フォローする 
概要
Sinobiは、2025年7月に初めて観測された、恐らくLynxランサムウェアのリブランド版であるランサムウェア・アズ・ア・サービスの一種です。Curve25519とAES-128-CTRを併用してファイルの暗号化を行い、DeviceIoControlの悪用を含む高度なバックアップ破壊技術を適用して、ボリュームシャドウコピーを削除します。マルウェアはさらに、ゴミ箱を空にし、ターゲットファイルを開いているプロセスを終了するために再起動マネージャーAPIを活用します。 DeviceIoControl ボリュームシャドウコピーを削除します。マルウェアはさらに、ゴミ箱を空にし、ターゲットファイルを開いているプロセスを終了するために再起動マネージャーAPIを活用します。
調査
調査では、サードパーティのマネージドサービスプロバイダーから盗まれた資格情報を使用してSonicWall SSL VPNにアクセスした際の侵入を説明しています。侵入後、攻撃者はローカルおよびドメイン管理者アカウントを作成して特権を昇格しました。 アシスタンス。そのオペレーターは続いて、バイナリパスを変更してセキュリティサービスを無効化し、データを暗号化する前にRCloneを使ってデータを外部に持ち出しました。 RClone を使ってデータを外部に持ち出しました。
緩和策
防御者は、多要素認証でVPNインフラストラクチャを保護し、サードパーティのMSPアクセスを綿密に確認すべきです。また、無許可の管理アカウント作成や、不審なサービス構成変更、特にバイナリパスの変更を監視すべきです。ボリュームシャドウコピーの保護と再起動マネージャーAPIの悪用の検知もランサムウェアチェーンの妨害に役立ちます。
対応策
Sinobiの活動が検出された場合、応答者は直ちに特権アカウントなどの侵害されたアカウントを隔離すべきです。 アシスタンス無許可の RClone プロセスを終了し、Windowsサービスコントロールマネージャーのすべてのサービス変更を調査します。オフラインバックアップを確認し、オンラインシャドウコピーやゴミ箱の内容を破壊する設計のSinobiに備えて回復の準備をしてください。
“graph TB
%% Class Definitions Section
classDef initial_access fill:#f96,stroke:#333,stroke-width:2px
classDef escalation fill:#f9f,stroke:#333,stroke-width:2px
classDef persistence fill:#bbf,stroke:#333,stroke-width:2px
classDef defense_impairment fill:#dfd,stroke:#333,stroke-width:2px
classDef collection fill:#ffd,stroke:#333,stroke-width:2px
classDef impact fill:#f66,stroke:#333,stroke-width:2px
%% Initial Access Section
action_initial_access[“アクション – T1078 有効なアカウント
攻撃者はサードパーティのMSPから盗まれた資格情報を使用してSonicWall SSL VPNアプライアンスを認証します。”]
class action_initial_access initial_access
%% Privilege Escalation and Persistence Section
action_priv_esc[“アクション – T1098.007 アカウント操作: 追加のローカルまたはドメイングループ
“アシスタンス”と名付けられた二次管理者アカウントの作成とローカルおよびドメイン管理者グループへの昇格。”]
class action_priv_esc escalation
action_persistence_power[“アクション – T1653 電源設定
ランサムウェアペイロードを指すようにCarbon Blackセキュリティサービスバイナリパスを書き換え、再起動を強制する。”]
class action_persistence_power persistence
%% Defense Impairment Section
action_def_impair_tool[“アクション – T1685 ツールの無効化または変更
セキュリティプロセスをターゲットにして無効化します。”]
class action_def_impair_tool defense_impairment
action_def_impair_svc[“アクション – T1489 サービス停止
SQLとVeeamサービスを停止してファイルの暗号化のためにロック解除します。”]
class action_def_impair_svc defense_impairment
%% Collection Section
action_collection_rclone[“アクション – T1560.001 収集したデータのアーカイブ: ユーティリティを介してアーカイブ
業務関連のデータをリモート先に同期するためにrclone.exeを使用します。”]
class action_collection_rclone collection
%% Impact Section
action_inhibit_recovery[“アクション – T1490 システム回復の妨害
DeviceIoControl経由でのボリュームシャドウコピーの破壊およびSHEmptyRecycleBinA経由でのゴミ箱の空にします。”]
class action_inhibit_recovery impact
action_encryption[“アクション – T1486 影響のためのデータ暗号化
Curve-25519およびAES-128-CTRを使用して暗号化します。
ファイルは.SINOBI拡張子が付加されます。
ランサムノートREADME.txtがドロップされます。”]
class action_encryption impact
%% Connections
action_initial_access –>|leads_to| action_priv_esc
action_priv_esc –>|leads_to| action_persistence_power
action_persistence_power –>|enables| action_def_impair_tool
action_persistence_power –>|enables| action_def_impair_svc
action_def_impair_tool –>|precedes| action_collection_rclone
action_def_impair_svc –>|precedes| action_collection_rclone
action_collection_rclone –>|leads_to| action_inhibit_recovery
action_inhibit_recovery –>|leads_to| action_encryption
“
攻撃フロー
シミュレーション実行
前提条件: テレメトリおよびベースラインの予備チェックに合格している。
根拠: 本セクションは、検出ルールをトリガーするよう設計された敵の技術(TTP)の正確な実行について詳述しています。コマンドおよび記述は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診を招く可能性があります。
-
攻撃の流れとコマンド: 攻撃者は初期アクセスを獲得し、現在ランサムウェアのペイロードを実行しています。影響を最大化し要求を行うため、攻撃者の目標はユーザードキュメントを暗号化し指示を残すことです。スクリプトは次のようにこれをシミュレートします: 1) ダミードキュメントを作成し、 2) “document.pdf.SINOBI”にリネームして”暗号化”し、
document.pdf.SINOBIとしてリネームし、 3) “README.txt”というランサムノートを書き、README.txt、そして 4) ランサムウェアの暗号化フッターをシミュレートするために特定のメタデータを含むファイルを作成します。curve25519_pubkeyをシミュレートします。 -
リグレッションテストスクリプト:
# Sinobiランサムウェアシミュレーションスクリプト $targetDir = "$env:USERPROFILEDesktopSinobi_Sim" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory } Write-Host "[+] ファイル暗号化をシミュレート中..." $originalFile = "$targetDirimportant_data.pdf" "機密データ" | Out-File -FilePath $originalFile # selection_extとselection_ransomをトリガー Rename-Item -Path $originalFile -NewName "important_data.pdf.SINOBI" "あなたのファイルは暗号化されました! ビットコインを支払って…" | Out-File -FilePath "$targetDirREADME.txt" Write-Host "[+] 暗号化メタデータのシミュレーション中(selection_footer)..." # selection_footerをトリガー $metadataFile = "$targetDirmetadata.dat" "暗号化モード: AES256; curve25519_pubkey: 0xABC123" | Out-File -FilePath $metadataFile Write-Host "[!] シミュレーション完了。SIEMをチェックして警報を確認してください。" -
クリーンアップコマンド:
Remove-Item -Path "$env:USERPROFILEDesktopSinobi_Sim" -Recurse -Force Write-Host "[+] クリーンアップ完了。"