エベレストランサムウェア:暗号化、アクセス、内部脅威を組み合わせる
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Everestは、暗号化、初期アクセス仲介、内部関係者の勧誘を基盤にした複数収益モデルを採用している、2020年12月から活動しているWindowsベースのランサムウェアオペレーションです。このグループはAES-128-CBCを使用して暗号化を行い、盗まれたデータをTorベースのリークサイトで公開すると脅し、二重恐喝戦略を適用しています。また、特にローカルキー生成の挙動を通じて、BlackByteランサムウェアとの技術的な重複があります。
調査
このレポートは、RDPまたはVPNを通じた初期アクセスから防御回避、最終的な暗号化に至るEverestの実行チェーンを説明しています。.NETの混淆化にConfuserExを使用するマルウェアの使用法と、シャドウコピーやシステム復元ポイントの無効化などの回復オプションの無効化手法を分析しています。技術レビューでは、SoftPerfect Network Scannerを含むネットワークディスカバリー活動も検証しています。
軽減策
組織は、初期侵入のリスクを減らすために、すべてのRDPとVPNのエントリーポイントで多要素認証を強制すべきです。セキュリティチームは、Windows Defenderの制御フォルダアクセスの無許可の変更や、シャドウコピーを無効にしようとする試みを監視すべきです。管理者権限を制限し、 netscan.exe の実行を検知することも、脆弱性の露出を減らすのに役立ちます。
応答
Everestの活動が検出された場合、影響を受けたシステムは即座に隔離して横移動とさらなる暗号化を止めるべきです。インシデント対応チームは、大規模なバックアップデータの削除やセキュリティ記述子の変更を試みるプロセスを特定し、終了させるべきです。データの流出がTorベースのチャネルを通じて行われたかを判断し、封じ込めと回復作業を進める前に確認します。
攻撃フロー
検出
ネットワーク共有の可能な発見(コマンドライン経由)
表示
疑わしいVSSADMINの活動(コマンドライン経由)
表示
WMIを介したシャドウコピーの削除の可能性(PowerShell経由)
表示
Windows Defenderの設定変更の疑わしい変化(PowerShell経由)
表示
Everestランサムウェアのプリ暗号化防御回避技術の検出 [Windows PowerShell]
表示
Everestランサムウェアのネットワークディスカバリーと防御回避 [Windowsプロセスの作成]
表示
シミュレーション実行
前提条件: テレメトリーと基準事前フライトチェックが合格していること。
理由: このセクションは、検出ルールをトリガーするために設計された敵対者の技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは識別されたTTPに直接反映されている必要があり、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながる可能性があります。
-
攻撃の物語とコマンド: 敵対者がWindowsワークステーションへの初期アクセスを得ました。ランサムウェア展開フェーズの準備として、ローカルネットワークをマッピングし、高価値のターゲットを特定し、アンチランサムウェアツールが活動していないことを確認する必要があります。敵対者は、
netscan.exe(SoftPerfect Network Scanner)を実行してライブホストを発見し、mountvol.exeを使用して現在ドライブ文字が割り当てられていないものを含むすべての利用可能なボリュームをリストして、潜在的なバックアップまたはシャドウコピーを特定しようとします。 -
退行テストスクリプト:
# Everestランサムウェア検出ルールロジックをトリガーするシミュレーションスクリプト。 # 注意:これらのコマンドは、ファイルが現在のディレクトリまたはシステムパスに存在することを前提としています。 # シミュレーション目的のため、ファイルが存在しない場合はechoを使用して実行を模擬しますが、 # 実際のルールをトリガーするには、ファイルが存在する必要があります。 Write-Host "[+] EverestランサムウェアTTPシミュレーション開始..." -ForegroundColor Cyan # 1. mountvol.exe使用のシミュレーション(標準Windowsツール) Write-Host "[*] mountvol.exeを実行中..." -ForegroundColor Yellow mountvol.exe # 2. NetScanシミュレーション(netscan.exeをパス/ディレクトリに配置) # 検証のため、実際のツールが利用できない場合は名前を模倣するダミーファイルを作成しますが、 # ルールはプロセスの実行を探します。 Write-Host "[*] netscan.exe実行の模擬..." -ForegroundColor Yellow if (Test-Path ".netscan.exe") { Start-Process ".netscan.exe" } else { Write-Host "[!] netscan.exeが見つかりません。このフォルダーにダミーのnetscan.exeを配置して検出をトリガーしてください。" -ForegroundColor Red } # 3. Raccineの削除の模擬 Write-Host "[*] Raccine.exeの実行の模擬..." -ForegroundColor Yellow if (Test-Path ".Raccine.exe") { Start-Process ".Raccine.exe" } else { Write-Host "[!] Raccine.exeが見つかりません。このフォルダーにダミーのRaccine.exeを配置して検出をトリガーしてください。" -ForegroundColor Red } Write-Host "[+] シミュレーション完了。" -ForegroundColor Cyan -
クリーンアップコマンド:
# シミュレーション中に作成されたダミーファイルを削除する。 Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue Write-Host "[+] クリーンアップ完了。" -ForegroundColor Green