出典: https://gigazine.net/news/20171025-bad-rabbit/
【概要】
| 攻撃開始 | 2017年10月24日 19:00頃から(日本時間) |
| 感染方法 | Adobe Flashの最新版を装ったインストーラーを使用 |
| 身代金 | 0.05 BTC(約3万円) |
| 制限時間 | 40時間 |
| マルウェア | infpub.dat : 感染直後のファイル暗号化 |
| マルウェア | dispci.exe : 再起動された後のディスク暗号化処理 |
| 使用ツール | Mimikatz(パスワード解読) |
| 使用ツール | DiskCryptor(暗号化) … cscc.dat |
| 誘導先 | caforssztxqzf2nm.onion |
■マルウェアの活動
□第1ステージ
- 正規のWebサイトを閲覧
- ドライブバイ・ダウンロードによりhxxp://1dnscontrol.com/flash_install.phpからドロッパーがダウンロード
- ボタンをクリックする必要あり
- ドロッパーはAdobe Flash Playerのインストーラーを装っている(install_flash_player.exe)
- 管理者権限が必要
□第2ステージ
- 「install_flash_player.exe」を実行すると「infpub.dat」が生成
- rundll32を使用して起動
- infpub.datには次の5種類の実行ファイルが埋め込まれている(Cylance)
- Mimikatzの2つのバージョン(x86とx64)
- 署名付きドライバーの2つのバージョン(x86とx64)
- ブートレコードに感染して支払い要求メッセージを生成するモジュール
- 「infpub.dat」は、悪質な実行ファイル「dispci.exe」をC:\Windowsにインストール
【詳細】
■日本での攻撃観測
- 米Symantecは、日本国内においても同マルウェアを観測
- 協定世界時10月24日10時前後より観測(日本時間 10/24 19時ころ)
- ピークを迎えたのはそれから約2時間後(日本時間 10/24 21時ころ)
- 1時間あたり400件以上を検知
検知数の推移(グラフ:Symantec)
出典: http://www.security-next.com/086993
■海外の被害状況
オデッサ国際空港のメッセージ
出典: https://www.facebook.com/odessa.aero/posts/704524863080360
【ニュース】
◆ランサム「Bad Rabbit」拡散、国内サイトも踏み台に - 3.8%を日本で検出 (Security NEXT, 2017/10/25)
http://www.security-next.com/086941
⇒ http://malware-log.hatenablog.com/entry/2017/10/25/000000_4
◆「Petya」類似の新種ランサム「Bad Rabbit」 - ニュースサイト経由で感染誘導 (Security NEXT, 2017/10/25)
http://www.security-next.com/086913
⇒ http://malware-log.hatenablog.com/entry/2017/10/25/000000_3
◆JPCERT/CC、新種ランサム「Bad Rabbit」で注意呼びかけ - 被害対応依頼の窓口などアナウンス (Security NEXT, 2017/10/25)
http://www.security-next.com/086936
⇒ http://malware-log.hatenablog.com/entry/2017/10/25/000000_1
◆ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害 (ITmedia, 2017/10/25 09:00)
ロシアやウクライナで地下鉄などの公共交通機関や報道機関、政府機関などに被害が広がっている
http://www.itmedia.co.jp/enterprise/articles/1710/25/news053.html
⇒ http://malware-log.hatenablog.com/entry/2017/10/25/000000
◆データを暗号化して身代金を要求するマルウェア「Bad Rabbit」の感染被害が急拡大 (Gigazine, 2017/10/25 10:31)
https://gigazine.net/news/20171025-bad-rabbit/
◆Bad Rabbit: New Ransomware Attack Rapidly Spreading Across Europe (thehackernews, 2017/10/25)
https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html
◆ロシアや欧州、日本で大規模なサイバー攻撃が発生 (産経新聞, 2017/10/25 10:45)
http://www.sankei.com/world/news/171025/wor1710250021-n1.html
◆「Bad Rabbit」ランサムウェアの感染拡大、ロシアなどで報告--「Petya」亜種か (CNET, 2017/10/25 11:37)
https://japan.cnet.com/article/35109298/
◆新手のランサムウエア「Bad Rabbit」、JPCERT/CCやセキュリティベンダーが警告 (ITPro, 2017/10/25)
http://itpro.nikkeibp.co.jp/atcl/news/17/102502517/?rt=nocnt
◆新ウイルス「Bad Rabbit」海外で猛威―日本のセキュリティ組織もピリピリ (InternetCom, 2017/10/25)
https://internetcom.jp/203632/bad-rabbit
◆ランサムウェア「Bad Rabbit」、日本の被害情報は“錯綜” (ZDNet, 2017/10/25 17:33)
https://japan.zdnet.com/article/35109364/
◆ランサムウエア「Bad Rabbit」、ファイルや変数の名前に「ゲーム・オブ・スローンズ」のキャラクターを使用 (Internet watch, 2017/10/25)
ロシアやウクライナで感染が急拡大、ドロッパーが日本でもダウンロードか?
◆日本や露に大規模なサイバー攻撃 ウクライナは空港・地下鉄被害 北関与? 専門家ら見方示す (産経新聞, 2017/10/26 07:03)
http://www.sankei.com/world/news/171026/wor1710260008-n1.html
⇒ http://malware-log.hatenablog.com/entry/2017/10/26/000000_2
◆Symantecも国内で「Bad Rabbit」を検知 - 観測ピークは発生2時間後 (Security NEXT, 2017/10/26)
http://www.security-next.com/086993
⇒ http://malware-log.hatenablog.com/entry/2017/10/26/000000_5
◆ランサムウェア「Bad Rabbit」は企業を脅すサイバー攻撃の可能性 (ZDNet, 2017/10/27 14:48)
https://japan.zdnet.com/article/35109488/
◆「ゲーム・オブ・スローンズ」ファンの仕業? ランサムウェア 「BadRabbit」 (ASCII.jp, 2017/10/27 17:50)
http://ascii.jp/elem/000/001/577/1577335/
◆新種のランサムウェア「Bad Rabbit」--知っておくべき10のこと (ZDnet, 2017/10/29 07:30)
https://japan.zdnet.com/article/35109484/
⇒ http://malware-log.hatenablog.com/entry/2017/10/29/000000_1
◆Petyaとの類似性や相違点など、BadRabbitの初期分析を公式ブログで解説 - Symantec Officaila blog (マイナビニュース, 2017/10/30)
http://news.mynavi.jp/news/2017/10/30/097/
⇒ http://malware-log.hatenablog.com/entry/2017/10/30/000000_2
◆先週のサイバー事件簿 - 欧州発の新型ランサムウェア「Bad Rabbit」に注意 (マイナビニュース, 2017/10/30)
http://news.mynavi.jp/articles/2017/10/30/security/
⇒ http://malware-log.hatenablog.com/entry/2017/10/30/000000_3
◆ランサムウエア「Bad Rabbit」の概略 (COMPUTERWORLD, 2017/10/30)
http://itpro.nikkeibp.co.jp/atcl/idg/14/481542/103000432/
◆Petyaとの類似性や相違点など、BadRabbitの初期分析を公式ブログで解説 - Symantec Officaila blog (マイナビニュース, 2017/10/30)
http://news.mynavi.jp/news/2017/10/30/097/
◆新種ランサム「Bad Rabbit」は「EternalRomance」を悪用 (Security NEXT, 2017/11/02)
http://www.security-next.com/087256
◆新種ランサムウェア「Bad Rabbit」がウクライナやロシアで感染を拡大 (マイナビニュース, 2017/11/02)
http://news.mynavi.jp/kikaku/2017/11/02/002/
◆「Bad Rabbit」の踏み台被害、対応に1カ月弱 - アイカ工業がサイト再開 (Security NEXT, 2017/11/20)
http://www.security-next.com/087732
【ブログ】
◆Kiev metro hit with a new variant of the infamous Diskcoder ransomware (ESET, 2017/10/24)
https://www.welivesecurity.com/2017/10/24/kiev-metro-hit-new-variant-infamous-diskcoder-ransomware/
⇒ http://malware-log.hatenablog.com/entry/2017/10/24/000000_2
◆Bad Rabbit: A new ransomware epidemic is on the rise – Kaspersky Lab official blog (Kaspersky, 2017/10/25)
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
◆Bad Rabbit ransomware - Securelist (kaspersky, 2017/10/25)
https://securelist.com/bad-rabbit-ransomware/82851/
◆New Ransomware ‘Bad Rabbit’ Spreading Quickly Through Russia and Ukraine - Motherboard (motherboard, 2017/10/25)
https://motherboard.vice.com/en_us/article/59yb4q/bad-rabbit-petya-ransomware-russia-ukraine
◆身代金ウイルス「バッドラビット」による大規模サイバー攻撃 (sputnik, 2017/10/25 10:29)
https://jp.sputniknews.com/incidents/201710254219197/
◆ランサムウェアBadRabbitに関する情報についてまとめてみた (piyolog, 2017/10/25)
http://d.hatena.ne.jp/Kango/20171025/1508921925
◆新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される (Trendmicro, 2017/10/25)
http://blog.trendmicro.co.jp/archives/16226
⇒ http://malware-log.hatenablog.com/entry/2017/10/25/000000_9
◆Bad Rabbit Ransomware Strikes Ukraine, Likely related to GoldenEye (bitdefender, 2017/10/24)
https://labs.bitdefender.com/2017/10/bad-rabbit-ransomware-strikes-ukraine-likely-related-to-goldeneye/
◆BadRabbit: New strain of ransomware hits Russia and Ukraine (Symantec, 2017/10/25)
BadRabbit is self-propagating and has many similarities to the June 2017 Petya / NotPetya outbreak
https://www.symantec.com/connect/blogs/badrabbit-new-strain-ransomware-hits-russia-and-ukraine
◆注目の脆弱性:Bad Rabbit の分析 (TALOS(CISCO), 2017/10/25 13:27)
https://gblogs.cisco.com/jp/2017/10/talos-bad-rabbit/
◆NotPetya pulls BadRabbit out of the hat(Group-IB, 2017/10/26)
https://www.group-ib.com/blog/reportbadrabbit
⇒ http://malware-log.hatenablog.com/entry/2017/10/26/000000_4
◆BACKSWING - Pulling a BADRABBIT Out of a Hat(FireEye, 2017/10/26)
https://www.fireeye.com/blog/threat-research/2017/10/backswing-pulling-a-badrabbit-out-of-a-hat.html
⇒ http://malware-log.hatenablog.com/entry/2017/10/26/000000_11
◆ReversingLabs' YARA rule detects BadRabbit encryption routine specifics (ReversingLabs, 2017/10/26)
https://www.reversinglabs.com/newsroom/news/reversinglabs-yara-rule-detects-badrabbit-encryption-rutine-specifics.html
◆ランサムウェア「Bad Rabbit」の内部構造を紐解く (MBSD, 2017/10/27)
https://www.mbsd.jp/blog/20171027.html
⇒ http://malware-log.hatenablog.com/entry/2017/10/27/000000_2
【注意喚起】
◆感染が拡大中のランサムウェア「Bad Rabbit」の対策について (IPA, 2017/10/26)
https://www.ipa.go.jp/security/ciadr/vul/20171026-ransomware.html
⇒ http://malware-log.hatenablog.com/entry/2017/10/26/000000_3
【公開情報】
◆新たなランサムウエア「Bad Rabbit」について (JPCERT/CC, 2017/10/25)
http://www.jpcert.or.jp/newsflash/2017102501.html
⇒ http://malware-log.hatenablog.com/entry/2017/10/25/000000_1
◆Threat Advisory & Analysis: ‘Bad Rabbit’ Ransomware (Carbon Black, 2017/10/24)
https://www.carbonblack.com/2017/10/24/threat-advisory-analysis-bad-rabbit-ransomware/
◆579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 (INTEZER)
https://analyze.intezer.com/#/analyses/d41e8a98-a106-4b4f-9b7c-fd9e2c80ca7d
◆BadRabbit Malware Analysis (IBM, 2017/11/09)
https://exchange.xforce.ibmcloud.com/collection/BadRabbit-Malware-Analysis-78c57491593b05937e9adccd545d033b
【資料】
◆BAD RABBIT – Ransomware Ein weiterer Not-Petya-Ableger (TAROX, 2017/10/25)
https://www.tarox.de/fileadmin/bilder/Uploads_Dokumente/Infoblatt_Bad_Rabbit_Ransomware.pdf
⇒ http://malware-log.hatenablog.com/entry/2017/10/25/000000_7
◆Technical Analysis of Bad Rabbit (panda, 2017/10/26)
https://www.pandasecurity.com/mediacenter/src/uploads/2017/10/1710-Informe_BR-en.pdf
⇒ http://malware-log.hatenablog.com/entry/2017/10/26/000000_7
【マルウェア情報】
◆Ransom:Win32/Tibbar.A (Microsoft,2017/10/24)
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Tibbar.A
【セキュリティベンダー情報】
■Kaspersky
◆Bad Rabbit: A new ransomware epidemic is on the rise – Kaspersky Lab official blog (Kaspersky, 2017/10/25)
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
◆Bad Rabbit ransomware - Securelist (kaspersky, 2017/10/25)
https://securelist.com/bad-rabbit-ransomware/82851/
■Group-IB
◆BadRabbit (Group-IB, 2017/10/24)
There is a connection between BadRabbit and Not Petya
https://www.group-ib.com/blog/badrabbit
⇒ http://malware-log.hatenablog.com/entry/2017/10/26/000000_4
■ESET
◆Kiev metro hit with a new variant of the infamous Diskcoder ransomware (ESET, 2017/10/24)
https://www.welivesecurity.com/2017/10/24/kiev-metro-hit-new-variant-infamous-diskcoder-ransomware/
⇒ http://malware-log.hatenablog.com/entry/2017/10/24/000000_2
■Unit 42
◆Threat Brief: Information on Bad Rabbit Ransomware Attacks (paloalto, 2017/10/24)
https://researchcenter.paloaltonetworks.com/2017/10/threat-brief-information-bad-rabbit-ransomware-attacks/
◆Palo Alto Networks Protections Against Bad Rabbit Ransomware Attacks (paloalto, 2017/10/24)
https://researchcenter.paloaltonetworks.com/2017/10/palo-alto-networks-protections-bad-rabbit-ransomware-attacks/
■CISCO TALOS
◆Threat Spotlight: Follow the Bad Rabbit (Talos, 2017/10/24)
http://blog.talosintelligence.com/2017/10/bad-rabbit.html
■Carbon Black
◆Threat Advisory & Analysis: ‘Bad Rabbit’ Ransomware (Carbon Black, 2017/10/24)
https://www.carbonblack.com/2017/10/24/threat-advisory-analysis-bad-rabbit-ransomware/
■Symantec
◆BadRabbit: New strain of ransomware hits Russia and Ukraine (Symantec, 2017/10/25)
BadRabbit is self-propagating and has many similarities to the June 2017 Petya / NotPetya outbreak.
https://www.symantec.com/connect/blogs/badrabbit-new-strain-ransomware-hits-russia-and-ukraine
■FireEye
◆BACKSWING - Pulling a BADRABBIT Out of a Hat(FireEye, 2017/10/26)
https://www.fireeye.com/blog/threat-research/2017/10/backswing-pulling-a-badrabbit-out-of-a-hat.html
⇒ http://malware-log.hatenablog.com/entry/2017/10/26/000000_11
■Trendmicro
◆新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される (Trendmicro, 2017/10/25)
http://blog.trendmicro.co.jp/archives/16226
⇒ http://malware-log.hatenablog.com/entry/2017/10/25/000000_9
【関連まとめ記事】
◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware
【インディケータ情報】
■ハッシュ情報(MD5)
| b14d8faf7f0cbcfad051cefe5f39645f | dispci.exe |
| 1d724f95c61f1055f0d02c2154bbccd3 | infpub.dat |
| fbbdc39af1139aebba4da004475e8839 | FlashUtil.exe |
■ハッシュ情報(Sha1)
| 79116fe99f2b421c52ef64097f0f39b815b20907 | infpub.dat | Diskcoder |
| afeee8b4acff87bc469a6f0364a81ae5d60a2add | dispci.exe | Lockscreen |
| 413eba3973a15c1a6429d9f170f3e8287f98c21c | Mimikatz (32-bits) | パスワード解読 |
| 16605a4a29a101208457c47ebfde788487be788d | Mimikatz (64-bits) | パスワード解読 |
| de5c8d858e6e41da715dca1c019df0bfb92d32c0 | install_flash_player.exe | Dropper |
| 4f61e154230a64902ae035434690bf2b96b4e018 | page-main.js | JavaScript on compromised sites |
■ハッシュ情報(Sha256)
| 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da | |
| 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 | dispci.exe |
| 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 |
■C&Cサーバー
| hxxp://caforssztxqzf2nm.onion | Payment site |
| hxxp://185.149.120.3/scholargoogle/ | Inject URL |
| hxxp://1dnscontrol.com/flash_install.php | Distribution URL |
■感染サイト
- hxxp://argumentiru.com
- hxxp://www.fontanka.ru
- hxxp://grupovo.bg
- hxxp://www.sinematurk.com
- hxxp://www.aica.co.jp
- hxxp://spbvoditel.ru
- hxxp://argumenti.ru
- hxxp://www.mediaport.ua
- hxxp://blog.fontanka.ru
- hxxp://an-crimea.ru
- hxxp://www.t.ks.ua
- hxxp://most-dnepr.info
- hxxp://osvitaportal.com.ua
- hxxp://www.otbrana.com
- hxxp://calendar.fontanka.ru
- hxxp://www.grupovo.bg
- hxxp://www.pensionhotel.cz
- hxxp://www.online812.ru
- hxxp://www.imer.ro
- hxxp://novayagazeta.spb.ru
- hxxp://i24.com.ua
- hxxp://bg.pensionhotel.com
- hxxp://ankerch-crimea.ru
出典: https://www.tarox.de/fileadmin/bilder/Uploads_Dokumente/Infoblatt_Bad_Rabbit_Ransomware.pdf
■暗号化対象の拡張子
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip
■埋め込まれた認証情報
- secret
- 123321
- zxc321
- zxc123
- qwerty123
- qwerty
- qwe321
- qwe123
- 111111
- password
- test123
- admin123Test123
- Admin123
- user123
- User123
- guest123
- Guest123
- administrator123
- Administrator123
- 1234567890
- 123456789
- 12345678
- 1234567
- 123456
- adminTest
- administrator
- netguest
- superuser
- nasadmin
- nasuser
- ftpadmin
- ftpuser
- backup
- operator
- other user
- support
- manager
- rdpadmin
- rdpuser
- user-1
- Administrator
■Yaraルール
rule Win32_Ransomware_BadRabbit : malicious {
strings:
$encrypt_file = {
55 8B EC 83 EC ?? 53 56 57 8B 7D ?? 8B 4F ?? 33 DB 8D 45 ?? 50 53 53 51 89 5D ?? 89
5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 53 53 6A ?? 53 53
68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D
4D ?? 51 57 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 39 5D ?? 0F 84 ??
?? ?? ?? 39 5D ?? 0F 84 ?? ?? ?? ?? 8D 55 ?? 52 56 FF 15 ?? ?? ?? ?? 8B 4F ?? 8B 45
?? 83 C1 ?? 2B C1 19 5D ?? 89 45 ?? 89 5D ?? 78 ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? B8 ??
?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 53 50 53 6A ?? 53 8B F8 56 89 45 ?? 89 7D ?? FF
15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ??
8B F8 85 FF 74 ?? 8B 4D ?? 8B 55 ?? 8D 45 ?? 50 57 6A ?? 51 6A ?? 52 FF 15 ?? ?? ??
?? 85 C0 74 ?? 8B 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ??
?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? 3B C7 73
?? 2B F8 EB ?? 33 FF 8B 55 ?? 8B 42 ?? 8D 4C 38 ?? 6A ?? 51 E8 ?? ?? ?? ?? 8B 7D ??
83 C4 ?? 33 DB 56 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 39 5D ?? 74 ?? 39
5D ?? 75 ?? 8B 47 ?? 8B 35 ?? ?? ?? ?? 50 FF D6 8B 7F ?? 3B FB 74 ?? 57 FF D6 5F 5E
5B 8B E5 5D C3
}$main_encrypt = {
55 8B EC 56 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 89 46 ?? 85 C0 0F 84
?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 7E ?? 57 FF
D3 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 FF
D3 85 C0 74 ?? 8B 07 8D 5E ?? 53 50 8B 46 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B
C6 E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 4E ?? 6A ?? 51 E8 ??
?? ?? ?? 8B 56 ?? 83 C4 ?? 52 FF 15 ?? ?? ?? ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 0B
51 FF 15 ?? ?? ?? ?? 8B 17 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ??
5F 5B B9 ?? ?? ?? ?? 8D 46 ?? 8B FF C6 00 ?? 40 49 75 ?? 56 FF 15 ?? ?? ?? ?? 33 C0
5E 5D C2 ?? ??
}$encryption_loop = {
8B 7C 24 ?? 6A ?? 6A ?? 8D 43 ?? 50 33 C0 39 43 ?? 0F 95 C0 40 50 FF 15 ?? ?? ?? ??
85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B9 ??
?? ?? ?? 8D 44 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ??
75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ??
?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ??
66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83
D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 57 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ??
?? ?? 85 C0 74 ?? 8B 44 24 ?? A8 ?? 74 ?? A9 ?? ?? ?? ?? 75 ?? 8D BC 24 ?? ?? ?? ??
E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 53 48 50 8B CF 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ??
8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 71 ?? 90 66 8B 11 83 C1 ?? 66 85 D2
75 ?? 2B CE D1 F9 8D 4C 4C ?? 3B C1 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D
94 24 ?? ?? ?? ?? 53 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 FF 15
?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
}condition:
$encrypt_file and $main_encrypt and $encryption_loop
}
■マルウェア(infpub.dat)
| MD5 | 1d724f95c61f1055f0d02c2154bbccd3 |
| SHA1 | 79116fe99f2b421c52ef64097f0f39b815b20907 |
| SHA256 | 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 |
| SHA512 | f2d7b018d1516df1c97cfff5507957c75c6d9bf8e2ce52ae0052706f4ec62f13eba6d7be17e6ad2b693fdd58e1fd091c37f17bd2b948cdcd9b95b4ad428c0113 |
| SSDEEP | 12288:GtDjvhNTc/cq4RKZZKfArRuSA80m+/6sXRnfPGp:IjTc/cq4RUZaArbInfPGp |
| authentihash | 5102a18de884c02bbac242452a2fac597c0b3dd2ec4da4a57f13ce3a7f272ef9 |
| imphash | 84c07bbbee7d0b5b675b89ce3e4124e7 |
| File Size | 410760 bytes |
| File Type | PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit |
| コンパイル日時 | 2017-10-22 02:33:41 |
| Debug Path | |
| File Name | infpub.dat |
| File Path | |
| 生成ファイル | |
| 特徴 | |
| 起動方法 | rundll32.exe infpub.dat,#1 15 |
| 参考情報 | https://www.virustotal.com/ja/file/579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648/analysis/ |
| https://www.hybrid-analysis.com/sample/579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648?environmentId=100 | |
■マルウェア(dispci.exe)
| MD5 | b14d8faf7f0cbcfad051cefe5f39645f |
| SHA1 | afeee8b4acff87bc469a6f0364a81ae5d60a2add |
| SHA256 | 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 |
| SHA512 | |
| SSDEEP | 3072:1keK/MwGT0834YW3pvyh8fcl/iL62iL6KK:Sn/MZd4YW3pvyxl/ini |
| authentihash | 3d05f09fb436c0e4dea85a8c6a12d47502016795df6ea5c8844da1655f1657b4 |
| imphash | 94f57453c539227031b918edd52fc7f1 |
| File Size | 142848 bytes |
| File Type | PE32 executable for MS Windows (console) Intel 80386 32-bit |
| コンパイル日時 | 2017-10-22 02:33:09 |
| Debug Path | |
| File Name | dispci.exe |
| File Path | |
| 生成ファイル | |
| 特徴 | |
| 参考情報 | https://www.virustotal.com/ja/file/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93/analysis/1508918221/ |
| https://www.hybrid-analysis.com/sample/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93?environmentId=100 | |
■マルウェア情報(FlashUtil.exe)
| MD5 | fbbdc39af1139aebba4da004475e8839 |
| SHA1 | de5c8d858e6e41da715dca1c019df0bfb92d32c0 |
| SHA256 | 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da |
| SHA512 | |
| SSDEEP | 12288:BHNTywFAvN86pLbqWRKHZKfErrZJyZ0yqsGO3XR63:vT56NbqWRwZaEr3yt2O3XR63 |
| authentihash | c9133016a3e5cfbfb1aa8b50d1160fa53573413d4f81f871054ec7396d5a8b17 |
| imphash | e3bda9df66f1f9b2b9b7b068518f2af1 |
| File Size | 431.54 KB |
| File Type | PE32 executable for MS Windows (console) Intel 80386 32-bit |
| コンパイル日時 | |
| Debug Path | |
| File Name | FlashUtil.exe |
| File Path | |
| 生成ファイル | |
| 特徴 | |
| 参考情報 | https://www.virustotal.com/#/file/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da/details |
| MD5 | fa1f941b8fb0492f33d6902f02d55b97 |
| SHA1 | 76035089b4cb52e1920bb180b0a6dae62d54ec8e |
| SHA256 | 8911fdb8c1ac8f6098057dfbbd77fc0c5e6a55a78d4a2f9701b965230ce32cf9 |
| SHA512 | |
| SSDEEP | 12288:EHNTywFAvN86pLbqWRKHZKfErrZJyZ0yqsGO3XR+:WT56NbqWRwZaEr3yt2O3XR+ |
| authentihash | d1dfad01288894ec0a31b3eda0f7812f4fc2fa67cbf03344b79da689b2dc5265 |
| imphash | e3bda9df66f1f9b2b9b7b068518f2af1 |
| File Size | 409.57 KB |
| File Type | PE32 executable for MS Windows (console) Intel 80386 32-bit |
| コンパイル日時 | 2017-10-22 02:33:58 |
| Debug Path | |
| File Name | FlashUtil.exe |
| File Path | |
| 生成ファイル | |
| 特徴 | |
| 参考情報 | https://www.virustotal.com/#/file/8911fdb8c1ac8f6098057dfbbd77fc0c5e6a55a78d4a2f9701b965230ce32cf9/details |
