フォローする 
概要
CrySome RATは.NETリモートアクセス型トロイの木馬であり、完全なリモート制御、資格情報の窃取、層状の永続化を可能にします。これには AVKiller が含まれており、セキュリティツールを無効にすることを目的とし、復旧パーティションの乱用とオフラインのレジストリエディットを利用してリセットやアクセスの再構築に対応します。長期的な足場を維持するために、マルウェアは隠された仮想デスクトップ、ウォッチドッグプロセス、スケジュールされたタスク、Windowsサービスを使用し、クリーンアップを複雑にする冗長な実行パスを作成します。
調査
レポートはC#クライアントの静的な逆コンパイルと動的な振る舞い分析を組み合わせています。調査者はSelfProtect、AVKiller、Survival、コマンドハンドラなどのモジュラーコンポーネントを独自の機能および制御フローにマッピングしました。永続性はスケジュールされたタスク、RunOnceレジストリエントリ、サービスインストールからたどり、システムの復旧後にアーティファクトを再配置するために用いられる復旧パーティション展開も含まれました。ネットワークの振る舞いは、カスタムパケット形式を使用したプレーンなTCPのコマンド&コントロールとして特定されました。
緩和策
CrySomeLoaderという名前のスケジュールタスクやWindowsHealthMonitorという名前のサービスを監視します。未知または新たに追加されたエントリのためにRunOnceやその他の自動実行レジストリ位置を定期的に監査します。crysome.netおよび関連するIPインフラストラクチャをDNS/プロキシ層でブロックします。AVKillerスタイルの防御無効化を防ぎ、Defenderまたはエンドポイント保護の設定変更を試みることに警告を発するために改ざん防止されたセキュリティ設定を施行します。
対応
CrySomeの指標を示すホストを隔離し、修復する前に揮発性の証拠を収集します。隠された永続性を特定するためにリカバリーパーティションとオフラインレジストリハイブのフォレンジックレビューを実施します。冗長なバイナリを削除し、悪意のあるスケジュールタスク、サービス、レジストリエントリを削除し、Microsoft Defenderの設定を既知の良好なベースラインに復旧します。特定のプロセス名やCrySomeの実行に関連するコマンドラインパターンをカバーするEDR検知を展開します。
アタックフロー
この部分はまだ更新中です。通知を受け取るために登録してください
通知を受け取る検出
Windows Defender設定の疑わしい変更 (via PowerShell)
表示
レジストリ乱用による可能なアクセシビリティ機能 (via cmdline)
表示
可能な手動サービスまたはドライバインストールによる永続化 (via cmdline)
表示
可能な永続性ポイント [ASEPs – Software/NTUSERハイブ] (via cmdline)
表示
可能なサイレントプロセス終了メカニズムの利用 (via registry_event)
表示
可能な永続性ポイント [ASEPs – Software/NTUSERハイブ] (via registry_event)
表示
可能なSchtasksまたはAT使用による永続化 (via cmdline)
表示
Windows Defender保護の無効化 (via registry_event)
表示
疑わしいランサムウェアが干渉するサービス停止 (via cmdline)
表示
検出するためのIOCs (HashSha256): CrySome RAT : 先進的で持続的な.NETリモートアクセストロイの木馬
表示
PowerShellとレジストリを介してMicrosoft Defenderを無効化 [Windows PowerShell]
表示
CrySome RATプロセスの自己防御検出 [Windows Sysmon]
表示
CrySome RAT永続性と防御回避 [Windows Registry Event]
表示
CrySome RAT防御回避技術の検出 [Windows Process Creation]
表示
シミュレーション実行
前提条件: テレメトリーとベースラインの事前チェックは合格している必要があります。
根拠: このセクションでは、検出ルールを起動するために設計された敵対者技術の正確な実行を詳細に説明します。コマンドと叙述は、識別されたTTPsを直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は誤診につながります。
-
攻撃ナラティブ&コマンド:
CrySome RATのオペレーターはまず被害者マシンに足場を確保します。悪意のあるペイロードを隠すために、RATは自身のプロセスの子として
conhost.exeを生成し、そのコマンドラインをマスクするためにネイティブコンソールホストを活用します。次に、それはRuntimeBroker.exeを起動して、正当なWindowsのバックグラウンドタスクと一体化し、マスカレーディングを達成します。最後に、攻撃者はMicrosoft Defenderのリアルタイム保護を無効化するためにPowerShellのワンライナーを実行し、Set-MpPreferenceコマンドレットを使用します。各ステップは検出ルールに一致する異なる4688イベントを生成します。1. RATプロセス (例: CrySome.exe) → Start-Process -FilePath "C:WindowsSystem32conhost.exe" -ArgumentList "/c ..." 2. RATプロセス → Start-Process -FilePath "C:WindowsSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost ..." 3. RATプロセス → powershell.exe -NoProfile -WindowStyle Hidden -Command "Set-MpPreference -DisableRealtimeMonitoring $true" -
回帰テストスクリプト:
# ------------------------------------------------------------------------- # CrySome RAT技術シミュレーション – Sigmaルールを起動することを目的としています # ------------------------------------------------------------------------- # 1. conhost.exeを生成(隠密コンソールホストとして機能) Start-Process -FilePath "$env:SystemRootSystem32conhost.exe" -ArgumentList "/c ping -n 5 127.0.0.1" -WindowStyle Hidden # 2. RuntimeBroker.exeを生成(信頼されたWindowsコンポーネントとして偽装) Start-Process -FilePath "$env:SystemRootSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost" -WindowStyle Hidden # 3. PowerShellを使用してDefenderを無効化(防御回避) $psCmd = 'Set-MpPreference -DisableRealtimeMonitoring $true' Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" ` -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCmd" ` -WindowStyle Hidden Write-Host "シミュレーション完了 – SIEMで警告を確認してください。" -
クリーンアップコマンド:
# 残っているテストプロセスを終了(管理者として実行) Get-Process -Name conhost, RuntimeBroker, powershell | Stop-Process -Force # Defenderを再有効化(通常の防御姿勢を復元) Set-MpPreference -DisableRealtimeMonitoring $false Write-Host "クリーンアップ完了。"