【図表】
感染の流れ
出典: https://blog.trendmicro.co.jp/archives/19759
【概要】
■使用ツール
- WMIC
- CertUtil
【ブログ】
◆Windows の正規機能 WMIC および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認 (Trendmicro, 2018/10/25)
https://blog.trendmicro.co.jp/archives/19759
【インディケータ情報】
■ハッシュ情報(Sha256)
695e03c97eaed0303c9527e579e69b1ba280c448476edcf97d7a289b439fa39a
d60db526c41356b43d4b916c6913f137d2f2eeb8b1d7472b5c24e3af311d486b
6852e458e3837c5b2e1354ed9bc5205878c0e94f1211da075dcc6305845fbc33
(以上は Trendmicroの情報: 引用元は https://blog.trendmicro.co.jp/archives/19759 )
■URL - C&Cサーバ -
hxxp://ewyytrtw4646934[.]eririxab[.]com:25041/03/marxvxinhhmg[.]gif[.]zip?17563326
hxxp://ewyytrtw4646934[.]eririxab[.]com:25041/03/marxvxinhhmgx[.]gif[.]zip?658140462
hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/r1[.]log
hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhm98[.]dll[.]zip?52828157
hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhmhh[.]dll[.]zip?974411041
hxxp://ewyytrtw4646934[.]eririxab.com:25041/03/marxvxinhhmhh[.]dll[.]zip?895017548
hxxp://exxxwrtw6115614[.]kloudghtlp[.]com:25056/09/v131[.]xsl?4463977
(以上は Trendmicroの情報: 引用元は https://blog.trendmicro.co.jp/archives/19759 )