SOC Prime Bias:

03 12月 2025 20:12
newspaper icon picussecurity.com

Riddle Spider Avaddon ランサムウェア分析と技術的概要

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Riddle Spider Avaddon ランサムウェア分析と技術的概要
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

Avaddonは、犯罪グループRiddle Spiderによって運営されているRansomware-as-a-Service(RaaS)オペレーションです。このC++ベースのマルウェアは、ローカルおよびネットワークアクセス可能なデータを暗号化し、シャドウコピーを削除し、奪取された情報の漏洩を脅迫することでダブルエクストーションモデルを利用しています。盗まれた認証情報、公開されたRDPサービス、カスタムのWebシェルを介して展開され、多くのアンチ解析技術を活用しています。

Avaddonランサムウェア分析

分析には、Avaddonのコードベース、構成の保存方法、地理的チェックの実行方法、サービスの停止、プロセスの終了、およびAES-256を使用した暗号化の実行方法に関する詳細が含まれています。また、終了するために選択されたサービスとプロセス、リカバリメカニズムを無効にするために使用された特定のコマンドを列挙します。

緩和策

ディフェンダーは、堅牢な認証情報の管理を徹底し、RDPの露出を制限または強化し、既知のWebシェルパターンを監視し、シャドウコピー削除コマンドの実行を検出するべきです。アプリケーションホワイトリスティングと定期的かつオフラインのバックアップを維持することで、ランサムウェアの影響を大幅に削減できます。

対応

Avaddonの活動が検出された場合、妥協されたシステムを隔離し、揮発性の証拠を取得し、関連するコマンドラインの動作をブロックし、完全な法医学イメージングでインシデントレスポンスを開始します。信頼できるオフラインバックアップからデータを復元し、ダブルエクストーション戦術のために法執行機関の関与を検討してください。

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% Nodes action_valid_accounts[“<b>アクション</b> – <b>T1078 有効なアカウント</b><br/>攻撃者は盗用または推測された認証情報を使用して初期アクセスを取得し、主に侵害された RDP 資格情報を通じて侵入する。”] class action_valid_accounts action action_rdp[“<b>アクション</b> – <b>T1021.001 リモートサービス: リモートデスクトッププロトコル</b><br/>有効な認証情報を取得後、RDP を使用してラテラルムーブメントおよびリモートコマンド実行を行う。”] class action_rdp action malware_web_shell[“<b>マルウェア</b> – <b>T1505.003 サーバーソフトウェアコンポーネント: Web シェル</b><br/>カスタム Web シェル(例: BLACKCROW、DARKRAVEN)を展開し、永続的なアクセスの維持および侵害サーバー上でのコマンド実行を可能にする。”] class malware_web_shell malware action_c2_comm[“<b>アクション</b> – <b>T1102.002 Web サービス: 双方向通信</b><br/>Web シェルが双方向のコマンド&コントロール通信チャネルを提供する。”] class action_c2_comm action tool_powershell[“<b>ツール</b> – <b>T1059.001 コマンドおよびスクリプトインタープリタ: PowerShell</b><br/>Empire や PowerSploit などのポストエクスプロイトフレームワークを通じて PowerShell スクリプトを実行する。”] class tool_powershell tool action_auto_collection[“<b>アクション</b> – <b>T1119 自動収集</b><br/>データの持ち出し前にファイルおよび情報を自動的に収集する。”] class action_auto_collection action tool_7zip[“<b>ツール</b> – <b>T1560.001 収集データのアーカイブ: ユーティリティによるアーカイブ</b><br/>7Zip を使用して収集したデータを圧縮する。”] class tool_7zip tool action_exfil_cloud[“<b>アクション</b> – <b>T1567.002 Web サービス経由の持ち出し: クラウドストレージへの持ち出し</b><br/>MEGAsync などのクラウドサービスにアーカイブされたデータをアップロードする。”] class action_exfil_cloud action action_gather_info[“<b>アクション</b> – <b>T1592 ホスト情報の収集</b><br/>ランサムノート作成のため、ハードウェア、ソフトウェア、ファームウェア、クライアント設定情報を収集する。”] class action_gather_info action action_service_stop[“<b>アクション</b> – <b>T1489 サービス停止</b><br/>暗号化の妨害を防ぐため、セキュリティ関連のサービスおよびプロセスを停止・削除する。”] class action_service_stop action action_exclusive_control[“<b>アクション</b> – <b>T1668 排他的制御</b><br/>シャドウコピーを削除し、復旧を防ぐために排他的な制御を取得する。”] class action_exclusive_control action action_inhibit_recovery[“<b>アクション</b> – <b>T1490 システム回復の阻害</b><br/>vssadmin、wbadmin、bcdedit を使用して回復機構を無効化し、シャドウコピーを削除する。”] class action_inhibit_recovery action action_obfuscation[“<b>アクション</b> – <b>T1027 難読化されたファイルまたは情報</b><br/>設定文字列は Base64 エンコードされ、さらに算術演算によって難読化される。”] class action_obfuscation action action_data_encryption[“<b>アクション</b> – <b>T1486 影響を与えるためのデータ暗号化</b><br/>AES-256 を使用して被害者のファイルを暗号化し、ファイルごとにキーを生成し、重要なシステムディレクトリを除外する。”] class action_data_encryption action action_hide_artifacts[“<b>アクション</b> – <b>T1564.012 アーティファクトの隠蔽: ファイル/パス除外</b><br/>システムの安定性を維持するため、特定のディレクトリおよび拡張子を暗号化対象から除外する。”] class action_hide_artifacts action %% Flow connections action_valid_accounts u002du002d>|つながる| action_rdp action_rdp u002du002d>|有効化| malware_web_shell malware_web_shell u002du002d>|提供| action_c2_comm action_c2_comm u002du002d>|使用| tool_powershell tool_powershell u002du002d>|実行| action_auto_collection action_auto_collection u002du002d>|供給| tool_7zip tool_7zip u002du002d>|アーカイブを生成| action_exfil_cloud action_exfil_cloud u002du002d>|完了| action_gather_info action_gather_info u002du002d>|先行| action_service_stop action_service_stop u002du002d>|有効化| action_exclusive_control action_exclusive_control u002du002d>|つながる| action_inhibit_recovery action_inhibit_recovery u002du002d>|準備する| action_obfuscation action_obfuscation u002du002d>|先行| action_data_encryption action_data_encryption u002du002d>|併行| action_hide_artifacts %% Styling class action_valid_accounts,action_rdp,action_c2_comm,action_auto_collection,action_exfil_cloud,action_gather_info,action_service_stop,action_exclusive_control,action_inhibit_recovery,action_obfuscation,action_data_encryption,action_hide_artifacts action class tool_powershell,tool_7zip tool class malware_web_shell malware

攻撃フロー

シミュレーション

エグゼクティブサマリー

テストケースID: TC-20251104-A7B9Z
TTPs: T1219, T1566.001
検出ルールロジックの概要: 件名に「load」という単語を含み、本文に「.exe」と「.msi」の文字列が含まれるメールを検出し、悪意のあるダウンロードリンクを示します。
検出ルールの言語/形式: sigma
対象セキュリティ環境: Windows OS – ネットワーク接続ログ (例:Windowsファイアウォール、プロキシ、DNSログ) – Sigmaルールを使用するSIEMプラットフォーム (例:Splunk、Elastic、Azure Sentinel)
レジリエンススコア (1-5): 2
正当化: このルールは…
シミュレーションを全て表示

SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

無料で参加