ASEC(AhnLab Security Emergency response Center)は、最近 Hakuna matata ランサムウェアが韓国国内の企業をターゲットにした攻撃に使用されていることを確認した。Hakuna matata は比較的に最近製作されたランサムウェアである。Hakuna matata ランサムウェアに関連した情報のうち、初めて確認されたものは2023年7月6日に Twitter で言及された内容であり、[1]その後の2023年7月14日に、攻撃者がダークウェブに Hakuna matata を広告した書き込みが Twitter に共有された。[2]また、VirusTotal にアップロードされた Hakuna matata ランサムウェアの中でも2023年7月2日にアップロードされたファイルが最初であると確認された。
Hakuna matata は典型的なランサムウェアとは異なり、ClipBanker 機能が一緒に存在していることが特徴である。暗号化の後にもシステムに常駐しながら、ビットコインのウォレットアドレスを攻撃者のアドレスに変更する。そのため、もしシステムが暗号化された後に同じシステムでビットコインを取引する場合、取引の当事者が希望するアドレスではなく、攻撃者のウォレットアドレスで取引が行われる危険性がある。
1. 攻撃状況の解析
攻撃者はシステムを暗号化した後、攻撃に使用したマルウェアとイベントログを削除するため、正確な情報の確認が困難である。しかし、いくつかの状況から RDP、すなわち、リモートデスクトップサービスが最初の攻撃ベクトルとして利用されたものと推定される。
一般的に攻撃者は、外部からアクセスできるシステムをターゲットにし、RDP が有効になっているシステムをスキャニングした後、スキャニングプロセスで見つけたシステムに総当たり攻撃や辞書攻撃を実行する。もしユーザーが不適切なアカウント情報を使用している場合、攻撃者は簡単にアカウント情報を獲得することができる。
実際、攻撃のターゲットになったシステムは外部に露出しており、RDP が有効になっていた。そのため、ランサムウェアの感染後にも持続的に総当たり攻撃、すなわちログイン失敗ログ(Windows セキュリティイベント ID:4625)が確認される。もし、総当たり攻撃に成功する場合、攻撃者は獲得したアカウント情報を利用してリモートデスクトップからシステムにログインすることができる。これは、そのシステムの制御権の窃取に成功したということである。
もちろん、このログだけでは攻撃ベクトルの推定に限界がある。しかし、以下のように攻撃者が追加でインストールしたツールから、RDP を攻撃ベクトルとして使用するランサムウェアの攻撃事例と非常に類似していることが分かる。
2. 攻撃とともに使用されたマルウェア
攻撃者は「C:\Temp\」などのパスにマルウェアをインストールした。インストールされるツールは、大半が NirSoft 社で製作したアカウント情報の窃取機能を担うツールだということが特徴である。アカウント情報の窃取ツールは「\M\Pass\」パスに生成される。攻撃者はこのツールを利用してアカウント情報を収集し、「\M\!logs\」パスにテキストファイルを生成したものと推定される。この他にも攻撃者は、プロセスハッカーおよび「RCH.exe」、「ver7.exe」ファイルを生成した。「RCH.exe」は現在確認ができないが、「ver7.exe」は Hakuna matata ランサムウェアと推定される。
| ファイル名(パス名) | 種類 |
|---|---|
| \M\Pass\BulletsPassView64.exe | BulletsPassView – NirSoft |
| \M\Pass\Dialupass.exe | dialup / RAS / VPN passwords Viewer – NirSoft |
| \M\Pass\mailpv.exe | Mail PassView – NirSoft |
| \M\Pass\mspass.exe | MessenPass (IM Password Recovery) – NirSoft |
| \M\Pass\netpass64.exe | Network Password Recovery – NirSoft |
| \M\Pass\NetRouteView.exe | Network Route Utility – NirSoft |
| \M\Pass\rdpv.exe | Remote Desktop PassView – NirSoft |
| \M\Pass\RouterPassView.exe | RouterPassView – NirSoft |
| \M\Pass\VNCPassView.exe | VNCPassView – NirSoft |
| \M\Pass\WebBrowserPassView.exe | Web Browser Password Viewer – NirSoft |
| \M\Pass\WirelessKeyView64.exe | Wireless Key View – NirSoft |
| \Process Hacker 2\ProcessHacker.exe | プロセスハッカー |
| \RCH.exe | 未確認 |
| \ver7.exe | Hakuna matata ランサムウェア(推定) |
一般的にランサムウェアの攻撃者は、攻撃ターゲットのシステムが企業内部のネットワークに属している場合、上記のような様々なツールを利用して内部のネットワークをスキャニングし、アカウント情報を収集する。そして、獲得した情報を利用してラテラルムーブメントプロセスを進行し、ネットワークに含まれているシステムをなるべく多く暗号化しようと試みる。
3. 攻撃に使用された Hakuna matata ランサムウェアの解析
| 概要 | 説明 |
|---|---|
| 暗号化アルゴリズム | AES-256 (CBC) / RSA-2048 |
| 拡張子 | .[ランダムな5文字] |
| ランサムノート名 | 「[コンピューター名]-ID-Readme.txt」 |
| 暗号化除外フォルダー | “windows.old”, “windows.old.old”, “amd”, “nvidia”, “programfiles”, “programfiles(x86)”, “windows”, “$recycle.bin”, “documentsandsettings”, “intel”, “perflogs”, “programdata”, “boot”, “games”, “msocache” |
| 暗号化除外ファイル | “iconcache.db”, “autorun.inf”, “thumbs.db”, “boot.ini”, “bootfont.bin”, “ntuser.ini”, “bootmgr”, “bootmgr.efi”, “bootmgfw.efi”, “desktop.ini”, “ntuser.dat”, “-ID-Readme.txt” |
| 暗号化対象の拡張子 | 下記の項目に追加 |
| 終了対象のプロセス | 下記の項目に追加 |
| 終了対象のサービス | 下記の項目に追加 |
| その他 | – Run Key 登録 – ボリュームシャドーコピー削除 |
攻撃に使用されたランサムウェアは「ver7.exe」という名前を持ち、実際に生成されたファイルログでも同じ名前を確認することができる。しかし、関連したファイルを調査した結果、このマルウェアは Hakuna matata ランサムウェアであると確認された。Hakuna matata が最初に実行されると、まずは自分を「%LOCALAPPDATA%\rundll32.exe」パスにコピーして実行することで正常なプロセスに偽装する。
暗号化対象の拡張子は869個で、ホワイトリストパスに位置するファイル、ホワイトリストのファイル名を持つファイル、そしてランサムノートのファイル名を持つファイルを除いてすべて暗号化する。ファイルの暗号化には AES-256 (CBC)アルゴリズムが使用され、各ファイルごとにランダムなキー値と IV を生成して暗号化する。ファイルの暗号化が完了すると、AES-256 のキー値と IV は RSA-2048 アルゴリズムで暗号化され、暗号化されたファイルの後ろには0x100ほどが加えられる。0x80000より大きいファイルの場合には、一定部分のみ暗号化される。
その後、Hakuna matata は現在実行中のプロセスの中からデータベースおよび Microsoft Office 関連のプロセスを強制的に終了し、再度暗号化を進行する。その他にも Run Key に登録し、再起動後にも実行されるようにし、デスクトップの背景を変更してユーザーがシステムの暗号化を認知できるようにする。
その後、管理者権限で実行中であることを確認し、実行中ならデータベース、バックアップ関連のサービスを終了させる。また、以下のようなコマンドを利用してボリュームシャドーコピーを削除する。
| > vssadmin delete shadows /all /quiet & wmic shadowcopy delete > bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no > wbadmin delete catalog -quiet |
ランサムノートは、一般的なランサムウェアのランサムノートと同じく、72時間以内に連絡しろという内容と、そうしない場合に窃取した情報を外部に公開するという脅迫が含まれている。
- 攻撃者のメールアドレス:keylan@techmail[.]info, gerb666@proton[.]me
Hakuna matata ランサムウェアは一般的なランサムウェアとは異なり、ClipBanker 機能が含まれていることが特徴である。感染システムのファイルを暗号化した後にも引き続き実行されながらクリップボードを検査するが、もしユーザーがビットコインのウォレットアドレスをコピーしてクリップボードに保存される場合、これを攻撃者のウォレットアドレスに変更する。攻撃者のウォレットアドレスは「RANDOM_VALUE」文字列から「SALT_ALL」の順によって生成される。
一般的に暗号通貨のウォレットアドレスは長く、ランダムな文字列で構成されているため、ユーザーがウォレットアドレスの変更を認知することは難しい。すなわち、ランサムウェアの感染後に同じシステムでビットコインの取引を進行する場合、ユーザーは攻撃者のウォレットアドレスにビットコインを送信する危険性が存在するのである。
- 攻撃者のビットコインウォレットアドレス – 1:bc1qpkgejqerp74g23m7zhjkuj6e9c3656tsppqlku
- 攻撃者のビットコインウォレットアドレス – 2:16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
4. 結論
外部に露出されたシステムは持続的な攻撃のターゲットになる。Windows システムに対する代表的な攻撃方式には、不適切なアカウント情報を持っている RDP サービスへの総当たり攻撃および辞書攻撃がある。特に Crysis、Venus、GlobeImposter、MedusaLocker など、大半のランサムウェア攻撃者は RDP を初期攻撃ベクトルとして使用している。
ユーザーは RDP を使用しない場合は無効化することで攻撃の試みを減らすことができる。もし RDP を使用している場合は、アカウントのパスワードを複雑にして、周期的に変更することで総当たり攻撃および辞書攻撃を防げなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払うべきである。
ファイル検知
– Ransomware/Win.Generic.C5463415 (2023.08.01.00)
ビヘイビア検知
– Ransom/MDP.Decoy.M1171
IOC
MD5
– 1a5dd79047766bd09c27f0336dd22142
参考]
- 暗号化対象の拡張子 : “.myd”, “.ndf”, “.qry”, “.sdb”, “.sdf”, “.lzo”, “.dat”, “.settings”, “.doc”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.odt”, “.jpg”, “.mka”, “.mhtml”, “.oqy”, “.png”, “.csv”, “.py”, “.sql”, “.indd”, “.cs”, “.mp3”, “.mp4”, “.dwg”, “.zip”, “.rar”, “.mov”, “.rtf”, “.bmp”, “.mkv”, “.avi”, “.apk”, “.lnk”, “.dib”, “.dic”, “.dif”, “.mdb”, “.php”, “.asp”, “.aspx”, “.html”, “.htm”, “.xml”, “.psd”, “.pdf”, “.xla”, “.cub”, “.dae”, “.divx”, “.iso”, “.7zip”, “.pdb”, “.ico”, “.pas”, “.db”, “.wmv”, “.swf”, “.cer”, “.bak”, “.backup”, “.accdb”, “.bay”, “.p7c”, “.exif”, “.vss”, “.raw”, “.m4a”, “.wma”, “.ace”, “.arj”, “.bz2”, “.cab”, “.gzip”, “.lzh”, “.tar”, “.jpeg”, “.xz”, “.mpeg”, “.torrent”, “.mpg”, “.core”, “.flv”, “.js”, “.ini”, “.m1v”, “.inc”, “.cvs”, “.tbi”, “.amv”, “.bk”, “.onepkg”, “.json”, “.uxdc”, “.udl”, “.accda”, “.accdc”, “.accdw”, “.ai3”, “.ai4”, “.ai5”, “.ai6”, “.ai7”, “.ai8”, “.ascx”, “.asmx”, “.avs”, “.cfm”, “.dcm”, “.pict”, “.rgbe”, “.dwt”, “.f4v”, “.exr”, “.mda”, “.mde”, “.mdw”, “.mht”, “.mpv”, “.geo”, “.swift”, “.oft”, “.pls”, “.tab”, “.svgz”, “.tar.gz”, “.dmg”, “.psb”, “.rss”, “.key”, “.epsp”, “.dc3”, “.iff”, “.xsd”, “.xsf”, “.xsl”, “.kmz”, “.dacpac”, “.zipx”, “.z”, “.tar.xz”, “.pam”, “.ova”, “.c”, “.xhtml”, “.ckp”, “.dbt”, “.dbv”, “.mwb”, “.txz”, “.wmf”, “.wim”, “.xtp2”, “.xsn”, “.avchd”, “.webm”, “.yuv”, “.rmvb”, “.viv”, “.mp2”, “.mpe”, “.svi”, “.mxf”, “.roq”, “.nsv”, “0.123”, “.1c”, “.1cd”, “.3dm”, “.3ds”, “.3fr”, “.3g2”, “.3gp”, “.3pr”, “0.602”, “.7z”, “._ms”, “.aac”, “.ab4”, “.abd”, “.accde”, “.accdr”, “.accdt”, “.ach”, “.acr”, “.act”, “.adb”, “.adi”, “.adp”, “.adr”, “.ads”, “.aes”, “.afi”, “.agdl”, “.ai”, “.aiff”, “.aii”, “.air”, “.ais”, “.ait”, “.aiv”, “.al”, “.alg”, “.allet”, “.ams”, “.aocla”, “.aoi”, “.apj”, “.arc”, “.arch00”, “.arm”, “.art”, “.arw”, “.arz”, “.asc”, “.asf”, “.asm”, “.asset”, “.asx”, “.avhdx”, “.awg”, “.backupdb”, “.bank”, “.bar”, “.bat”, “.bc6”, “.bc7”, “.bck”, “.bco”, “.bdb”, “.bgt”, “.big”, “.bik”, “.bin”, “.bkf”, “.bkp”, “.bkup”, “.blend”, “.blob”, “.bpn”, “.bpw”, “.brd”, “.bsa”, “.bsm”, “.bxl”, “.c”, “.cad”, “.cam”, “.cas”, “.cbk”, “.cbu”, “.cdf”, “.cdr”, “.cdr3”, “.cdr4”, “.cdr5”, “.cdr6”, “.cdrw”, “.cdx”, “.ce1”, “.ce2”, “.cel”, “.cert”, “.cf”, “.cfg”, “.cfr”, “.cgi”, “.cgm”, “.chg”, “.cib”, “.ckt”, “.class”, “.classpath”, “.cls”, “.cmd”, “.cmt”, “.cnf”, “.con”, “.config”, “.contact”, “.cpa”, “.cpi”, “.cpp”, “.cpr”, “.cr2”, “.craw”, “.crt”, “.crw”, “.cs”, “.csa”, “.csh”, “.cshtml”, “.csl”, “.csr”, “.css”, “.ctl”, “.cwz”, “.d”, “.d3dbsp”, “.dac”, “.das”, “.data”, “.dazip”, “.db0”, “.db3”, “.db5”, “.db_journal”, “.dba”, “.dbc”, “.dbf”, “.dbs”, “.dbx”, “.dc2”, “.dch”, “.dcr”, “.dcs”, “.ddb”, “.ddd”, “.ddoc”, “.ddrw”, “.dds”, “.der”, “.des”, “.desc”, “.design”, “.dft”, “.dgc”, “.dip”, “.dit”, “.djvu”, “.dmp”, “.dng”, “.doc”, “.docb”, “.docm”, “.docx”, “.dot”, “.dotm”, “.dotx”, “.dra”, “.drf”, “.drl”, “.dru”, “.drw”, “.dsn”, “.dsnwrk”, “.dt”, “.dtd”, “.dxb”, “.dxf”, “.dxg”, “.e”, “.ecf”, “.edb”, “.edf”, “.elt”, “.eml”, “.emz”, “.epk”, “.eps”, “.erbsql”, “.erf”, “.esm”, “.ewprj”, “.exf”, “.fdb”, “.ff”, “.ffd”, “.fff”, “.fh”, “.fhd”, “.fla”, “.flac”, “.flf”, “.flp”, “.flvv”, “.fods”, “.fodt”, “.forge”, “.fos”, “.fp7”, “.fpd”, “.fpk”, “.fpx”, “.frm”, “.fsh”, “.fxg”, “.g1”, “.g2”, “.g3”, “.g4”, “.gbk”, “.gbl”, “.gbo”, “.gbp”, “.gbr”, “.gbs”, “.gbx”, “.gdb”, “.gho”, “.gif”, “.gko”, “.gml”, “.gp”, “.gp1”, “.gp2”, “.gp3”, “.gp4”, “.gpb”, “.gpg”, “.gpt”, “.gray”, “.grb”, “.grey”, “.groups”, “.gry”, “.gtl”, “.gto”, “.gtp”, “.gts”, “.gwk”, “.gz”, “.h”, “.hbk”, “.hdd”, “.hkdb”, “.hkx”, “.hplg”, “.hpp”, “.hvpl”, “.hwp”, “.ibank”, “.ibd”, “.ibz”, “.icxs”, “.idb”, “.idc”, “.iif”, “.iiq”, “.incpas”, “.info”, “.ip”, “.ink”, “.ipc”, “.ism”, “.itdb”, “.itl”, “.itm”, “.iwd”, “.iwi”, “.ix”, “.jar”, “.java”, “.jnt”, “.jpe”, “.jrl”, “.js”, “.jsp”, “.kc2”, “.kdb”, “.kdbx”, “.kdc”, “.kf”, “.kicad”, “.kpdx”, “.kwm”, “.laccdb”, “.lay”, “.lay6”, “.layout”, “.lbf”, “.lbr”, “.lc”, “.lck”, “.ldb”, “.ldf”, “.lg”, “.lgc”, “.lia”, “.lib”, “.libprj”, “.license”, “.licz”, “.lit”, “.litemod”, “.llx”, “.lmc”, “.log”, “.lrf”, “.ltx”, “.lua”, “.lvl”, “.lyt”, “.lzma”, “.m”, “.m2”, “.m2ts”, “.m3u”, “.m4p”, “.m4u”, “.m4v”, “.map”, “.mapimail”, “.max”, “.mbx”, “.mcmeta”, “.md”, “.mdbackup”, “.mdc”, “.mddata”, “.mdf”, “.mef”, “.menu”, “.mfw”, “.mid”, “.mlb”, “.mlx”, “.mml”, “.mmw”, “.mny”, “.moneywell”, “.mos”, “.mpeg”, “.mpqge”, “.mrg”, “.mrw”, “.mrwref”, “.msg”, “.mst”, “.mts”, “.myi”, “.mysql”, “.mysqli”, “.nbd”, “.nc”, “.ncf”, “.nd”, “.ndd”, “.nef”, “.nk2”, “.nop”, “.nrw”, “.ns2”, “.ns3”, “.ns4”, “.nsd”, “.nsf”, “.nsg”, “.nsh”, “.ntl”, “.nvram”, “.nwb”, “.nx2”, “.nxl”, “.nyf”, “.oab”, “.obj”, “.obk”, “.odb”, “.odc”, “.odf”, “.odg”, “.odm”, “.odp”, “.ods”, “.oeb”, “.ogg”, “.oil”, “.olb”, “.one”, “.onetoc2”, “.opj”, “.opt”, “.ora”, “.orf”, “.ost”, “.otg”, “.oth”, “.otp”, “.ots”, “.ott”, “.p”, “.p12”, “.p7b”, “.pab”, “.pad”, “.pages”, “.pak”, “.paq”, “.par”, “.pat”, “.pbd”, “.pc”, “.pcb”, “.pcbdoc”, “.pcd”, “.pct”, “.pdblib”, “.pdd”, “.pef”, “.pem”, “.pfx”, “.phj”, “.phl”, “.pho”, “.pif”, “.pkpass”, “.pl”, “.plc”, “.plus_muhd”, “.pot”, “.potm”, “.potx”, “.ppam”, “.ppc”, “.pps”, “.ppsm”, “.ppsx”, “.pptm”, “.prj”, “.prjcor”, “.prjemb”, “.prjpcb”, “.pro”, “.project”, “.prt”, “.ps”, “.ps1”, “.psafe3”, “.psc”, “.psk”, “.psm”, “.pspimage”, “.pst”, “.pt”, “.ptx”, “.pwm”, “.py”, “.q99”, “.qb1”, “.qba”, “.qbb”, “.qbk”, “.qbm”, “.qbmb”, “.qbmd”, “.qbquery”, “.qbr”, “.qbw”, “.qbx”, “.qby”, “.qcow”, “.qcow2”, “.qdf”, “.qed”, “.qfd”, “.qfx”, “.qic”, “.qif”, “.qmd”, “.quicken”, “.quicken2015backup”, “.quicken2016backup”, “.quicken2017backup”, “.qw5”, “.r3d”, “.raf”, “.rat”, “.rb”, “.rdb”, “.re4”, “.reu”, “.rgss3a”, “.rim”, “.rm”, “.rofl”, “.rou”, “.rul”, “.rvt”, “.rw2”, “.rwl”, “.rwz”, “.s3db”, “.safe”, “.sal”, “.sas7bdat”, “.sav”, “.save”, “.say”, “.sb”, “.sbn”, “.sbx”, “.sch”, “.schdoc”, “.schlib”, “.sd0”, “.sda”, “.sh”, “.shp”, “.shx”, “.sid”, “.sidd”, “.sidn”, “.sie”, “.sis”, “.sl2”, “.sl3”, “.sldm”, “.sldx”, “.slk”, “.slm”, “.sln”, “.snt”, “.snx”, “.spp”, “.sqb”, “.sqlite”, “.sqlite3”, “.sqlitedb”, “.sqr”, “.sr2”, “.srf”, “.srt”, “.srw”, “.ssq”, “.st4”, “.st5”, “.st6”, “.st7”, “.st8”, “.stc”, “.std”, “.sti”, “.stm”, “.stp”, “.stw”, “.stx”, “.sum”, “.suo”, “.svg”, “.sxc”, “.sxd”, “.sxg”, “.sxi”, “.sxm”, “.sxw”, “.syncdb”, “.t12”, “.t13”, “.tax”, “.tbk”, “.tcf”, “.tex”, “.tga”, “.tgz”, “.thm”, “.tib”, “.tif”, “.tiff”, “.tlg”, “.tmd”, “.tmp”, “.tor”, “.trn”, “.ub”, “.uop”, “.uot”, “.upk”, “.vb”, “.vbk”, “.vbm”, “.vbox”, “.vbs”, “.vcd”, “.vcf”, “.vdf”, “.vdi”, “.vfs0”, “.vhd”, “.vhdx”, “.vib”, “.vlb”, “.vmdk”, “.vmem”, “.vmsd”, “.vmx”, “.vmxf”, “.vob”, “.vom”, “.vpk”, “.vpp_pc”, “.vsd”, “.vsdx”, “.vtf”, “.w3x”, “.wab”, “.wad”, “.wallet”, “.wav”, “.wb2”, “.wbk”, “.wdb”, “.wk1”, “.wks”, “.wmo”, “.wotreplay”, “.wpd”, “.wps”, “.x11”, “.x3f”, “.xf”, “.xg3”, “.xgo”, “.xis”, “.xlam”, “.xlc”, “.xlk”, “.xlm”, “.xlr”, “.xls”, “.xlsb”, “.xlsm”, “.xlt”, “.xltm”, “.xltx”, “.xlw”, “.xps”, “.xslt”, “.xxx”, “.yb2”, “.ycbcra”, “.ydk”, “.zpd”, “.ztmp”, “.webp”, “.jrxml”, “.jasper”, “.xmlx”, “.vsvnbak”, “.tmpl”, “.mat”, “.mxd”, “.ccm”, “.3mxb”, “.asv”, “.pth”, “.fig”, “.prx”, “.ezx”, “.ezd”, “.alr”, “.rdx”, “.seg”, “.v00”, “.v01”, “.v02”, “.dta”, “.pcap”, “.uassct”, “.sc”, “.mscz”, “.tsv”, “.yaml”, “.gitignore”, “.npy”, “.h5”, “.hdf5”
- 終了対象のプロセス : “sqlwriter”, “sqbcoreservice”, “VirtualBoxVM”, “sqlagent”, “sqlbrowser”, “sqlservr”, “code”, “steam”, “zoolz”, “agntsvc”, “firefoxconfig”, “infopath”, “synctime”, “VBoxSVC”, “tbirdconfig”, “thebat”, “thebat64”, “isqlplussvc”, “mydesktopservice”, “mysqld”, “ocssd”, “onenote”, “mspub”, “mydesktopqos”, “CNTAoSMgr”, “Ntrtscan”, “vmplayer”, “oracle”, “outlook”, “powerpnt”, “wps”, “xfssvccon”, “ProcessHacker”, “dbeng50”, “dbsnmp”, “encsvc”, “excel”, “tmlisten”, “PccNTMon”, “mysqld-nt”, “mysqld-opt”, “ocautoupds”, “ocomm”, “msaccess”, “msftesql”, “thunderbird”, “visio”, “winword”, “wordpad”, “mbamtray”
- 終了対象のサービス : “BackupExecAgentBrowser”, “veeam”, “VeeamDeploymentSvc”, “PDVFSService”, “BackupExecVSSProvider”, “BackupExecAgentAccelerator”, “vss”, “sql”, “svc$”, “AcrSch2Svc”, “AcronisAgent”, “Veeam.EndPoint.Service”, “CASAD2DWebSvc”, “CAARCUpdateSvc”, “YooIT”, “memtas”, “sophos”, “veeam”, “DefWatch”, “ccEvtMgr”, “SavRoam”, “RTVscan”, “QBFCService”, “Intuit.QuickBooks.FCS”, “YooBackup”, “BackupExecAgentBrowser”, “BackupExecRPCService”, “MSSQLSERVER”, “backup”, “GxVss”, “GxBlr”, “GxFWD”, “GxCVD”, “GxCIMgr”, “VeeamNFSSvc”, “BackupExecDiveciMediaService”, “SQLBrowser”, “SQLAgent$VEEAMSQL2008R2”, “SQLAgent$VEEAMSQL2012”, “VeeamDeploymentService”, “BackupExecJobEngine”, “Veeam.EndPoint.Tray”, “BackupExecManagementService”, “SQLAgent$SQL_2008”, “BackupExecRPCService”, “zhudongfangyu”, “sophos”, “stc_raw_agent”, “VSNAPVSS”, “QBCFMonitorService”, “VeeamTransportSvc”
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報