EDR を活用した CHM マルウェアの追跡 Posted By ATCP , 2023년 03월 29일 AhnLab Security Emergency response Center (ASEC)は最近、CHM(Compiled HTML Help File)を利用した APT 攻撃の事例を公開した。 https://asec.ahnlab.com/jp/49471/…
MDS のポップアップウィンドウを利用したアンチサンドボックス(anti-sandbox)回避機能 Posted By ATCP , 2023년 03월 23일 AhnLab Security Emergency response Center(ASEC)では、サンドボックスを回避するための様々なアンチサンドボックス(anti-sandbox)技法についてモニタリングしている。このブログでは、不正な IcedID Word ドキュメントのボタンフォームを悪用した少々執拗なアンチサンドボックス(anti-sandbox)技法について説明し、不正な振る舞いの発現による当社 MDS 回避機能を紹介する。今回説明する不正な IcedID Word ドキュメント(convert.dot)は、ボタンフォームを悪用したアンチサンドボックス(anti-sandbox)技法が存在し、不正な振る舞いを発現させるためには2段階におよぶユーザーの行動を要求する。[図1]は IceID…
EDR を活用した Magniber ランサムウェアの配布元の追跡 Posted By ATCP , 2023년 02월 20일 AhnLab ASEC は1月に Magniber ランサムウェアが韓国国内での拡散を再開(1/28)したことを公開した。その後も継続的に Magniber の拡散が確認されており、AhnLab はこれを様々な形で遮断している。 韓国国内の Magniber の配布に使用されるドメイン 特に、配布当時は…
OneNote で拡散している Qakbot マルウェア Posted By ATCP , 2023년 02월 20일 AhnLab ASEC は1月に Microsoft OneNote を通して配布されているマルウェア解析レポートを公開した。 Microsoft OneNote を通して配布されるマルウェア分析レポート レポートでも言及したように、最近になって Qakbot のような商用(Commodity)マルウェアが、Microsoft…
Magniber ランサムウェア、韓国国内での配布再開(1/28) Posted By ATCP , 2023년 02월 08일 ASEC 分析チームは1月28日の午前、Magniber ランサムウェアが正常な Windows インストーラー(MSI)に偽装して配布を再開したことを確認した。MSI の拡張子で配布されている Magniber のファイル名は、以下のように Windows アップデートファイルに偽装している。以下の図のように、当社のログシステムを通して確認した結果、1月27日を基準に配布量が増加したことを確認することができる。 MS.Update.Center.Security.KB17347418.msi MS.Update.Center.Security.KB2562020.msi…
AD 環境で伝播機能を含んだ DarkSide (ダークサイド)ランサムウェア Posted By ATCP , 2023년 02월 07일 DarkSide (ダークサイド)ランサムウェアは解析およびサンドボックス検知を回避するために、Loader とデータファイルが両方あることで初めて動作する。「msupdate64.exe」名のローダーは(同じパスに存在する)ランサムウェアをエンコード状態でしている「config.ini」データファイルを読み込み、正常なプロセスのメモリ上でランサムウェアを実行する。実行すると、特定の引数値を合わせて動作する構造であり、タスクスケジューラに登録されて周期的に動作するように構成されている。 [図1] ランサムウェアの動作方式 ダークサイドランサムウェアの機能は以下の通りである。 1) ランサムウェアの暗号化対象除外リスト 正常なプロセスにインジェクションされたランサムウェアは、特定のフォルダーおよびファイル名を除くすべてのファイルを暗号化する。以下の[表1]、[表2]は暗号化除外と関係するファイルパスおよびファイル名である。 暗号化除外フォルダーパス “AppData” “Boot”…
