TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

HAFNIUM(ハフニウム): 新たな国家支援型サイバー攻撃への対応について

【ブログ】

◆HAFNIUM(ハフニウム): 新たな国家支援型サイバー攻撃への対応について (Sophos, 2021/03/10)
https://news.sophos.com/ja-jp/2021/03/10/hafnium-advice-about-the-new-nation-state-attack-jp/


【インディケータ情報】

■ディレクトリ - WebShell -

C:\inetpub\wwwroot\aspnet_client\
C:\inetpub\wwwroot\aspnet_client\system_web\
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\

(以上は Sophos の情報: 引用元は https://news.sophos.com/ja-jp/2021/03/10/hafnium-advice-about-the-new-nation-state-attack-jp/ )


■ファイル名情報 - WebShell -

(8 つのランダムな文字と数字)
Regex: [0-9a-zA-Z]{8}.aspx
aspnet_client.aspx
aspnet_iisstart.aspx
aspnet_www.aspx
aspnettest.aspx
discover.aspx
document.aspx
error.aspx
errorcheck.aspx
errorEE.aspx
errorEEE.aspx
errorEW.aspx
errorFF.aspx
healthcheck.aspx
help.aspx
HttpProxy.aspx
Logout.aspx
MultiUp.aspx
one.aspx
OutlookEN.aspx
OutlookJP.aspx
OutlookRU.aspx
RedirSuiteServerProxy.aspx
shell.aspx
shellex.aspx
supp0rt.aspx
system_web.aspx
t.aspx
TimeoutLogout.aspx
web.aspx
web.aspx
xx.aspx

(以上は Sophos の情報: 引用元は https://news.sophos.com/ja-jp/2021/03/10/hafnium-advice-about-the-new-nation-state-attack-jp/ )


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020