SOC Prime Bias:

24 11月 2025 19:49
newspaper icon AttackIQ

アキラランサムウェア:CISA勧告AA24-109Aへの対応

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
アキラランサムウェア:CISA勧告AA24-109Aへの対応
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Akiraランサムウェア: CISAアドバイザリーAA24-109Aへの対応 概要

このアドバイザリーは、被害者のデータを暗号化し、暗号化前にデータを抽出するRansomware-as-a-Service (RaaS)の脅威であるAkiraランサムウェアの運用を紹介しています。2023年3月に初めて観測されたAkiraは急速に注目を集め、Contiランサムウェアファミリーとコード系譜を共有していると考えられています。この文書は、RDPに対するブルートフォース攻撃、認証情報のダンプ、およびTORホストの漏洩ポータルへの依存など、グループの戦術、技術、および手順を詳述しています。被害者は通常、復号キーのため、または盗まれたデータの削除約束のための支払いを強要されます。

調査

CISA、FBI、NCSC-NL、およびいくつかのヨーロッパの法執行機関のパートナーによる協調的な調査により、2025年11月までのAkiraの脅威プロファイルが更新されました。技術的な知見は、新しいローカルアカウントの作成による持続性、ネイティブWindows APIを用いた広範な偵察、およびMimikatz、LaZagne、Rubeusなどの資格情報窃盗ユーティリティの使用を強調しています。ファイルの暗号化はChaCha20アルゴリズムで実施され、キーはRSA-4096で保護されています。

Akiraランサムウェア対策

防御の優先事項には、強力でユニークなRDP資格情報の強制、異常なアカウント作成や特権列挙活動の監視、一般的に悪用される攻撃ツールのブロックが含まれます。組織は、定期的でテストされたバックアップを維持し、非必須サービスを無効にし、LSASSメモリダンプを防ぐためにホストベースのコントロールを導入するべきです。追加の安全策には、ネットワークエッジでのTORトラフィックのフィルタリングと、.onionインフラストラクチャへの潜在的なデータ抽出の追跡が含まれます。

対応

Akiraの活動が疑われる場合、直ちに影響を受けたホストを隔離し、メモリとディスクのイメージを取得し、すべての関連する侵害の指標を保存します。露出した資格情報をリセットし、認可されていないアカウントを削除し、信頼された検証済みのバックアップからシステムを復元します。徹底的な法医学的レビューは、横方向の移動パスとピボットポイントをマッピングする必要があり、その結果は適切な当局および情報共有パートナーに報告されるべきです。

mermaid graph TB %% Class Definitions classDef technique fill:#e6f5ff %% Nodes – Techniques tech_bruteforce[“<b>Technique</b> – <b>T1110.004 ブルートフォース – 資格情報の詰め込み</b><br /><b>Description</b>: 攻撃者が大量の既に侵害された資格情報を使用してリモートサービス経由でログインを試みる。”] class tech_bruteforce technique tech_rdp[“<b>Technique</b> – <b>T1021.001 リモートサービス: RDP</b><br /><b>Description</b>: リモートデスクトッププロトコルを使用してリモート対話セッションを確立する。”] class tech_rdp technique tech_createacct[“<b>Technique</b> – <b>T1136.001 アカウント作成: ローカルアカウント</b><br /><b>Description</b>: 敵対者が持続性や特権昇格のために新しいローカルユーザアカウントを作成する。”] class tech_createacct technique tech_localgroup[“<b>Technique</b> – <b>T1069.001 権限グループの発見: ローカルグループ</b><br /><b>Description</b>: 特権アカウントを特定するためにローカルグループメンバーシップを列挙する。”] class tech_localgroup technique tech_domaingroup[“<b>Technique</b> – <b>T1069.002 権限グループの発見: ドメイングループ</b><br /><b>Description</b>: 追加の特権グループを見つけるためにドメイングループメンバーシップを列挙する。”] class tech_domaingroup technique tech_processdisc[“<b>Technique</b> – <b>T1057 プロセス探索</b><br /><b>Description</b>: ホストで実行中のプロセスをリストするためにtasklistなどのユーティリティを使用する。”] class tech_processdisc technique tech_remotesysdisc[“<b>Technique</b> – <b>T1018 リモートシステム探索</b><br /><b>Description</b>: nltestなどのツールを使用して、例えばドメインコントローラーなどのリモートシステムを特定する。”] class tech_remotesysdisc technique tech_trustdisc[“<b>Technique</b> – <b>T1482 ドメイン信頼探索</b><br /><b>Description</b>: nltest trusted_domainsを使用して信頼されたドメイン関係をクエリする。”] class tech_trustdisc technique tech_kerberoast[“<b>Technique</b> – <b>T1558.003 Kerberoasting</b><br /><b>Description</b>: サービステケットを抽出しオフラインでクラッキングする。多くの場合、Rubeusなどのツールを使用する。”] class tech_kerberoast technique tech_lsassdump[“<b>Technique</b> – <b>T1003.001 OS資格情報のダンピング</b><br /><b>Description</b>: comsvcs.dllとMimikatzを使用してLSASSメモリをダンプし、プレーンテキストの資格情報を取得する。”] class tech_lsassdump technique tech_regdump[“<b>Technique</b> – <b>T1003.002 レジストリハイブのダンピング</b><br /><b>Description</b>: オフライン分析のためにSYSTEMレジストリハイブを保存する (例: reg saveを使用して)。”] class tech_regdump technique tech_wmiexec[“<b>Technique</b> – <b>T1047 Windows Management Instrumentation</b><br /><b>Description</b>: WMIを通じてリモートでコマンドを実行する。wmiexecなどのユーティリティが一般的に使用される。”] class tech_wmiexec technique tech_rdp_lateral[“<b>Technique</b> – <b>T1021.001 リモートサービス: RDP (横移動)</b><br /><b>Description</b>: リモートデスクトッププロトコル接続を通じて追加のホストに横移動する。”] class tech_rdp_lateral technique tech_ssh[“<b>Technique</b> – <b>T1021.004 リモートサービス: SSH</b><br /><b>Description</b>: RDPが利用できない場合にセキュアシェルを使って横移動する。”] class tech_ssh technique tech_sysinfo[“<b>Technique</b> – <b>T1082 システム情報の発見</b><br /><b>Description</b>: GetSystemInfoなどのコマンドを使用してオペレーティングシステムやハードウェアの詳細を収集する。”] class tech_sysinfo technique tech_queryreg[“<b>Technique</b> – <b>T1012 レジストリのクエリ</b><br /><b>Description</b>: MachineGUIDなどのレジストリ値を読み取ってホストを一意に識別する。”] class tech_queryreg technique tech_filedisc[“<b>Technique</b> – <b>T1083 ファイルとディレクトリの探索</b><br /><b>Description</b>: FindFirstFile/FindNextFile APIコールを使用してファイルとディレクトリを列挙する。”] class tech_filedisc technique tech_logdrive[“<b>Technique</b> – <b>T1680 論理ドライブの探索</b><br /><b>Description</b>: GetLogicalDriveStringsWおよびGetDriveTypeWを使用して論理ドライブ文字とタイプを取得する。”] class tech_logdrive technique tech_permmod[“<b>Technique</b> – <b>T1222.001 ファイルとディレクトリの権限変更</b><br /><b>Description</b>: icaclsを使用してファイルまたはディレクトリのACLを変更し、さらなるアクセスを可能にする。”] class tech_permmod technique tech_inhibitrec[“<b>Technique</b> – <b>T1490 システムリカバリの抑制</b><br /><b>Description</b>: ボリュームシャドウコピーをWMIを通じて削除し、復元できないようにする。”] class tech_inhibitrec technique tech_encrypt[“<b>Technique</b> – <b>T1486 影響のためにデータを暗号化</b><br /><b>Description</b>: ChaCha20対称暗号化を使用して被害者のデータを暗号化し、RSA-4096でキーを保護する。”] class tech_encrypt technique %% Connections – Attack Flow tech_bruteforce u002du002d>|leads_to| tech_rdp tech_rdp u002du002d>|leads_to| tech_createacct tech_createacct u002du002d>|leads_to| tech_localgroup tech_localgroup u002du002d>|leads_to| tech_domaingroup tech_domaingroup u002du002d>|leads_to| tech_processdisc tech_processdisc u002du002d>|leads_to| tech_remotesysdisc tech_remotesysdisc u002du002d>|leads_to| tech_trustdisc tech_trustdisc u002du002d>|leads_to| tech_kerberoast tech_kerberoast u002du002d>|leads_to| tech_lsassdump tech_lsassdump u002du002d>|leads_to| tech_regdump tech_regdump u002du002d>|leads_to| tech_wmiexec tech_wmiexec u002du002d>|leads_to| tech_rdp_lateral tech_rdp_lateral u002du002d>|leads_to| tech_ssh tech_ssh u002du002d>|leads_to| tech_sysinfo tech_sysinfo u002du002d>|leads_to| tech_queryreg tech_queryreg u002du002d>|leads_to| tech_filedisc tech_filedisc u002du002d>|leads_to| tech_logdrive tech_logdrive u002du002d>|leads_to| tech_permmod tech_permmod u002du002d>|leads_to| tech_inhibitrec tech_inhibitrec u002du002d>|leads_to| tech_encrypt

攻撃フロー

シミュレーション実行

前提条件: テレメトリーとベースラインのプリフライトチェックが完了していること。

理由: このセクションは、敵対者技術 (TTP) が検出ルールをトリガーする正確な実行を詳述しています。コマンドと説明は、識別されたTTPを直接反映しており、検出ロジックによって期待される正確なテレメトリーを生成します。

  • 攻撃の概要とコマンド:
    ランサムウェアオペレーターはユーザドキュメントのディレクトリを暗号化する準備をします。まず、ファイルがランサムウェアプロセスで完全にアクセス可能になるようにEveryoneへの完全な制御をicacls.exeを使用して付与します。これは、MITRE技術T1222.001に一致する「暗号化前に開放アクセスを付与」ステップの古典的な例です。攻撃者は低特権コンテキストからコマンドを実行しますが、プロセスが十分な権限を持っている場合(例: スケジュールタスク経由でSYSTEMとして実行)にはACLを変更できるという事実に依存しています。icacls.exeイメージ

    # Path to target directory
$target = "C:UsersPublicDocumentsSensitiveData"

# Recursively grant full control to Everyone
icacls.exe "$target*" /grant *S-1-1-0:F /T /C

    The above command creates a Sysmon ProcessCreate event where Imageicacls.exeで終わるSysmon ProcessCreateイベントを作成し、その結果、検出ルールが満たされます。

  • 回帰テストスクリプト:

    # ---------------------------------------------------------------
# 回帰テスト – Icacls権限変更 (T1222.001)
# ---------------------------------------------------------------
# 一時的なテストディレクトリを作成
$testDir = "$env:TEMPIcaclsTest"
New-Item -Path $testDir -ItemType Directory -Force | Out-Null

# ダミーファイルで埋め込み
1..5 | ForEach-Object {
    New-Item -Path "$testDirFile$_ .txt" -ItemType File -Force | Out-Null
}

# Icaclsを実行してEveryoneに完全な制御を付与 (この実行はルールを発火させるはずです)
icacls.exe "$testDir*" /grant *S-1-1-0:F /T /C

# SIEMの取り込みを許可するために一時停止
Start-Sleep -Seconds 10

# スクリプトの終了

  • クリーンアップコマンド:

    # ---------------------------------------------------------------
# クリーンアップ – テストACL変更の削除とテストデータの削除
# ---------------------------------------------------------------
$testDir = "$env:TEMPIcaclsTest"

# 権限をデフォルトにリセット (Everyoneの権限を削除)
icacls.exe "$testDir*" /reset /T /C

# テストディレクトリを削除
Remove-Item -Path $testDir -Recurse -Force

SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

無料で参加