【図表】
「[wali]」セクションの文字列
「wali.exe」のファイル名
出典: https://blog.kaspersky.co.jp/old-malware-tricks-to-bypass-detection-in-the-age-of-big-data/15323/
【ブログ】
◆ビッグデータ時代に昔の手口で検知を逃れるマルウェア (Kaspersky, 2017/05/31)
https://blog.kaspersky.co.jp/old-malware-tricks-to-bypass-detection-in-the-age-of-big-data/15323/
【関連まとめ記事】
◆アンチアナリシス機能 (まとめ)
https://malware-log.hatenablog.com/entry/Anti_Analysis
◆攻撃組織 / Actor (まとめ)
◆標的型攻撃組織 / APT (まとめ)
◆Tick / Bronze Butler (まとめ)
http://malware-log.hatenablog.com/entry/Tick
【インディケータ情報】
■ハッシュ情報(Sha256) - wali ドロッパー -
9b5874a19bf112832d8e7fd1a57a2dda180ed50aa4f61126aa1b7b692e6a6665
da05667cd1d55fa166ae7bd95335bd080fba7b53c62b0fff248ce25c59ede54a
10fca84ae22351356ead529944f85ef5d68de38024d4c5f6058468eb399cbc30
■ハッシュ情報(Sha256) - wali ローダー -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■URL
- hxxp://******essel.com/mt/php/tmpl/missing.php
- hxxp://******essel.com/mt/mt-static/images/comment/s.php
- hxxp://******hi.com/da******/hinshu/ki******/ki******.php
- hxxp://******an.jp/_module/menu/menug/index.php
- hxxp://******etop.co.jp/includes/firebug/index.php
- hxxp://******etop.co.jp/phpmyadmin/themes/pmahomme/sprites.html
- hxxp://******usai.com/ex-engine/modules/comment/queries/deleteComment.php
- hxxp://******1cs.net/zy/images/patterns/preview/deleteComments.php
- hxxp://******1cs.net/zy/images/colorpicker/s.php
■ファイル名
srvhost.exe
propsyse.exe
perfcore.exe
oldb32.exe
oledb32.exe
javaup.exe