フォローする
概要
DeadLockランサムウェアは、コマンド&コントロール(C2)用のプロキシURLを公開し回転させるための耐久性のある方法としてPolygonスマートコントラクトを採用し、従来のドメインに依存せずにバックエンドインフラストラクチャを迅速に変更できるようにしています。暗号化の後、攻撃者は被害者をさらなる指示とやり取りのために非中央集権型メッセンジャーであるSessionに誘導するHTML「支払い/コミュニケーション」ラッパーをドロップします。この手法は、以前に北朝鮮に関連する活動で報告されたEtherHidingパターンに似ており、悪意のあるインフラストラクチャの間接層としてブロックチェーンデータを使用します。特に、DeadLockは従来の一般公開されたリークサイトを優先せず、代わりに地下市場での販売を通じて盗まれたデータを収益化しているようです。
調査
Group-IBのアナリストは、C2エンドポイントを隠すためのDeadLockのスマートコントラクトを使用した手法を記録しました。これには、暗号化後にSessionを通信チャネルとして明示的に参照するHTMLファイルのドロップが含まれています。このレポートは、BYOVD(自身持参の脆弱ドライバー)技術とEDRプロセスの終了と関連付けられたDeadLockの活動を報告した先のCisco Talosの報告も引用していますが、正確な初期アクセスベクトルは決定的に特定されませんでした。同様の「スマートコントラクトをC2ディレクトリとして」使う戦術については、北朝鮮のキャンペーンの文脈でGoogle Threat Intelligence Groupによっても議論され、公のブロックチェーンをインフラストラクチャの機動性のために利用する全体的なトレンドを強調しました。
緩和策
不審なファイル活動後にSession(または他の非中央集権メッセンジャー)を起動または参照する予期しないHTMLアーティファクトをエンドポイントで監視してください。リモートアクセス、ペイロードのステージング、またはメッセンジャーのインストールを促進できる未承認ツールの実行を制限し、強力なアプリケーションの許可リストを強制します。ネットワーク側では、ブロックチェーンに保存されたポインタから派生しているように見えるプロキシURLやドメインへの接続を監査し、アウトバウンド先の急激な変化を高いシグナルの異常として扱います。エンドポイントの検出を継続的に更新し、BYOVDドライバーのロード、不審なドライバーのインストール、EDRの改ざんや強制的なセキュリティサービスの終了と一致する動作を識別します。
対応
DeadLockの指標が特定された場合は、さらなる暗号化と横方向の移動を防ぐために、影響を受けたシステムを即座に隔離します。ドロップされたHTMLラッパー、暗号化ノート、および関連するバイナリまたはスクリプトを収集し保存した後、観察されたプロキシURLおよびスマートコントラクト参照インフラストラクチャへのアウトバウンドトラフィックをブロックします。公式のインシデント対応手順を開始し、修復前にオフライン/バックアップされたリカバリパスの整合性と可用性を確認し、脅迫リスクを判断するために潜在的なデータ露出を評価します。適切な場合は、利害関係者とのコミュニケーションを調整し、専門のランサムウェア対応サポートを招いて、完全なスコーピングと根絶を遂行します。
graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#c2e0ff classDef tool fill:#cccccc classDef malware fill:#ffcccc classDef process fill:#e6e6e6 classDef data fill:#f0e68c classDef operator fill:#ff9900 %% Technique Nodes tech_priv_esc[“<b>手法</b> – T1068 権限昇格のためのエクスプロイト<br/><b>説明</b>: 脆弱なドライバを使用してシステム権限を昇格させる。”] class tech_priv_esc technique tech_def_evasion[“<b>手法</b> – T1211 防御回避のためのエクスプロイト<br/><b>説明</b>: ドライバの脆弱性を悪用してセキュリティエージェントを停止または回避する。”] class tech_def_evasion technique tech_impair[“<b>手法</b> – T1562 防御の無効化<br/><b>説明</b>: 検知および対応能力を低下させるためにセキュリティソリューションを無効化または改ざんする。”] class tech_impair technique tech_web_comm[“<b>手法</b> – T1102.002 Webサービス双方向通信<br/><b>説明</b>: 暗号化されたHTMLラッパーを配置し、Sessionメッセンジャーを起動してPolygonスマートコントラクトからプロキシURLを取得する。”] class tech_web_comm technique tech_app_proto[“<b>手法</b> – T1071.001 アプリケーション層プロトコル(Web)<br/><b>説明</b>: 正常な通信に紛れて標準Webプロトコル(HTTP/WebSocket)でプロキシおよびC2サーバーと通信する。”] class tech_app_proto technique %% Tool Node tool_vuln_driver[“<b>ツール</b> – 名前: 脆弱なドライバ<br/><b>目的</b>: 権限昇格および防御回避のためのカーネルレベルのコード実行を提供する。”] class tool_vuln_driver tool %% Malware Node malware_deadlock[“<b>マルウェア</b> – 名前: DeadLock ランサムウェア<br/><b>機能</b>: 初期侵害後に暗号化およびC2通信を実行する。”] class malware_deadlock malware %% Process Nodes process_html_wrapper[“<b>プロセス</b> – 名前: HTMLラッパー<br/><b>動作</b>: 被害者ホスト上でSessionメッセンジャーを復号して起動する。”] class process_html_wrapper process process_session_messenger[“<b>プロセス</b> – 名前: Sessionメッセンジャー<br/><b>動作</b>: 暗号化通信を処理し、プロキシ情報を取得してC2と通信する。”] class process_session_messenger process process_c2_server[“<b>サーバー</b> – C2サーバー<br/><b>プロトコル</b>: HTTP/WebSocket”] class process_c2_server process %% Data Node data_proxy_url[“<b>データ</b> – プロキシURL<br/><b>取得元</b>: C2エンドポイントをローテーションするためにPolygonスマートコントラクトから取得される。”] class data_proxy_url data %% Connections tech_priv_esc –>|uses| tool_vuln_driver tech_def_evasion –>|uses| tool_vuln_driver tool_vuln_driver –>|enables| tech_priv_esc tool_vuln_driver –>|enables| tech_def_evasion malware_deadlock –>|drops| process_html_wrapper process_html_wrapper –>|launches| process_session_messenger process_session_messenger –>|retrieves| data_proxy_url data_proxy_url –>|provides| tech_web_comm tech_web_comm –>|communicates via| tech_app_proto process_session_messenger –>|talks to| process_c2_server tech_impair –>|targets| malware_deadlock
Attack Flow
Detections
Suspicious Process Mimicking Svchost Was Executed (via cmdline)
View
Possible Shadow Copies Deletion via WMI (via powershell)
View
Possible Publicnode Ethereum Abuse Attempt As C2 Channel (via dns_query)
View
DeadLock Ransomware Proxy Server URL Rotation via Smart Contracts [Proxy]
View
Simulation Execution
Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.
Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic. Abstract or unrelated examples will lead to misdiagnosis.
-
Attack Narrative & Commands:
The threat actor, having compromised a smart‑contract‑controlled proxy service, rotates the proxy URL every few minutes to evade static blocklists. Each rotation publishes a new sub‑domain under
deadlock.example.com. The ransomware queries the proxy to retrieve the next C2 address. To emulate this, we issue a series of HTTP requests to three distinct URLs that all contain the literal string “.example.com”, mimicking the rotation pattern observed in the wild. -
Regression Test Script:
#!/usr/bin/env bash # DeadLock Proxy URL Rotation Simulation – generates telemetry that matches the Sigma rule PROXY="http://proxy.example.local:3128" URLs=( "http://stage1.example.com/deadlock" "http://stage2.example.com/deadlock" "http://stage3.example.com/deadlock" ) echo "[*] Starting proxy‑URL rotation simulation (3 requests)..." for url in "${URLs[@]}"; do echo "[+] Requesting $url via $PROXY" curl -s -x "$PROXY" "$url" -o /dev/null sleep 2 # short pause to emulate realistic interval done echo "[*] Simulation complete." -
Cleanup Commands:
#!/usr/bin/env bash # Remove any temporary files created during the simulation (none in this case) echo "[*] No artifacts to clean up. Leaving proxy configuration untouched."