Funklockerランサムウェア:Wazuhによる検出と対応
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Funklockerランサムウェアは、FunkSecグループに関連付けられ、Windows環境をターゲットにし、AI支援のコード生成を利用して新しいバリアントを生み出します。PowerShell、taskkill、sc、vssadminなどのツールを悪用して、セキュリティ制御をシャットダウンし、シャドウコピーを削除し、データを.funksec拡張子で暗号化するなどの、生存型手法に依存しています。この記事では、SysmonとカスタムWazuhルールを使用してこれらの動作を検出する方法、および統合されたYARAスキャンを通じてクリーンアップを自動化する方法について説明します。
調査
この解析では、FunklockerがWindowsセキュリティとアプリケーションイベントログを押し下げ、Windows Defenderのリアルタイム保護を無効にし、PowerShell実行ポリシーをバイパスし、プロセスを終了させ、重要なサービスを停止し、Volume Shadow Copyのバックアップを消去する方法について説明しています。テストサンプルは、Wazuhエージェントがインストールされ、Sysmonが関連するすべてのテレメトリをキャプチャするように調整されたWindows 11のラボホストで発火されました。
Funlockerランサムウェア対策
推奨される緩和手順には、PowerShell実行ポリシーの強化、サービス管理における最低特権の適用、シャドウコピーが利用可能なことを確認しつつ頻繁なバックアップの維持、Wazuhと特注のSysmonルールを組み合わせたEDRツールの配備でFunklockerのコマンドパターンを警告することが含まれます。YARAシグネチャを適用して識別されたランサムウェア実行可能ファイルを自動的に隔離または削除することができます。
対応
Funklockerの活動が検出されると、Wazuhサーバーはアラートを上げ、Active ResponseコンポーネントがYARAスキャンをトリガーしてランサムウェアバイナリおよび新たに作成された暗号化ファイルを削除します。記された対応プロセスは、手動検証、影響を受けたシステムの封じ込め、信頼できる未損傷のバックアップからのデータ復旧もカバーしています。
攻撃の流れ
シミュレーション実行
前提条件:テレメトリとベースラインのプレフライトチェックが合格していること。
根拠:このセクションでは、検出ルールをトリガーするよう設計された敵の技術(TTP)の正確な実行について詳細に説明しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリを生成することを目指しています。
-
攻撃内容とコマンド:
攻撃者は、侵害されたエンドポイントでローカル管理者権限を取得しました。ランサムウェアが中断なく実行できかつ隠れたままであることを確実にするために、一連のPowerShellワンライナーを実行し、(1) セキュリティイベントログを無効にし、(2) Microsoft Defenderのリアルタイム保護をオフにし、(3) アプリケーションログを無効にし、(4) PowerShell実行ポリシーをバイパスに設定します。各コマンドは昇格されたPowerShellプロンプトから直接発行され、Sigmaルールがマッチする文字列を正確に反映します。 -
回帰テストスクリプト:
# Funklockerスタイルのログ無効化とディフェンダーコマンド # 1. セキュリティイベントログを無効化 powershell -Command "wevtutil sl Security /e:false" # 2. Microsoft Defenderのリアルタイム監視を無効化 powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true" # 3. アプリケーションイベントログを無効化 powershell -Command "wevtutil sl Application /e:false" # 4. 現在のプロセス用にPowerShell実行ポリシーをバイパスする powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force" -
クリーンアップコマンド:
# セキュリティイベントログを再有効化 wevtutil sl Security /e:true # Microsoft Defenderのリアルタイム監視を再有効化 Set-MpPreference -DisableRealtimeMonitoring $false # アプリケーションイベントログを再有効化 wevtutil sl Application /e:true # PowerShell実行ポリシーを既定(制限付き)に復元 Set-ExecutionPolicy Restricted -Scope Process -Force