DNS分析でIcedIDの実態を解明 | WhoisXML API

脅威レポート

DNS分析でIcedIDの実態をあぶり出す

現在の脅威の状況は、進化の理論がマルウェアにも当てはまることを絶えず証明しています。その最新の証拠は、ありふれたバンキング型トロイの木馬からランサムウェアドロッパーへと変貌を遂げたIcedIDです。

IcedIDのセキュリティ侵害インジケーター(IoC)として、50を超えるIPアドレスとドメイン名が公開されています。1, 2, 3, 4 WhoisXML APIでは、それらをもとにこのたびDNSインテリジェンス分析を行い、以下を含む関連アーティファクトを新たに発見しました。

  • IoCとして特定されたドメイン名を登録する際に使われた未編集のメールアドレス5個
  • そのメールアドレスを使用して現在登録されている 44個のドメイン名
  • IoCとして特定されたIPアドレスに名前解決する22個のドメイン名
  • IoCとして特定されたドメイン名と同じIPアドレスを共用している33個のドメイン名
  • マルウェアの一括チェックで、これらのアーティファクトの14%に悪意があることを確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.team-cymru.com/post/inside-the-icedid-backconnect-protocol-part-2
  • [2] https://otx.alienvault.com/pulse/64cb26ac4990112e3f9e662f
  • [3]  https://otx.alienvault.com/pulse/64c5cf320a92c0bdc8ab9068
  • [4]  https://otx.alienvault.com/pulse/6401246d57e5b0d2ff1c6c58
WhoisXML APIを無料でお試しください
はじめる