フォローする 
調査
ThreatLabzは複数のランサムウェアのサンプルを分析し、マルウェアが使用するカスタムCRCおよびFNV1ハッシュ関数を逆解析し、スケジュールされたタスクを通じた持続性を特定しました。研究者は、暗号化方式、標的とするファイル拡張子、全体的な実行フローも記録しました。分析により、暗号化が始まる前に低レベルのシステムコールを使用して終了しようとするセキュリティ関連プロセスの組み込みリストが明らかになりました。コマンドラインパラメータやファイル拡張子パターンを含む追加の指標がサンプルから直接抽出され、検出とハンティングの努力を支援します。
緩和策
組織は多要素認証を強制し、ソーシャルエンジニアリングの試みに対処するためのユーザートレーニングを行い、Microsoft Teamsやクイックアシストなどのツールの不審な使用を監視する必要があります。防御者はまた、ランサムウェア関連の既知のファイル拡張子をブロックし、Mozillaパスでのスケジュールされたタスクの作成やシステムへの呼び出しを識別できるエンドポイント検出を展開するべきです。 SetFileInformationByHandle を FileRenameInfoと共に使います。オフラインバックアップは定期的に行い、シャドウコピーを保護して、暗号化の際の回復オプションを改善すべきです。
対応策
Payouts Kingの活動が検出された場合、影響を受けたシステムを直ちに隔離し、法医学分析のために揮発性メモリとディスクイメージを収集します。調査担当者は、 MozillaUpdateTask and MozillaElevateTaskといった名前のスケジュールされたタスクを確認し、マルウェアに関連するカスタムCRC保護のコマンドライン引数や固有の暗号化ファイル拡張子をハンティングします。回復は、信頼性のあるクリーンなバックアップからのデータ復元に焦点を当てるべきです。セキュリティチームは、特定されたサンプルハッシュを関連する脅威インテリジェンスプラットフォームに提出し、より広範な追跡と防御を支援するべきです。
graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef credential fill:#ffccff classDef operator fill:#ff9900 action_phishing[“<b>アクション</b> – T1566.001 フィッシング: 標的型添付ファイル<br/><b>説明</b>: ITスタッフを装った悪意ある添付ファイル付きメール。<br/><b>技術ID</b>: T1566.001”] class action_phishing action action_user_exec[“<b>アクション</b> – T1204.002 ユーザー実行<br/><b>説明</b>: ファイルを開きランサムウェアを実行。<br/><b>技術ID</b>: T1204.002”] class action_user_exec action tool_malicious_file[“<b>ツール</b> – 悪意あるペイロードファイル<br/><b>説明</b>: フィッシング添付ファイルで配布される実行ファイル”] class tool_malicious_file tool process_cmd_shell[“<b>プロセス</b> – T1059.003 Windows Command Shell<br/><b>説明</b>: cmd.exe を生成して実行。<br/><b>技術ID</b>: T1059.003”] class process_cmd_shell process action_scheduled_task[“<b>アクション</b> – T1053 スケジュールタスク<br/><b>説明</b>: \Mozilla\UpdateTask を作成。<br/><b>技術ID</b>: T1053”] class action_scheduled_task action action_elevate_task[“<b>アクション</b> – T1546 イベントトリガー実行<br/><b>説明</b>: SYSTEM権限で実行するタスクを作成。<br/><b>技術ID</b>: T1546”] class action_elevate_task action defense_obfuscation_dynapi[“<b>回避</b> – T1027.007 動的API解決<br/><b>説明</b>: CRC/FNV1でAPIをハッシュ化。<br/><b>技術ID</b>: T1027.007”] class defense_obfuscation_dynapi malware defense_evasion_process_kill[“<b>回避</b> – T1564.011 プロセス中断無視<br/><b>説明</b>: AVプロセスをsyscallで終了。<br/><b>技術ID</b>: T1564.011”] class defense_evasion_process_kill malware defense_obfuscation_general[“<b>回避</b> – T1027 難読化ファイル<br/><b>説明</b>: スタック文字列と暗号化セクション。<br/><b>技術ID</b>: T1027”] class defense_obfuscation_general malware impact_encrypt_files[“<b>影響</b> – T1560.003 カスタム暗号化<br/><b>説明</b>: AES-256-CTR + RSA-4096。<br/><b>技術ID</b>: T1560.003”] class impact_encrypt_files malware impact_delete_shadows[“<b>影響</b> – T1006 シャドウコピー削除<br/><b>説明</b>: vssadminで削除。<br/><b>技術ID</b>: T1006”] class impact_delete_shadows malware impact_clear_logs[“<b>影響</b> – T1070.001 ログ削除<br/><b>説明</b>: EvtClearLogでログ削除。<br/><b>技術ID</b>: T1070.001”] class impact_clear_logs malware credential_private_key[“<b>資格情報</b> – T1552.004 秘密鍵<br/><b>説明</b>: RSA秘密鍵でAES鍵を保護。<br/><b>技術ID</b>: T1552.004”] class credential_private_key credential action_phishing –>|開始| action_user_exec action_user_exec –>|実行| tool_malicious_file tool_malicious_file –>|起動| process_cmd_shell process_cmd_shell –>|作成| action_scheduled_task action_scheduled_task –>|作成| action_elevate_task action_elevate_task –>|有効化| defense_obfuscation_dynapi action_elevate_task –>|有効化| defense_evasion_process_kill action_elevate_task –>|有効化| defense_obfuscation_general defense_obfuscation_dynapi –>|支援| impact_encrypt_files defense_evasion_process_kill –>|支援| impact_encrypt_files defense_obfuscation_general –>|支援| impact_encrypt_files impact_encrypt_files –>|使用| credential_private_key impact_encrypt_files –>|原因| impact_delete_shadows impact_encrypt_files –>|原因| impact_clear_logs
攻撃フロー
シミュレーション実行
前提条件:テレメトリおよびベースラインのプリフライトチェックが合格している必要があります。
根拠:このセクションでは、検出ルールをトリガーするように設計された敵の技術(TTP)の正確な実行について詳述します。コマンドとナラティブは、特定されたTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的とします。抽象的または無関係な例は誤診につながります。
-
攻撃ナラティブとコマンド:
攻撃者は初期アクセスを取得した後、ランサムウェアがシステムの再起動ごとに実行され、SYSTEM特権を得ることを保証したいと考えています。彼らはサードパーティのツールを導入することを避けるためにネイティブな
schtasks.exeバイナリを使用します。最初に、ダミーのランサムウェアペイロードを実行する“UpdateTask”を作成し、その後すぐに特権プロセスを生成して感染チェーンを進める“ElevateTask”を作成して実行します。両方のタスクはMozillaネームスペースに配置され、既知のPayouts Kingパターンを模倣します。-
UpdateTaskを作成:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" -
ElevateTaskを作成:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" -
ElevateTaskを即時実行:
schtasks.exe /run /tn MozillaElevateTask -
(オプション)タスクが存在することを確認:
schtasks.exe /query /tn Mozilla* /fo LIST /v
これらの正確なコマンドラインは、
selection1andselection2のSigmaルールの節を満たし、次の条件を満たします:条件: selection1およびselection2およびnot exclusion. -
-
回帰テストスクリプト:
# Payouts Kingのスケジュールタスク持続性シミュレーション # -------------------------------------------------- # ステップ1: UpdateTaskを作成(起動時の持続性) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" # ステップ2: ElevateTaskを作成(特権昇格ヘルパー) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" # ステップ3: ElevateTaskを直ちに実行し、2番目の検出イベントを生成します schtasks.exe /run /tn MozillaElevateTask # ステップ4: 確認の出力(検出には必要ありませんが、オペレーターの可視性のため) Write-Host "スケジュールしたタスク作成およびElevateTask実行完了。" -
クリーンアップコマンド:
# テストのために作成したタスクを削除 schtasks.exe /delete /tn MozillaElevateTask /f schtasks.exe /delete /tn MozillaUpdateTask /f # 必要に応じてダミーペイロードを削除 Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue