Follow
概要
Funklockerランサムウェアは、FunkSecグループに関連付けられ、Windows環境をターゲットにし、AI支援のコード生成を利用して新しいバリアントを生み出します。PowerShell、taskkill、sc、vssadminなどのツールを悪用して、セキュリティ制御をシャットダウンし、シャドウコピーを削除し、データを.funksec拡張子で暗号化するなどの、生存型手法に依存しています。この記事では、SysmonとカスタムWazuhルールを使用してこれらの動作を検出する方法、および統合されたYARAスキャンを通じてクリーンアップを自動化する方法について説明します。
調査
この解析では、FunklockerがWindowsセキュリティとアプリケーションイベントログを押し下げ、Windows Defenderのリアルタイム保護を無効にし、PowerShell実行ポリシーをバイパスし、プロセスを終了させ、重要なサービスを停止し、Volume Shadow Copyのバックアップを消去する方法について説明しています。テストサンプルは、Wazuhエージェントがインストールされ、Sysmonが関連するすべてのテレメトリをキャプチャするように調整されたWindows 11のラボホストで発火されました。
Funlockerランサムウェア対策
推奨される緩和手順には、PowerShell実行ポリシーの強化、サービス管理における最低特権の適用、シャドウコピーが利用可能なことを確認しつつ頻繁なバックアップの維持、Wazuhと特注のSysmonルールを組み合わせたEDRツールの配備でFunklockerのコマンドパターンを警告することが含まれます。YARAシグネチャを適用して識別されたランサムウェア実行可能ファイルを自動的に隔離または削除することができます。
対応
Funklockerの活動が検出されると、Wazuhサーバーはアラートを上げ、Active ResponseコンポーネントがYARAスキャンをトリガーしてランサムウェアバイナリおよび新たに作成された暗号化ファイルを削除します。記された対応プロセスは、手動検証、影響を受けたシステムの封じ込め、信頼できる未損傷のバックアップからのデータ復旧もカバーしています。
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes action_phishing[“<b>Action</b> – <b>T1204.004 ユーザー実行: 悪意のあるファイル</b><br/>悪意のある添付ファイルを含むフィッシングメールが被害者に送信される”] class action_phishing action action_execute_payload[“<b>Action</b> – <b>T1218.007 署名付きバイナリのプロキシ実行: Msiexec</b><br/>システムユーティリティを使用して悪意のある .exe または .msi ペイロードを実行する”] class action_execute_payload action action_install_rat[“<b>Action</b> – <b>T1219 リモートアクセスツール</b><br/>侵害されたホストにリモートアクセスツールをインストールする”] class action_install_rat action malware_rat[“<b>Malware</b> – <b>名前</b>: リモートアクセスツール<br/><b>説明</b>: 永続的なリモート制御を可能にする”] class malware_rat malware action_c2[“<b>Action</b> – <b>T1104 コマンド&コントロール</b><br/>指示を受信するための C2 チャネルを確立する”] class action_c2 action action_recon[“<b>Action</b> – 偵察<br/><b>T1082 システム情報探索</b>, <b>T1592.002 ソフトウェア識別</b>, <b>T1590.004 ネットワークトポロジ探索</b><br/>システム、ソフトウェア、ネットワークの詳細を収集する”] class action_recon action action_credential_dump[“<b>Action</b> – <b>T1555.003 ファイル内の認証情報: Web ブラウザ</b><br/>WebBrowserPassView を使用して保存された Web 認証情報を抽出する”] class action_credential_dump action tool_webbrowserpassview[“<b>Tool</b> – <b>名前</b>: WebBrowserPassView<br/><b>説明</b>: ブラウザに保存されたパスワードを取得する”] class tool_webbrowserpassview tool action_valid_accounts[“<b>Action</b> – <b>T1078 有効なアカウント</b><br/>取得した認証情報を使用して認証を行う”] class action_valid_accounts action action_lateral_movement[“<b>Action</b> – <b>T1021.006 リモートサービス: WinRM</b><br/>Windows Remote Management を使用してラテラルムーブメントを行う”] class action_lateral_movement action %% Connections action_phishing u002du002d>|leads to| action_execute_payload action_execute_payload u002du002d>|executes| action_install_rat action_install_rat u002du002d>|installs| malware_rat malware_rat u002du002d>|communicates with| action_c2 action_c2 u002du002d>|enables| action_recon action_recon u002du002d>|provides data for| action_credential_dump action_credential_dump u002du002d>|uses| tool_webbrowserpassview action_credential_dump u002du002d>|leads to| action_valid_accounts action_valid_accounts u002du002d>|enables| action_lateral_movement
攻撃の流れ
シミュレーション実行
前提条件:テレメトリとベースラインのプレフライトチェックが合格していること。
根拠:このセクションでは、検出ルールをトリガーするよう設計された敵の技術(TTP)の正確な実行について詳細に説明しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリを生成することを目指しています。
-
攻撃内容とコマンド:
攻撃者は、侵害されたエンドポイントでローカル管理者権限を取得しました。ランサムウェアが中断なく実行できかつ隠れたままであることを確実にするために、一連のPowerShellワンライナーを実行し、(1) セキュリティイベントログを無効にし、(2) Microsoft Defenderのリアルタイム保護をオフにし、(3) アプリケーションログを無効にし、(4) PowerShell実行ポリシーをバイパスに設定します。各コマンドは昇格されたPowerShellプロンプトから直接発行され、Sigmaルールがマッチする文字列を正確に反映します。 -
回帰テストスクリプト:
# Funklockerスタイルのログ無効化とディフェンダーコマンド # 1. セキュリティイベントログを無効化 powershell -Command "wevtutil sl Security /e:false" # 2. Microsoft Defenderのリアルタイム監視を無効化 powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true" # 3. アプリケーションイベントログを無効化 powershell -Command "wevtutil sl Application /e:false" # 4. 現在のプロセス用にPowerShell実行ポリシーをバイパスする powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force" -
クリーンアップコマンド:
# セキュリティイベントログを再有効化 wevtutil sl Security /e:true # Microsoft Defenderのリアルタイム監視を再有効化 Set-MpPreference -DisableRealtimeMonitoring $false # アプリケーションイベントログを再有効化 wevtutil sl Application /e:true # PowerShell実行ポリシーを既定(制限付き)に復元 Set-ExecutionPolicy Restricted -Scope Process -Force