付録Aインテリジェンス成果物

 GLASS WIZARDの脅威について、いくつかサンプル成果物を紹介します。

A.1 ショート形式の成果物

 9章で述べた通り、ショート形式は1ページから2ページほどの成果物で、素早くリリースし、消費するための戦術的な活用を行います。

A.1.1 IOCレポート:Hydraqインジケータ

 これはショート形式のIOCレポートで、GLASS WIZARDが使っていたHydraqマルウェアのインジケータの詳細です。

サマリー

 Hydraqは、GLASS WIZARDが重要な標的に対して使っていたマルウェアの1つです。以下のインジケータは、悪意のある活動を特定するうえで有益だと考えられます。

表A-1:インジケータ

インジケータコンテキスト特記事項
Rasmon.dllファイル名 
Securmon.dllファイル名 
A0029670.dllファイル名 
AppMgmt.dllファイル名 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[% ランダムな4文字 %]マルウェアのレジストリキーランダム文字列の前のスペースは取り除かれる
%System%/acelpvc.dll2次ファイル防御に役立つインジケータではない
%System%/VedioDriver.dll2次ファイル防御に役立つインジケータではない
RaS[ランダムな4文字]サービス名誤検知の可能性あり
yahooo.8866.orgC2ドメイン 
sl1.homelinux.orgC2ドメイン 
360.homeunix.comC2ドメイン 
li107-40.members.linode.comC2ドメイン 

Get インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法 now with the O’Reilly learning platform.

O’Reilly members experience live online training, plus books, videos, and digital content from nearly 200 publishers.