ランサムテール: 第五巻 — REvil、DarkSide、BlackMatter ランサムウェアのエミュレーション
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
この記事は、AttackIQの「Ransom Tales」シリーズ第5巻を取り上げ、3つの悪名高いランサムウェアファミリー—REvil、DarkSide、およびBlackMatterの戦術、技術、手順を再現しています。各シナリオは、実行、永続性、発見、防御回避、影響の段階を経て、ディフェンダーが検出と応答のプレイブックを検証できるようにします。このエミュレーションは、DLL検索順序のハイジャック、レジストリの悪用、永続性のためのスケジュールされたタスク、VSSシャドウコピーの削除、強力な暗号化ファイルの暗号化などの特徴的な行動を再現します。また、主要なサプライチェーン侵害を振り返り、ランサムウェア・アズ・ア・サービスがどのように成熟してきたかを追跡します。
ランサムウェア攻撃分析
AttackIQのAdversary Research Teamは、公的な脅威インテリジェンスレポートとマルウェアサンプルを利用して、各ランサムウェアファミリーのリアルな攻撃グラフを作成しました。研究者たちはMITRE ATT&CK技術IDに個別のステップをマッピングし、ペイロードを取得し、永続性を確立し、ホストとドメインの情報を列挙し、ファイルを暗号化する実行パスを設計しました。チームはまた、DarkSideが初期アクセスに利用した既知のCVEエクスプロイトの使用をモデル化しました。この調査は、REvil、DarkSide、およびBlackMatterランサムウェアファミリーによるツールの共有、インフラストラクチャの重複、およびコードの再利用を裏付けています。
緩和策
推奨される緩和策は、最小特権の原則の強制、不要なサービスの無効化、既知のVMware ESXi脆弱性を含む公開システムの迅速なパッチの実施に焦点を当てています。チームは、リモートデスクトップアクセスを制限し、疑わしいレジストリ変更や新しく作成されたスケジュールされたタスクを綿密に監視し、強力なアプリケーションコントロールを展開するよう促されます。ガイダンスはさらに、エンドポイント検出技術の役割と、ランサムウェア事故の爆発半径を抑えるためのバックアップの定期的な検証の重要性を強調しています。
対応
ランサムウェアスタイルの活動が検出された場合、対応者は直ちに影響を受けたシステムを隔離し、揮発性メモリをキャプチャし、関連レジストリハイブを収集し、ログソースを保存する必要があります。フォレンジックレビューは、シャドウコピー、スケジュールされたタスク、およびREvil、DarkSide、またはBlackMatterの手法の痕跡を調べるためのレジストリキーを調査します。復旧には、クリーンで検証済みのバックアップからデータを復元し、SMBおよびLDAPクレデンシャルを用いた横方向の動きの試みを追跡することが含まれます。最後に、チームはステークホルダーに報告し、インシデントを文書化し、帰属および将来的な防御の改善を支援するために、脅威インテリジェンスで知見を豊かにするべきです。
攻撃フロー
検出
REvilおよびDarkSideランサムウェアのシャドウコピー削除を検出[Windowsプロセス作成]
見る
REvilランサムウェアのレジストリ操作による実行と永続性を検出[Windowsレジストリエベント]
見る
検出するためのIOC(HashSha256): Ransom Tales: 第V巻 – Throwback Edition! REvil、DarkSide、およびBlackMatterランサムウェアをエミュレート
見る
疑わしいVSSADMINアクティビティ(コマンドライン経由)
見る
可能性のある永続ポイント[ASEPs – Software/NTUSER Hive](レジストリエベント経由)
見る
シミュレーション
シミュレーション実行
前提条件: テレメトリ & ベースラインプレフライトチェックが合格している必要があります。
根拠: このセクションは、検出ルールをトリガーするために設計された対抗技術(TTP)の正確な実行を詳細に説明しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃のナラティブとコマンド:
REvilオペレーターは、被害者のマシンをターゲットにして、ランサムウェアペイロードが再起動後に自動的に起動するようにします。PowerShellドロッパーを使用して攻撃者は、ルールが監視する3つのレジストリ修正を作成します:- 欺瞞的な”BlackLivesMatter”キーを作成Wow6432Nodeブランチの下 – REvilの既知の指標。
- AutoAdminLogonを有効化再起動後に特権アカウントの自動ログオンを強制し、ランサムウェアの実行を容易にします。
- RunOnceキーにペイロードを追加システム開始時に一度だけ悪意のある実行ファイルを実行します。
これらすべてのアクションは、昇格された権限で実行され、Sigmaルールの
選択フィルターに一致するSecurity Event ID 13エントリを生成します。 -
回帰テストスクリプト:
# --------------------------------------------- # REvilレジストリ操作シミュレーション (TC-20251114-3Z7XQ) # --------------------------------------------- # 1. BlackLivesMatterキー (HKLMSOFTWAREWOW6432NodeBlackLivesMatter) $blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' New-Item -Path $blmKey -Force | Out-Null New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force # 2. AutoAdminLogonの有効化 $autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force # 3. ペイロードのためのRunOnceの永続性 $runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' New-Item -Path $runOnceKey -Force | Out-Null New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force Write-Host "REvilレジストリシミュレーションが完了しました。SIEMでアラートを確認してください。" -
クリーンアップコマンド:
# --------------------------------------------- # REvilレジストリシミュレーションアーティファクトのクリーンアップ # --------------------------------------------- # BlackLivesMatterキーを削除 Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue # AutoAdminLogonをリセット(0に設定するか削除) Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' ` -Name 'AutoAdminLogon' -Value '0' -Force # RunOnceエントリを削除 Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' ` -Name 'RevilStart' -Force -ErrorAction SilentlyContinue Write-Host "クリーンアップが完了しました。"