SOC Prime Bias: 重大

01 Jul 2026 09:43 UTC

SQLブルートフォース攻撃がBlueSkyランサムウェアへの扉を開く

Author Photo
SOC Prime Team linkedin icon フォローする
SQLブルートフォース攻撃がBlueSkyランサムウェアへの扉を開く
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

脅威アクターがSEOポイズニングを利用して、トロイの木馬化されたManageEngine OpManagerインストーラーを通じてBumbleBeeマルウェアを配布しました。初期アクセスを取得後、攻撃者はコマンド・アンド・コントロールのためにAdaptixC2を展開し、RDPとSSHトンネリングを介して横移動し、75GB以上の機密データを外部に持ち出しました。この侵入はAkiraランサムウェアの展開によるドメインインフラストラクチャの暗号化で終了しました。

調査

フォレンジック分析により、初期感染ベクターは類似ドメインとして特定されました。 opmanager.proで、悪意あるMSIインストーラーが提供されていました。調査者は、 msimg32.dll のDLLサイドローディングから、Windowsアドレス帳ユーティリティへのAdaptixC2シェルコードのインジェクションまでの実行チェーンを追跡しました。ネットワークテレメトリとファイルシステムアーティファクトのレビューも、FileZillaを介した大規模なデータ持ち出しと、RDPアクセスをプロキシ化するためのリバースSSHトンネルの使用を明らかにしました。

緩和策

組織は、登録されたばかりのドメインまたは類似ドメインをブロックするための厳格なウェブフィルタリングを実施し、疑わしいDLLサイドローディングの動作を監視すべきです。管理者特権の制限と、許可されていないドメインアカウントやサービスの作成を検出することも重要です。さらに、強力な出口フィルタリングと許可されていないSSHまたはRDPトンネリングの監視が、横移動とデータ持ち出しの両方を防ぐのに役立ちます。

対応

この活動が検出された場合、特にドメインコントローラーとバックアップサーバーを隔離して、さらなるランサムウェアの拡散を阻止してください。許可されていないすべてのリモートアクセスセッションを終了し、SSHトンネルやRustDeskインスタンスを含めてください。すべてのドメインアカウントの資格情報を完全にリセットし、特にEnterprise Adminsに重点を置き、オフラインで変更できないバックアップを使用して復旧を開始してください。

攻撃フロー

検出

疑わしいWMIC使用(コマンドライン経由)

SOC Prime チーム
2026年7月1日

疑わしいPowershellシャドウコピー参照(コマンドライン経由)

SOC Prime チーム
2026年7月1日

WMIを介したシャドウコピー削除の可能性(Powershell経由)

SOC Prime チーム
2026年7月1日

非一般的プロセスによる疑わしいアウトバウンド接続(ネットワーク接続経由)

SOC Prime チーム
2026年7月1日

非一般的プロセスによるDNS要求(DNSクエリ経由)

SOC Prime チーム
2026年7月1日

疑わしいSSHポートフォワーディング[Windows](コマンドライン経由)

SOC Prime チーム
2026年7月1日

システム列挙の可能性(コマンドライン経由)

SOC Prime チーム
2026年7月1日

疑わしいドメイントラストの発見(コマンドライン経由)

SOC Prime チーム
2026年7月1日

Comsvcs.dllを使用した可能性のある資格情報ダンプ(コマンドライン経由)

SOC Prime チーム
2026年7月1日

疑わしいPSQL実行(コマンドライン経由)

SOC Prime チーム
2026年7月1日

疑わしいWbadminツール活動(コマンドライン経由)

SOC Prime チーム
2026年7月1日

BYOVDの可能性 – 脆弱なドライバー攻撃持ち込み(監査経由)

SOC Prime チーム
2026年7月1日

Bits転送活動の可能性(Powershell経由)

SOC Prime チーム
2026年7月1日

短いスクリプト名の使用による可能性のある実行(コマンドライン経由)

SOC Prime チーム
2026年7月1日

Lolbinを含む可能性のあるPowershellスクリプト(Powershell経由)

SOC Prime チーム
2026年7月1日

リモートアクセス/管理ソフトウェアサービス作成(システム経由)

SOC Prime チーム
2026年7月1日

代替リモートアクセス/管理ソフトウェア(プロセス作成経由)

SOC Prime チーム
2026年7月1日

アカウントまたはグループ列挙/操作の可能性(コマンドライン経由)

SOC Prime チーム
2026年7月1日

非一般的なパスからのシステムプロセスの実行(プロセス作成経由)

SOC Prime チーム
2026年7月1日

非一般的なディレクトリでファイルを実行するMsiexecの可能性(コマンドライン経由)

SOC Prime チーム
2026年7月1日

RustDeskおよびAkiraランサムウェア活動の検出[Windowsシステム]

SOC Prime AIルール
2026年7月1日

BumbleBeeおよびAdaptixC2実行およびインジェクション検出[Windowsプロセス作成]

SOC Prime AIルール
2026年7月1日

エグゼクティブ サマリー

  • テストケースID: TC-20250522-K9L2P
  • TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
  • 検出ルールのロジック概要: ルールは、 rustdesk.exeservices.exe によって生成された場合、または locker.exe が「Volume Shadow Copies」を含むコマンドラインで実行された場合にトリガーされます。
  • 検出ルールの言語/フォーマット: yaml
  • 対象セキュリティ環境: Sysmonが有効なWindows OS, SysmonイベントID 1(プロセス作成)テレメトリを処理できるSIEMを対象。
  • 回復力スコア(1-5): 2
  • 正当性: ルールは特定のハードコードされたファイル名に大きく依存しています(rustdesk.exe and locker.exe)。対抗者はバイナリの名前を変更することで簡単にこれを回避できます。さらに、Akiraの検出はコマンドラインの特定の文字列に制限されており、これも難読化可能です。
  • 主な知見: ルールは初期状態でのこれらのツールの使用を効果的に検出しますが、バイナリ名の変更やコマンドライン引数の操作などの基本的な回避技術には対応できません。
  • 推奨事項: ファイル名に基づく検出から、許可されていないサービスのインストールの監視、リモートデスクトップツールからの予期しないネットワーク接続、および vssadmin or wmic によるシャドウコピーの削除などの行動指標を監視することに移行してください。親プロセス名に関係なく。

## シミュレーション環境とコンテキスト

  • テスト中のTTPs:
    • T1003.001: OS認証情報ダンプ:LSASSメモリ
    • T1059.001: コマンドとスクリプト インタープリター: PowerShell
    • T1490: システム復旧抑止(シャドウコピー削除)
    • T1543.003: システムプロセスの作成または変更:Windowsサービス
  • TTPコンテキストと関連性: このシミュレーションは、RustDeskを使用した持続的なリモートアクセス(サービスとしてインストール)とAkiraランサムウェアスタイルのコマンド実行によるシステム復旧の阻止を模倣することを目的としています。
  • 対象環境:
    • OS: Windows 10/11またはWindowsサーバー
    • ロギング: Sysmon(特にEvent ID 1: プロセス作成)
    • セキュリティスタック: SIEM(例:Splunk、Sentinel、またはELK)

## テレメトリとベースライン事前チェック

理由: 攻撃をシミュレートする前に、ターゲットホストが必要なログを生成するように構成されていること、これらのログがSIEMに取り込まれていること、検出ルールが無害な活動に対して発火しないことを確認する必要があります。この検証なしでは、テスト結果は信頼性がありません。

  • 1. テレメトリ構成手順:

      1. インストール Sysmon をターゲットWindowsマシンに。
      1. プロセス作成(Event ID 1)が完全なコマンドライン引数でキャプチャされることを確実にする設定ファイル(例: SwiftOnSecurityの設定)を適用。
      1. SysmonイベントログがWinlogbeat、Splunk Universal Forwarder、または類似のエージェントを介してSIEMに転送されていることを確認。
  • 2. 取り込みとベースラインの検証:

    • アクション(無害なテレメトリ): システム情報を確認する標準のPowerShellコマンドを実行して、ランサムウェア関連のパターンをトリガーせずにプロセス作成テレメトリを生成します。

      Get-ComputerInfo | Select-Object CsName, OsArchitecture
    • 検証クエリ(取り込み):

      // SysmonイベントID 1の取り込みを確認するためのKQLクエリ
      Sysmon | where EventID == 1 and Image contains "powershell.exe" | take 10

## シミュレーションの実行

前提条件: テレメトリとベースラインの事前チェックが合格していること。

理由: このセクションでは、検出ルールをトリガーするために設計された敵対者の技術(TTP)の正確な実行を詳述しています。コマンドとナラティブは、識別されたTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながります。

  • 攻撃のナラティブとコマンド: 対抗者はまず、持続的なリモートアクセスをRustDeskを使用して確立します。サービスのインストールを模倣するために、サービスマネージャー(services.exe)がリモートアクセスバイナリを生成する動作をシミュレートします。その後、対抗者はAkiraランサムウェアのペイロードを実行します。このペイロードの目的は、システムバックアップを破壊して復旧を防ぐことであり、それは「Volume Shadow Copies」を削除する特定のコマンドライン指示と共に呼び出されます。これは恐喝攻撃の高影響フェーズを模倣しています。 locker.exe with a specific command-line instruction to delete ‘Volume Shadow Copies’. This mimics the high-impact phase of an extortion attack.

  • リグレッションテストスクリプト:

    # --- シミュレーション開始 ---
    # パート1: RustDeskサービス実行のシミュレーション
    # services.exeがrustdesk.exeを生成する動作をシミュレートします。
    # カーネルドライバーなしでservices.exeのParentProcessIDを偽造することは容易ではないため、
    # アーティファクトを作成してから「Process Hacker」などのツールを使用するか、 スクリプトを使用して特定のテレメトリをシミュレートしますが、
    # このスクリプトではファイルを作成しプロセスをトリガーします。
    
    $rustdeskPath = "$env:TEMPrustdesk.exe"
    New-Item -Path $rustdeskPath -ItemType File -Force
    
    # 注: 正確な「ParentImage|endswith: services.exe」ルールをトリガーするには、
    # 真のサービスインストールが必要です。
    Write-Host "[+] $rustdeskPath にシミュレートされたRustDeskバイナリを作成中"
    
    # パート2: Akiraランサムウェア活動のシミュレーション
    $lockerPath = "$env:TEMPlocker.exe"
    New-Item -Path $lockerPath -ItemType File -Force
    Write-Host "[+] $lockerPath にシミュレートされたAkira 'locker.exe' を作成中"
    
    # コマンドラインに「Volume Shadow Copies」を含むことによってAkira検出ロジックをトリガー
    # start-processを使用してコマンドラインがSysmonにキャプチャされることを確実にします
    Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow
    
    Write-Host "[!] シミュレーションコマンドが実行されました。'locker.exe' の警告をSIEMで確認してください。"
    # --- シミュレーション終了 ---
  • クリーンアップ コマンド:

    # --- クリーンアップ開始 ---
    Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "[+] クリーンアップ完了。"
    # --- クリーンアップ終了 ---