HackTool.MSIL.Seatbelt.E
2024年6月18日
別名:
N/A
プラットフォーム:
Windows
危険度:
ダメージ度:
感染確認数:
システムへの影響:
情報漏えい:
- マルウェアタイプ: ハッキングツール
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
プログラムは、ワーム活動の機能を備えていません。
プログラムは、バックドア活動の機能を備えていません。
プログラムは、情報収集する機能を備えていません。
詳細
ファイルサイズ 157752832 bytes
タイプ EXE
メモリ常駐 なし
発見日 2024年6月3日
侵入方法
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
感染活動
プログラムは、ワーム活動の機能を備えていません。
バックドア活動
プログラムは、バックドア活動の機能を備えていません。
ルートキット機能
プログラムは、ルートキット機能を備えていません。
情報漏えい
プログラムは、情報収集する機能を備えていません。
その他
マルウェアは、以下のパラメータを受け取ります。
- -group=all|user|system|slack|chrome|remote|misc → used to run a predefined set of related commands collectively, rather than executing each command individually.
System | Remote: - AMSIProviders → Providers registered for AMSI
- AntiVirus → Registered antivirus (via WMI)
- DotNet → DotNet versions
- ExplorerRunCommands → Recent Explorer "run" commands
- Hotfixes → Installed hotfixes (via WMI)
- InterestingProcesses → "Interesting" processes - defensive products and admin tools
- LastShutdown → Returns the DateTime of the last system shutdown (via the registry).
- LogonSessions → Windows logon sessions
- LSASettings → LSA settings (including auth packages)
- MappedDrives → Users' mapped drives (via WMI)
- NetworkProfiles → Windows network profiles
- NetworkShares → Network shares exposed by the machine (via WMI)
- NTLMSettings → NTLM authentication settings
- PowerShell → PowerShell versions and security settings
- Sysmon → Sysmon configuration from the registry
- WindowsDefender → Windows Defender settings (including exclusion locations)
- WindowsEventForwarding → Windows Event Forwarding (WEF) settings via the registry
- WindowsFirewall → Non-standard firewall rules, "-full" dumps all (arguments == allow|deny|tcp|udp|in|out|domain|private/public)
System | Remote | User: - PuttyHostKeys → Saved Putty SSH host keys
- PuttySessions → Saved Putty configuration (interesting fields) and SSH host keys
- RDPSavedConnections → Saved RDP connections stored in the registry
System: - AppLocker → AppLocker settings, if installed
- ARPTable → Lists the current ARP table and adapter information (equivalent to arp -a)
- AuditPolicies → Enumerates classic and advanced audit policy settings
- AuditPolicyRegistry → Audit settings via the registry
- AutoRuns → Auto run executables/scripts/programs
- CredGuard → CredentialGuard configuration
- DNSCache → DNS cache entries (via WMI)
- EnvironmentPath → Current environment %PATH$ folders and SDDL information
- EnvironmentVariables → Current user environment variables
- InternetSettings → Internet settings including proxy configs and zones configuration
- LAPS → LAPS settings, if installed
- LocalGPOs → Local Group Policy settings applied to the machine/local users
- LocalGroups → Non-empty local groups, "-full" displays all groups (argument == computername to enumerate)
- LocalUsers → Local users, whether they're active/disabled, and pwd last set (argument == computername to enumerate)
- NamedPipes → Named pipe names and any readable ACL information.
- OSInfo → Basic OS info (i.e. architecture, OS version, etc.)
- PoweredOnEvents → Reboot and sleep schedule based on the System event log EIDs 1, 12, 13, 42, and 6008. Default of 7 days, argument == last X days.
- Printers → Installed Printers (via WMI)
- Processes → Running processes with file info company names that don't contain 'Microsoft', "-full" enumerates all processes
- PSSessionSettings → Enumerates PS Session Settings from the registry
- SCCM → System Center Configuration Manager (SCCM) settings, if applicable
- Services → Services with file info company names that don't contain 'Microsoft', "-full" dumps all processes
- TcpConnections → Current TCP connections and their associated processes and services
- TokenPrivileges → Currently enabled token privileges (e.g. SeDebugPrivilege/etc.)
- UAC → UAC system policies via the registry
- UdpConnections → Current UDP connections and associated processes and services
- UserRightAssignments → Configured User Right Assignments (e.g. SeDenyNetworkLogonRight, SeShutdownPrivilege, etc.) argument == computername to enumerate
- WindowsAutoLogon → Registry autologon information
- WMIEventConsumer → Lists WMI Event Consumers
- WMIEventFilter → Lists WMI Event Filters
- WMIFilterBinding → Lists WMI Filter to Consumer Bindings
- WSUS → Windows Server Update Services (WSUS) settings, if applicable
User: - ChromePresence → Checks if interesting Google Chrome files exist
- CloudCredentials → AWS/Google/Azure cloud credential files
- CredEnum → Enumerates the current user's saved credentials using CredEnumerate()
- dir → Lists files/folders. By default, lists users' downloads, documents, and desktop folders (arguments == [directory] [depth] [regex] [boolIgnoreErrors]
- DpapiMasterKeys → List DPAPI master keys
- ExplorerMRUs → Explorer most recently used files (last 7 days, argument == last X days)
- FirefoxPresence → Checks if interesting Firefox files exist
- IdleTime → Returns the number of seconds since the current user's last input.
- IEFavorites → Internet Explorer favorites
- IETabs → Open Internet Explorer tabs
- IEUrls → Internet Explorer typed URLs (last 7 days, argument == last X days)
- OfficeMRUs → Office most recently used file list (last 7 days)
- RDCManFiles → Windows Remote Desktop Connection Manager settings files
- TokenGroups → The current token's local and domain groups
- WindowsCredentialFiles → Windows credential DPAPI blobs
- WindowsVault → Credentials saved in the Windows Vault (i.e. logins from Internet Explorer and Edge).
Slack | User: - SlackDownloads → Parses any found 'slack-downloads' files
- SlackPresence → Checks if interesting Slack files exist
- SlackWorkspaces → Parses any found 'slack-workspaces' files
Chrome | User: - ChromePresence → Checks if interesting Google Chrome files exist
Chrome | Misc: - ChromeBookmarks → Parses any found Chrome bookmark files
- ChromeHistory → Parses any found Chrome history files
Misc: - ExplicitLogonEvents → Explicit Logon events (Event ID 4648) from the security event log. Default of 7 days, argument == last X days.
- FileInfo → Information about a file (version information, timestamps, basic PE info, etc. argument(s) == file path(s)
- FirefoxHistory → Parses any found FireFox history files
- InstalledProducts → Installed products via the registry
- InterestingFiles → "Interesting" files matching various patterns in the user's folder. Note: takes non-trivial time.
- LogonEvents → Logon events (Event ID 4624) from the security event log. Default of 10 days, argument == last X days.
- MicrosoftUpdates → All Microsoft updates.
- OutlookDownloads → List files downloaded by Outlook
- PowerShellEvents → PowerShell script block logs (4104) with sensitive data.
- ProcessCreationEvents → Process creation logs (4688) with sensitive data.
- ProcessOwners → Running non-session 0 process list with owners. For remote use.
- RecycleBin → Items in the Recycle Bin deleted in the last 30 days - only works from a user context.
- reg → Registry key values (HKLM\Software by default) argument == [Path] [intDepth] [Regex] [boolIgnoreErrors]
- RPCMappedEndpoints → Current RPC endpoints mapped
- ScheduledTasks → Scheduled tasks (via WMI) that aren't authored by 'Microsoft', "-full" dumps all Scheduled tasks
- SearchIndex → Query results from the Windows Search Index, default term of 'passsword'. (argument(s) == {search path} {pattern1,pattern2,...}
- SecurityPackages → Enumerates the security packages currently available using EnumerateSecurityPackagesA()
- SysmonEvents → Sysmon process creation logs (1) with sensitive data.
<補足>
マルウェアは、以下のパラメータを受け取ります。
- -group=all|user|system|slack|chrome|remote|misc → 各コマンドを個別に実行するのではなく、あらかじめ定義された関連コマンドをまとめて実行するために使用される
System | Remote:
- AMSIProviders → AMSIに登録されているプロバイダ
- AntiVirus → 登録されたウイルス対策製品(WMI経由)
- DotNet → DotNetのバージョン
- ExplorerRunCommands → 最近エクスプローラで行われた「実行」コマンド
- Hotfixes → インストールされた修正プログラム(WMI経由)
- InterestingProcesses → 「興味を引く」プロセス - セキュリティ対策製品および管理ツール
- LastShutdown → 最後にシステムをシャットダウンした日時を返す(レジストリ経由)
- LogonSessions → ログオンセッション(Windows)
- LSASettings → LSAの設定(認証パッケージを含む)
- MappedDrives → ユーザにマップされたドライブ(WMI経由)
- NetworkProfiles → ネットワーク・プロファイル(Windows)
- NetworkShares → コンピュータによって公開されているネットワーク共有(WMI経由)
- NTLMSettings → NTLM認証設定
- PowerShell → PowerShellのバージョンおよびセキュリティ設定
- Sysmon → レジストリからのシステムモニター(Sysmon)設定
- WindowsDefender → Windows Defenderの設定(除外対象を含む)
- WindowsEventForwarding → レジストリ経由のWindowsイベント転送(WEF)設定
- WindowsFirewall → 非標準のファイアウォール・ルール。「-full」はすべてをダンプする 。arguments == allow|deny|tcp|udp|in|out|domain|private/public
System | Remote | User:
- PuttyHostKeys → 保存されたPutty SSHホストキー
- PuttySessions → 保存されたPuttyの設定(興味を引くフィールド)およびSSHホストキー
- RDPSavedConnections → レジストリ内に保存されたRDP接続
System:
- AppLocker → AppLocker設定(インストールされている場合)
- ARPTable → 現在のARPテーブルおよびアダプタ情報を一覧表示する(arp -aと同等)
- AuditPolicies → クラシックポリシーおよび高度な監査ポリシー設定を列挙する
- AuditPolicyRegistry → レジストリ経由の監査設定
- AutoRuns → 実行ファイル/スクリプト/プログラムを自動実行する
- CredGuard → CredentialGuardの設定
- DNSCache → DNSキャッシュ・エントリ(WMI経由)
- EnvironmentPath → 現在の環境の%PATH$フォルダおよびSDDL情報
- EnvironmentVariables → 現在のユーザ環境変数
- InternetSettings → プロキシ設定やゾーン設定を含むインターネット設定
- LAPS → LAPS設定(インストールされている場合)
- LocalGPOs → コンピュータ/ローカルユーザに適用されるローカル・グループ・ポリシー設定
- LocalGroups → 空でないローカルグループ、「-full」はすべてのグループを表示する(argument == computername to enumerate)
- LocalUsers → ローカルユーザ、アクティブ/無効、最後に設定されたパスワード。argument == computername to enumerate
- NamedPipes → 名前付きパイプ名および読み取り可能なACL情報
- OSInfo → オペレーティングシステム(OS)の基本情報(アーキテクチャ、OSのバージョンなど)
- PoweredOnEvents → システム・イベント・ログにおけるEID 1、12、13、42、6008に基づいて再起動およびスリープスケジュールを設定する。デフォルトは7日間。argument == last X days
- Printers → インストールされているプリンタ(WMI経由)
- Processes → ファイル情報の会社名に「Microsoft」が含まれていないプロセスを実行する。「-full」はすべてのプロセスを列挙する
- PSSessionSettings → レジストリからPSセッションの設定を列挙する
- SCCM → System Center Configuration Manager(SCCM)の設定(該当する場合)
- Services → ファイル情報の会社名に「Microsoft」が含まれていないサービス。「-full」はすべてのプロセスをダンプする
- TcpConnections → 現在のTCP接続および関連するプロセス/サービス
- TokenPrivileges → 現在有効なトークン権限(例:SeDebugPrivilegeなど)
- UAC → レジストリ経由のUACシステムポリシー
- UdpConnections → 現在のUDP接続および関連するプロセス/サービス
- UserRightAssignments → 設定されたユーザ権利の割り当て(例:SeDenyNetworkLogonRight、SeShutdownPrivilegeなど)。argument == computername to enumerate
- WindowsAutoLogon → レジストリの自動ログオン情報
- WMIEventConsumer → WMIにおけるイベント・コンシューマを一覧表示する
- WMIEventFilter → WMIイベントフィルタを一覧表示する
- WMIFilterBinding → WMIフィルタおよびコンシューマのバインディングを一覧表示する
- WSUS → Windows Server Update Services(WSUS)の設定(該当する場合)
User:
- ChromePresence → 興味を引くGoogle Chromeファイルが存在するかどうかを確認する
- CloudCredentials → AWS/Google/Azureに関するクラウド認証情報ファイル
- CredEnum → CredEnumerate()を使用して現在のユーザの保存された認証情報を列挙する
- dir → ファイル/フォルダを一覧表示する。デフォルトでは、ユーザのダウンロード/ドキュメント/デスクトップ・フォルダを一覧表示する。arguments == [directory] [depth] [regex] [boolIgnoreErrors]
- DpapiMasterKeys → DPAPIマスターキーを一覧表示する
- ExplorerMRUs → エクスプローラで最近使用されたファイル(過去7日間、argument == last X days)
- FirefoxPresence → 興味を引くFirefoxファイルが存在するかどうかを確認する
- IdleTime → 現在のユーザが最後に入力してから経過した秒数を返す
- IEFavorites → Internet Explorerのお気に入り
- IETabs → Internet Explorerのタブを開く
- IEUrls → Internet Explorerで入力されたURL(過去7日間、argument == last X days)
- OfficeMRUs → 最近使用したOfficeのファイルを一覧表示する(過去7日間)
- RDCManFiles → Windowsリモート・デスクトップ接続マネージャの設定ファイル
- TokenGroups → 現在のトークンのローカルグループおよびドメイングループ
- WindowsCredentialFiles → Windowsの資格情報(DPAPI BLOB)
- WindowsVault → Windows Vault内に保存された資格情報(Internet ExplorerやEdgeからのログインなど)
Slack | User:
- SlackDownloads → 見つかった「slack-downloads」ファイルを構文解析(パース)する
- SlackPresence → 興味を引くSlackファイルが存在するかどうかを確認する
- SlackWorkspaces → 見つかった「slack-workspaces」ファイルを構文解析する
Chrome | User:
- ChromePresence → 興味を引くGoogle Chromeファイルが存在するかどうかを確認する
Chrome | Misc:
- ChromeBookmarks → 見つかったChromeのブックマークファイルを構文解析する
- ChromeHistory → 見つかったChromeの履歴ファイルを構文解析する
Misc:
- ExplicitLogonEvents → セキュリティ・イベント・ログからの明示的なログオン・イベント(イベントID 4648)。デフォルトは7日間。argument == last X days
- FileInfo → ファイルに関する情報(バージョン情報、タイムスタンプ、基本的なPE情報など)。argument(s) == file path(s)
- FirefoxHistory → Firefoxで見つかった履歴ファイルを構文解析する
- InstalledProducts → レジストリ経由でインストールされた製品
- InterestingFiles → ユーザのフォルダ内のさまざまなパターンに一致する「興味を引く」ファイル。注:かなりの時間を要する
- LogonEvents → セキュリティ・イベントログからのログオンイベント(イベントID 4624)。デフォルトは10日。argument == last X days
- MicrosoftUpdates → Microsoftのすべての更新プログラム
- OutlookDownloads → Outlookによってダウンロードされたファイルを一覧表示する
- PowerShellEvents → 機密データを含むPowerShellスクリプト・ブロック・ログ(4104)
- ProcessCreationEvents → 機密データを含むプロセスの作成ログ(4688)
- ProcessOwners → 所有者がいる実行中の非セッション0プロセスを一覧表示する。リモート用
- RecycleBin → 過去30日間に削除されたごみ箱内のアイテム - ユーザ・コンテキストからのみ機能する
- reg → レジストリキーの値(デフォルトではHKLM\Software)。argument == [Path] [intDepth] [Regex] [boolIgnoreErrors]
- RPCMappedEndpoints → 現在マップされているRPCエンドポイント
- ScheduledTasks → 「Microsoft」によって作成されていないスケジュールされたタスク「-full」(WMI経由)。「-full」はすべてのスケジュールされたタスクをダンプする
- SearchIndex → Windows検索インデックスからのクエリ結果。デフォルトの用語は「passsword」です。argument(s) == {search path} {pattern1,pattern2,...}
- SecurityPackages → EnumerateSecurityPackagesA()を使用して現在利用可能なセキュリティパッケージを列挙する
- SysmonEvents → 機密データを含むシステムモニタープロセスの作成ログ(1)
対応方法
対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.735.00
SSAPI パターンリリース日: 2024年6月13日
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HackTool.MSIL.Seatbelt.E」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください