暗号化のライセンス:「ジェントルメン」が攻勢に出る時
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
ジェントルマン・ランサムウェア集団は2025年7月に出現し、被害者データを暗号化し、機密情報を流出させる二重脅迫作戦を展開しました。このマルウェアはクロスプラットフォームで、Windows、Linux、ESXi環境を標的にし、自己再起動機能、ブート時の持続性、暗号化速度の調整が可能です。拡散はWMI、PowerShellリモート、SCHTASKS、その他のWindows標準管理ツールに依存しています。オペレーターはジェントルマンをRaaSとして提供し、提携者には広範な調整とカスタマイズオプションを提供します。
ジェントルマンランサムウェア攻撃分析
Cybereasonによる64ビットGolang Windowsサンプルの分析では、そのコマンドラインスイッチ、埋め込まれた身代金メモ、広範なアンチフォレンジックPowerShellルーチンが記録されています。研究者は持続性に使用されるレジストリ位置、重要なプロセスを無効にするためのサービス「キルリスト」、特権の昇格と横移動のためのWindowsネイティブバイナリへの依存も特定しました。暗号化パイプラインはXChaCha20とCurve25519に基づいています。
緩和策
推奨される防衛措置には、多要素認証の強制、頻繁なオフラインバックアップの維持、迅速なセキュリティパッチの適用、PowerShellおよびWMI実行の制御の強化が含まれます。エンドポイント保護スタックは、リアルタイムのアンチマルウェア、アンチランサムウェアの保護、およびVSSシャドウコピーの保護を有効にする必要があります。セキュリティチームはまた、異常なレジストリ変更、新たに作成されたスケジュールされたタスク、特徴的なPowerShellコマンドパターンを監視する必要があります。
対応
ジェントルマン・ランサムウェアの活動が検出された場合、影響を受けたシステムを直ちに隔離し、揮発性メモリをキャプチャし、レジストリエントリ、スケジュールされたタスク、PowerShellイベントログなどの主要アーティファクトを収集します。ランサムメモと暗号化されたファイルのフォレンジック取得を実行し、根絶が確認されたら信頼できるバックアップから影響を受けたシステムを復旧します。インシデント対応チームを動員して、横移動経路やデータ漏洩の証拠を調査してください。
攻撃フロー
検出
ジェントルマン・ランサムウェアの持続性と伝播の検出 [Windowsプロセスの作成]
表示
ジェントルマン・ランサムウェアによるPowerShellコマンドの検出 [Windows PowerShell]
表示
Windows Defender設定の不審な変更 (via PowerShell)
表示
遅延実行のための可能性のあるPING使用 (via cmdline)
表示
可能性のある持続性ポイント [ASEPs – Software/NTUSERハイブ] (via registry_event)
表示
シミュレーション実行
前提条件: テレメトリ & ベースラインの事前チェックを合格している必要があります。
理由: このセクションは、検出ルールをトリガーするように設計された敵の手法(TTP)の正確な実行を詳述します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリを生成することを目的としています。抽象的または無関連の例は誤診につながります。
-
攻撃の説明 & コマンド:
- 目的: Windows Defenderのリアルタイム保護を無効にし、ランサムウェアペイロードが暗号化ファイルを書き込めるように除外パスを追加します。
- 方法: PowerShellを使用し、
Invoke-Commandの中で2つのDefender設定コマンドを実行するインラインスクリプトブロックを実行します。これは“ジェントルマン”ランサムウェアサンプルで観察された正確な構文を反映しています。 - ステップ:
- 昇格した特権でPowerShellセッションを開きます。
- 悪意のあるスクリプトブロックを含む
Invoke-Commandを実行します。 - Defenderのリアルタイムモニタリングが無効になっていること、および
C:の除外が追加されていることを確認します。 - (オプション)ランサムウェア活動をエミュレートするダミーの暗号化ファイルを作成します。
-
回帰テストスクリプト:次の自己完結型PowerShellスクリプトは、ルールが期待する攻撃を正確に再現します。
# ------------------------------------------------------------------ # Sigmaルール"The Gentlemen"ランサムウェアで使用されるPowerShellコマンドの検出をトリガーするテストスクリプト # ------------------------------------------------------------------ # スクリプトを管理者として実行することを確認 if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "このスクリプトは昇格した(管理者)特権で実行してください。" exit 1 } # 1️⃣ リアルタイムモニタリングを無効にする Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ C: ドライブの除外を追加 Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (オプション)ランサムウェアファイルの作成をシミュレート $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "これはモックの暗号化ペイロードです。" | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "シミュレーションが完了しました。Defenderは無効になり、除外が追加されたはずです。" -
クリーンアップコマンド:Defenderをデフォルトの状態に戻し、テストアーティファクトを削除します。
# ------------------------------------------------------------------ # クリーンアップスクリプト – Defenderを再有効化し、テストファイルを削除 # ------------------------------------------------------------------ # リアルタイムモニタリングを再有効化 Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # C: の除外を削除 Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # ダミーの暗号化ファイルとフォルダーを削除 $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "クリーンアップが完了しました。Defenderの設定を復元しました。"