TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

「Ursnif」の感染活動で複数のサンドボックス回避技術を利用

f:id:tanigawa:20171121045143j:plain
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー
出典: http://blog.trendmicro.co.jp/archives/16418

【概要】

  • AutoCloseマクロを利用して回避
  • 列挙型変数を利用して回避
  • ファイル名の長さをチェックして回避


【ニュース】

◆「Ursnif」の感染活動で複数のサンドボックス回避技術を利用 (Security NEXT, 2017/11/20 )
http://www.security-next.com/087764


【関連情報】

◆「URSNIF」の新手法:マクロを利用してサンドボックス検出を回避 (Trendmicro, 2017/11/20)
http://blog.trendmicro.co.jp/archives/16418


【詳細】

f:id:tanigawa:20171121045425p:plain

□解説

  • ファイル名の長さをチェック
    • 30文字より長い場合、メッセージを表示(" love and love ")
    • 30文字以下の場合、マルウェアを起動


【関連まとめ記事】

◆Emotet (まとめ)
http://malware-log.hatenablog.com/entry/Emotet


【インディケータ情報】

■ハッシュ情報(Sha256)

  • 954a94f43987df21094853b8e7b7de11e5f1d8c2ea0369e80ce44d04e84382ab

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019