脅威リサーチ

Deep Pandaの新たなMilestone:Log4Shellとデジタル署名されたFire Chiliルートキット

投稿者 Rotem Sde-Or および Eliran Voronovitch | 2022年4月25日

FortiGuard Labs Research

影響を受けるプラットフォーム: Windows
影響を受けるユーザー:     Windowsユーザー
影響:             標的のマシンから機密情報を収集
深刻度:            クリティカル

この1ヵ月の間に、FortiEDRは中国のAPTグループ「Deep Panda」による活動を検知しました。このグループは、VMware Horizonサーバーに含まれる悪名高い脆弱性「Log4Shell」を悪用していました。複数の国のさまざまなセクターで同じ日に多数の感染が起こっている状況より、標的の対象は日和見的な傾向がありました。標的になった業界は、金融、学術、化粧品、旅行業界に及んでいます。

脆弱性がエクスプロイトされると、Deep Pandaは感染したマシンにバックドアを配置していました。バックドアからフォレンジック調査を進めていったところ、盗まれたデジタル証明書で署名された新型のカーネルルートキットを発見しました。さらに、この証明書は別の中国のAPTグループ「Winnti」も使用していて、彼らのツールの一部を署名することに使われていたことがわかりました。

今回のブログでは、この活動が中国の国家支援型脅威アクターによるものであることに加え、感染の流れ、バックドア、新たなルートキットの分析について説明します。

攻撃の連鎖

顧客のアラートやテレメトリを調査しているときに、標的ネットワークへの侵入を複数発見しました。これは、VMware Horizonサーバーに含まれる脆弱性「Log4Shell」を悪用した侵入でした。この攻撃により、新たなPowerShellプロセスが生まれ、悪意のあるDLLをインストールするための一連のスクリプトがダウンロードおよび実行されました。

図1:Log4Shellのエクスプロイトから最終ペイロードの実行までのイベントフロー

エンコードされたPowerShellコマンドにより、リモートサーバーから別のPowerShellスクリプトがダウンロードおよび実行されます。

図2:デコードされたPowerShellコマンド

次の段階のPowerShellスクリプトでは、同じサーバーから次の3つのファイルがさらにダウンロードされます。 1.bat, syn.exe1.dll.

図3:サーバーからダウンロードされたp.txt PowerShellスクリプトの内容

ダウンロード後、スクリプトは1.batを実行し、次にその1.batsyn.exeを実行し、3つのファイルをディスクからすべて削除します。

図4:サーバーからダウンロードされた1.batスクリプトの内容

syn.exeは、LoadLibraryを使用して最初のコマンドライン引数をロードするプログラムです。今回の場合は1.dllになります。1.dllモジュールは最終ペイロードで、我々がMilestoneと命名したバックドアになります。このコードは、リークされたGh0st RAT / Netbot Attackerのソースコードがベースとなり、Themeidaで圧縮されています。

バックドアは%APPDATA%\newdev.dllに自身のコピーを作り、さらに、レジストリにサービスエントリを直接作成します。これにより、msupdate2の名前でサービスを作成することができます。他にもいくつかのサービス名や説明が別のサンプルで確認されています。

Figure 5: “msupdate2” service registered by Milestone

正規のMicrosoftのnewdev.dllと同じ名前になっていますが、Milestoneバックドアのnewdev.dllのエクスポートは2つだけで、あとは付加的なServiceMainのエクスポートが1つあるだけです。

図6:悪意のあるMilestoneのエクスポート

バックドアの機能は全体的にGh0st RATと似ていますが、大きな違いがあります。Gh0st RATの通信はzlib圧縮されますが、このC2通信は圧縮されません。コマンドにも違いがあります。たとえば、CMDコマンドにおいて、一部の亜種ではまずcmd.exedllhost.exeにコピーします。CMDの実行を監視するセキュリティ製品によって検知されないようにするためです。また、バックドアは、システムの現行セッションに関する情報をサーバーに送信するコマンドをサポートしています。このコマンドは、本来のGh0st RATソースコードには存在しません。

さらに、入手したバックドアのサンプルの多くは、2つのバージョンで区別できるようになっています。2016年にコンパイルされたバイナリにはバージョンを示す文字列「MileStone2016」が含まれ、2017年にコンパイルされたバイナリには「MileStone2017」が含まれています。最近検知された感染で使用されていたサンプルは、2017年の亜種のみです。

2016年と2017年のMilestoneには違いがいくつかあります。まず、2017年のMilestoneは一般的にThemeidaで圧縮されていますが、2016年のMilestoneは圧縮されていません。加えて、2016年のMilestoneには適切なタイムスタンプがありますが、2017年のMilestoneでは同一のタイムスタンプですべて共有されているので、偽装されていることがわかります。2017年のバックドアが今日の攻撃に使用されているという事実を含めて考えると、これが2017年以降にコンパイルされたものなのかどうかは断定できません。

この2つのバージョンは、コマンドや通信においても若干異なります。2016年のMilestoneでは、XOR暗号化が通信に適用され、さらに、管理者権限を持つ新規ユーザーとしてコマンドを実行することができます。そのため、バックドアは、まず最初にシステムで新規の管理者ユーザーを作成します。ユーザー名は「ANONYMOUS」、パスワードは「MileSt0ne2@16」です。作成後、管理者ユーザーとしてCreateProcessAsUserを使って自身の別のインスタンスを実行し、その後すぐにシステムからユーザーを削除します。

バックドアのすぐ近くで

バックドアに加えて、ドロッパーを入手しました。これで3種類目です。ドロッパーは、次の3つのファイルをディスクに書き込みます。

  • 無害な実行ファイル:%APPDATA%\syn.exe
  • Milestoneローダー:%APPDATA%\newdev.dll
  • ドライバー:C:\Windows\system32\drivers\crtsys.sys

上記のペイロードは、XOR暗号化およびLZMA圧縮されて保存されます。XORキーはハードコードされたDWORDとなり、サンプル毎に変化します。

ドロッパーは、32ビットおよび64ビットシステム用の2つのビルドのドライバーを備えています。サービスコントロールマネージャー(SCM)のAPIを使用して、オペレーティングシステムアーキテクチャに準拠したビルドをドライバー「FSFilter-Min」としてインストールします。

ドロッパーは、ローダーバイナリの.dataセクションにパッチを適用して、そのコンフィギュレーションを追加してからディスクに書き込みます。次に、newdev.dllローダーモジュールをサイドロードするために、Synapticsによって署名された無害な実行可能ファイル「syn.exe」を実行します。

ローダーにはXOR暗号化ペイロードやLZMA圧縮ペイロードも含まれています。これがMilestoneバックドアとなります。XOR 0xCCでコンフィギュレーションを復号して、ドロッパーと同様に、バックドアの.dataセクションにパッチを適用します。このコンフィギュレーションには、バックドアのバージョン、C2サーバーアドレス、サービスパラメータが含まれています。

最後に、ローダーはMilestoneバックドアを速やかにロードし、エクスポートを呼び出します。

図7:復号されたコンフィギュレーションの例

Fire Chiliルートキット

調査の一環として、4つのドライバーサンプル(32ビットと64ビットのサンプルを2組)を収集しました。1組は2017年8月上旬にコンパイルされ、他の1組は10日後にコンパイルされたものです。4つのドライバーサンプルはすべて盗まれた証明書でデジタル署名されています 。証明書は米国に拠点を置く「Frostburn Studios」と韓国の企業「433CCR」(433씨씨알 주식회사)のいずれかのゲーム開発会社から盗まれたものです。Frostburn Studiosの証明書で作成された署名には、タイムスタンプまで付いています。

図8:crtsys.sysドライバーのデジタル署名

2つのサンプルはVirusTotal上でも、検知率が非常に低くなっています。

図9:VirusTotalによるルートキットサンプルの検知率

ルートキットはまず最初に、被害者のマシンがセーフモードで実行されていないことを確認します。次に、オペレーティングシステムのバージョンを確認します。ルートキットでは、DKOM(Direct Kernel Object Modification:カーネル・オブジェクトの直接操作)が使用されます。これには、文書化されていないカーネル構造体やオブジェクトなどが関わっています。このようなことから、感染したマシンがクラッシュする場合があるため、特定のOSビルドに依存することになります。ルートキットがサポートしている最新のビルドは、2017年4月にリリースされたWindows 10 Creators Update(Redstone 2)です。

このドライバーの目的は、ユーザーモードのコンポーネントから悪意のあるアーティファクトを非表示にして保護することです。これには、ファイル、プロセス、レジストリキー、ネットワーク接続の4つの場合があります。各場合でグローバルリストがあり、ドライバーには、非表示にするアーティファクトを含むグローバルリストが4つあることになります。ドライバーのIOCTLsは、コントロールデバイス「\Device\crtsys」を使ってリストを動的にコンフィギュレーションできることを可能にします。このようにして、ドロッパーはこれらのIOCTLsでドライバーのレジストリキー、ローダファイルとバックドアファイル、ローダープロセスを非表示にできるのです。

IOCTL

アクション

説明

0xF3060000

ファイルを非表示にする

グローバルファイルリストにパスを追加する

0xF3060004

ファイルの非表示を解除する

グローバルファイルリストからパスを削除する

0xF3060008

プロセスの非表示 / 保護

グローバルプロセスリストにファイルパスまたはPIDを追加する

0xF306000C

プロセスの非表示 / 保護を解除する

グローバルプロセスリストからファイルパスまたはPIDを削除する

0xF3060010

レジストリキーを非表示にする

グローバルレジストリリストにキーを追加する

0xF3060014

レジストリキーの非表示を解除する

グローバルレジストリリストからキーを削除する

0xF3060018

ネットワーク接続を非表示にする

グローバルネットワークリストにファイルパスまたはポート番号を追加する

0xF306001C

ネットワーク接続の非表示を解除する

グローバルネットワークリストからファイルパスまたはポート番号を削除する

ファイル

ルートキットは、Microsoft公式ドライバーのコードサンプルに基づくコードを使用するファイルシステムミニフィルターを実装しています。また、ミニフィルターインスタンスを登録する前に、Sfdev32TopInstanceという名前のレジストリにAltitude値483601を持つインスタンスを動的に作成します。

さらに、IRP_MJ_DIRECTORY_CONTROLのオペレーション後ルーチンに対するコールバックを1回だけ設定します。IRP_MN_QUERY_DIRECTORYのマイナー関数とグローバルファイルリストからのファイル名のIRPを受信すると、コールバックによって(FILE_BOTH_DIR_INFORMATION構造内体の)ファイル名が「.」に変更され、ファイル名の長さが0になります。

グローバルファイルリストは、デフォルトによりドライバーのパス(*\SYSTEM32\DRIVERS\CRTSYS.SYS)で初期化されます。

プロセス

プロセスには、次の2つのメカニズムがあります:

  • プロセス終了の防止
  • プロセスの非表示

ルートキットはプロセスの終了を防ぐために、保護するプロセスのPROCESS_TERMINATEアクセス権を拒否します。また、ObRegisterCallbacksを使用して、プロセスやスレッドへのハンドルがシステム内で作成されたり複製されたりしたときにトリガーされるオペレーション前のコールバックルーチンを登録します。ハンドルアクセスがユーザーモードによるものである場合や、ハンドルターゲットのイメージパスやPIDがグローバルプロセスリストにある場合、ドライバーはDesiredAccessパラメータからPROCESS_TERMINATEの権限を削除します。その結果、ユーザーモードのプロセスが、脅威アクターの悪意のあるプロセスを標準APIを使用して終了するのに必要な権限を取得できなくなります。

図10:DesiredAccessでのPROCESS_TERMINATEビットの設定解除

ルートキットはプロセスを非表示にするために、PsSetCreateProcessNotifyRoutine APIを使用するコールバックを登録して、システムで新たに作成されたプロセスをすべて監視します。システムで新たなプロセスが作成されると、ルートキットはパスがグローバルプロセスリストにあるかどうかをチェックします。リストにある場合、プロセスはEPROCESS構造体のActiveProcessLinksリストから削除されます。このリストは、システムで実行されているすべてのプロセスの双方向循環リストになります。ドライバーは、Flink(次のエントリ)とBlink(前のエントリ)をリンクさせて、ActiveProcessLinksからのプロセスリストエントリを削除します。その結果、タスクマネージャーなどのユーティリティでプロセスが非表示になります。

図11:ActiveProcessLinksからプロセスを削除

EPROCESS構造体はWindowsのビルド間で変わるため、ルートキットはランタイム中にActiveProcessLinksのオフセットを動的に解消します。まず、各要素をPIDと比較しながらプロセスのEPROCESS構造体を動き回り、UniqueProcessIdフィールドのオフセットを見つけます。これが見つかると、ActiveProcessLinksのオフセットがEPROCESS構造体の隣のフィールドにあるので、このオフセットも簡単に見つけられます。古いルートキットのサンプルでは、非表示メカニズムが使用されるのはWindows 8かそれ以前のWindows OSになりますが、新しいサンプルではWindows 7かそれ以前のWindows OSのみになります。

デフォルトでは、グローバルプロセスリストは*\qwerty.exeのパスで初期化されます。ただし、この名前のファイルによる活動への関与は確認されていません。

レジストリキー

ルートキットは、Microsoftのレジストリエディタを使用するユーザーからレジストリキーを隠します。コードは、中国の開発者が公開したオープンソースのプロジェクトに基づいています。

グローバルレジストリキーリストにあるキーのHHIVE->GetCellRoutine関数は、フィルタ関数に置き換えられます。クエリプロセスのパスが*\WINDOWS\REGEDIT.EXEの場合、関数はキーノードの代わりに0を返すだけになります。

デフォルトでは、グローバルレジストリリストはルートキットのレジストリキー(\REGISTRY\MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\CRTSYS)で初期化されます。

ネットワーク接続

ルートキットは、netstatなどのツールからTCP接続を隠すことができます。この部分のコードの多くは、オープンソースのプロジェクトからコピーされていると思われます。

ルートキットはnsiproxy.sysのデバイススタックをフックし、送信されたIOCTL_NSI_GETALLPARAM (0x12000B)タイプのIOCTLsを妨害します。このIOCTLsは、システム上のアクティブなネットワーク接続に関する情報を取得するために使用されるものです。妨害が行われると、ドライバーによりIoCompletionルーチンが、結果をフィルタリングする関数に置き換えられることにより、ネットワーク接続が非表示になります。

IOCTL_NSI_GETALLPARAMでは、NSI_PARAM構造体のネットワーク接続に関する情報を返します。NSI_PARAMには、接続の形成を担う実行ファイルのIP、ポート、接続状態、プロセスIDなどの接続データが含まれます。フィルタ関数はこの構造体を反復処理して、グローバルネットワークリストに含まれるプロセスやポート番号を検索します。認識された接続は構造体からすべて削除され、IOCTLsを送信したプロセスから隠されます。64ビットルートキットの新しいビルドでは、32ビットプロセスからのIOCTLsをフィルタリングするサポートが追加されています。

nsiproxy.sysへのフックに失敗した場合、ルートキットは代わりに\Device\Tcpをフックして、IOCTL_TCP_QUERY_INFORMATION_EX (0x120003)を妨害し、同様の方法でネットワーク接続を非表示にします。

デフォルトでは、グローバルネットワークリストは次のプロセスパスで初期化されます。

  • *\SYN.EXE
  • *\SVCHOST.EXE

その結果、MilestoneバックドアのTCP接続だけでなく、svchost.exeで実行されるあらゆるサービスのTCP接続が非表示になります。

背後にいる脅威アクター

Milestoneバックドアは、実は2010年初頭にDeep Pandaが使用していたInfoadmin RATと同じで、2013年2015年のブログでも触れられています。バックドアの多くはGh0st RATコードに基づいていますが、MilestoneとInfoadminは他のものと区別できます。どちらのバックドアにも類似したコードがあるだけでなく、Gh0st RATのコードに他の亜種では見られない同一の修正が組み込まれています。

この2つのバックドアは、通信を暗号化するXOR暗号化機能を共有し、元のGh0st RATの様にzlib圧縮を実装していません。また、主にCMDやスクリーンキャプチャ関数など、Gh0st RATコードの改変方法も同じでした。さらに、他のGh0st RAT亜種には存在しない2つのコマンド(セッション列挙のコマンド、管理者としてのコマンド実行)を共有しています。

さらに、Winnti(脅威アクター)との関係を示唆する形跡も確認しました。ルートキットは、ゲーム開発会社から盗まれた証明書でデジタル署名されています。これはWinntiの特性として知られています。これらの証明書の1つを使用して署名されたファイルをさらに検索すると、winmm.dllの名前でVirusTotalにアップロードされた悪意のあるDLLに行き着きました。これをさらに詳しく調べたところ、2013年に公開されたWinntiに関するブログで触れたツールと同じものであることがわかりました。更なるWinntiへの関連性はC2ドメインによって分かりました。newdev.dllローダーのうち2つがgnisoft[.]comのサーバーでコンフィギュレーションされています。このサーバーが2020年の時点でWinntiに帰属していました。

結論

今回のブログでは、先月からの一連の日和見的なLog4Shellの脆弱性を悪用した感染はDeep Pandaによるものであるという結論に至りました。Deep Pandaに関するこれまでの技術的な公表文献は5年以上前から公開されていましたが、このブログではMilestoneバックドアに関する最新のレポートにまで及んだ解説となりました。このことから、この活動がどれだけ長く続いているものなのかがわかることでしょう。

さらに、未知のFireChiliルートキットと2つの侵害されたデジタル署名について解説しました。そのうちの1つはWinntiと直接的に関連付けることができました。Deep PandaとWinntiはいずれもルートキットをツールセットの一部として使用していることが知られていますが、FireChiliは、これまでグループが使用していたものとは異なる独自のコードベースを持つ新種です。

これらのツールが2つの異なるグループと関連している理由は、現時点では不明です。しかし、グループの開発者たちが、盗まれた証明書やC2インフラストラクチャなどのリソースを互いに共有していた可能性はあります。サンプルが署名されたのがコンパイルされたわずか数時間後だったのはこうした理由だったのかもしれません。

フォーティネットのソリューション

FortiEDRはこれらの脅威を検知してブロックします。予備知識や特別なコンフィギュレーションは不要で、すぐに利用できます。これは、実行後の保護エンジンで悪意のあるアクティビティを識別して行われるものです。

図12:Log4Shellの悪用後のダウンロードや実行に関する通信をFortiEDRがブロック
図13:バックドアとC2感染後の通信をFortiEDRがブロック

すべてのネットワークIOCがFortiGuard Webフィルタリングのブロックリストに追加されています。

FortiGuardアンチウイルスサービスのエンジンは、フォーティネットのFortiGate、FortiMail、FortiClient、FortiEDRソリューションに含まれています。FortiGuardアンチウイルスの対応範囲は次のとおりです。

W32/Themida.ICD!tr
BAT/Agent.6057!tr
W64/Agent.A10B!tr
W32/Agent.0B37!tr
W32/GenKryptik.FQLT!tr
W32/Generic.AC.F834B!tr
W32/GenKryptik.ATCY!tr
W32/Generic.AP.33C2D2!tr
W32/GenKryptik.AQZZ!tr
W32/Generic.HCRGEJT!tr
W32/Agent.DKR!tr
W32/Agent.QNP!tr
W32/Agent.RXT!tr
W32/Agentb.BXIQ!tr
W32/Agent.DA3E!tr
W32/Agent.D584!tr
W32/Agent.0F09!tr
W32/Agent.3385!tr
W64/Agent.D87B!tr.rkit
W32/Agent.69C1!tr.rkit

さらに、この脅威の詳細は、フォーティネットが参加するCyber Threat Allianceの他の参加メンバーに、顧客保護の強化を目的としてリアルタイムで共有されました。

付録A:MITRE ATT&CK技術

ID

説明

T1190

一般向けアプリケーションの悪用

T1569.002

システムサービス:サービスの実行

T1059.001

コマンドおよびスクリプトインタープリター:PowerShell

T1027

難読化されたファイルや情報:ソフトウェア圧縮

T1041

C2チャンネルからの情報流出

T1082

システム情報の検知

T1036

なりすまし

T1083

ファイルとディレクトリの検知

T1059.003

コマンドおよびスクリプトインタープリター:Windowsコマンドシェル

T1592

被害者のホスト情報を収集

T1588.003

次の機能を取得:コード署名証明書

T1014

ルートキット

T1574.002

実行フローのハイジャック:DLLサイドロード

T1620

リフレクティブコードローディング

T1113

画面キャプチャ

添付資料B:IOC(Indicators of Compromise:侵害指標)

IOC

設置環境

詳細

ece45c25d47ba362d542cd0427775e68396bbbd72fef39823826690b82216c69

SHA256

バックドア

517c1baf108461c975e988f3e89d4e95a92a40bd1268cdac385951af791947ba

SHA256

バックドア

a573a413cbb1694d985376788d42ab2b342e6ce94dd1599602b73f5cca695d8f

SHA256

バックドア

9eeec764e77bec58d366c2efc3817ed56371e4b308e94ad04a6d6307f2e12eda

SHA256

バックドア

d005a8cf301819a46ecbb1d1e5db0bf87951808d141ada5e13ffc4b68155a112

SHA256

バックドア

69c69d71a7e334f8ef9d47e7b32d701a0ecd22ce79e0c11dabbc837c9e0fedc2

SHA256

バックドア

dfd2409f2b0f403e82252b48a84ff4d7bc3ebc1392226a9a067adc4791a26ee7

SHA256

バックドア

07c87d036ab5dca9947c20b7eb7d15c9434bb9f125ac564986b33f6c9204ab47

SHA256

バックドア

c0a2a3708516a321ad2fd68400bef6a3b302af54d6533b5cce6c67b4e13b87d3

SHA256

バックドア

f8b581393849be5fc4cea22a9ab6849295d9230a429822ceb4b8ee12b1d24683

SHA256

バックドア

14930488158df5fca4cba80b1089f41dc296e19bebf41e2ff6e5b32770ac0f1e

SHA256

バックドア

a9fa8e8609872cdcea241e3aab726b02b124c82de4c77ad3c3722d7c6b93b9b5

SHA256

バックドア

e92d4e58dfae7c1aadeef42056d5e2e5002814ee3b9b5ab1a48229bf00f3ade6

SHA256

バックドア

855449914f8ecd7371bf9e155f9a97969fee0655db5cf9418583e1d98f1adf14

SHA256

バックドア

a5fd7e68970e79f1a5514630928fde1ef9f2da197a12a57049dece9c7451ed7b

SHA256

バックドア

f5eb8949e39c8d3d70ff654a004bc8388eb0dd13ccb9d9958fd25aee47c1d3ae

SHA256

バックドア

64255ff02e774588995b203d556c9fa9e2c22a978aec02ff7dea372983b47d38

SHA256

バックドア

b598cb6ba7c99dcf6040f7073fe313e648db9dd2f6e71cba89790cc45c8c9026

SHA256

バックドア

2d252c51a29f86032421df82524c6161c7a63876c4dc20faffa47929ec8a9d60

SHA256

バックドア

2de6fb71c1d5ba0cd8d321546c04eaddddbf4a00ce4ef6ca6b7974a2a734a147

SHA256

バックドア

bd5d730bd204abaddc8db55900f307ff62eaf71c0dc30cebad403f7ce2737b5c

SHA256

バックドア

412464b25bf136c3780aff5a5a67d9390a0d6a6f852aea0957263fc41e266c8b

SHA256

バックドア

0d096d983d013897dbe69f3dae54a5f2ada8090b886ab68b74aa18277de03052

SHA256

バックドア

cfba16fa9aa7fdc7b744b2832ef65558d8d9934171f0d6e902e7a423d800b50f

SHA256

バックドア

a71b3f06bf87b40b1559fa1d5a8cc3eab4217f317858bce823dd36302412dabc

SHA256

バックドア

235044f58c801955ed496f8c84712fdb353fdd9b6fda91886262234bdb710614

SHA256

バックドア

e1a51320c982179affb26f417fbbba7e259f819a2721ab9eb0f6d665b6ea1625

SHA256

バックドア

d1be98177f8ae2c64659396277e7d5c8b7dba662867697feb35282149e3f3cbb

SHA256

バックドア

ab3470a45ec0185ca1f31291f69282c4a188a46e

SHA1

バックドア

10de515de5c970385cd946dfda334bc10a7b2d65

SHA1

バックドア

eb231f08cce1de3e0b10b69d597b865a7ebac4b3

SHA1

バックドア

66c3dfcb2cc0dfb60e40115e08fc293276e915c2536de9ed6a374481279b852b

SHA256

ローダー

73640e8984ad5e5d9a1fd3eee39ccb4cc695c9e3f109b2479296d973a5a494b6

SHA256

ローダー

7777bd2bdeff2fd34a745c350659ee24e330b01bcd2ee56d801d5fc2aceb858c

SHA256

ローダー

8bf4e301538805b98bdf09fb73e3e370276a252d132e712eae143ab58899763e

SHA256

ローダー

18b2e1c52d0245824a5bac2182de38efb3f82399b573063703c0a64252a5c949

SHA256

ローダー

d5c1a2ca8d544bedb0d1523db8eeb33f0b065966f451604ff4715f600994bc47

SHA256

ZIP

0939b68af0c8ee28ed66e2d4f7ee6352c06bda336ccc43775fb6be31541c6057

SHA256

BAT

0595a719e7ffa77f17ac254134dba2c3e47d8c9c3968cda69c59c6b021421645

SHA256

ドロッパー

7782fdc84772c6c5c505098707ced6a17e74311fd5c2e2622fbc629b4df1d798

SHA256

ドロッパー

18751e47648e0713345552d47752209cbae50fac07895fc7dd1363bbb089a10b

SHA256

64ビットドライバー

e4e4ff9ee61a1d42dbc1ddf9b87223393c5fbb5d3a3b849b4ea7a1ddf8acd87b

SHA256

64ビットドライバー

395dbe0f7f90f0ad55e8fb894d19a7cc75305a3d7c159ac6a0929921726069c1

SHA256

32ビットドライバー

befc197bceb3bd14f44d86ff41967f4e4c6412604ec67de481a5e226f8be0b37

SHA256

32ビットドライバー

1c617fd9dfc068454e94a778f2baec389f534ce0faf786c7e24db7e10093e4fb

SHA256

正規のSynaptics Setup.exe

bde7b9832a8b2ed6d33eb33dae7c5222581a0163c1672d348b0444b516690f09

SHA256

syn.exe

8b88fe32bd38c3415115592cc028ddaa66dbf3fe024352f9bd16aed60fd5da3e

SHA256

syn.exe

ba763935528bdb0cc6d998747a17ae92783e5e8451a16569bc053379b1263385

SHA256

syn.exe

9908cb217080085e3467f5cedeef26a10aaa13a1b0c6ce2825a0c4912811d584

SHA256

syn.exe

c6bcde5e8185fa9317c17156405c9e2c1f1887d165f81e31e24976411af95722

SHA256

winmm.dll

3403923f1a151466a81c2c7a1fda617b7fbb43b1b8b0325e26e30ed06b6eb936

SHA256

バックドア

9BCD82563C72E6F72ADFF76BD8C6940C6037516A

証明書サムプリント

-

2A89C5FD0C23B8AF622F0E91939B486E9DB7FAEF

証明書サムプリント

-

192.95.36[.]61

ネットワーク

-

vpn2.smi1egate[.]com

ネットワーク

-

svn1.smi1egate[.]com

ネットワーク

-

giga.gnisoft[.]com

ネットワーク

-

giga.gnisoft[.]com

ネットワーク

-

104.223.34[.]198

ネットワーク

-

103.224.80[.]76

ネットワーク

-

hxxp://104.223.34[.]198/111.php

ネットワーク

-

hxxp://104.223.34[.]198/1dll.php

ネットワーク

-

hxxp://104.223.34[.]198/syn.php

ネットワーク

-

hxxp://104.223.34[.]198/p.txt

ネットワーク

-

msupdate2

サービス名

-

WebService

サービス名

-

alg

サービス名

-

msupdate

サービス名

-

msupdateday

サービス名

-

DigaTrack

サービス名

-

crtsys.sys

ファイル名

-

%APPDATA%\syn.exe

ファイル名

-

%APPDATA%\newdev.dll

ファイル名

-