フォローする 
概要
TenguはRansomware-as-a-Serviceの運営で、ダブルエクストーションモデルを採用しています。暗号化を開始する前に、攻撃者はLiving Off the Land Binariesを利用してペイロードを実行し、機密データをMEGAクラウドストレージに送信します。被害者とのコミュニケーションと支払い交渉は、Torベースのポータルを通じて行われます。
調査
このレポートは、フィッシングや盗まれた資格情報を通じた初期アクセスから始まり、データの暗号化で終わる、Tenguの侵入チェーン全体を概説しています。PowerShellやRcloneといった正当な管理ユーティリティの使用を強調しており、これにより攻撃者は通常の活動に紛れ込み、検出される可能性を低減します。
軽減策
セキュリティチームは、強力な多要素認証を実施し、RDPおよびVPNサービスでの資格情報の悪用のリスクを軽減すべきです。組織は、疑わしいLOLBin活動を監視したり、クラウドストレージプラットフォームの無許可使用を制限したり、リカバリをサポートする定期的なオフラインバックアップを維持したりするべきです。
対応
Tenguの活動が検出された場合、側方移動や追加のデータ送信を止めるために、直ちに影響を受けたシステムを隔離します。Windowsイベントログとサービス設定を見直し、不許可の変更を検査し、データの露出と暗号化活動の規模を特定するためにインシデント対応手続きを発動します。
graph TB %% クラス定義セクション classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#fbb,stroke:#333,stroke-width:2px classDef exfiltration fill:#bfb,stroke:#333,stroke-width:2px classDef impact fill:#f96,stroke:#333,stroke-width:2px classDef tool fill:#ccc,stroke:#333,stroke-width:1px %% 初期アクセスノード access_phishing[“<b>アクション</b> – <b>T1566.002 フィッシング: スピアフィッシングリンク</b><br/>説明: 標的型リンクを被害者へ送信し、アクセスを取得する。”] class access_phishing initial_access access_exploit[“<b>アクション</b> – <b>T1190 公開アプリケーションの悪用</b><br/>説明: インターネット公開ソフトウェアの脆弱性を悪用する。”] class access_exploit initial_access access_accounts[“<b>アクション</b> – <b>T1078 有効なアカウント</b><br/>説明: 盗難した認証情報を使用してRDPまたはVPNエンドポイントへアクセスする。”] class access_accounts initial_access op_initial_access((“AND”)) class op_initial_access operator %% 実行および権限昇格ノード exec_powershell[“<b>アクション</b> – <b>T1059.001 コマンドとスクリプトインタープリター: PowerShell</b><br/>説明: PowerShellを使用して悪意あるペイロードを実行する。”] class exec_powershell execution exec_cmd[“<b>アクション</b> – <b>T1059.003 コマンドとスクリプトインタープリター: Windows コマンドシェル</b><br/>説明: cmd.exeを使用してコマンドを実行する。”] class exec_cmd execution exec_rundll32[“<b>アクション</b> – <b>T1218.011 Rundll32</b><br/>説明: Rundll32.exeを通じて悪意あるコードを実行する。”] class exec_rundll32 execution priv_esc_lsass[“<b>アクション</b> – <b>T1003.001 OS認証情報ダンプ: LSASSメモリ</b><br/>説明: LSASSメモリから管理者認証情報を取得する。”] class priv_esc_lsass execution %% 防御機能低下ノード def_disable_tools[“<b>アクション</b> – <b>T1562.001 防御機能の妨害: ツールの無効化または変更</b><br/>説明: sc configを使用してWindows Security CenterとWindows Updateを無効化する。”] class def_disable_tools defense_impairment def_clear_logs[“<b>アクション</b> – <b>T1070.001 侵害痕跡の削除: Windowsイベントログの消去</b><br/>説明: wevtutil cl * を使用してフォレンジック証拠を削除する。”] class def_clear_logs defense_impairment %% 流出ノード exfil_cloud[“<b>アクション</b> – <b>T1567.002 クラウドストレージへの流出</b><br/>説明: 機密データをクラウドプロバイダーへ移動する。”] class exfil_cloud exfiltration tool_rclone[“<b>ツール</b> – <b>名前</b>: Rclone / WinSCP<br/>説明: MEGAへデータ転送するために使用される正規ツール。”] class tool_rclone tool %% 影響ノード impact_recovery[“<b>アクション</b> – <b>T1490 システムリカバリの阻害</b><br/>説明: vssadmin delete shadows /all /quiet を使用してシャドウコピーを削除する。”] class impact_recovery impact impact_encryption[“<b>アクション</b> – <b>T1486 影響のためのデータ暗号化</b><br/>説明: ファイルを .tengu 拡張子で暗号化し、TENGU_README.txt を作成する。”] class impact_encryption impact %% 接続 access_phishing –>|につながる| op_initial_access access_exploit –>|につながる| op_initial_access access_accounts –>|につながる| op_initial_access op_initial_access –>|につながる| exec_powershell op_initial_access –>|につながる| exec_cmd op_initial_access –>|につながる| exec_rundll32 exec_powershell –>|有効化する| priv_esc_lsass exec_cmd –>|有効化する| priv_esc_lsass priv_esc_lsass –>|につながる| def_disable_tools priv_esc_lsass –>|につながる| def_clear_logs def_disable_tools –>|先行する| exfil_cloud def_clear_logs –>|先行する| exfil_cloud exfil_cloud –>|使用する| tool_rclone tool_rclone –>|につながる| impact_recovery impact_recovery –>|につながる| impact_encryption
攻撃フロー
シミュレーション実行
事前条件:テレメトリ&ベースラインプリフライトチェックが合格していること。
根拠:このセクションは、検出ルールをトリガーするために設計された敵の技術手法(TTP)の正確な実行を詳述しています。 コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリ生成を目指さなければなりません。 抽象的または無関係な例は誤診につながります。
-
攻撃のストーリーとコマンド: 攻撃者はTenguランサムウェアの展開フェーズを開始することを目指しています。 単純なアンチウイルスのシグネチャーによる検出を避けるために、彼らは「Living-off-the-Land」(LotL)技法を使用します。 攻撃者はまず
powershell.exeを使用してステージングペイロードをダウンロードし、その後にrundll32.exeを使用して悪意あるDLLを実行します。 これにより、Tengu攻撃チェーンで記述されている動作を模倣し、正当なWindowsのバイナリが悪意のある行動を実行するために乱用され、一般的な管理活動に溶け込む試みがなされます。 -
レグレッションテストスクリプト:
# Tenguランサムウェア実行シミュレーションスクリプト # このスクリプトは、検出ルールをトリガーするためにLOLBinsの使用をシミュレートします。 Write-Host "[*] Tenguランサムウェア実行シミュレーションの開始..." -ForegroundColor Cyan # 1. PowerShellベースのペイロードステージングのシミュレーション (T1059.001) Write-Host "[*] PowerShellペイロードステージングのシミュレーション..." -ForegroundColor Yellow powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output '悪意あるペイロードのダウンロードのシミュレーション中...'" # 2. CMDベースの偵察のシミュレーション (T1059.003) Write-Host "[*] CMDベースの偵察のシミュレーション..." -ForegroundColor Yellow cmd.exe /c "whoami /all" # 3. Rundll32実行のシミュレーション (T1218.011) Write-Host "[*] Rundll32悪意あるDLLの実行のシミュレーション..." -ForegroundColor Yellow rundll32.exe javascript:"alert('Simulated Tengu Payload Execution');" Write-Host "[+] シミュレーション完了。SIEMでアラートを確認してください。" -ForegroundColor Green -
クリーンアップコマンド:
# このシミュレーションでは永続的なファイルやレジストリキーは変更されませんでした。 # 実行されたコマンドは揮発性のプロセス実行です。 Write-Host "[*] Persistence Artifactsを作成しなかったのでクリーンアップ不要です。" -ForegroundColor Cyan