それぞれのマルウェアについて

# それぞれのマルウェアについて　ブラウザの検索機能を使えばいいんですが，なるべく五十音順で書いていきたいケーススタディになりがち... なるべく必要な情報だけを抽出したい；；以下の項目についていい感じにまとめようと思います．マルウェアの種類を分類するのあやふやだな...  基本的にこの形式でやっていき --- - 利用グループ(推測も含む)： - 登場： - 種類 - 目的： - 感染経路 - fuga - 通信の特徴 - hoge - アンチデバッグ： - 永続性： - その他：参考資料 - 投稿日:yyyy/mm/dd - 発行機関名 -　タイトル  AgentTesla --- - 利用グループ(推測も含む)：SilverTerrierとその他大勢 - 登場： - 種類: - 目的：情報窃取 - 感染経路：スパムメール - 通信の特徴： - アンチデバッグ： - 永続性： - その他：参考資料 - [投稿日:2020/04/19 - paloalto UNIT42 - 新型コロナウイルス感染症関連組織を狙うフィッシング攻撃日本も標的に](https://unit42.paloaltonetworks.jp/covid-19-themed-cyber-attacks-target-government-and-medical-organizations/) - [投稿日:2020/06/11 - LAC WATCH - 新型コロナウイルスに便乗したスパムメール、攻撃グループの特徴を紹介](https://www.lac.co.jp/lacwatch/report/20200611_002213.html) Andromeda --- - 利用グループ(推測も含む)： - 登場： - 種類 - 目的： - 感染経路 - fuga - 通信の特徴 - hoge - アンチデバッグ： - 永続性： - その他： - domain：disorderstatus[.]ru 参考資料 - 投稿日:yyyy/mm/dd - 発行機関名 -　タイトル - 投稿日：????/??/?? - avast - [Andromeda under the microscope](https://blog.avast.com/andromeda-under-the-microscope)  Babuk ransomware --- - 利用グループ(推測も含む)： - 登場：2021 - 種類 - 目的： - 感染経路 - fuga - 通信の特徴 - hoge - アンチデバッグ： - 永続性： - その他：参考資料 - 投稿日:2021/02/23 - macfee -　[Babuk Ransomware](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/babuk-ransomware/) BazarLoader --- - 利用グループ(推測も含む)： - 登場：2020/04 - 種類：ローダー・バックドア - 目的：情報窃取 - 感染経路 - フィッシングメール - 悪意のある添付ファイル - 本文中のリンク - 通信の特徴 - EmerDNS(.bazar)ドメインを利用 - アンチデバッグ： - 必要時にAIPを解決(AIPのハッシュ値とモジュールのインデックスから動的に解決する) - ASM code obfuscation - 文字列の暗号化(というよりstack strings 寄り) - 永続性 - Startupフォルダの利用 - 検出回避 - 認証局の信頼を悪用し検出回避 - メモリ上で動作するファイルレス性 - その他：参考資料 - 2020/04/27 - Trend Micro - [Group Behind TrickBot Spreads Fileless BazarBackdoor](https://www.trendmicro.com/vinfo/es/security/news/cybercrime-and-digital-threats/group-behind-trickbot-spreads-fileless-bazarbackdoor) - 2020/08/06 - Cyberreason - [Bazarマルウェア：Team9の開発サイクルを追跡](https://www.cybereason.co.jp/blog/cyberattack/5103/) - 2021/02/21 FORTINET - [New Bazar Trojan Variant is Being Spread in Recent Phishing Campaign – Part I](https://www.fortinet.com/blog/threat-research/new-bazar-trojan-variant-is-being-spread-in-recent-phishing-campaign-part-I) -  Conficker --- - 利用グループ(推測も含む)： - 登場：2008~ - 種類：ワーム - 目的： - 感染経路 - MS08-067(CVE-2008-4250)の脆弱性を利用した感染 - 共有ネットワークフォルダを介した感染(亜種から) - リムーバブルドライブ(USBとか)を介した感染(亜種から) - 通信の特徴 - 445/tcpへの通信が大量に発生する - アンチデバッグ： - 永続性： - その他：参考資料 - [投稿日:????/??/?? - SNAS - The Conficker Worm](https://www.sans.org/security-resources/malwarefaq/conficker-worm) - [投稿日:2009上半期 - IPA - 情報セキュリティ技術動向調査（2009 年上期）6 大規模感染型マルウェアConfickerの動向調査とダークネット観測事例](https://www.ipa.go.jp/security/fy21/reports/tech1-tg/a_06.html)  Emotet --- - 利用グループ(推測も含む)： - 登場：2014~ - 種類： - 目的：情報窃取，ほかのマルウェアへの二次感染 - 感染経路 - スパムメール(返信型も) - パスワード付きのzipファイルの添付(パスワードは本文中に記載) - SMBの脆弱性により横展開 - 通信の特徴 - 7080番ポートなどの普段使われないポートが使われいてる - C2サーバの接続先情報が暗号化しハードコードされている検体もあり，順番に接続を試みている - Cookieヘッダを利用して感染端末の情報を漏洩している - アンチデバッグ - プロセスリストなどのC2サーバ側へ送ることで，解析環境と判断することをC2サーバ側がしている - 永続性 - 起動時に自動で実行されるようにレジストリキーを設定（HKCU￥Software\Microsoft\Windows\CurrentVersion\Runに値を設定する） - ほかのプロセスに対してコードを挿入 - その他：エモいなぁ～～参考資料 - [投稿日:2018/12/25 - MBSD Blog - 流行マルウェア「EMOTET」の内部構造を紐解く](https://www.mbsd.jp/blog/20181225_2.html) - [投稿日:2019/12/02 - IPA - 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて](https://www.ipa.go.jp/security/announce/20191202.html) - [投稿日:2020/01/23 - US-CERT alerts - Alert (TA18-201A) Emotet Malware](https://us-cert.cisa.gov/ncas/alerts/TA18-201A) - [投稿日:2020/09/04 - JPCERT/CC - マルウェア Emotet の感染拡大および新たな攻撃手法について ](https://www.jpcert.or.jp/newsflash/2020090401.html) - [投稿日:2021/02/22 - JPCERT/CC - マルウェアEmotetのテイクダウンと感染端末に対する通知](https://blogs.jpcert.or.jp/ja/2021/02/emotet-notice.html)  FormBook --- - 利用グループ(推測も含む)： - 登場：2016~ - 種類：Stealer - 目的：情報窃取 - 感染経路 - 悪意のある文書ファイル(PDF,Doc,XLS) - アーカイブファイルなど - 通信の特徴 - hoge - アンチデバッグ： - 永続性： - その他：参考資料 - 2017/10/05 - Fireeye - [Significant FormBook Distribution Campaigns Impacting the U.S. and South Korea](https://www.fireeye.com/blog/threat-research/2017/10/formbook-malware-distribution-campaigns.html) -  Hive --- - 利用グループ(推測も含む)： - 登場：2021/06 - 種類：Ransomware - 目的： - 感染経路 - fuga - 通信の特徴 - Tor Domain : hxxp://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd[.]onion/ - アンチデバッグ： - 永続性： - その他： - 暗号化されたファイルの拡張子は.hive 参考資料 - 2021/08/25 - FBI - [FBI FLASH](https://www.ic3.gov/Media/News/2021/210825.pdf)  IcedID --- - 利用グループ(推測も含む)：Shathak(TA551) - 登場：2017~ - 種類：banking Trojan, Loader - 目的：情報窃取 - 感染経路 - スパムメール(実際にやり取りされたメールを窃取し再利用することも＝返信型) - URLから直接DL 参考資料 - 2020/11/9 - TREND MICRO -　[「EMOTET」後のメール脅威状況：「IcedID」および「BazarCall」が3月に急増](https://blog.trendmicro.co.jp/archives/27732) - 2020/11/12 - macnica networks - [IceID /IcedIDマルウェアへの対応について](https://mnc.macnica.net/2020/11/iceid.html) - 2021/4/28 - TREND MICRO - [「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意](https://blog.trendmicro.co.jp/archives/26656)  LockBit --- - 利用グループ(推測も含む)： - 登場： - 種類 - 目的： - 感染経路 - fuga - 通信の特徴 - hoge - アンチデバッグ： - 永続性： - その他：参考資料 - 2021/08/25 - TREDN MICRO -　[「LockBit 2.0」のランサムウェア攻撃が拡大中。日本にも被害を及ぼす攻撃活動を解説](https://blog.trendmicro.co.jp/archives/28572) - 2021/10/19 - MBSD - [ランサムウェア「LockBit2.0」の内部構造を紐解く](https://www.mbsd.jp/research/20211019/blog/) -  PhotoMiner --- - 利用グループ(推測も含む)： - 登場： - 種類：ワーム、コインマイナー - 目的： - 感染経路 - 脆弱なFTPサーバ - 改ざんされたWebサイト - 通信の特徴 - asdf - アンチデバッグ： - 永続性： - その他：参考資料 - ????/??/?? - guardicore - [The PhotoMiner Campaign](https://www.guardicore.com/labs/the-photominer-campaign/)  QakBot Qbot --- - 利用グループ(推測も含む)： - 登場：2007~ - 種類：Banking Trojan - 目的：情報窃取 - 感染経路 - メール - 通信の特徴 - PNGにGET リクエストを飛ばすが、PNGの実態は実行形式のバイナリ(?) - アンチデバッグ： - 永続性： - その他：参考資料 - 2021/09/02 - Kaspersky - [QakBot technical analysis](https://securelist.com/qakbot-technical-analysis/103931/)  Raccoon --- - 利用グループ(推測も含む)： - 登場：2019~ - 目的：情報窃取 - 種類： - 感染経路：スパムメール，EK，フィッシングサイト，他のマルウェアから - 通信の特徴 - Google DriveのURL(format: hxxp://{ip}/gate/log.php)にアクセスし設定情報を記録する - データ流出用のURL(format: hxxp://{ip}/file_hander/file[.]php)に接続する - Googleからの正規のトラフィックに偽るためにGoogle Cloud Serviceにホストされている(すべてではない) - アンチデバッグ： - 永続性： - その他：参考資料 - 2020/05/31 - TREND MICRO - [Raccoon Stealer’s Abuse of Google Cloud Services and Multiple Delivery Techniques](https://blog.trendmicro.com/trendlabs-security-intelligence/raccoon-stealers-abuse-of-google-cloud-services-and-multiple-delivery-techniques/) RemcosRAT --- - 利用グループ(推測も含む)： - 登場： - 種類 - 目的： - 感染経路： - 通信の特徴： - アンチデバッグ： - 永続性： - その他：参考資料 -[]()  XMRig --- - 利用グループ(推測も含む)： - 登場：2021~? - 種類：MinningTool - 目的：他人のリソースを利用した仮想通貨のマイニング - 感染経路 - SSHによる不正侵入 - 通信の特徴 - fuga - アンチデバッグ： - 永続性： - その他：参考資料 - ????/??/?? - [セキュアワークス - 仮想通貨マイニングマルウェアの動向](https://www.secureworks.jp/resources/rp-cryptocurrency-mining-malware-landscape) - 2021/05/20 - JPCERT/CC - [仮想通貨マイニングツールの設置を狙った攻撃](https://blogs.jpcert.or.jp/ja/2021/05/xmrig.html) XORDDoS --- - 利用グループ(推測も含む)： - 登場： - 種類：Trojan - 目的：感染端末をボット化しDDoS - 感染経路 - SSH/Telnetでポートスキャンを行い，ターゲットがみつかるとブルートフォースを行う - DockerのAPIを利用する2375番ポートを利用 - 通信の特徴 - hoge - アンチデバッグ： - 永続性： - その他：2375番ポートはDocker AIPで暗号化されていない未認証通信に使われる参考資料 - 2020/10/16 - TREND MICRO - [XORDDOS Malware Information](https://success.trendmicro.com/solution/000278087)  - 利用グループ(推測も含む)： - 登場：2018 - 種類：RAT - 目的： - 感染経路 - fuga - 通信の特徴 - hoge - アンチデバッグ： - 永続性： - その他：参考資料 - 投稿日:yyyy/mm/dd - 発行機関名 -　タイトル - [2022/02/11 - BlackBerry - How Warzone RAT Works](https://blogs.blackberry.com/en/2021/12/threat-thursday-warzone-rat-breeds-a-litter-of-scriptkiddies)  Zloader --- - 利用グループ(推測も含む)： - 登場： - 種類：Banking Malware - 目的： - 感染経路： - 通信の特徴： - アンチデバッグ： - 永続性： - その他：参考資料 - 2020/11/25 - LAC WATCH - [分析レポート：Emotetの裏で動くバンキングマルウェア「Zloader」に注意](https://www.lac.co.jp/lacwatch/people/20201106_002321.html)