ASEC 分析チームは以前、MOTW(Mark of the Web)の回避を試みた Magniber ランサムウェアについてブログで取り上げた。その後 Zone.Identifier に残っていたデータを活用して Magniber の配布に使用される配布元について調査を行った。
タイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって誤入力したドメインに接続すると、広告ページを経由して Magniber ランサムウェアである msi ファイルがダウンロードされた。この時に生成された Zone.Identifier を確認すると、以下のようにファイルがダウンロードされた URL について確認できる。
[図1] マグニバー(Magniber) 収集時に確認した Zone.Identifier
これを基に収集した Domain と IP を調査した結果、10月~11月の2か月間で約215個の IP と511個の Domain が使用されたことが確認された。
[図2] マグニバー(Magniber)の配布に使用された IP とドメイン
配布に使われるドメインは様々であることから、多数のドメイン登録業者を通して登録、使用していることがわかる。
現在 AhnLab では確保された IP と URL について遮断しており、V3 製品で有害サイト遮断オプションを有効にすると、Magniber の配布元との接続が遮断される。
[図3] マグニバー(Magniber) 配布元の遮断
IP と Domain の特性上、他の正常なユーザーがこれらを使用する場合もあるが、そのような際はカスタマーセンターに申し出れば対処することができる。
[IOC]
IP / Domain
45.82.87.54 hidwant.quest
45.82.86.103 betdate.uno
192.161.184.122 halldie.fit
192.161.184.121 putdear.email
45.82.86.93 lowroll.uno
45.82.86.107 lossend.casa
209.94.59.32 putdear.email
45.82.86.93 losthow.monster
192.161.184.121 perwish.email
209.94.59.32 perwish.email
192.161.184.110 owered.space
192.161.184.110 longate.monster
192.161.184.122 dofight.monster
45.82.86.97 askills.quest
192.161.184.86 logharm.space
192.161.184.100 spitecs.com
192.161.184.86 csmoved.space
…など
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報