Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
この記事は、AttackIQの「Ransom Tales」シリーズ第5巻を取り上げ、3つの悪名高いランサムウェアファミリー—REvil、DarkSide、およびBlackMatterの戦術、技術、手順を再現しています。各シナリオは、実行、永続性、発見、防御回避、影響の段階を経て、ディフェンダーが検出と応答のプレイブックを検証できるようにします。このエミュレーションは、DLL検索順序のハイジャック、レジストリの悪用、永続性のためのスケジュールされたタスク、VSSシャドウコピーの削除、強力な暗号化ファイルの暗号化などの特徴的な行動を再現します。また、主要なサプライチェーン侵害を振り返り、ランサムウェア・アズ・ア・サービスがどのように成熟してきたかを追跡します。
ランサムウェア攻撃分析
AttackIQのAdversary Research Teamは、公的な脅威インテリジェンスレポートとマルウェアサンプルを利用して、各ランサムウェアファミリーのリアルな攻撃グラフを作成しました。研究者たちはMITRE ATT&CK技術IDに個別のステップをマッピングし、ペイロードを取得し、永続性を確立し、ホストとドメインの情報を列挙し、ファイルを暗号化する実行パスを設計しました。チームはまた、DarkSideが初期アクセスに利用した既知のCVEエクスプロイトの使用をモデル化しました。この調査は、REvil、DarkSide、およびBlackMatterランサムウェアファミリーによるツールの共有、インフラストラクチャの重複、およびコードの再利用を裏付けています。
緩和策
推奨される緩和策は、最小特権の原則の強制、不要なサービスの無効化、既知のVMware ESXi脆弱性を含む公開システムの迅速なパッチの実施に焦点を当てています。チームは、リモートデスクトップアクセスを制限し、疑わしいレジストリ変更や新しく作成されたスケジュールされたタスクを綿密に監視し、強力なアプリケーションコントロールを展開するよう促されます。ガイダンスはさらに、エンドポイント検出技術の役割と、ランサムウェア事故の爆発半径を抑えるためのバックアップの定期的な検証の重要性を強調しています。
対応
ランサムウェアスタイルの活動が検出された場合、対応者は直ちに影響を受けたシステムを隔離し、揮発性メモリをキャプチャし、関連レジストリハイブを収集し、ログソースを保存する必要があります。フォレンジックレビューは、シャドウコピー、スケジュールされたタスク、およびREvil、DarkSide、またはBlackMatterの手法の痕跡を調べるためのレジストリキーを調査します。復旧には、クリーンで検証済みのバックアップからデータを復元し、SMBおよびLDAPクレデンシャルを用いた横方向の動きの試みを追跡することが含まれます。最後に、チームはステークホルダーに報告し、インシデントを文書化し、帰属および将来的な防御の改善を支援するために、脅威インテリジェンスで知見を豊かにするべきです。
graph TB %% Class Definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb6c1 classDef process fill:#d9d9ff classDef operator fill:#ffeb99 %% Nodes – Initial Execution and Setup tech_initial_exec[“<b>Technique</b> – <b>T1574.001 DLL 検索順序ハイジャック</b><br/>Windows の DLL 検索順序を悪用し、悪意のある DLL を読み込む。”] class tech_initial_exec technique tech_anti_analysis[“<b>Technique</b> – <b>T1497 仮想化/サンドボックス回避</b><br/>IsDebuggerPresent API を呼び出し、デバッグ環境やサンドボックスを検出する。”] class tech_anti_analysis technique tech_registry_query[“<b>Technique</b> – <b>T1012 レジストリ照会</b><br/>HKLM\\SOFTWARE\\WOW6432Node\\BlackLivesMatter を作成し、MachineGUID 値を照会して一意のシステム識別子を取得する。”] class tech_registry_query technique tech_persistence[“<b>Technique</b> – <b>T1053 スケジュールタスク/ジョブ</b><br/>永続化のため schtasks ユーティリティを使用してスケジュールタスクを作成する。”] class tech_persistence technique tool_schtasks[“<b>Tool</b> – <b>名前</b>: schtasks<br/><b>目的</b>: スケジュールタスクの作成および管理”] class tool_schtasks tool %% Nodes – Discovery Phase op_discovery((“探索”)) class op_discovery operator tech_sys_info[“<b>Technique</b> – <b>T1082 システム情報探索</b><br/>GetSystemInfo を使用して OS およびハードウェア情報を収集する。”] class tech_sys_info technique tech_user_discovery[“<b>Technique</b> – <b>T1033 システム所有者/ユーザー探索</b><br/>GetUserNameW を使用して現在のユーザー名を取得する。”] class tech_user_discovery technique tech_process_discovery[“<b>Technique</b> – <b>T1057 プロセス探索</b><br/>Toolhelp スナップショット API を使用して実行中プロセスを列挙する。”] class tech_process_discovery technique tech_service_discovery[“<b>Technique</b> – <b>T1007 システムサービス探索</b><br/>EnumServicesStatusW を使用してサービスを照会する。”] class tech_service_discovery technique tech_file_dir_discovery[“<b>Technique</b> – <b>T1083 ファイルおよびディレクトリ探索</b><br/>FindFirstFileW / FindNextFileW を使用してファイルシステムを走査する。”] class tech_file_dir_discovery technique tech_software_discovery[“<b>Technique</b> – <b>T1518 ソフトウェア探索</b><br/>WMI(wmic)を使用して、インストール済みのアンチウイルス、アンチスパイウェア、ファイアウォール製品を列挙する。”] class tech_software_discovery technique tech_location_discovery[“<b>Technique</b> – <b>T1614 システム位置情報探索</b><br/>GetLocaleInfoW を使用してロケール情報を取得する。”] class tech_location_discovery technique %% Nodes – Defense Evasion op_defense_evasion((“防御回避”)) class op_defense_evasion operator tech_impair_defenses[“<b>Technique</b> – <b>T1562 防御機構の無効化</b><br/>netsh コマンドを使用して Windows ファイアウォールを無効化する。”] class tech_impair_defenses technique tool_netsh[“<b>Tool</b> – <b>名前</b>: netsh<br/><b>目的</b>: Windows ファイアウォールの設定および無効化”] class tool_netsh tool tech_inhibit_recovery[“<b>Technique</b> – <b>T1490 システム復旧の阻害</b><br/>vssadmin、wmic、PowerShell を使用してボリュームシャドウコピーを削除する。”] class tech_inhibit_recovery technique tool_vssadmin[“<b>Tool</b> – <b>名前</b>: vssadmin<br/><b>目的</b>: シャドウコピーの削除”] class tool_vssadmin tool tool_wmic[“<b>Tool</b> – <b>名前</b>: wmic<br/><b>目的</b>: WMI を通じたシャドウコピーの削除”] class tool_wmic tool tool_powershell[“<b>Tool</b> – <b>名前</b>: PowerShell<br/><b>目的</b>: Get‑WMIObject を使用したシャドウコピーの削除”] class tool_powershell tool tech_clear_eventlogs[“<b>Technique</b> – <b>T1070.001 Windows イベントログの消去</b><br/>OpenEventLogW および ClearEventLogW API を使用してイベントログを消去する。”] class tech_clear_eventlogs technique tool_eventlog[“<b>Tool</b> – <b>名前</b>: Windows API<br/><b>目的</b>: Windows イベントログの消去”] class tool_eventlog tool %% Nodes – Impact malware_ransom[“<b>Malware</b> – <b>名前</b>: DarkSide / REvil<br/><b>影響</b>: ディスク上で発見されたファイルを暗号化する。”] class malware_ransom malware node_files[“<b>Target</b>: ディスク上のファイル”] class node_files process %% Connections – Execution Flow tech_initial_exec u002du002d>|leads to| tech_anti_analysis tech_anti_analysis u002du002d>|leads to| tech_registry_query tech_registry_query u002du002d>|enables| tech_persistence tech_persistence u002du002d>|uses| tool_schtasks %% Connections – Discovery Flow tech_initial_exec u002du002d>|triggers| op_discovery op_discovery u002du002d>|uses| tech_sys_info op_discovery u002du002d>|uses| tech_user_discovery op_discovery u002du002d>|uses| tech_process_discovery op_discovery u002du002d>|uses| tech_service_discovery op_discovery u002du002d>|uses| tech_file_dir_discovery op_discovery u002du002d>|uses| tech_software_discovery op_discovery u002du002d>|uses| tech_location_discovery %% Connections – Defense Evasion Flow tech_initial_exec u002du002d>|prepares| op_defense_evasion op_defense_evasion u002du002d>|uses| tech_impair_defenses tech_impair_defenses u002du002d>|uses| tool_netsh op_defense_evasion u002du002d>|uses| tech_inhibit_recovery tech_inhibit_recovery u002du002d>|uses| tool_vssadmin tech_inhibit_recovery u002du002d>|uses| tool_wmic tech_inhibit_recovery u002du002d>|uses| tool_powershell op_defense_evasion u002du002d>|uses| tech_clear_eventlogs tech_clear_eventlogs u002du002d>|uses| tool_eventlog %% Connections – Impact Flow op_discovery u002du002d>|provides data to| malware_ransom op_defense_evasion u002du002d>|prepares environment for| malware_ransom malware_ransom u002du002d>|encrypts| node_files class tech_initial_exec,tech_anti_analysis,tech_registry_query,tech_persistence technique class tool_schtasks,tool_netsh,tool_vssadmin,tool_wmic,tool_powershell,tool_eventlog tool class tech_sys_info,tech_user_discovery,tech_process_discovery,tech_service_discovery,tech_file_dir_discovery,tech_software_discovery,tech_location_discovery,tech_impair_defenses,tech_inhibit_recovery,tech_clear_eventlogs technique class malware_ransom malware class node_files process class op_discovery,op_defense_evasion operator
攻撃フロー
検出
REvilおよびDarkSideランサムウェアのシャドウコピー削除を検出[Windowsプロセス作成]
見る
REvilランサムウェアのレジストリ操作による実行と永続性を検出[Windowsレジストリエベント]
見る
検出するためのIOC(HashSha256): Ransom Tales: 第V巻 – Throwback Edition! REvil、DarkSide、およびBlackMatterランサムウェアをエミュレート
見る
疑わしいVSSADMINアクティビティ(コマンドライン経由)
見る
可能性のある永続ポイント[ASEPs – Software/NTUSER Hive](レジストリエベント経由)
見る
シミュレーション
シミュレーション実行
前提条件: テレメトリ & ベースラインプレフライトチェックが合格している必要があります。
根拠: このセクションは、検出ルールをトリガーするために設計された対抗技術(TTP)の正確な実行を詳細に説明しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃のナラティブとコマンド:
REvilオペレーターは、被害者のマシンをターゲットにして、ランサムウェアペイロードが再起動後に自動的に起動するようにします。PowerShellドロッパーを使用して攻撃者は、ルールが監視する3つのレジストリ修正を作成します:- 欺瞞的な”BlackLivesMatter”キーを作成Wow6432Nodeブランチの下 – REvilの既知の指標。
- AutoAdminLogonを有効化再起動後に特権アカウントの自動ログオンを強制し、ランサムウェアの実行を容易にします。
- RunOnceキーにペイロードを追加システム開始時に一度だけ悪意のある実行ファイルを実行します。
これらすべてのアクションは、昇格された権限で実行され、Sigmaルールの
選択フィルターに一致するSecurity Event ID 13エントリを生成します。 -
回帰テストスクリプト:
# --------------------------------------------- # REvilレジストリ操作シミュレーション (TC-20251114-3Z7XQ) # --------------------------------------------- # 1. BlackLivesMatterキー (HKLMSOFTWAREWOW6432NodeBlackLivesMatter) $blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' New-Item -Path $blmKey -Force | Out-Null New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force # 2. AutoAdminLogonの有効化 $autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force # 3. ペイロードのためのRunOnceの永続性 $runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' New-Item -Path $runOnceKey -Force | Out-Null New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force Write-Host "REvilレジストリシミュレーションが完了しました。SIEMでアラートを確認してください。" -
クリーンアップコマンド:
# --------------------------------------------- # REvilレジストリシミュレーションアーティファクトのクリーンアップ # --------------------------------------------- # BlackLivesMatterキーを削除 Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue # AutoAdminLogonをリセット(0に設定するか削除) Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' ` -Name 'AutoAdminLogon' -Value '0' -Force # RunOnceエントリを削除 Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' ` -Name 'RevilStart' -Force -ErrorAction SilentlyContinue Write-Host "クリーンアップが完了しました。"