a7656ccba0946d25a4efd96f4f4576494d5f1e23e6ad2acc16d2e684656a2d4f [27] In February 2014, it was confirmed that Robert Schwentke would direct the sequel instead. The Divergent Series: Allegiant split the final book in Roth’s trilogy into two films, with production planned to begin on the final movie after its predecessor hit theaters. "[11], In December 2013, Summit Entertainment announced that a film adaptation of Insurgent, the second novel in the Divergent trilogy, would be released as The Divergent Series: Insurgent on March 20, 2015,[12] as a sequel to the film adaptation of Divergent with Brian Duffield originally chosen to write the script for the film. Cisco Talos は最近、「Divergent」と呼ばれるマルウェアを拡散させている新しいマルウェア ローダーを発見しました。Divergent は、これまで未確認の新種です。Divergent の調査を始めたきっかけは、Cisco Advanced Malware Protection(AMP)のエクスプロイト防止システムから送られた十分な量のデータでした。, Divergent では一部の機能を実現するため、NodeJS(Web ブラウザの外部で JavaScript を実行するプログラム)と、正当なオープンソース ユーティリティの「WinDivert」を使用しています。NodeJS の使用は、マルウェアで一般的に見られるものではありません。, Divergent の配布キャンペーンでは、主に「fileless マルウェア」を連想させる永続化手口が使用されています。この永続化手口の特徴は、マルウェア分析に使えるアーティファクトをほとんど残さないことです。Divergent は企業ネットワークの攻撃にも転用できますが、主な目的はクリック詐欺にあるようです。また、他のクリック詐欺マルウェア(Kovter など)で観察されたいくつかの特徴も備えています。, Talos では、新しいモジュール式マルウェアを特定しました。このマルウェアは、これまで未確認だったマルウェア ファミリ「Divergent」をインストールします。「Divergent」の名前は、変数の宣言および環境変数の作成中にマルウェアが使用する命名規則に由来して Talos が付けたものです。Divergent の拡散メカニズムは特定できませんでしたが、マルウェア ローダーや(それを介してインストールされる)マルウェア本体の分析には成功しました。Divergent は、クリック詐欺により攻撃者の収益を生み出すマルウェア ファミリです。類似のマルウェアには Kovter などがあります。以下のセクションでは、Divergent のインストールと動作の両方について、技術面から詳しくご説明します。, Divergent には、他の一般的なファイルレス マルウェア ファミリ(特に Kovter)と多くの類似点があります。Kovter と同様に、設定データのステージングと保存でレジストリに大きく依存することで、ディスク上のファイルに対する従来のオンアクセス スキャンを回避しています。また、レジストリ内のキーを使用して永続性を維持し、PowerShell により感染先のホストにマルウェア本体をインストールする点も似ています。, 侵入先のシステムで最初に取得・実行される際のマルウェアは、ポータブル実行可能(PE)形式のファイルです。ただし最初のタスクでは疑われることを避けるためか、レジストリから実行する HTML アプリケーション(HTA)として本体をインストールします。, そのために、ローダーの各部とマルウェア PE のデータを含む複数のレジストリ キーを作成します。マルウェアは、データ セクションに埋め込まれたすべての情報を読み取り、ランダムな名前のレジストリ キーを 3 つ新たに作成します。それぞれのキーは異なるステージのローダー コードを保持します。各キーは、反射型インジェクションを使用してマルウェア PE を実行する際に使用されます。, 次に、HTA ローダーが CSIDL_COMMON_APPDATA フォルダ(通常は C:\ProgramData\ 内に存在)に書き込まれます。ユーザがログオンするたびに実行されるよう、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 内に必要なレジストリ キーが追加されます。, HTA ローダーと、インストールされたマルウェアを実行するために必要なレジストリ エントリの例を次に示します。, レジストリ ファイルの HKLM\Software\ZfjrAilGdH キー内には、インストール プロセスで次のサブキーも作成されます(キー名はランダムに生成されるため環境ごとに異なります)。, HTA は徹底的に難読化されていますが、その役目は「ActiveXObject.WScript.Shell.RegRead」(以下は擬似コード)を使用して、レジストリ キー「HKLM\Software\ZfjrAilGdh\Lvt4wLGLMZ」内の JScript を eval 関数で評価することです。, レジストリ キー内の JScript は次の PowerShell コード(以下は難読化解除後のコード)を実行します。, この PowerShell コードは、変数「regkeyname」に HKLM\Software\ZfjrAilGdH\4FLJBnefsN のレジストリ データを代入した後、HKLM\Software\ZfjrAilGdH\kCu2DZ9WI0 のレジストリにあるコードを実行します。レジストリ キー「4FLJBnefsN」には、改ざんされた(MZ が Null バイトに置き換えられた)DOS ヘッダーと共に、悪意のある PE ファイルのコードが含まれています。, KCu2DZ9WI0 のコードは、マルウェアを挿入する反射型 PE インジェクション スクリプトの PowerShell バージョンです。, マルウェアには主に 2 つの機能があります。C2 サーバからコマンドを受信して実行する機能と、外部のコンポーネント スクリプトを実行する機能です。各機能の設定データは JSON 形式でレジストリに保存されます。, 設定データには、実行するコンポーネントと実行方法について記述されています。以下の設定データ例では、次の 3 つの JScript コンポーネントが実行されます。, 各エントリが解析され、それぞれのファイル名と args の値がマルウェアの実行時に渡されます。Call_03、all_socks_05 および block_av_01 の各コンポーネントの分析については、「Now I See You(監視準備完了)」、「クリック詐欺」、「ウイルス対策ソフトウェアの回避コンポーネント」の各セクションを参照してください。, ネットワーク設定には、2 つのクラスの C2 情報が保存されます。「kek」は、システム情報と実行コマンドの取得をマルウェアが試みる URL のリストです。「acll」は、設定内容を更新する必要がないか確認するための URL のリストです。ZfjrAilGdH.reg のデフォルト値は次のとおりです。, 「version」はエポック タイムスタンプであり、2019 年 3 月 30 日(土曜日)の 7:14:29 PM(GMT)に変換されています。Divergent の IOC が含まれている最も古いサンプルは 2019 年 2 月にさかのぼります。, Divergent が実行されると、5 種類の分析回避チェックを開始します。チェックが 1 つでも失敗すると、直接 IP を含むスタティック URL にビーコンが送信され、マルウェアが無期限にスリープします。, ビーコン メッセージには、失敗した分析回避チェックの内容が含まれます。マルウェアは、プロセス ファイル名とモジュール名をそれぞれハッシュすることで、望ましくないプロセスや起動済みモジュールを確認します。その後、各ハッシュを 2 つの(事前に作成された)リストと照らし合わせて比較します。2 つのリストには、エンドポイント セキュリティ ソフトウェアとハイパーバイザ サービスに関するハッシュが含まれるため、いずれかの環境下でマルウェアを実行するとチェックが失敗する仕組みになっています。また、ホスト CPU に少なくとも 2 つのコアが含まれ、かつデバッガが存在しているかを確認したうえで、システムのアップタイム間隔を比較します。これにより、サンプルがサンドボックスや仮想マシン内で実行されていないか確認します。, プロセスが必要な権限で実行されていれば、WMI(Windows 管理インストルメンテーション)を使用して、ホストでインストール・認識されているウイルス対策ソフトウェアを照会します。ここでは特に、ウイルス対策の Windows Defender を探します。Windows Defender が見つかった場合は、Windows Defender と Windows Update の各種コンポーネントを無効にします。, 各種コンポーネントを無効にした後は、必要であれば、CMSTP を使用して UAC のバイパスを試みます。追加のコードを実行し、マルウェアの 2 つの設定内容を更新する必要がないか確認します。最初の設定内容の acll キーに含まれる各 URL に、空の POST 要求が送信されます。これらの URL には、後にホストで発見された機密情報がすべて送信されます。現在はいずれの URL も応答しませんが、まだオンラインです。多くの URL は C2 ネットワークで使用されている(または使用されていた)、侵害されたホストのようです。, 最初の設定内容の acll キーに含まれる直接 IP の URL は、いずれかのサーバから更新情報が得られるまでマルウェアが接触を続けます。更新内容(RC4 で暗号化済み)を含む応答はレジストリに保存されます。このサンプルでは RC4 キー「seiC4aimaish9zah8kah」が静的です。復号化の結果、更新された設定データは以前の図よりも長くなっています。, データが既存のレジストリ サブキーに保存され、値が更新されます(この例では HKLM\SOFTWARE\ZfjrAilGdH\194956)。2019 年 9 月 9 日に取得した最新構成のタイムスタンプは 8 月 29 日(木曜日)2019 11:50:19 am でした。, 2 番目の設定は、レジストリ サブキー「ZfjrAilGdH」(HKLM\SOFTWARE\ZfjrAilGdH\2177774)の最後の値に格納されます。このセクションの冒頭付近で述べたデフォルト値は実行時にも使用されていました。, マルウェア コードの主なフローは終わりに達しますが、一部のタスクは 90 分ごとに繰り返されます。設定内容の更新チェックや、侵入先で見つけた機密情報の送信(暗号化して送信)、C2 サーバから送られてきた追加実行コマンドの処理などのタスクです。Divergent が使う C2 プロトコルは、次のコマンドとパラメータに対応しています。, – name
Green Hell Poison Dart Frog Cure, Willy Adames Wife, Fishing Gun Amazon, Bad Thermistor Symptoms Refrigerator, Sean Casey Whiplash, How To Tell How Old A Conch Shell Is, Yugioh Gx Characters, Tiffini Lake Brook Berringer, Difference Between Julius K9 And Brilliant K9 Harness, 3 Ninjas Knuckle Up Film Complet Français, Cuernos Pan Dulce Recipe, Sonic Spinball Unblocked, Normal Car Engine Temperature Celsius Mercedes, Bianca Devins Photo Corps, Rupaul Glamazon Perfume, How To Soil Drench With Neem Oil, Solar Plexus Crossword, Todo Cambia Lyrics, I Spy Clean Remix, Chipmunk Warning Call, Comment Calculer Le Profit économique, Black Templar Names, Nise Sonic Battle Font, Alternative Girl Names, Led Zeppelin Dallas 1970, Neon Bandicoot Adopt Me, 24x24 Concrete Pavers Lowe's, Snohomish River Crawfish, What Is A Vernacular Region In Human Geography, Rust Campfire Skins, Best Popper Reddit, 5e Scholar's Pack Book Of Lore, Aventon Sinch Weight, Titanium Iv Nitrate Formula, Swansea Sc Police Chief, Nicole Murphy Age, Carel Struycken Wife, Rehema Ellis Net Worth, Travis Scott Adlib Pack, Lowell Sun Police Log January 2020, Ethical Issues In Criminal Justice News Articles 2019, Weimaraner Rottweiler Mix, The Precipice Toby Ord Pdf, Prius Power Steering Motor, Horch Staff Car, Ewtn Address Zip Code, Pazuzu Algarad Interview, A Story About Bad Work Ethics, Methyl Red Vs Methyl Orange, How Many Fiat 500 Gucci Were Made, Motorcycle Ignition Coil Resistance Chart, Ct Plantsville The Big Show At The Drive In Southington Drive In July 19, Hydrogen Perchlorate Formula, Tiffini Lake Brook Berringer, Mime Act Scripts, Licence Avast 2020, Juju And Des Merch, Allusions In A Raisin In The Sun Act 1, Dragon 3 Netflix, Jenesis Sanchez And Jahseh, How To Drop Items In Fortnite Switch, Uncle Julios Charro Beans Recipe, Acer Monitor Menu Button Not Working, What Year Did Jennifer Strait Die, Adea Property Management Missoula, Bible Study Workbooks, Subnautica Ps4 Vr, Yoram Sheftel Net Worth, Raleah Cameron Powers, Patricia Ward Net Worth, Billy O'toole Father, How Many Tiger Tanks Were Destroyed In Ww2, Avan Jogia Daughter, Japanese Quiz Hiragana, Saint Bernard Puppy Growth Chart, Physics Of Snowboarding, Dell Strategic Fit, American Express Legal Department Phone Number, First 48 Tulsa Detectives,
