解析者: Raymart Christian Yambot   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ハッキングツール

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ワーム活動の機能を備えていません。

プログラムは、情報収集する機能を備えていません。

  詳細

ファイルサイズ 650,752 bytes
タイプ DLL
メモリ常駐 なし
発見日 2024年9月19日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

プログラムは、ワーム活動の機能を備えていません。

ルートキット機能

プログラムは、ルートキット機能を備えていません。

情報漏えい

プログラムは、情報収集する機能を備えていません。

その他

プログラムは、以下のパラメータを受け取ります。

  • コマンド引数は、[必須引数] {オプション引数}として表示されます。
  • (GUI)を使用したコマンドは、Webインターフェイスを通じてパラメータなしで実行されます。
    • cancel → 保留中のタスクをすべてキャンセルする
    • cat → [ファイル名] ファイルの内容を画面に出力する
    • cd → [ディレクトリ] 作業ディレクトリを変更する
    • clear → 画面をクリアする
    • cp → [コピー元] [コピー先] ファイルまたはディレクトリをコピーする
    • curl → [url] リモートでWebページを取得し、結果を返す
    • download → [リモートのファイルパス] {ローカルファイルパス} NimPlantのディスクからNimPlantサーバにファイルをダウンロードする
    • env → 環境変数を取得する
    • execute-assembly (GUI) → {BYPASSAMSI=0} {BLOCKETW=0} [ローカルファイルパス] {引数} メモリから.NETアセンブリを実行する。AMSI/ETWはデフォルトでパッチが適用される。CLRを読み込む
    • exit → サーバを終了して、すべてのNimPlantを終了させる
    • getAv → WMIを使用して、対象のシステム上のウイルス対策製品/EDR製品を一覧表示する
    • getDom → 対象のシステムが参加しているドメインを取得する
    • getLocalAdm → WMIを使用して、対象のシステム上のローカル管理者を一覧表示する
    • getpid → 現在選択されているNimPlantのプロセスIDを表示する
    • getprocname → 現在選択されているNimPlantのプロセス名を表示する
    • help → {コマンド} ヘルプメニューまたはコマンド固有のヘルプを表示する
    • hostname → 現在選択されているNimPlantのホスト名を表示する
    • inline-execute (GUI) → [ローカルファイルパス] [侵入口] {arg1 type1 arg2 type2..} メモリからビーコン・オブジェクト・ファイル(BOF)を実行する
    • ipconfig → 現在選択されているNimPlantのIPアドレス情報を一覧表示する
    • kill → 現在選択されているNimPlantを終了する
    • list → アクティブなNimPlantを一覧表示する
    • listall → すべてのNimPlantを一覧表示する
    • ls → {パス} 特定のディレクトリ内のファイルおよびフォルダを一覧表示する。デフォルトでは現在のディレクトリを一覧表示する
    • mkdir → [ディレクトリ] ディレクトリ(および必要に応じてその親ディレクトリ)を作成する
    • mv → [移動元] [移動先] ファイルまたはディレクトリを移動する
    • nimplant → 現在選択されているNimPlantに関する情報を表示する
    • osbuild → 現在選択されているNimPlantのOSビルド情報を表示する
    • powershell → {BYPASSAMSI=0} {BLOCKETW=0} [コマンド] 管理されていない実行空間内でPowerShellコマンドを実行する。CLRを読み込む
    • ps → 対象のシステム上で実行中のプロセスを一覧表示する。現在のプロセスを表示する
    • pwd → 現在の作業ディレクトリを取得する
    • reg → [クエリ|追加] [パス] {キー} {値} レジストリを照会または変更する。新しい値はREG_SZとして追加される
    • rm → [ファイル] ファイルまたはディレクトリを削除する
    • run → [バイナリ] {引数} ディスクからバイナリを実行する。出力を返すが、実行中はNimPlantをブロックする
    • screenshot → ユーザの画面のスクリーンショットを取得する
    • select → [id] 別のNimPlantを選択する
    • shell → [コマンド] シェルコマンドを実行する
    • shinject (GUI) → [対象のプロセスID] [ローカルファイルパス] ファイルから生のシェルコードを読み込み、動的呼び出しを使用して指定されたプロセスのメモリ空間に注入する
    • sleep → [スリープ時間] {jitter%} 現在のNimPlantのスリープ時間を変更する
    • upload (GUI) → [ローカルファイルパス] {リモートのファイルパス} NimPlantサーバから対象のシステムにファイルをアップロードする
    • wget → [url] {リモートのファイルパス} ファイルをリモートでディスクにダウンロードする
    • whoami → NimPlantを実行しているユーザIDを取得する

プログラムは、脆弱性を利用した感染活動を行いません。

  対応方法

対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.765.00
SSAPI パターンリリース日: 2024年9月26日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HackTool.Win64.NimPlant.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください