19段階のLockBit5.0、最新クロスプラットフォームランサムウェアの内部:パート1
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
この記事は、Windows、Linux、およびVMware ESXiを対象とした19個のLockBit 5.0ランサムウェアサンプルをレビューします。ChaCha20による高速暗号化、このファミリーのクロスプラットフォーム設計、および仮想マシンをディスク暗号化前にシャットダウンできるESXiに焦点を当てた動作を強調しています。記事は実行段階、解析回避手段、マルウェアが影響時に優先するハイパーバイザ固有のファイルターゲットを説明します。
調査
研究者はELFバリアントの静的解析を行い、組み込みのパス、コマンド文字列、および構成スイッチを抽出しました。ESXi上では、マルウェアはVMware管理ツール(vim-cmdを含む)を利用して、ディスク暗号化前に仮想マシンを列挙およびシャットダウンし、valgrindやfridaなどのツールに対するデバッグ防止チェックを含みます。サンプルは実行テレメトリを/var/log/encrypt.logに書き込み、ルーチン完了後に自己削除をサポートしています。
緩和策
VMware管理コマンドの予期しない使用、計画外のVMシャットダウンイベント、/var/log/encrypt.logファイルの作成、および.vmdk.fastpassマーカーなどのアーティファクトを監視してください。ハイパーバイザ上での信頼されていないELFの実行を防止し、ESXi上で実行を許可されるバイナリおよびスクリプトに対して厳格なホワイトリストを適用することで露出を減らします。
対応
アクティビティが検出された場合は、影響を受けたESXiホストを隔離し、VMプロセスを停止して拡散を防ぎ、証拠を保全してください(ELFペイロード、encrypt.log、および関連するホストログ)。クリーンなスナップショット/バックアップからの復元を開始し、その後、追加のランサムウェアコンポーネントを検索し、重要なハイパーバイザファイルの整合性を検証します。
アタックフロー
シミュレーション実行
前提条件: テレメトリとベースラインの事前確認が通過していること。
理由: このセクションでは、検出ルールをトリガーするよう設計された敵の技術(TTP)の正確な実行を詳述します。コマンドと説明は特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
アタックナラティブとコマンド:
ESXiホストへの管理者アクセスを持つ攻撃者が、vSphereクライアントを介してLockBit 5.0ペイロードをアップロードします。ランサムウェアは、作業ディレクトリを以下に作成し始めます/var/tmp/.guestfs-0/appliance.d/root、暗号化ログを以下に書き込みます/var/log/encrypt.log、そしてすべてのVMFSデータストア(/vmfs/volumes/)を横断して仮想ディスクファイルを暗号化し始めます。以下のコマンドは、無害なダミーファイルを使用してその動作をエミュレートします:- ランサムウェアのステージングディレクトリとダミーの「暗号化された」VMFSファイルを作成します。
- LockBitの暗号化ステータスを模倣するログエントリを書き込みます。
- VMFSボリューム内の深い場所にファイルを作成し、バルク暗号化活動を再現します。
-
回帰テストスクリプト:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ ステージングディレクトリを作成(LockBitペイロードのアンパックをシミュレート) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "LockBit 5.0 ステージングディレクトリが作成されました" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ 暗号化ログを書き込み(ランサムウェア活動のログ記録をシミュレート) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - VMFSデータストアでの暗号化開始" | sudo tee -a "$LOGFILE" # 3️⃣ VMFSボリューム上のバルクファイル暗号化をシミュレート DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "ランサムウェア暗号化をエミュレートするためにダミーVMFSファイルが作成されました" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== シミュレーション完了。 ==="ESXiホスト上でroot(またはsudo経由)としてスクリプトを実行します。
auditdはopen,writeを生成し、creatSigmaルール内のすべてのキーワードに一致するイベントを生成します。 -
クリーンアップコマンド:
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== クリーンアップ完了。 ==="