素早く変化している Magniber ランサムウェア Posted By Hansoyoung , 2022年 October 25日 Magniber ランサムウェアは最近、素早く変化している。拡張子の変更からインジェクション、UAC 回避の手法まで、最近 Magniber ランサムウェアはアンチウイルスの検知を回避するために素早い変形を見せている。過去に把握されてきた解析内容を通じて、ここ数か月間の Magniber ランサムウェアの変化を当記事にて整理した。 [表1]は Magniber ランサムウェアの日付別配布ファイルの主な特徴である。4か月間にわたり msi、cpl、jse、js、wsf の5種類の拡張子で配布され、直近の9月には4回(cpl…
RDP を利用する攻撃手法および事例の分析 Posted By Hansoyoung , 2022年 October 25日 概要 ブログ「様々な遠隔操作ツールを悪用する攻撃者たち」[1]では、攻撃者が感染先システムの操作権限を取得するために、システム管理目的で使用される様々な遠隔操作ツールを悪用する事例を取り上げた。ここでは、Windows OS がデフォルトで提供する RDP(Remote Desktop Protocol)を利用する事例を取り扱う。実際にほとんどの攻撃では RDP が頻繁に使用されているが、これは追加のインストールプロセスが必要な遠隔操作ツールに比べて初期侵入プロセスやラテラルムーブメントに有用であるためだ。 Windows OS はリモートデスクトップサービス(Remote…
Word に偽装した GuLoader マルウェア、韓国国内で拡散 Posted By Hansoyoung , 2022年 October 21日 ASEC 分析チームは GuLoader マルウェアが韓国国内企業のユーザーをターゲットに拡散している状況を捕捉した。GuLoader はダウンローダーマルウェアであり、様々なマルウェアをダウンロードし、過去から何度も変形を続けて拡散している。拡散しているフィッシングメールは以下の通りであり、HTML ファイルが添付された形式である。 添付された HTML ファイルを開くと、以下の URL から圧縮ファイルがダウンロードされる。 圧縮ファイルの中には…
様々な遠隔操作ツールを悪用する攻撃者たち Posted By Hansoyoung , 2022年 October 21日 概要 一般的に攻撃者たちはスピアフィッシングメールの添付ファイルやマルバタイジング、脆弱性、正規ソフトウェアに偽装してマルウェアを Web サイトにアップロードする等、様々な方式でマルウェアをインストールさせる。インストールされるマルウェアには、感染先システムの情報を窃取するためのインフォスティーラーや、ファイルを暗号化して金銭を要求するランサムウェア、DDoS 攻撃に使用するための DDoS Bot 等がある。この他にも、バックドアや RAT も、攻撃者たちが使用する代表的なマルウェアの一つである。バックドアは感染先のシステムにインストールされ、攻撃者からコマンドを受け取って不正な振る舞いを実行することができ、これにより攻撃者は感染先のシステムを掌握することが可能になる。このようなバックドア型のマルウェアは単独システムだけでなく、ラテラルムーブメントによってネットワークを掌握し、最終的には企業内の情報を窃取したり、掌握した内部システムを暗号化する攻撃の中間段階として使用されたりすることもある。 RAT マルウェアも機能的な面では、実質的にバックドアと同じであると言える。しかし、RAT…
Lazarus グループによる DLL Side-Loading 手法の利用 (mi.dll) Posted By Hansoyoung , 2022年 October 12日 ASEC 分析チームは、Lazarus 攻撃グループを追跡している最中、攻撃者が初期侵入段階で次の攻撃段階の達成のために正常なアプリケーションを利用した DLL Side-Loading 攻撃手法(T1574.002)を使用している状況を捕捉した。 DLL Side-Loading 攻撃手法は、正常なアプリケーションと不正な DLL を同じフォルダーパスに保存し、アプリケーションが実行されるときに不正な DLL…
