1/23 11:00くらいまでにany.runにsubmitされた #Emotet のペイロードに含まれるドメインリストまとめた
いつもの
- jfedemo[.]dubondinfotech[.]com
- tourntreksolutions[.]com
- www[.]norcalit[.]in
- bncc[.]ac[.]th
- www[.]blue-port[.]jp
- oksuc[.]com
- inscricao[.]jethrointernational[.]org
- feichters[.]net
- socialmentors[.]net
- pdtech2[.]com
- hasler[.]de
- marcoscarbone[.]com
- autic[.]vn
- a2zcarsales[.]co[.]za
- twodogstransport[.]com[.]au
- www[.]lapakbenih[.]com
- codeproof[.]com
- indochains[.]ventgor[.]com
- phbarangays[.]com
- relprosurgical[.]com
- compunetplus[.]com
- bbs[.]anyakeji[.]com
- rodyaevents[.]com
- emerson-academy[.]2019[.]sites[.]air-rallies[.]org
- contactocontinuo[.]com
- ferrylegal[.]com
- siliquehair[.]com
- mysmartinvestors[.]com
- maafoundry[.]com
- libertyaviationusa[.]com
- www[.]yule007[.]top
- myphamkat[.]com
- www[.]shaagon[.]com
- www[.]satang2[.]com
- web95[.]s153[.]goserver[.]host
- energy-journals[.]ru
- www[.]vpm-oilfield[.]ae
- vexacom[.]com
- salman[.]vetkare[.]com
- qisa[.]xyz
- mediclaim[.]odhavnidhi[.]org
- vitamin-mineral[.]info
- oksuc[.]com
- inscricao[.]jethrointernational[.]org
- feichters[.]net
- socialmentors[.]net
- pdtech2[.]com
- cxlit[.]com
- johncharlesdental[.]com[.]au
- www[.]kongtoubi[.]org
- maruka-dev[.]herokuapp[.]com
- ceylonsri[.]com
見てたらherokuに通信しているやつとかあった。確かにデプロイ楽だしな....と思うなど。。 DiscordをC2として使うマルウェアとかを思い出した。
あと今までの分をGitHubにあげました。
1/22 14:00くらいまでにany.runにsubmitされた #Emotet のペイロードに含まれるドメインリストまとめた
いつもの
- www[.]oasineldeserto[.]info
- icanpeds[.]com
- alexbase[.]com
- tkaystore[.]com
- kueproj[.]linuxpl[.]eu
- guilhermebasilio[.]com
- pbs[.]onsisdev[.]info
- niuconstruction[.]net
- panvelpropertyproject[.]com
- demo[.]artesfide[.]com
- surjacorp[.]com
- lowryh2o[.]com
- drrobertepstein[.]com
- sintrenalsantander[.]org
- senteum[.]com
- restaurant-flaveur[.]com
- wpdemo7[.]xtoreapp[.]com
- www[.]69po[.]com
- raoulbataka[.]com
- test[.]noltestudiozadar[.]com
- hawkeyesss[.]com
- lookings[.]in
- developer[.]md-partners[.]co[.]jp
- e-twow[.]es
- bjenkins[.]webview[.]consulting
jpドメインが含まれていました。
#Emotet 関連ファイルが設置された国内のWebサイトです。
— tike (@tiketiketikeke) 2020年1月22日
(exe)
developer[.]md-partners[.]co[.]jp
157.7.188[.]191 AS7506 (GMO Internet,Inc)
(PTR: users80[.]heteml[.]jp)https://t.co/xnJUQllPqShttps://t.co/9iHH8d966z
過去に改竄されてZone-Hにも掲載されていたサイトのようです。
改竄情報:developer md-partners co jp [MDパートナーズ株式会社] https://t.co/fpRM8ZsXDn #def_jp https://t.co/mDKHAip7j1
— JPドメイン Web改竄速報 bot (@def_jp) 2016年2月29日
1/20 14:00くらいまでにany.runにsubmitされた #Emotet のペイロードに含まれるドメインリストまとめた
今日も見れる分だけ
- www[.]bluedream[.]al
- myphamthanhbinh[.]net
- sfmac[.]biz
- www[.]cometprint[.]net
- www[.]mjmechanical[.]com
- adykurniawan[.]com
- myphamthanhbinh[.]net
- sfmac[.]biz
- www[.]mjmechanical[.]com
- mojehaftom[.]com
- inovacao[.]farmaciaartesanal[.]com
- olegnehls[.]com
- devhelp[.]paskr[.]com
- help[.]paskr[.]com
- manager[.]paskr[.]com
- www[.]aoobee[.]com
- txblog[.]50cms[.]com
- help[.]jasaconnect[.]com
- wqapp[.]50cms[.]com
- blog[.]50cms[.]com
- womenempowermentpakistan[.]com
- atnimanvilla[.]com
- yeuquynhnhai[.]com
- deepikarai[.]com
- blulinknetwork[.]com
- bassman1980-001-site5[.]gtempurl[.]com
- chasem2020[.]com
- zhangyiyi[.]xyz
- www[.]hondajazzclubindonesia[.]org
今までのPSスクリプトに含まれているドメインは4つ~5つすべて違うドメインだった印象だが、 今日の分を見ているとサブドメインで切ってある同一ドメインのものが含まれている印象である。(50cms[.]com, paskr[.]comなど)
なにかの意味があるかもしれないし、無いかもしれない。。
1/16 12:00くらいまでにany.runにsubmitされた #Emotet のペイロードに含まれるドメインリストまとめた
この間に続いて見れる範囲で見た分です。
- abeafrique[.]org
- wlskdjfsa[.]000webhostapp[.]com
- blog[.]eliminavarici[.]com
- 87zn[.]com
- bbv[.]borgmeier[.]media
- www[.]aquafavour[.]com
- itsweezle[.]com
- www[.]rishishwarfoundation[.]org
- quickwashing[.]cl
- guiltless-plot[.]flywheelsites[.]com
- iihttanzania[.]com
- fdhk[.]net
- pmvraetsel[.]newsoftdemo[.]info
- realizaweb[.]site
- rochun[.]org
会議開催通知.doc
- mysql[.]flypig[.]group
- cmsw[.]de
- homelyhomestay[.]in
- doortechpalace[.]com
- casalindamw[.]com
1/14 12:00くらいまでにany.runにsubmitされた #Emotet のペイロードに含まれるドメインリストまとめた
1/14からEmotetが活動再開したらしい。any.runにも多数submitされつつあるので、PSペイロードに含まれるドメインリストを調査した。
全部はとてもじゃないが調査しきれなかったし、重複しているものもあると思われる。
- bkj2002[.]com
- topagency[.]nathanonline[.]us
- dukeata[.]com
- howelltaxi[.]com
- lausinexamenes[.]com
- cg[.]hotwp[.]net
- parcerias[.]azurewebsites[.]net
- blog[.]51cool[.]club
- jewellink[.]com[.]au
- de[.]offbeat[.]guide
- cg[.]hotwp[.]net
- kameldigital[.]com
- www[.]yougeniusads[.]com
- expresodeportivo[.]com
- thebenefitshubtraining[.]com
- shopaletta[.]com
- nguyenthanhdat[.]com
- banaderhotels[.]com
- itsweezle[.]com
- 92jobz[.]com
- ushuscleaningservice[.]com
- www[.]opccmission[.]org
- butterflyvfx[.]synergy-college[.]org
- www[.]app48[.]cn
- diek[.]nou[.]nl
- www[.]aiga[.]it
- cg[.]hotwp[.]net
- parcerias[.]azurewebsites[.]net
- de[.]offbeat[.]guide
- www[.]entreprendre-en-alsace[.]com
- www[.]ambiance-piscines[.]fr
- www[.]akarosi[.]com
- thecurrenthotel[.]com
- wholesaleusedbooks[.]co[.]uk
- inicumademo[.]com
- nusantara86[.]com
- sundeckdestinations[.]com
- sgdwtoken[.]com
- technopicks4women[.]com
抜け漏れ・重複あるかもしれないですが、なにかのお役にたてば幸いです。
[*1] 1/14 14:33 ドメイン少し追加しました
Emoい
この記事は 年の瀬にエモ散らかし隊Advent Calenderの14日目の記事です。
なんと当日に酔っ払いすぎて更新できないという失態を犯しました。
今日という日
なんと今日、私の25歳の誕生日なんですよね。四半世紀生きてしまった。。
今年は転職したりとかで、節目を感じることが多かったのでこのAdvent Calenderに参加しました。
四半世紀記念って思うとエモくないですか?エモいですよね。というわけでエモ散らかしです。(強い意思)
というかエモって、受け手にすべて委ねられてるみたいなところありますからね。軽率にエモを感じていけ。 This is EMO...
つってエモいことやろうとしてたんだけど、結局 前職の後輩とアキバいってPCパーツ買って、その後五反田で死ぬほど飲むやつをやりました。
昨日のレシートを見て、いろいろと思い出せたのでよかったです。
軽率にエモいこと話したりしたのでエモかったです
また1年がんばるぞ〜〜〜!!!!!
エモ散らかし隊Advent CalenderなのでEmoいやつ、Emotetの解析結果貼っておきます。
https://app.any.run/tasks/caa33857-6917-4d21-836a-a0a3cde92092/
- hxxp[://]jdcc-stu[.]com/wp-includes/6109/
- hxxp[://]jandmadventuring[.]servermaintain[.]com/wp-content/uploads/8ly08u77849/
- hxxp[://]wilkopaintinc[.]com/common_resource/qac395
- hxxp[://]essemengineers[.]com/AdminPanel/cku0s00262/
- hxxp[://]t666v[.]com/vlk2lo4i/fi20416/
any.runに上がってる #Emotet の通信先について調べてみた
こんばんは。はしだいです。
any.runにアップされてたEmotetの通信先について、Maldoc解析の勉強がてら調べてみたのでブログ書きます。
11/29の午前中(JST)にアップされていた.docのものを調べてみました。
https[://]app[.]any[.]run/tasks/74719cfc-67b6-455c-89aa-34bdb3a41dc3/
md5: c404bf981ea5909a508b3ff9269e0986
URL
- http[://]www[.]stages[.]defilangues[.]be/3hs5wkd/VoT/
- IP: 213[.]186[.]33[.]5
- AS: AS16276 OVH, FR
- http[://]delicedurucher[.]fr/wp-includes/vn/
- IP: 87[.]98[.]154[.]146
- AS: AS16276 OVH, FR
- https[://]rosimonteiro[.]com[.]br/wp-content/AH4/
- IP: 35[.]161[.]124[.]10
- AS: AS16509 AMAZON-02 - Amazon.com, Inc., US
- http[://]www[.]cdfatimasad[.]pt/wp-admin/ls7g/
- IP: 52[.]30[.]157[.]149
- AS: AS16509 AMAZON-02 - Amazon.com, Inc., US
- https[://]thedressmaker[.]pk/wp-includes/HrppOePG/
- IP: 104[.]28[.]26[.]66
- AS: AS13335 CLOUDFLARENET - Cloudflare, Inc., US
https[://]app[.]any[.]run/tasks/56d3cc78-3a38-4f8c-9b1a-533e7d4492bb/
md5: 172a64f1ca46e3a8a779821c0561ef50
URL
- http[://]tanghuo8[.]com/wp-admin/y5q6e02/
- IP: 129[.]211[.]68[.]85
- AS: AS45090 CNNIC-TENCENT-NET-AP Shenzhen Tencent Computer Systems Company Limited, CN
- http[://]mnmsg[.]com/calendar/4u5/
- IP: 209[.]134[.]150[.]115
- AS: AS8015 Vector Internet Services, Inc., US
- http[://]downloadmovies24[.]com/upload/aumPBqD02/2i09833/
- IP: 104[.]28[.]29[.]38
- AS: AS13335 Cloudflare, Inc., US
- http[://]classywonders[.]com/web_map/fsrm01124/
- IP: 35[.]158[.]125[.]211
- AS: AS16509 Amazon.com, Inc., DE
- http[://]iimtgroupeducation[.]info/wp-admin/a7900276/
- IP: 166[.]62[.]10[.]32
- AS: AS26496 GoDaddy.com, LLC, US
https[://]app[.]any[.]run/tasks/83add37f-0198-46d5-823a-45d1e9f9ac01/
md5: 7ee69ba54f45faf416687c01a95f0192
URL
- http[://]www[.]huayishi[.]cn/wp-includes/p1GL8OTW/
- IP: 124[.]116[.]176[.]81
- AS: AS4134 No.31,Jin-rong Street, CN
- http[://]bangsaraycondo[.]com/bxqg/le81/
- IP: 104[.]28[.]21[.]199
- AS: AS13335 Cloudflare, Inc., US
- http[://]healvideos[.]com/blogs/e23/
- IP: 107[.]180[.]26[.]81
- AS: AS26496 GoDaddy.com, LLC, US
- https[://]www[.]sisustussuunnittelu[.]fi/cgi-bin/218t/
- IP: 185[.]26[.]49[.]42
- AS: AS202053 UpCloud Ltd, FI
- https[://]www[.]noticiare[.]com[.]br/oihpj/jmjhf2/
- IP: 35[.]193[.]38[.]118
- AS: AS15169 Google LLC,US
https[://]app[.]any[.]run/tasks/83add37f-0198-46d5-823a-45d1e9f9ac01/
md5: 404b834f271885bb15d23658ba1b2179
URL
- https[://]nompareilleproductions[.]fr/wp-content/WTdK/
- IP: 46[.]105[.]57[.]16
- AS: AS16276 OVH, FR
- https[://]lockingsystemsnw[.]com/o144/ueffi/
- IP: 198[.]71[.]233[.]109
- AS: AS26496 AS-26496-GO-DADDY-COM-LLC - GoDaddy.com, LLC, US
- https[://]learn8home[.]com/cgi-bin/rex/
- IP: 64[.]20[.]39[.]19
- AS: AS19318 IS-AS-1 - Interserver, Inc, US
- https[://]news4uni[.]com/wp-admin/jz8i/
- IP: 138[.]201[.]5[.]129
- AS: AS24940 HETZNER-AS, DE
- https[://]wooodev[.]com/wp-admin/bokm7/
- IP: 149[.]255[.]60[.]174
- AS: AS34931 AWARESOFT, GB
また調査したらブログ書こうと思います。 では。
