TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Bad Rabbit (まとめ)

f:id:tanigawa:20171025192309p:plain
出典: https://gigazine.net/news/20171025-bad-rabbit/


【概要】

攻撃開始 2017年10月24日 19:00頃から(日本時間)
感染方法 Adobe Flashの最新版を装ったインストーラーを使用
身代金 0.05 BTC(約3万円)
制限時間 40時間
マルウェア infpub.dat : 感染直後のファイル暗号化
マルウェア dispci.exe : 再起動された後のディスク暗号化処理
使用ツール Mimikatz(パスワード解読)
使用ツール DiskCryptor(暗号化) … cscc.dat
誘導先 caforssztxqzf2nm.onion


■マルウェアの活動

□第1ステージ

  • 正規のWebサイトを閲覧
  • ドライブバイ・ダウンロードによりhxxp://1dnscontrol.com/flash_install.phpからドロッパーがダウンロード
    • ボタンをクリックする必要あり
    • ドロッパーはAdobe Flash Playerのインストーラーを装っている(install_flash_player.exe)
    • 管理者権限が必要

□第2ステージ

  • 「install_flash_player.exe」を実行すると「infpub.dat」が生成
  • rundll32を使用して起動
  • infpub.datには次の5種類の実行ファイルが埋め込まれている(Cylance)
    • Mimikatzの2つのバージョン(x86とx64)
    • 署名付きドライバーの2つのバージョン(x86とx64)
    • ブートレコードに感染して支払い要求メッセージを生成するモジュール
  • 「infpub.dat」は、悪質な実行ファイル「dispci.exe」をC:\Windowsにインストール


【詳細】

■日本での攻撃観測

  • 米Symantecは、日本国内においても同マルウェアを観測
    • 協定世界時10月24日10時前後より観測(日本時間 10/24 19時ころ)
    • ピークを迎えたのはそれから約2時間後(日本時間 10/24 21時ころ)
    • 1時間あたり400件以上を検知

f:id:tanigawa:20171026215450j:plain
検知数の推移(グラフ:Symantec)
出典: http://www.security-next.com/086993

■海外の被害状況

f:id:tanigawa:20171031053032p:plain
オデッサ国際空港のメッセージ
出典: https://www.facebook.com/odessa.aero/posts/704524863080360






【ニュース】

◆ランサム「Bad Rabbit」拡散、国内サイトも踏み台に - 3.8%を日本で検出 (Security NEXT, 2017/10/25)
http://www.security-next.com/086941
http://malware-log.hatenablog.com/entry/2017/10/25/000000_4

◆「Petya」類似の新種ランサム「Bad Rabbit」 - ニュースサイト経由で感染誘導 (Security NEXT, 2017/10/25)
http://www.security-next.com/086913
http://malware-log.hatenablog.com/entry/2017/10/25/000000_3

◆JPCERT/CC、新種ランサム「Bad Rabbit」で注意呼びかけ - 被害対応依頼の窓口などアナウンス (Security NEXT, 2017/10/25)
http://www.security-next.com/086936
http://malware-log.hatenablog.com/entry/2017/10/25/000000_1

◆ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害 (ITmedia, 2017/10/25 09:00)

ロシアやウクライナで地下鉄などの公共交通機関や報道機関、政府機関などに被害が広がっている

http://www.itmedia.co.jp/enterprise/articles/1710/25/news053.html
http://malware-log.hatenablog.com/entry/2017/10/25/000000

◆データを暗号化して身代金を要求するマルウェア「Bad Rabbit」の感染被害が急拡大 (Gigazine, 2017/10/25 10:31)
https://gigazine.net/news/20171025-bad-rabbit/

◆Bad Rabbit: New Ransomware Attack Rapidly Spreading Across Europe (thehackernews, 2017/10/25)
https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html

◆ロシアや欧州、日本で大規模なサイバー攻撃が発生 (産経新聞, 2017/10/25 10:45)
http://www.sankei.com/world/news/171025/wor1710250021-n1.html

◆「Bad Rabbit」ランサムウェアの感染拡大、ロシアなどで報告--「Petya」亜種か (CNET, 2017/10/25 11:37)
https://japan.cnet.com/article/35109298/

◆新手のランサムウエア「Bad Rabbit」、JPCERT/CCやセキュリティベンダーが警告 (ITPro, 2017/10/25)
http://itpro.nikkeibp.co.jp/atcl/news/17/102502517/?rt=nocnt

◆新ウイルス「Bad Rabbit」海外で猛威―日本のセキュリティ組織もピリピリ (InternetCom, 2017/10/25)
https://internetcom.jp/203632/bad-rabbit

◆ランサムウェア「Bad Rabbit」、日本の被害情報は“錯綜” (ZDNet, 2017/10/25 17:33)
https://japan.zdnet.com/article/35109364/

◆ランサムウエア「Bad Rabbit」、ファイルや変数の名前に「ゲーム・オブ・スローンズ」のキャラクターを使用 (Internet watch, 2017/10/25)

ロシアやウクライナで感染が急拡大、ドロッパーが日本でもダウンロードか?

https://internet.watch.impress.co.jp/docs/news/1088055.html

◆日本や露に大規模なサイバー攻撃 ウクライナは空港・地下鉄被害 北関与? 専門家ら見方示す (産経新聞, 2017/10/26 07:03)
http://www.sankei.com/world/news/171026/wor1710260008-n1.html
http://malware-log.hatenablog.com/entry/2017/10/26/000000_2

◆Symantecも国内で「Bad Rabbit」を検知 - 観測ピークは発生2時間後 (Security NEXT, 2017/10/26)
http://www.security-next.com/086993
http://malware-log.hatenablog.com/entry/2017/10/26/000000_5

◆ランサムウェア「Bad Rabbit」は企業を脅すサイバー攻撃の可能性 (ZDNet, 2017/10/27 14:48)
https://japan.zdnet.com/article/35109488/

◆「ゲーム・オブ・スローンズ」ファンの仕業? ランサムウェア 「BadRabbit」 (ASCII.jp, 2017/10/27 17:50)
http://ascii.jp/elem/000/001/577/1577335/

◆新種のランサムウェア「Bad Rabbit」--知っておくべき10のこと (ZDnet, 2017/10/29 07:30)
https://japan.zdnet.com/article/35109484/
http://malware-log.hatenablog.com/entry/2017/10/29/000000_1

◆Petyaとの類似性や相違点など、BadRabbitの初期分析を公式ブログで解説 - Symantec Officaila blog (マイナビニュース, 2017/10/30)
http://news.mynavi.jp/news/2017/10/30/097/
http://malware-log.hatenablog.com/entry/2017/10/30/000000_2

◆先週のサイバー事件簿 - 欧州発の新型ランサムウェア「Bad Rabbit」に注意 (マイナビニュース, 2017/10/30)
http://news.mynavi.jp/articles/2017/10/30/security/
http://malware-log.hatenablog.com/entry/2017/10/30/000000_3

◆ランサムウエア「Bad Rabbit」の概略 (COMPUTERWORLD, 2017/10/30)
http://itpro.nikkeibp.co.jp/atcl/idg/14/481542/103000432/

◆Petyaとの類似性や相違点など、BadRabbitの初期分析を公式ブログで解説 - Symantec Officaila blog (マイナビニュース, 2017/10/30)
http://news.mynavi.jp/news/2017/10/30/097/

◆新種ランサム「Bad Rabbit」は「EternalRomance」を悪用 (Security NEXT, 2017/11/02)
http://www.security-next.com/087256

◆新種ランサムウェア「Bad Rabbit」がウクライナやロシアで感染を拡大 (マイナビニュース, 2017/11/02)
http://news.mynavi.jp/kikaku/2017/11/02/002/

◆「Bad Rabbit」の踏み台被害、対応に1カ月弱 - アイカ工業がサイト再開 (Security NEXT, 2017/11/20)
http://www.security-next.com/087732


【ブログ】

◆Kiev metro hit with a new variant of the infamous Diskcoder ransomware (ESET, 2017/10/24)
https://www.welivesecurity.com/2017/10/24/kiev-metro-hit-new-variant-infamous-diskcoder-ransomware/
http://malware-log.hatenablog.com/entry/2017/10/24/000000_2

◆Bad Rabbit: A new ransomware epidemic is on the rise – Kaspersky Lab official blog (Kaspersky, 2017/10/25)
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

◆Bad Rabbit ransomware - Securelist (kaspersky, 2017/10/25)
https://securelist.com/bad-rabbit-ransomware/82851/

◆New Ransomware ‘Bad Rabbit’ Spreading Quickly Through Russia and Ukraine - Motherboard (motherboard, 2017/10/25)
https://motherboard.vice.com/en_us/article/59yb4q/bad-rabbit-petya-ransomware-russia-ukraine

◆身代金ウイルス「バッドラビット」による大規模サイバー攻撃 (sputnik, 2017/10/25 10:29)
https://jp.sputniknews.com/incidents/201710254219197/

◆ランサムウェアBadRabbitに関する情報についてまとめてみた (piyolog, 2017/10/25)
http://d.hatena.ne.jp/Kango/20171025/1508921925

◆新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される (Trendmicro, 2017/10/25)
http://blog.trendmicro.co.jp/archives/16226
http://malware-log.hatenablog.com/entry/2017/10/25/000000_9

◆Bad Rabbit Ransomware Strikes Ukraine, Likely related to GoldenEye (bitdefender, 2017/10/24)
https://labs.bitdefender.com/2017/10/bad-rabbit-ransomware-strikes-ukraine-likely-related-to-goldeneye/

◆BadRabbit: New strain of ransomware hits Russia and Ukraine (Symantec, 2017/10/25)

BadRabbit is self-propagating and has many similarities to the June 2017 Petya / NotPetya outbreak

https://www.symantec.com/connect/blogs/badrabbit-new-strain-ransomware-hits-russia-and-ukraine

◆注目の脆弱性:Bad Rabbit の分析 (TALOS(CISCO), 2017/10/25 13:27)
https://gblogs.cisco.com/jp/2017/10/talos-bad-rabbit/

◆NotPetya pulls BadRabbit out of the hat(Group-IB, 2017/10/26)
https://www.group-ib.com/blog/reportbadrabbit
http://malware-log.hatenablog.com/entry/2017/10/26/000000_4

◆BACKSWING - Pulling a BADRABBIT Out of a Hat(FireEye, 2017/10/26)
https://www.fireeye.com/blog/threat-research/2017/10/backswing-pulling-a-badrabbit-out-of-a-hat.html
http://malware-log.hatenablog.com/entry/2017/10/26/000000_11

◆ReversingLabs' YARA rule detects BadRabbit encryption routine specifics (ReversingLabs, 2017/10/26)
https://www.reversinglabs.com/newsroom/news/reversinglabs-yara-rule-detects-badrabbit-encryption-rutine-specifics.html

◆ランサムウェア「Bad Rabbit」の内部構造を紐解く (MBSD, 2017/10/27)
https://www.mbsd.jp/blog/20171027.html
http://malware-log.hatenablog.com/entry/2017/10/27/000000_2

【注意喚起】

◆感染が拡大中のランサムウェア「Bad Rabbit」の対策について (IPA, 2017/10/26)
https://www.ipa.go.jp/security/ciadr/vul/20171026-ransomware.html
http://malware-log.hatenablog.com/entry/2017/10/26/000000_3


【公開情報】

◆新たなランサムウエア「Bad Rabbit」について (JPCERT/CC, 2017/10/25)
http://www.jpcert.or.jp/newsflash/2017102501.html
http://malware-log.hatenablog.com/entry/2017/10/25/000000_1

◆Threat Advisory & Analysis: ‘Bad Rabbit’ Ransomware (Carbon Black, 2017/10/24)
https://www.carbonblack.com/2017/10/24/threat-advisory-analysis-bad-rabbit-ransomware/

◆579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 (INTEZER)
https://analyze.intezer.com/#/analyses/d41e8a98-a106-4b4f-9b7c-fd9e2c80ca7d

◆BadRabbit Malware Analysis (IBM, 2017/11/09)
https://exchange.xforce.ibmcloud.com/collection/BadRabbit-Malware-Analysis-78c57491593b05937e9adccd545d033b

【資料】

◆BAD RABBIT – Ransomware Ein weiterer Not-Petya-Ableger (TAROX, 2017/10/25)
https://www.tarox.de/fileadmin/bilder/Uploads_Dokumente/Infoblatt_Bad_Rabbit_Ransomware.pdf
http://malware-log.hatenablog.com/entry/2017/10/25/000000_7

◆Technical Analysis of Bad Rabbit (panda, 2017/10/26)
https://www.pandasecurity.com/mediacenter/src/uploads/2017/10/1710-Informe_BR-en.pdf
http://malware-log.hatenablog.com/entry/2017/10/26/000000_7


【マルウェア情報】

◆Ransom:Win32/Tibbar.A (Microsoft,2017/10/24)
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Tibbar.A


【セキュリティベンダー情報】

■Kaspersky

◆Bad Rabbit: A new ransomware epidemic is on the rise – Kaspersky Lab official blog (Kaspersky, 2017/10/25)
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

◆Bad Rabbit ransomware - Securelist (kaspersky, 2017/10/25)
https://securelist.com/bad-rabbit-ransomware/82851/


■Group-IB

◆BadRabbit (Group-IB, 2017/10/24)

There is a connection between BadRabbit and Not Petya

https://www.group-ib.com/blog/badrabbit
http://malware-log.hatenablog.com/entry/2017/10/26/000000_4


■ESET

◆Kiev metro hit with a new variant of the infamous Diskcoder ransomware (ESET, 2017/10/24)
https://www.welivesecurity.com/2017/10/24/kiev-metro-hit-new-variant-infamous-diskcoder-ransomware/
http://malware-log.hatenablog.com/entry/2017/10/24/000000_2


■Unit 42

◆Threat Brief: Information on Bad Rabbit Ransomware Attacks (paloalto, 2017/10/24)
https://researchcenter.paloaltonetworks.com/2017/10/threat-brief-information-bad-rabbit-ransomware-attacks/

◆Palo Alto Networks Protections Against Bad Rabbit Ransomware Attacks (paloalto, 2017/10/24)
https://researchcenter.paloaltonetworks.com/2017/10/palo-alto-networks-protections-bad-rabbit-ransomware-attacks/


■CISCO TALOS

◆Threat Spotlight: Follow the Bad Rabbit (Talos, 2017/10/24)
http://blog.talosintelligence.com/2017/10/bad-rabbit.html


■Carbon Black

◆Threat Advisory & Analysis: ‘Bad Rabbit’ Ransomware (Carbon Black, 2017/10/24)
https://www.carbonblack.com/2017/10/24/threat-advisory-analysis-bad-rabbit-ransomware/


■Symantec

◆BadRabbit: New strain of ransomware hits Russia and Ukraine (Symantec, 2017/10/25)

BadRabbit is self-propagating and has many similarities to the June 2017 Petya / NotPetya outbreak.

https://www.symantec.com/connect/blogs/badrabbit-new-strain-ransomware-hits-russia-and-ukraine

■FireEye

◆BACKSWING - Pulling a BADRABBIT Out of a Hat(FireEye, 2017/10/26)
https://www.fireeye.com/blog/threat-research/2017/10/backswing-pulling-a-badrabbit-out-of-a-hat.html
http://malware-log.hatenablog.com/entry/2017/10/26/000000_11


■Trendmicro

◆新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される (Trendmicro, 2017/10/25)
http://blog.trendmicro.co.jp/archives/16226
http://malware-log.hatenablog.com/entry/2017/10/25/000000_9


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware


【インディケータ情報】

■ハッシュ情報(MD5)

b14d8faf7f0cbcfad051cefe5f39645f dispci.exe
1d724f95c61f1055f0d02c2154bbccd3 infpub.dat
fbbdc39af1139aebba4da004475e8839 FlashUtil.exe


■ハッシュ情報(Sha1)

79116fe99f2b421c52ef64097f0f39b815b20907 infpub.dat Diskcoder
afeee8b4acff87bc469a6f0364a81ae5d60a2add dispci.exe Lockscreen
413eba3973a15c1a6429d9f170f3e8287f98c21c Mimikatz (32-bits) パスワード解読
16605a4a29a101208457c47ebfde788487be788d Mimikatz (64-bits) パスワード解読
de5c8d858e6e41da715dca1c019df0bfb92d32c0 install_flash_player.exe Dropper
4f61e154230a64902ae035434690bf2b96b4e018 page-main.js JavaScript on compromised sites


■ハッシュ情報(Sha256)

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 dispci.exe
579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

■C&Cサーバー

hxxp://caforssztxqzf2nm.onion Payment site
hxxp://185.149.120.3/scholargoogle/ Inject URL
hxxp://1dnscontrol.com/flash_install.php Distribution URL


■感染サイト

  • hxxp://argumentiru.com
  • hxxp://www.fontanka.ru
  • hxxp://grupovo.bg
  • hxxp://www.sinematurk.com
  • hxxp://www.aica.co.jp
  • hxxp://spbvoditel.ru
  • hxxp://argumenti.ru
  • hxxp://www.mediaport.ua
  • hxxp://blog.fontanka.ru
  • hxxp://an-crimea.ru
  • hxxp://www.t.ks.ua
  • hxxp://most-dnepr.info
  • hxxp://osvitaportal.com.ua
  • hxxp://www.otbrana.com
  • hxxp://calendar.fontanka.ru
  • hxxp://www.grupovo.bg
  • hxxp://www.pensionhotel.cz
  • hxxp://www.online812.ru
  • hxxp://www.imer.ro
  • hxxp://novayagazeta.spb.ru
  • hxxp://i24.com.ua
  • hxxp://bg.pensionhotel.com
  • hxxp://ankerch-crimea.ru

出典: https://www.tarox.de/fileadmin/bilder/Uploads_Dokumente/Infoblatt_Bad_Rabbit_Ransomware.pdf


■暗号化対象の拡張子

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

■埋め込まれた認証情報

  • secret
  • 123321
  • zxc321
  • zxc123
  • qwerty123
  • qwerty
  • qwe321
  • qwe123
  • 111111
  • password
  • test123
  • admin123Test123
  • Admin123
  • user123
  • User123
  • guest123
  • Guest123
  • administrator123
  • Administrator123
  • 1234567890
  • 123456789
  • 12345678
  • 1234567
  • 123456
  • adminTest
  • administrator
  • netguest
  • superuser
  • nasadmin
  • nasuser
  • ftpadmin
  • ftpuser
  • backup
  • operator
  • other user
  • support
  • manager
  • rdpadmin
  • rdpuser
  • user-1
  • Administrator


■Yaraルール

rule Win32_Ransomware_BadRabbit : malicious {

strings:
$encrypt_file = {
55 8B EC 83 EC ?? 53 56 57 8B 7D ?? 8B 4F ?? 33 DB 8D 45 ?? 50 53 53 51 89 5D ?? 89
5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 53 53 6A ?? 53 53
68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D
4D ?? 51 57 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 39 5D ?? 0F 84 ??
?? ?? ?? 39 5D ?? 0F 84 ?? ?? ?? ?? 8D 55 ?? 52 56 FF 15 ?? ?? ?? ?? 8B 4F ?? 8B 45
?? 83 C1 ?? 2B C1 19 5D ?? 89 45 ?? 89 5D ?? 78 ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? B8 ??
?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 53 50 53 6A ?? 53 8B F8 56 89 45 ?? 89 7D ?? FF
15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ??
8B F8 85 FF 74 ?? 8B 4D ?? 8B 55 ?? 8D 45 ?? 50 57 6A ?? 51 6A ?? 52 FF 15 ?? ?? ??
?? 85 C0 74 ?? 8B 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ??
?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? 3B C7 73
?? 2B F8 EB ?? 33 FF 8B 55 ?? 8B 42 ?? 8D 4C 38 ?? 6A ?? 51 E8 ?? ?? ?? ?? 8B 7D ??
83 C4 ?? 33 DB 56 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 39 5D ?? 74 ?? 39
5D ?? 75 ?? 8B 47 ?? 8B 35 ?? ?? ?? ?? 50 FF D6 8B 7F ?? 3B FB 74 ?? 57 FF D6 5F 5E
5B 8B E5 5D C3
}

$main_encrypt = {
55 8B EC 56 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 89 46 ?? 85 C0 0F 84
?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 7E ?? 57 FF
D3 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 FF
D3 85 C0 74 ?? 8B 07 8D 5E ?? 53 50 8B 46 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B
C6 E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 4E ?? 6A ?? 51 E8 ??
?? ?? ?? 8B 56 ?? 83 C4 ?? 52 FF 15 ?? ?? ?? ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 0B
51 FF 15 ?? ?? ?? ?? 8B 17 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ??
5F 5B B9 ?? ?? ?? ?? 8D 46 ?? 8B FF C6 00 ?? 40 49 75 ?? 56 FF 15 ?? ?? ?? ?? 33 C0
5E 5D C2 ?? ??
}

$encryption_loop = {
8B 7C 24 ?? 6A ?? 6A ?? 8D 43 ?? 50 33 C0 39 43 ?? 0F 95 C0 40 50 FF 15 ?? ?? ?? ??
85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B9 ??
?? ?? ?? 8D 44 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ??
75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ??
?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ??
66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83
D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 57 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ??
?? ?? 85 C0 74 ?? 8B 44 24 ?? A8 ?? 74 ?? A9 ?? ?? ?? ?? 75 ?? 8D BC 24 ?? ?? ?? ??
E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 53 48 50 8B CF 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ??
8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 71 ?? 90 66 8B 11 83 C1 ?? 66 85 D2
75 ?? 2B CE D1 F9 8D 4C 4C ?? 3B C1 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D
94 24 ?? ?? ?? ?? 53 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 FF 15
?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
}

condition:
$encrypt_file and $main_encrypt and $encryption_loop

}


■マルウェア(infpub.dat)

MD5 1d724f95c61f1055f0d02c2154bbccd3
SHA1 79116fe99f2b421c52ef64097f0f39b815b20907
SHA256 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
SHA512 f2d7b018d1516df1c97cfff5507957c75c6d9bf8e2ce52ae0052706f4ec62f13eba6d7be17e6ad2b693fdd58e1fd091c37f17bd2b948cdcd9b95b4ad428c0113
SSDEEP 12288:GtDjvhNTc/cq4RKZZKfArRuSA80m+/6sXRnfPGp:IjTc/cq4RUZaArbInfPGp
authentihash 5102a18de884c02bbac242452a2fac597c0b3dd2ec4da4a57f13ce3a7f272ef9
imphash 84c07bbbee7d0b5b675b89ce3e4124e7
File Size 410760 bytes
File Type PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit
コンパイル日時 2017-10-22 02:33:41
Debug Path
File Name infpub.dat
File Path
生成ファイル
特徴
起動方法 rundll32.exe infpub.dat,#1 15
参考情報 https://www.virustotal.com/ja/file/579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648/analysis/
https://www.hybrid-analysis.com/sample/579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648?environmentId=100


■マルウェア(dispci.exe)

MD5 b14d8faf7f0cbcfad051cefe5f39645f
SHA1 afeee8b4acff87bc469a6f0364a81ae5d60a2add
SHA256 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
SHA512
SSDEEP 3072:1keK/MwGT0834YW3pvyh8fcl/iL62iL6KK:Sn/MZd4YW3pvyxl/ini
authentihash 3d05f09fb436c0e4dea85a8c6a12d47502016795df6ea5c8844da1655f1657b4
imphash 94f57453c539227031b918edd52fc7f1
File Size 142848 bytes
File Type PE32 executable for MS Windows (console) Intel 80386 32-bit
コンパイル日時 2017-10-22 02:33:09
Debug Path
File Name dispci.exe
File Path
生成ファイル
特徴
参考情報 https://www.virustotal.com/ja/file/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93/analysis/1508918221/
https://www.hybrid-analysis.com/sample/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93?environmentId=100


■マルウェア情報(FlashUtil.exe)

MD5 fbbdc39af1139aebba4da004475e8839
SHA1 de5c8d858e6e41da715dca1c019df0bfb92d32c0
SHA256 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
SHA512
SSDEEP 12288:BHNTywFAvN86pLbqWRKHZKfErrZJyZ0yqsGO3XR63:vT56NbqWRwZaEr3yt2O3XR63
authentihash c9133016a3e5cfbfb1aa8b50d1160fa53573413d4f81f871054ec7396d5a8b17
imphash e3bda9df66f1f9b2b9b7b068518f2af1
File Size 431.54 KB
File Type PE32 executable for MS Windows (console) Intel 80386 32-bit
コンパイル日時
Debug Path
File Name FlashUtil.exe
File Path
生成ファイル
特徴
参考情報 https://www.virustotal.com/#/file/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da/details
MD5 fa1f941b8fb0492f33d6902f02d55b97
SHA1 76035089b4cb52e1920bb180b0a6dae62d54ec8e
SHA256 8911fdb8c1ac8f6098057dfbbd77fc0c5e6a55a78d4a2f9701b965230ce32cf9
SHA512
SSDEEP 12288:EHNTywFAvN86pLbqWRKHZKfErrZJyZ0yqsGO3XR+:WT56NbqWRwZaEr3yt2O3XR+
authentihash d1dfad01288894ec0a31b3eda0f7812f4fc2fa67cbf03344b79da689b2dc5265
imphash e3bda9df66f1f9b2b9b7b068518f2af1
File Size 409.57 KB
File Type PE32 executable for MS Windows (console) Intel 80386 32-bit
コンパイル日時 2017-10-22 02:33:58
Debug Path
File Name FlashUtil.exe
File Path
生成ファイル
特徴
参考情報 https://www.virustotal.com/#/file/8911fdb8c1ac8f6098057dfbbd77fc0c5e6a55a78d4a2f9701b965230ce32cf9/details

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019