解析メモ

マルウェア解析してみたり解析に役に立ちそうと思ったことをメモする場所。このサイトはGoogle Analyticsを利用しています。

Weekly Analysis Articles (2020/05/17-23)

f:id:k1z3:20200426185657j:plain

今週1週間で見かけたマルウェアなどの解析記事(11件)。
情報ソースを増やしたら大変になった。

Cyber And Ramen : Another Maldoc Analysis Article

MSBuildを利用した興味深い悪意のあるドキュメントの分析
Wordバックアップファイル(拡張子 .wbk)
CyberCheff を使って難読化解除
オレンジ見づらい

  • Word バックアップファイル
  • OLE
  • XML

www.cyberandramen.net

New activity of DoubleGuns‘ gang, control hundreds of thousands of bots via public cloud service

DoubleGuns グループによる新たな活動(shuangqiangキャンペーン)
Lassas.exe と svchost.exe へのインジェクション

blog.netlab.360.com

GhostDNS Source Code Leaked

ルーターエクスプロイトキットである GhostDNS のソースコードが漏えい
DNSハイジャックキャンペーンに使用されている
このソースコードの分析
SimpleDNS Plus

decoded.avast.io

ZLoader Loads Again: New ZLoader Variant Returns

ZLoaderバンキングマルウェアの新バージョン
webinjectsを利用して、資格情報やその他の個人情報を盗むバンキングマルウェア
VNC クライアントを使用して、被害者のシステムに接続

  • PE exe
  • XOR
  • BaseConfig (Zeusの伝統)
  • DGA

www.proofpoint.com

Cyber-Criminal espionage Operation insists on Italian Manufacturing

イタリア企業を標的とした悪意のある活動。自動車生産チェーンの一部でもある。
Roma225, Hagga, Mana, YAKKA として分析されているグループが関与か
Dragon APTグループと関係がある可能性。
Aggahキャンペーン
〇がついてくる。インターネット老人会歓喜

  • マクロ
  • Mshta (Signed Binary Proxy Execution)
  • CMSTPバイパスエクスプロイト
  • PowerShell
  • C#

yoroi.company

TrickBot BazarLoader In-Depth

「BazarLoader」と「BazarBackdoor」という適切な名前の2つの新しいTrickBotモジュール
かなりの量の難読化を伴う高度なモジュール

  • C++
  • 復号復号復号

cybersecurity.att.com

Comprehensive Threat Intelligence: The wolf is back...

「WolfRAT」と呼ばれるDenDroidの修正バージョンがタイの Android ユーザを標的に

blog.talosintelligence.com

Netwalker Fileless Ransomware Injected via Reflective Loading

Netwalker Fileless Ransomware
PowerShellで記述され、実際のランサムウェアバイナリをディスクに保存せずにメモリで直接実行
反射ダイナミックリンクライブラリ(DLL)インジェクション

blog.trendmicro.com

The Evolution of APT15's Codebase 2020

APT15(Ke3changグループ)が使用したと思われるサンプル「Ketrum」の解析
複数のサンプルの相関分析

www.intezer.com

No “Game over” for the Winnti Group

APT グループ「Winnti Group」による新しい名前のモジュール式バックドア「PipeMon」
ビデオゲーム会社に対して使用されており、ゲームの実行ファイルをトロイの木馬化していた。

  • PE exe
  • 永続化 (Windows Print Processor)
  • RC4暗号化 (復号化キーはハードコードされている)
  • プロセスインジェクション
  • モジュール間通信
  • TLS over TCP

www.welivesecurity.com

Backdoor, Devil Shadow Botnet Hidden in Fake Zoom Installers

偽の Zoom インストーラに隠されたバックドア(DevilShadow Botnet)

blog.trendmicro.com