Riddle Spider Avaddon ランサムウェア分析と技術的概要
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Avaddonは、犯罪グループRiddle Spiderによって運営されているRansomware-as-a-Service(RaaS)オペレーションです。このC++ベースのマルウェアは、ローカルおよびネットワークアクセス可能なデータを暗号化し、シャドウコピーを削除し、奪取された情報の漏洩を脅迫することでダブルエクストーションモデルを利用しています。盗まれた認証情報、公開されたRDPサービス、カスタムのWebシェルを介して展開され、多くのアンチ解析技術を活用しています。
Avaddonランサムウェア分析
分析には、Avaddonのコードベース、構成の保存方法、地理的チェックの実行方法、サービスの停止、プロセスの終了、およびAES-256を使用した暗号化の実行方法に関する詳細が含まれています。また、終了するために選択されたサービスとプロセス、リカバリメカニズムを無効にするために使用された特定のコマンドを列挙します。
緩和策
ディフェンダーは、堅牢な認証情報の管理を徹底し、RDPの露出を制限または強化し、既知のWebシェルパターンを監視し、シャドウコピー削除コマンドの実行を検出するべきです。アプリケーションホワイトリスティングと定期的かつオフラインのバックアップを維持することで、ランサムウェアの影響を大幅に削減できます。
対応
Avaddonの活動が検出された場合、妥協されたシステムを隔離し、揮発性の証拠を取得し、関連するコマンドラインの動作をブロックし、完全な法医学イメージングでインシデントレスポンスを開始します。信頼できるオフラインバックアップからデータを復元し、ダブルエクストーション戦術のために法執行機関の関与を検討してください。
攻撃フロー
検出
妥協された認証情報を介した横方向移動のためのRDP使用の検出 [Windowsネットワーク接続]
表示
Avaddonランサムウェアによるアンチリカバリコマンドの検出 [Windowsプロセス作成]
表示
BLACKCROWおよびDARKRAVENウェブシェル、もしくはSystemBC RATの検出 [Windowsプロセス作成]
表示
検出するべきIOC (メール): Riddle Spider Avaddonランサムウェア分析および技術的概要
表示
疑わしいWbadminツールアクティビティ (コマンドライン経由)
表示
シミュレーション
エグゼクティブサマリー
テストケースID: TC-20251104-A7B9Z
TTPs: T1219, T1566.001
検出ルールロジックの概要: 件名に「load」という単語を含み、本文に「.exe」と「.msi」の文字列が含まれるメールを検出し、悪意のあるダウンロードリンクを示します。
検出ルールの言語/形式: sigma
対象セキュリティ環境: Windows OS – ネットワーク接続ログ (例:Windowsファイアウォール、プロキシ、DNSログ) – Sigmaルールを使用するSIEMプラットフォーム (例:Splunk、Elastic、Azure Sentinel)
レジリエンススコア (1-5): 2
正当化: このルールは…
シミュレーションを全て表示