TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Cerber (まとめ)

【概要】

  • 発見時期
    • 2016年3月に初めてロシアのアンダーグラウンド市場で確認
  • 現在のバージョン
    • CERBER 6
  • 最新機能
    • サンドボックスやセキュリティ対策ソフトを回避する機能
    • 暗号化しないファイルをチェックする機能(検出を遅らせる)
    • Windowsファイアウォールのルールを追加する機能(検出を回避)
  • 感染手法
    • 感染PCへファイルがダウンロードされて実行される手法
    • スケジュールタスクを作成して2分後に実行される手法
    • Windows PowerShell Scriptが組み込まれてコマンドが実行される手法


【ニュース】

■2016年

◆三つ首の魔犬「ケルベロス」の名を冠したコンピューターウイルス (Internet.com, 2016/06/09 11:40)

「ケルベロス」の名を冠したコンピューターウイルス「Cerber」について、セキュリティ企業のKaspersky(カスペルスキー)がブログを書いている

http://internetcom.jp/201084/cerber-becomes-multipurpose-malware

◆ランサムウェア構成ファイルが更新!? Cerberの暗号化手法に変化が (ascii.JP, 2016/08/26 13:39)
http://ascii.jp/elem/000/001/218/1218377/

◆Cerber 3.0 Ransomware Variant Emerges (SecurityWeek, 2016/09/04)
http://www.securityweek.com/cerber-30-ransomware-variant-emerges

◆Cerber 4.1.0 and 4.1.1: The Evolution Continues (The State of Security, 2016/11/01)
https://www.tripwire.com/state-of-security/featured/cerber-4-1-0-4-1-1-evolution-continues/

◆ランサムウェア 「ケルベル (Cerber)」 (Ahnlab, 2016/11/16)
http://mjp.ahnlab.com/site/securitycenter/securitycenterboard/securityInsightView.do?seq=2314&curPage=

■2017年

◆ランサムウェア「Cerber」が進化、機械学習利用のセキュリティツールから検出回避--トレンドマイクロ (ZDNet, 2017/03/29 13:22)
https://japan.zdnet.com/article/35098898/

◆Apache Struts2の脆弱性、ファイル暗号化のランサムウェアに悪用 (ITmedia, 2017/04/07 08:25)

1カ月前に発覚した「Apache Struts2」の脆弱(ぜいじゃく)性が、ランサムウェア「Cerber」の亜種を使った、Windowsに対する攻撃に悪用される事例が多発しているという

http://www.itmedia.co.jp/enterprise/articles/1704/07/news051.html

◆ランサムウェア「Cerber」がまた凶悪化--Bitcoinウォレットも狙う (CNet, 2017/08/07 10:10)
https://japan.cnet.com/article/35105381/

◆Cerber ransomware using Magnitude EK and binary padding (SCmedia, 2017/08/10)
https://www.scmagazine.com/cerber-spotted-using-magnitude-ek-its-own-gate-and-binary-padding/article/681188/

◆韓国を狙う新しいランサムウェア「MAGNIBER」が「CERBER」に代わり拡散中 (Trendmicro, 2017/10/24)
https://www.is702.jp/news/2230/partner/101_g/


【ブログ】


■2016年

◆“話す” 暗号化型ランサムウェア「CERBER」、ロシアのアンダーグラウンド市場で販売 (Trendmicro, 2016/03/10)
http://blog.trendmicro.co.jp/archives/12987

◆暗号化型ランサムウェア「CERBER」のバージョン3.0、不正広告で拡散 (Trendmicro, 2016/09/05)
http://blog.trendmicro.co.jp/archives/13770

◆複数のエクスプロイトキットに利用される「CERBER 4.0」 (Trendmicro, 2016/10/14)
http://blog.trendmicro.co.jp/archives/13897

◆解析情報:「CERBER」、データベースファイルの暗号化機能を追加 (Trendmicro, 2016/11/28)
http://blog.trendmicro.co.jp/archives/14102

■2017年

◆進化を続ける巧妙なランサムウェア「CERBER」 (Trendmicro, 2017/05/25)
https://www.is702.jp/news/2153/partner/101_g/


【関連情報】

f:id:tanigawa:20160310092722j:plain
Cerberの脅迫メッセージ
出典: http://blog.trendmicro.co.jp/wp-content/uploads/2016/03/160310_image01.jpg

f:id:tanigawa:20161102183542p:plain
出典: http://blog.trendmicro.co.jp/archives/13770

f:id:tanigawa:20170131060238j:plain
Pseudo Darkleechは、改ざんされたサイトに直接 Rig EK のリンクを埋め込む
出典: http://blog.trendmicro.co.jp/archives/13897

f:id:tanigawa:20170131060249j:plain
Pseudo Darkleechには、ユーザをリダイレクトするサーバへ誘導し、そこから Rig EK へ誘導するものもある
出典: http://blog.trendmicro.co.jp/archives/13897

f:id:tanigawa:20161121153958j:plain
出典: http://blog.trendmicro.co.jp/archives/14102

f:id:tanigawa:20170526054634j:plain
出典: https://www.is702.jp/news/2153/partner/101_g/


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware


【インディケータ情報】

■ハッシュ情報(Sha1)

Sha1 備考
0a6ec6a46e66863e48a05058963d9babf2c2b911 Cerber 4.1.0
fddb48d4910adc0aa75b9529a90e11dac62c41ce Cerber 4.1.1
620dca44514ee1d440867285bbb2a73a35303876 Cerber 4.1.3
8185e5477e29b1095f5fc42197baddac56fb44d2 Cerber 4.1.4
317b1dea823f942061f1f8c6612ef745704c9962 Cerber 4.1.5
cc8f31bb926f862b3c5360e33c32134b871008de Ransom_CERBER.F116K8 (Cerber 4.1.5)
9d48589dc1e202847980004f8290cd12289f7a5c Ransom_CERBER.F116K7 (Cerber 4.1.3)
66c9ccca850929f1d4b7b07cb5dd0be4a50a73f7 Cerber 4.1.0

■ハッシュ情報(Sha256)

aa3fc1d5a79e1d43165b5556bae2669fd68455508bb667a457fa3dfd25b6222e Ransom_HPCERBER.SM6

■URL情報

hxxp://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
hxxp://api.blockcypher.com/v1/btc/main/addrs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
hxxps://chain.so/api/v2/get_tx_spent/btc/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
hxxp://xrhwryizf5mui7a5.15ktsh.top/
hxxp://xrhwryizf5mui7a5.uhi7to.bid/
hxxp://xrhwryizf5mui7a5.onion.to/
hxxp://vyohacxzoue32vvk.onion/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020