付録Aインテリジェンス成果物
GLASS WIZARDの脅威について、いくつかサンプル成果物を紹介します。
A.1 ショート形式の成果物
9章で述べた通り、ショート形式は1ページから2ページほどの成果物で、素早くリリースし、消費するための戦術的な活用を行います。
A.1.1 IOCレポート:Hydraqインジケータ
これはショート形式のIOCレポートで、GLASS WIZARDが使っていたHydraqマルウェアのインジケータの詳細です。
サマリー
Hydraqは、GLASS WIZARDが重要な標的に対して使っていたマルウェアの1つです。以下のインジケータは、悪意のある活動を特定するうえで有益だと考えられます。
表A-1:インジケータ
| インジケータ | コンテキスト | 特記事項 |
|---|---|---|
| Rasmon.dll | ファイル名 | |
| Securmon.dll | ファイル名 | |
| A0029670.dll | ファイル名 | |
| AppMgmt.dll | ファイル名 | |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[% ランダムな4文字 %] | マルウェアのレジストリキー | ランダム文字列の前のスペースは取り除かれる |
| %System%/acelpvc.dll | 2次ファイル | 防御に役立つインジケータではない |
| %System%/VedioDriver.dll | 2次ファイル | 防御に役立つインジケータではない |
| RaS[ランダムな4文字] | サービス名 | 誤検知の可能性あり |
| yahooo.8866.org | C2ドメイン | |
| sl1.homelinux.org | C2ドメイン | |
| 360.homeunix.com | C2ドメイン | |
| li107-40.members.linode.com | C2ドメイン |
Get インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
