脅威のスポットライト:バンキング型トロイの木馬のCitadel

By The Cylance Threat Research Team

本ブログ記事は、2019年10月9日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

バンキング型トロイの木馬で、ZeuSの亜種であるCitadelは2012年に初めて発見されました。ZeuSのソースコードは2011年に公開され、いくつかの亜種が生み出されました。図1に、時系列で、ZeuSの悪名高い亜種をいくつか挙げます。

図1:Zeusの進化

Citadelは、マンインザブラウザー(MiTB)という技法を使用して、銀行取引の資格情報、パスワード、その他の機密性の高いユーザーデータなどの機密情報を収集します。この技法は、一般的に、ユーザーのブラウザーによってレンダリングされる前に、WebページにHTMLまたはJavaScriptを挿入することで実現されます。Webインジェクションによって、脅威の攻撃者は、PINやクレジットカードのフィールドなどのコンテンツを追加したり、セキュリティ警告などのコンテンツをビューから除去したりできます。MiTB攻撃の被害ユーザーは、多くの場合、気づかないうちに機密情報を攻撃者に提供しています。

ビットおよびボット

弊社の調査は、Citadelマスター1.3.5.1ファイルに含まれた亜種に焦点を当てています。ファイルを解凍すると以下の内容が現れます。

図2:Citadelマスター1.3.5.1の内容

フォルダー

Other: このフォルダーには、Windows Backconnectサーバー用のphpスクリプトが含まれています。 

Server[php]:
このフォルダーには、サーバーへのアップロード用のスクリプトが含まれた管理者用パッケージが含まれています。また、管理者制御パネル(cp.php)、ボット通信用ゲートファイル(gate.php)、設定および実行可能ファイルをボットに発行するスクリプト(file.php)なども含まれています。

Builder: このフォルダーには、Citadelマルウェアを構築するために必要なコンポーネントが含まれています。また、UPX圧縮されたcitadel.exeも含まれています。これは、hardwareid.exeの分析で後述する、リロケーションテーブルに関する同じ問題が発生します。このファイルは、修正され、解凍され、実行されると、Citadel GUIを表示します。このGUIによって、ユーザーは、ボット設定、ボットプロキシーファイルを構築できます。図3を参照してください。

図3:Citadel Builder GUI

ボットを設定するには、ユーザーは「Build the bot configuration(ボット設定の構築)」を選択します。これによって、以下が含まれたconfig.dllが生成されます。

url_loader: ボットをロードするために使用するパス。

url_server: gate.phpへのパス。このファイルには、ゲートを使用してボットを認証する方法について情報が含まれています。例えば、MD5認証シグネチャがgate.phpに含まれている情報と一致しない場合、接続は失われます。

url_webinjects: TWebインジェクトスクリプトへのパス。Citadelは、ブラウザーに悪意のあるコードを挿入することによって、MiTB攻撃を実行します(図4参照)。   

図4:Citadel Webインジェクトスクリプト

Webインジェクトスクリプトには、以下のとおりCitadelが使用するいくつかのフラグが含まれています。

set_url: これはターゲットURLを指定します。この例では、米国の多国籍バンキング、モーゲージ、投資、および金融サービス会社である、www[.]wellsfargo[.]comに設定されています。ターゲットURLは、任意のオンラインバンキング機関にカスタマイズできます。

G: すべてのGET要求に設定されるフラグ。

P: すべてのPOST要求に設定されるフラグ。

data_before および data_after:  これらは、コードを挿入する場所を定義します。

data_inject および data_end: これら2つのタグの間のコードが、ターゲットブラウザーに挿入されます。

DNSをリダイレクトしたり、特定のアンチウイルス(AV)サーバーをブロックしたりできるCitadelの能力は、非常に洗練されています。DNSリダイレクトで使用されるURLのサンプルを以下の図5に示します。DNSリダイレクト/ブロックのリストは、600を超えるURLから構成されており、これらは付録の図16を参照してください。

図5:Citadel DNSリダイレクトリスト

ファイル

Personal Manual.txt: この文書は、ロシア語で書かれています。内容には、Citadelインストール、ボットビルダー、スクリプト、管理者用の追加保護および設定に関するステップごとの指示が含まれています。また、以下の項目も含まれています。

  • BackConnect Windows Server(VNCモジュール)のインストール
  • Citadel VNC Adminインターフェイスモジュール
  • WebSocks
  • WebParser
  • The CardSwipeモジュール 
  • 管理者向け新機能マニュアル
  • FTP - iframe ― 特性およびセットアップ
  • 「キーロガーモジュール」の説明
  • ボットネットを保護するGeoIPモジュール(特定の領域を回避/排除するようにカスタマイズ可能)
  • 「ダブルクリーナーログ」モジュール
  • 「Webインジェクト」モジュール
  • FAQ
  • Jabberで正しく質問する方法(Zeus亜種、2009年)
  • ボット用コマンドのリスト

このマニュアルは極めて詳細に記述されており、ボットネットのセットアップに必要なすべてが含まれています。「Personal manual.txt」の内容の例については、図6を参照してください。以下のセクションには、「ボット用コマンドのリスト」が示されています。右に記載されている元のバージョンはロシア語で書かれています。左のパネルには、英語の翻訳が示されています。

図6:「Personal Manual.txt」の内容にある「ボット用コマンドのリスト」

zeus_old_manual.txt: この文書には、「Personal manual.txt」と同じ内容が記載されていますが、それほど詳しくはありません。「zeus_old_manual.txt」のQ&Aおよび誤った認識のスクリーンショットについては、図7を参照してください。

図7:「zeus_old_manual.txt」のQ&Aおよび誤った認識

Hardwareid.exe:

タイプ

Win32

コンパイル時間

2012/1/11 水曜日 10:28:16

サイズ

28672

 

Hardwareid.exeは、UPX圧縮されています。公式のUPX解凍ツールを使用して解凍しようとすると、exeのヘダーに問題がある旨が示されて、「CantUnpackException」が表示されます。

図8:実行可能ファイルのヘダーのエラーによって解凍不可

バイナリエディタでhardwareid.exeを開くと、エラーを解決するためにDOSヘダーを修正する必要があることがわかります。DOSヘダーのオフセット0x18にある、リロケーションテーブルへのオフセットは、通常0x40ですが、この場合は違います。以下のとおり、0に設定されています。

図9:リロケーションテーブルへのオフセットは通常0x40だが、この場合は違うため、エラーが発生

これは、CFFなど任意のバイナリエディタでこの実行可能ファイルを開き、手動で変更することで容易に修正できます。DOSヘダーを修正することによって、サンプルは問題なく解凍できます。

図10:リロケーションテーブルアドレスの修正後、サンプルは正常に解凍

Hardwareid_fixed_unpacked.exeは、Win32_BIOS、Win32_Processor、およびPHYSICALDRIVESに関する情報を収集します。Citadelは、通信にRC4暗号化アルゴリズムを使用します(図12)。RC4を初期化するには、暗号鍵が必要です。この場合、hardwareid.exeを使用して、鍵(BO_LOGIN_KEY)が生成されます。

図11:HardwareID計算プログラムによって生成されたID/キー

図12:Citadelが使用するrc4暗号化アルゴリズム

技術的分析

Citadelがシステムに感染する1つの方法が、マルスパムキャンペーンによって感染したEメールを配布する方法です。弊社が分析したサンプルでは、図13のコードを使用して、ユーザーを欺き悪意のあるPDFを開かせようとしていました。ユーザーは、PDFが添付された、件名「LOL, {user}」のEメールを受け取ります。攻撃者は、被害者の好奇心を悪用して、感染した「file_{user}.pdf」を開かせようとします。このファイルが開かれるとシステムはCitadelに感染します。

図13:Citadelのスパムメールレイアウトのコードの一部

Citadelが何を窃取し、それがどのように行われるかを分析します。

SHA256

69ffd6172b905e5b9392a59ad049bb782c13334b729983125da7ce65ec6bd1a4

タイプ

Win32

サイズ

458.2KB

タイムスタンプ

2013-10-29 14:24:01

ITW names

ftp13.exe

Citadel (1)は、実行されると、子ドロッパー(2)をドロップします。この子ドロッパーは、ランダム実行可能ファイル(3)をドロップし、C:\Users\<user>\AppData\Roaming (“%APPDATA%\<random_folder>\<random>.exe”)内の、ランダムに名前が付けられたフォルダーに配置します。

図14:Citadelイベントフロー

ランダムexe (3)は、ランダム子exe (4)とバッチファイル(5)をドロップします。ドロップされたバッチファイル(5)は、Citadelドロッパー(1)を除去します。

図15:Citadelドロッパーの除去に使用されるバッチファイル

永続性を実現するために、Citadelは、AutoStartで実行されるようにレジストリキーを変更します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ changing value to %APPDATA%\<random_folder>\<random>.exe

また、Citadelは、ブラウザーのセキュリティ設定も変更します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1406

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1406

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1406

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609

Citadelは、ローカルFTP資格情報を収集します。

HKEY_CURRENT_USER\SOFTWARE\Far\Plugins\ftp\hosts

HKEY_CURRENT_USER\SOFTWARE\Far2\Plugins\ftp\hosts

HKEY_CURRENT_USER\SOFTWARE\Ghisler\Total Commander

HKEY_LOCAL_MACHINE\SOFTWARE\FlashFXP\3

HKEY_LOCAL_MACHINE\SOFTWARE\martin prikryl\winscp 2\sessions

HKEY_CURRENT_USER\SOFTWARE\martin prikryl\winscp 2\sessions

HKEY_CURRENT_USER\SOFTWARE\ftpware\coreftp\sites

Citadelは、マシンにインストールされているアプリケーションの情報を収集します。

AutoIt v3.3.14.2

Java 8 Update 131

Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026

Microsoft Visual C++ 2015 x86 Minimum Runtime - 14.0.23026

Microsoft Visual C++ 2015 x86 Additional Runtime - 14.0.23026

Adobe Reader XI

Adobe Flash Player 27 ActiveX

Citadelは、ローカルEメールクライアントから資格情報を収集します。

HKEY_CURRENT_USER\Software\Microsoft\Windows Mail\Compact Check Count

Citadelは、ミューテックスを作成します。

また、Citadelは、以下のパターンでZeusの名前付きミューテックスを作成します。

「.*[A-Z0-9]{8}-([A-Z0-9]{4}-){3}[A-Z0-9]{12}」―完全なリストは、侵入の痕跡(IOC)セクションを参照してください。

結論

justice.govによれば、バンキング型トロイの木馬Citadelは、世界中1,100万台を超えるPCに感染し、5億米ドルを超える損害を与えています。責任者は、逮捕され服役中です[1]。 

ブラックベリーサイランスのCylancePROTECT®をご利用中のお客様は、弊社の機械学習モデルによってすでにこの攻撃から防御されています。 

侵入の痕跡(IoCs)

ミューテックス

Global\{AB726F50-DE08-32F9-6854-4EF80B066ECB}

Global\{AB726F50-DE08-32F9-C85F-4EF8AB0D6ECB}

Global\{AB726F50-DE08-32F9-405D-4EF8230F6ECB}

Local\{6EBEFFCF-4E97-F735-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-9454-4EF8F7066ECB}

Local\{639300BF-B1E7-FA18-50E0-FB1D33B2DB2E}

Global\{6A1C5770-E628-F397-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-BC5C-4EF8DF0E6ECB}

Local\{45189AFE-2BA6-DC93-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-685B-4EF80B096ECB}

Global\{AB726F50-DE08-32F9-505F-4EF8330D6ECB}

Global\{AB726F50-DE08-32F9-8459-4EF8E70B6ECB}

Global\{AB726F50-DE08-32F9-F85D-4EF89B0F6ECB}

Global\{AB726F50-DE08-32F9-DC5F-4EF8BF0D6ECB}

Global\{AB726F50-DE08-32F9-9C56-4EF8FF046ECB}

Global\{AB726F50-DE08-32F9-145A-4EF877086ECB}

Global\{FF01BFB5-0EED-668A-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-1C5A-4EF87F086ECB}

Global\{AB726F50-DE08-32F9-3857-4EF85B056ECB}

Global\{F01B253C-9464-6990-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-F45F-4EF8970D6ECB}

Global\{0F5849DB-F883-96D3-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-F85C-4EF89B0E6ECB}

Global\{AB726F50-DE08-32F9-B45E-4EF8D70C6ECB}

Global\{AB726F50-DE08-32F9-CC5A-4EF8AF086ECB}

Global\{AB726F50-DE08-32F9-805A-4EF8E3086ECB}

Global\{6560AAF9-1BA1-FCEB-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-985D-4EF8FB0F6ECB}

Global\{AB726F50-DE08-32F9-385A-4EF85B086ECB}

Global\{AB726F50-DE08-32F9-EC5D-4EF88F0F6ECB}

Global\{AB726F50-DE08-32F9-B05F-4EF8D30D6ECB}

Global\{AB726F50-DE08-32F9-A85C-4EF8CB0E6ECB}

Global\{AB726F50-DE08-32F9-705C-4EF8130E6ECB}

Local\{1C1BAF0B-1E53-8590-50E0-FB1D33B2DB2E}

Global\{6560AAF8-1BA0-FCEB-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-C054-4EF8A3066ECB}

Global\{AB726F50-DE08-32F9-E056-4EF883046ECB}

Global\{E7189A6B-2B33-7E93-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-385C-4EF85B0E6ECB}

Global\{AB726F50-DE08-32F9-985B-4EF8FB096ECB}

Local\{1F018C8B-3DD3-868A-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-105F-4EF8730D6ECB}

Global\{0F5849DA-F882-96D3-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-285D-4EF84B0F6ECB}

Global\{AB726F50-DE08-32F9-105B-4EF873096ECB}

Global\{AB726F50-DE08-32F9-7C5F-4EF81F0D6ECB}

Local\{94B5B83A-0962-0D3E-50E0-FB1D33B2DB2E}

Global\{AB726F50-DE08-32F9-F85F-4EF89B0D6ECB}

Global\{AB726F50-DE08-32F9-8C5A-4EF8EF086ECB}

Local\{6EBEFFCC-4E94-F735-50E0-FB1D33B2DB2E}

付録

Bitdefender[.]com

www[.]allnod[.]info

download.bitdefender[.]com

virusall[.]ru

update.bitdefender[.]com

www[.]virusall[.]ru

wfbs51-p.activeupdate.trendmicro[.]com

nod32eset[.]org

wfbs60-p.activeupdate.trendmicro[.]com

www[.]nod32eset[.]org

iau.trendmicro[.]com

eset[.]sk

licenseupdate.trendmicro[.]com

www[.]eset[.]sk

csm-as.activeupdate.trendmicro[.]com

nod32[.]nl

wfbs6-icss-p.activeupdate.trendmicro[.]com

www[.]nod32[.]nl

oc.activeupdate.trendmicro[.]com

dl1.antivir[.]de

update.avg[.]com

dl2.antivir[.]de

update.grisoft[.]com

dl3.antivir[.]de

backup.avg[.]cz

dl4.antivir[.]de

backup.grisoft[.]cz

free-av[.]com

files2.grisoft[.]cz

www[.]free-av[.]com

files2.avg[.]cz

free-av[.]de

download.grisoft[.]cz

www[.]free-av[.]de

download.avg[.]cz

avira[.]com

akamai.grisoft[.]cz

www[.]avira[.]com

akamai.grisoft.cz.edgesuite[.]net

avira[.]de

akamai.avg[.]cz

www[.]avira[.]de

akamai.avg.cz.edgesuite[.]net

www1[.]avira[.]com

akamai.grisoft[.]com

dlpro.antivir[.]com

akamai.avg[.]com

forum.avira[.]com

akamai.grisoft.com.edgesuite[.]net

www[.]forum.avira[.]com

akamai.avg.com.edgesuite[.]net

avirus[.]ru

data-cdn.mbamupdates[.]com

www[.]avirus[.]ru

su.pctools[.]com

avira-antivir[.]ru

pctools[.]com

www[.]avira-antivir[.]ru

download.lavasoft[.]com

avirus.com[.]ua

secure.lavasoft[.]com

www[.]avirus.com[.]ua

lavasoft[.]com

mcafee[.]com

bitdefender[.]nl

www[.]mcafee[.]com

virustotal[.]com

home.mcafee[.]com

trendmicro[.]nl

us.mcafee[.]com

trendmicro.com[.]au

ru.mcafee[.]com

www[.]trendmicro.com[.]au

de.mcafee[.]com

securesoft.com[.]au

ca.mcafee[.]com

avira.com[.]au

fr.mcafee[.]com

gratissoftwaresite[.]nl

au.mcafee[.]com

nod32.com[.]au

es.mcafee[.]com

pandasecurity.com[.]au

it.mcafee[.]com

lavasoft.com[.]au

uk.mcafee[.]com

avg.com[.]au

mx.mcafee[.]com

symantec-norton[.]com

ru.mcafee[.]com

housecall.trendmicro[.]com

mcafee-online[.]com

forums.malwarebytes[.]org

www[.]mcafee-online[.]com

malwarebytes[.]org

mcafeesecurity[.]com

pchelpforum[.]com

www[.]mcafeesecurity[.]com

pchelpforum[.]com

mcafeesecure[.]com

forums.cnet[.]com

www[.]mcafeesecure[.]com

techsupportforum[.]com

avertlabs[.]com

gratissoftware[.]nu

www[.]avertlabs[.]com

majorgeeks[.]com

download.nai[.]com

forums.pcworld[.]com

nai[.]com

antivirus.microbe.com[.]au

www[.]nai[.]com

avast.com[.]au

secure.nai[.]com

avg-antivirus.com[.]au

eu.shopmcafee[.]com

nortonantiviruscenter[.]com

shop.mcafee[.]com

threatmetrix[.]com

siblog.mcafee[.]com

www.zonealarm[.]com

mcafeestore[.]com

firewallguide[.]com

www[.]mcafeestore[.]com

auditmypc[.]com

service.mcafee[.]com

comodo[.]com

siteadvisor[.]com

free-firewall[.]org

www[.]siteadvisor[.]com

schoonepc[.]nl

scanalert[.]com

iopus[.]com

www[.]drsolomon[.]com

tucows[.]com

mcafee-at-home[.]com

avg-antivirus-plus-firewall.en.softonic[.]com

wwww[.]mcafee-at-home[.]com

superantispyware.com[.]au

networkassociates[.]com

superantispyware[.]com

www[.]networkassociates[.]com

harveynorman.com[.]au

avast[.]ru

ca-store.com[.]au

www[.]avast[.]ru

netfreighters.com[.]au

avast[.]com

securetec.com[.]au

www[.]avast[.]com

anti-spyware.com[.]au

onlinescan.avast[.]com

virusscan.jotti[.]org

download1.avast[.]com

virscan[.]org

download2.avast[.]com

antivir[.]ru

download3.avast[.]com

analysis.avira[.]com

download4.avast[.]com

hijackthis[.]de

download5.avast[.]com

uploadmalware[.]com

download6.avast[.]com

emsisoft[.]com

download7.avast[.]com

kaspersky.co[.]uk

free.avg[.]com

bitdefender.co[.]uk

au.norton[.]com

eset.co[.]uk

trustdefender[.]com

webroot[.]com

avg[.]com

gdatasoftware.co[.]uk

www[.]avg[.]com

pcpro.co[.]uk

sshop.avg[.]com

webroot.co[.]uk

pctools[.]com

cyprotect[.]com

www[.]grisoft[.]cz

cloudantivirus[.]com

www[.]grisoft[.]com

drweb-antivir[.]it

free.grisoft[.]com

escanav[.]com

bitdefender[.]com

clamwin[.]com

www[.]bitdefender[.]com

nod32[.]nl

msecn[.]net

webroot[.]nl

bitdefender[.]de

av[.]eu

www[.]bitdefender[.]de

vergelijk[.]nl

bitdefender.com[.]ua

antivirusvergelijk[.]nl

www[.]bitdefender.com[.]ua

virussen.upc[.]nl

bitdefender[.]ru

antivirus.startpagina[.]nl

www[.]bitdefender[.]ru

avastav[.]nl

myaccount.bitdefender[.]co

defenx[.]nl

download.bitdefender[.]com

gdata[.]nl

ftp.bitdefender[.]com

bitdefender[.]nl

forum.bitdefender[.]com

removevirus[.]org

upgrade.bitdefender[.]com

windows.microsoft[.]com

agnitum[.]ru

answers.microsoft[.]com

www[.]agnitum[.]ru

myantispyware[.]com

agnitum[.]com

krebsonsecurity[.]com

www[.]agnitum[.]com

antivirus.about[.]com

agnitum[.]de

cleanuninstall[.]com

www[.]agnitum[.]de

staples[.]com

outpostfirewall[.]com

esetindia[.]com

www[.]outpostfirewall[.]com

mcafee.free-trials[.]net

dl1.agnitum[.]com

antivir-2012[.]com

dl2.agnitum[.]com

panda-antivirus.en.softonic[.]com

antivirus.comodo[.]com

softonic[.]com

comodo[.]com

freeantivirushelp[.]com

www[.]comodo[.]com

scanwith[.]com

forums.comodo[.]com

bestantivirusreviewed[.]com

comodogroup[.]com

virus-help[.]net

www[.]comodogroup[.]com

cleanallspyware[.]com

personalfirewall.comodo[.]com

kingsoftsecurity[.]com

www[.]personalfirewall[.]com

threatfire[.]com

hackerguardian[.]com

freeavg[.]com

www[.]hackerguardian[.]com

clamav[.]net

www[.]nsclean[.]com

pcthreat[.]com

nsclean[.]com

2-viruses[.]com

clamav[.]net

trojan-killer[.]ne

www[.]clamav[.]net

virusinfo[.]info

db.local.clamav[.]net

www[.]virusinfo[.]info

clamsupport.sourcefire[.]com

projecthoneypot[.]org

lurker.clamav[.]net

www[.]projecthoneypot[.]org

wiki.clamav[.]net

novirus[.]ru

w32.clamav[.]net

www[.]novirus[.]ru

lists.clamav[.]net

anti-malware[.]com

clamwin[.]com

www[.]anti-malware[.]com

www[.]clamwin[.]com

offensivecomputing[.]net

ru.clamwin[.]com

www[.]offensivecomputing

gietl[.]com

zeustracker.abuse[.]ch

www[.]gietl[.]com

www[.]zeustracker.abuse[.]ch

clamav.dyndns[.]org

www[.]malekal[.]com

f-secure[.]com

www3[.]malekal[.]com

www[.]f-secure[.]com

forum.malekal[.]com

support.f-secure[.]com

www[.]threatexpert[.]com

f-secure[.]ru

threatexpert[.]com

www[.]f-secure[.]ru

www[.]microsoft[.]com

ftp.f-secure[.]com

update.microsoft[.]com

europe.f-secure[.]com

www[.]virustotal[.]com

www[.]europe.f-secure[.]com

virusscan.jotti[.]org

f-secure[.]de

www[.]av-comparatives[.]org

www[.]f-secure[.]de

av-comparatives.org

support.f-secure[.]de

av-test[.]org

ftp.f-secure[.]de

www[.]av-test[.]org

f-secure.co[.]uk

www[.]scanwith[.]com

www[.]f-secure.co[.]uk

trendmicro.com[.]au

retail.sp.f-secure[.]com

kasperskyanz.com[.]au

retail01.sp.f-secure[.]com

bitdefender.com[.]au

retail02.sp.f-secure[.]com

eset.com[.]au

ftp.europe.f-secure[.]com

vet.com[.]au

norman[.]com

sm.mcafee[.]com

www[.]norman[.]com

home.mcafee[.]com

download.norman[.]no

toolbar.avg[.]com

sandbox.norman[.]no

stats.avg[.]com

norman[.]no

www[.]virusbtn[.]com

www[.]norman[.]no

adwarereport[.]com

niuone.norman[.]no

avg.com[.]au

pandasecurity[.]com

www[.]adwarereport[.]com

www[.]pandasecurity[.]com

malwarebytes[.]org

viruslab[.]ru

www[.]malwarebytes[.]org

www[.]viruslab[.]ru

dw.com[.]com

pandasoftware[.]com

nss-shasta-rrs.symantec[.]com

www[.]pandasoftware[.]com

spywarewarrior[.]com

acs.pandasoftware[.]com

www[.]spywarewarrior[.]com

www[.]pandasoftware[.]es

avsoft[.]ru

anti-virus[.]by

www[.]avsoft[.]ru

www[.]anti-virus[.]by

onecare.live[.]com

virusblokada[.]ru

anubis.iseclab[.]org

www[.]virusblokada[.]ru

wepawet.iseclab[.]org

vba32[.]de

iseclab[.]org

www[.]vba32[.]de

www[.]iseclab[.]org

ftp.nai[.]com

www[.]freespaceinternetsecurity[.]com

secuser[.]com

freespaceinternetsecurity[.]com

www[.]secuser[.]com

sunbelt-software[.]com

tds.diamondcs.com[.]au

www[.]sunbelt-software[.]com

windowsupdate.microsoft[.]com

www[.]prevx[.]com

lavasoftusa[.]com

prevx[.]com

www[.]lavasoftusa[.]com

analysis.seclab.tuwien.ac[.]at

lavasoftusa[.]de

www[.]joebox[.]org

www[.]lavasoftusa[.]de

joebox[.]org

diamondcs.com[.]au

gmer[.]net

shop.ca[.]com

www[.]gmer[.]net

downloads.my-etrust[.]com

antirootkit[.]com

v4.windowsupdate.microsoft[.]com

www[.]antirootkit[.]com

v5.windowsupdate.microsoft[.]com

sectools[.]org

noadware[.]net

www[.]sandboxie[.]com

www[.]noadware[.]net

sandboxie[.]com

zonelabs[.]com

nepenthes.mwcollect[.]org

www[.]zonelabs[.]com

mwcollect[.]org

moosoft[.]com

www[.]amtso[.]org

www[.]moosoft[.]com

amtso[.]org

secuser.model-fx[.]com

www[.]nsslabs[.]com

pccreg.antivirus[.]com

nsslabs[.]com

k-otik[.]com

www[.]icsalabs[.]com

vupen[.]com

icsalabs[.]com

www[.]vupen[.]com

www[.]checkvir[.]com

housecall.trendmicro[.]com

checkvir[.]com

trendmicro[.]com

www[.]check-mark[.]com

www[.]trendmicro[.]com

check-mark[.]com

us.trendmicro[.]com

www[.]protectstar-testlab[.]org

uk.trendmicro[.]com

protectstar-testlab[.]org

de.trendmicro[.]com

www[.]anti-malware-test[.]com

fr.trendmicro[.]com

anti-malware-test[.]com

es.trendmicro[.]com

av-test[.]de

au.trendmicro[.]com

www[.]av-test[.]de

it.trendmicro[.]com

www[.]wildlist[.]org

br.trendmicro[.]com

wildlist[.]org

antivirus.cai[.]com

www[.]aavar[.]org

sophos[.]com

aavar[.]org

www[.]sophos[.]com

centralops[.]net

securitoo[.]com

www[.]staysafeonline[.]info

nordnet[.]com

staysafeonline[.]info

www[.]nordnet[.]com

www[.]rokop-security[.]de

avgfrance[.]com

rokop-security[.]de

www[.]avgfrance[.]com

www[.]wilderssecurity[.]com

antivirus-online[.]de

wilderssecurity[.]com

www[.]antivirus-online[.]de

www[.]superantispyware[.]com

ftp.esafe[.]com

superantispyware[.]com

ftp.microworldsystems[.]com

update.microsoft[.]com

ftp.ca[.]co

www[.]kaspersky[.]com

files.trendmicro-europe[.]com

www[.]kaspersky[.]ru

inline-software[.]de

kaspersky[.]ru

ravantivirus[.]com

www[.]avp[.]ru

www[.]ravantivirus[.]com

avp[.]ru

f-prot[.]com

www[.]viruslist[.]com

www[.]f-prot[.]com

viruslist[.]com

files.f-prot[.]com

www[.]viruslist[.]ru

secure.f-prot[.]com

www[.]kaspersky-antivirus[.]ru

vsantivirus[.]com

kaspersky-antivirus[.]ru

www[.]vsantivirus[.]com

downloads1.kaspersky-labs[.]com

openantivirus[.]org

downloads2.kaspersky-labs[.]com

www[.]openantivirus[.]org

downloads3.kaspersky-labs[.]com

www3[.]ca[.]com

downloads4.kaspersky-labs[.]com

dialognauka[.]ru

downloads5.kaspersky-labs[.]com

www[.]dialognauka[.]ru

downloads-us1.kaspersky-labs[.]com

anti-virus-software-review[.]com

downloads-us2.kaspersky-labs[.]com

www[.]anti-virus-software-review[.]com

downloads-us3.kaspersky-labs[.]com

www[.]vet.com[.]au

downloads-eu1.kaspersky-labs[.]com

antiviraldp[.]com

downloads-eu2.kaspersky-labs[.]com

www[.]antiviraldp[.]com

kavdumps.kaspersky[.]com

www[.]proantivirus[.]com

www[.]kasperskyclub[.]com

pestpatrol[.]com

forum.kasperskyclub[.]com

www[.]pestpatrol[.]com

forum.kasperskyclub[.]ru

simplysup[.]com

kasperskyclub[.]ru

www[.]simplysup[.]com

kasperskyclub[.]com

misec[.]net

ftp.kasperskylab[.]ru

www[.]misec[.]net

ftp.kaspersky[.]ru

www1[.]my-etrust[.]com

ftp.kaspersky-labs[.]com

authentium[.]com

data.kaspersky[.]ru

www[.]authentium[.]com

z-oleg[.]com

finjan[.]com

www[.]z-oleg[.]com

www[.]finjan[.]com

drweb[.]com

www[.]ikarus-software[.]at

www[.]drweb[.]com

www[.]ika-rus[.]com

freedrweb[.]com

ika-rus[.]com

www[.]freedrweb[.]com

tinysoftware[.]com

drweb.com[.]ua

www[.]tinysoftware[.]com

www[.]drweb[.]com[.]ua

visualizesoftware[.]com

drweb[.]ru

www[.]visualizesoftware[.]com

www[.]drweb[.]ru

kerio[.]com

av-desk[.]com

www[.]kerio[.]com

www[.]av-desk[.]com

www[.]kerio[.]eu

drweb[.]net

www[.]zonelabs[.]com

www[.]drweb[.]net

zonelog.co[.]uk

ftp.drweb[.]com

www[.]zonelog.co[.]uk

dr-web[.]ru

webroot[.]com

www[.]dr-web[.]ru

www[.]webroot[.]com

download.drweb[.]com

www[.]lavasoft[.]nu

support.drweb[.]com

spywareguide[.]com

updates.sald[.]com

www[.]spywareguide[.]com

sald[.]com

spyblocker-software[.]com

www[.]sald[.]com

www[.]spyblocker-software[.]com

drweb.imshop[.]de

www[.]spamhaus[.]org

safeweb.norton[.]com

spamcop[.]net

www[.]safeweb.norton[.]com

www[.]spamcop[.]net

www[.]symantec[.]com

bobbear.co[.]uk

shop.symantecstore[.]com

www[.]bobbear.co[.]uk

liveupdate.symantec[.]com

domaintools[.]com

liveupdate.symantecliveupdate[.]com

www[.]domaintools[.]com

service1.symantec[.]com

centralops[.]net

www[.]service1.symantec[.]com

www[.]centralops[.]net

security.symantec[.]com

www[.]robtex[.]com

liveupdate.symantec[.]d4p

dnsstuff[.]com

securityresponse.symantec[.]com

www[.]dnsstuff[.]com

sygate[.]com

ripe[.]net

www[.]sygate[.]com

www[.]ripe[.]net

esetnod32[.]ru

www[.]met.police[.]uk

www[.]esetnod32[.]ru

nbi.gov[.]ph

eset[.]com

www[.]nbi.gov[.]ph

www[.]eset[.]com

www[.]police.gov[.]hk

eset.com[.]ua

treasury[.]gov

www[.]eset.com[.]ua

www[.]treasury[.]gov

nod32.com[.]ua

cybercrime[.]gov

www[.]nod32.com[.]ua

www[.]cybercrime[.]gov

download.eset[.]com

www[.]cybercrime[.]ch

update.eset[.]com

enisa.europa[.]eu

eset[.]eu

www[.]enisa.europa[.]eu

www[.]eset[.]eu

www[.]interpol[.]int

nod32[.]it

www[.]fsa.gov[.]uk

www[.]nod32[.]it

www[.]companies-house.gov[.]uk

nod32[.]su

fraudaid[.]com

www[.]nod32[.]su

www[.]fraudaid[.]com

nod-32[.]ru

scambusters[.]org

www[.]nod-32[.]ru

www[.]scambusters[.]org

allnod[.]com

spamtrackers[.]eu

www[.]allnod[.]com

www[.]spamtrackers[.]eu

allnod[.]info

 

図16:600を超えるURLのDNSリダイレクト/ブロックリスト。

引用

[1] https://www.justice.gov/usao-ndga/pr/russian-developer-notorious-citadel-malware-sentenced-prison



Tags: