6a4465285a08964ea6c553a559cdebbce9df4ecb90813f6f00b7484a7e9a0018
比較的新しいと思われる検体VTには First Submission 2021-11-10 09:51:20 となっている。我々はmalwshareから検体を入手
VirusTotalの動的解析の結果を見るとファイルアクセスが下記のレポートとなっている。
我々のSandBoxのDFIR的なアプローチで収集された結果を見ると下記のようになっている。
usr/bin/pythnoとusr/bin/bsd-port/knerlはhashが検体と同じなので自分自身のコピー
usr/bin/dpkgd/netstat
ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=4be6b622bcea7aea37af4f623f503654fa923e36, for GNU/Linux 3.2.0, stripped
解析環境の/bin/netstatと同じHASHなのでこのファイルとなるが、解析環境には/usr/bin/dpkgd/が存在しないので検体がコピーした可能性がある。
Dr.WEBにそのような動作をしているレポートがある。
https://vms.drweb.com/virus/?i=17724815&lng=en
結論:
DFIR的なアプローチで 情報を収集した情報をIoCとして利用できる可能性があると感じた本日でした。
0 件のコメント:
コメントを投稿