ウォレット

AZORult の config Builder Config に細かくウォレットを指定する項目はない バージョンによる差異ではないかと考えられる 58

AZORult の C2 nagoyashi.chimkent[.]su 193.124.180.99 RU MAROSNET infolocalip[.]com 23.254.161.197 US Hostwinds po0o0o0o[.]at 46.229.214.132 RU timeweb fyreplittgothin.pw 94.103.80.138 RU VDSina IP でアクセスすることも http[:]//128.199.37.74/index.php SG DigitalOcean http[:]//46.229.214.132/index.php RU timeweb 59

Ramnit Banking Trojan Seamless キャンペーンで長期間使われていた 以下のモジュールを使用 Antivirus Trusted Module v2.0 (AVG Avast Nod32 Norton Bitdefender) アンチウイルスソフトの例外リストに追加 Cookie Grabber v0.5 (IE&CH Export) ブラウザのクッキーの収集 IE & Chrome & FF injector ブラウザへインジェクション VNC (23 port) x64-x86 FF&Chrome reinstall x64-x86 [silent] ブラウザの再インストール Pony based pwd stealer パスワード窃取 60

Ramnit の C2 revivalresumed[.]com 109.248.59.111 RU Argotel goldenfreeanhfirst[.]com 80.87.197.238 RU 1stVDS simsim.adygeya[.]su 213.183.51.62 NL Melbicom UAB( ロシアの VPS サービス ) newwfreedomaincom[.]com 95.46.8.133 UA time-host 61

Kronos/Osiris 2014 年に登場した 2018 年に Kronos をアップデートした Osiris が登場 RigEK から Drop した Smoke Loader がダウンロード 引用元 :https://research.checkpoint.com/osiris-enhanced-banking-trojan 62

Osiris 通信先やファイル名の特徴から Osiris と思われる hxxp://fritsy83[.]website/osiris.exe hxxp://oo00mika84[.]website/osiris_jmjp_auto2_noinj.exe Osiris_jmjp_auto2!?Kronos 63

Kronos と Osiris の類似点 ハードコードされた文字列 yaraルールでの検出 = バイナリの特徴が同じ 文字列 C2のエンコードアルゴリズム Kronos+Tor=Osiris? 64

GandCrab 2018 年 1 月下旬に登場したランサムウェア 様々攻撃で使用されている Malspam Fake Flash Exploit Kit 感染地域も広域 マーケティング アップデートも活発 販売時にリサーチャーのブログやツイートを引用 65

GandCrabのバージョン Fake Adobe Flash Player 経由でも配布 v1のdecryptorリリース v1.x Jan v5.0 v3.0 Feb Seamless経由で初観測 Mar Apr May Jul v4.x v2.x 拡張子の変化 GDCB KRAB 66 拡張子の変化 KRAB ランダム5文字 Sep Dec ネットワーク共有を探す 利用の暗号アルゴリズムの変化 AES Salsa20

ReflectiveDLLInjection V1.1 V2.x V3.x で使用 ディスクではなくメモリ上から DLL を読み込むテクニック 67

他プロセスへインジェクション V2.1 exploerer.exe V3 svchost.exe ReflectiveDLLInjection を使う 68

自プロセスの書き換え V1, V4 以降 メモリ上の自プロセスの領域の一部を書き換える 69

解析環境の検知 GetVolumeInformation API の値を比較して any.run を検知してメッセージボックスを表示 70

解析環境の検知 メッセージは xor でエンコードして保持していた 71

GandCrab の C2 v4 までは.bit というトップレベルドメイン (TLD) を使用していた Namecoin が提供する特殊な TLD 独自の DNS を使用 ns1.cloud-name[.]ru ns1.wowservers[.]ru ドメイン名でよく遊んでいる 72

GandCrab の C2 Namecoin 側は実際には Namecoin が提供する DNS を使用せずに 非公式のミラーサービス dnspod.com を利用しているので無関係と弁明 https://www.namecoin.org/2018/01/30/recent-reports-ransomware-using-namecoin-missing-real-story.html より引用 73

GandCrabのC2 Namecoin側は実際にはNamecoinが提供するDNSを使用 せずに 非公式のミラーサービスdnspod.comを利用して いるので無関係と弁明 GandCrabはNamecoinを使ってないので Namecoinドメインを殺しても 何の効果もない https://www.namecoin.org/2018/01/30/recent-reports-ransomware-using-namecoin-missing-real-story.htmlより引用 74

GandCrab の C2 75

GandCrab の C2 v4.0 インターネットに接続してない場合も暗号化される 通信なし v4.1 以降は通常のドメインを使用 ハードコードされたリストを使用 パスをランダムに組み合わせる 76

v1.x テキストのみ 77

v2.x 78

v3.x 79

v4.x 80

v5.0 ransom noteが日本語に対応 81

v5.0.3 ransom noteが戻ってた 82

キーボードタイプの取得 ロシア語の設定の場合は動作せず 83

UIの言語設定の取得 v4以降に追加 UIの言語設定を確認して 該当する場合は暗号化しない ロシア語 0x419 ウクライナ語 0x422 ベラルーシ語 0x423 タジク語 0x428 アルメニア語 0x42B アゼルバイジャン語 0x42C / 0x82C グルジア語 0x437 カザフスタン 0x43F キルギス語 0x440 トルクメン語 0x442 タタール語 0x444 ルーマニア語 0x818 モルドバ語 0x819 ウズベキスタン語 0x843 84

Kraken Cryptor 今年8月下旬に登場したランサムウェア Fallout経由で拡散 ransomware-as-a-service (RaaS).NET Frameworkで実装され 難読化されている v1.6 85 v2.2

Kraken Cryptor の対象地域 10/21 に Kraken の作者によって公開された被害の割合 旧ソ連圏諸国を除外 アルメニア アゼルバイジャンベラルーシエストニアジョージアイランカザフスタンキルギスラトビアリトアニアモルドバロシアタジキスタン 引用元 :https://securingtomorrow.mcafee.com/mcafee-labs/ fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/ トルクメニスタン ウクライナ ウズベキスタン 86

eventvwr.exe を利用した UAC 回避 V1.6 のローダーで使用 eventvwr.exe は実行時に以下のレジストリに登録されたパスのファイルを管理者権限で実行する 87

SDelete を使った削除 バッチの実行 88

config v1.6 89

config v2.2 90

KPOT Stealer 2018 年 8 月頃に見つかった Information stealer 91

KPOT panel C2 パネルのソースコードがリークしている https://github.com/prsecurity/kpot-admin-c2-source-code 92

KPOT の収集する情報 config で制御可能 端末情報 ブラウザ ビデオチャットなどの保存されたデータ 93

Retefe Info Stealer プロキシ設定を追加する C: Users user AppData Roaming Mozilla Firefox Profiles の prefs.js function FindProxyForURL(url, host)(var proxy = "SOCKS5 coughsmoggyspark.co:5555;"; var hosts = new Array('blockchain.info', 'blockchain.com', '*twitter.com*', '*google.*'); for (var i = 0; i < hosts.length; { if (shexpmatch(host, hosts[i])) { return proxy } } return "DIRECT") 94

Clipboard Hijacker クリップボードにビットコインのアドレスがコピーされると攻撃者の用意したアドレスに置き換える AddClipboardFormatListener を使ってクリップボードの変化を監視 ビットコインのアドレスとして valid なら置換する 95

Clipboard Hijacker リソース領域にエンコードしたアドレスを保持 96

まとめ 97

まとめ 新たな Exploit Kit の登場 Underminer Exploit Kit 公開鍵と独自のマルウェア Fallout Exploit Kit 特徴のない URL 新たな脆弱性の悪用 CVE-2018-4878 8174 8373 15982 日本を標的とした攻撃キャンペーン PseudoGate Ramnit AZORult Panda Banker Osiris HookAds Kraken Cryptor GlobeImposter GandCrab 98

まとめ ロシア語を中心としたフォーラムで宣伝 販売 リサーチャーに対するメッセージ ソースコード内のコメント 言語設定による感染の有無 ロシア語圏 旧ソ連圏諸国を対象外とする 種類は減ったがランサムウェアの開発 感染は活発 特に GandCrab 明示的に日本を対象としたマルウェアも多数存在する Banking Trojan マイナーは下半期は下火 しかし仮想通貨が狙われなくなったわけではない 必要な解析環境 日本を対象とした攻撃の解析には日本語環境や日本の IP の環境が必要となる パブリックなサンドボックス解析を検知し 挙動を変更 99

Any Questions? 100

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック