Tengu ランサムウェア: 初期アクセスから暗号化まで
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
TenguはRansomware-as-a-Serviceの運営で、ダブルエクストーションモデルを採用しています。暗号化を開始する前に、攻撃者はLiving Off the Land Binariesを利用してペイロードを実行し、機密データをMEGAクラウドストレージに送信します。被害者とのコミュニケーションと支払い交渉は、Torベースのポータルを通じて行われます。
調査
このレポートは、フィッシングや盗まれた資格情報を通じた初期アクセスから始まり、データの暗号化で終わる、Tenguの侵入チェーン全体を概説しています。PowerShellやRcloneといった正当な管理ユーティリティの使用を強調しており、これにより攻撃者は通常の活動に紛れ込み、検出される可能性を低減します。
軽減策
セキュリティチームは、強力な多要素認証を実施し、RDPおよびVPNサービスでの資格情報の悪用のリスクを軽減すべきです。組織は、疑わしいLOLBin活動を監視したり、クラウドストレージプラットフォームの無許可使用を制限したり、リカバリをサポートする定期的なオフラインバックアップを維持したりするべきです。
対応
Tenguの活動が検出された場合、側方移動や追加のデータ送信を止めるために、直ちに影響を受けたシステムを隔離します。Windowsイベントログとサービス設定を見直し、不許可の変更を検査し、データの露出と暗号化活動の規模を特定するためにインシデント対応手続きを発動します。
攻撃フロー
シミュレーション実行
事前条件:テレメトリ&ベースラインプリフライトチェックが合格していること。
根拠:このセクションは、検出ルールをトリガーするために設計された敵の技術手法(TTP)の正確な実行を詳述しています。 コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリ生成を目指さなければなりません。 抽象的または無関係な例は誤診につながります。
-
攻撃のストーリーとコマンド: 攻撃者はTenguランサムウェアの展開フェーズを開始することを目指しています。 単純なアンチウイルスのシグネチャーによる検出を避けるために、彼らは「Living-off-the-Land」(LotL)技法を使用します。 攻撃者はまず
powershell.exeを使用してステージングペイロードをダウンロードし、その後にrundll32.exeを使用して悪意あるDLLを実行します。 これにより、Tengu攻撃チェーンで記述されている動作を模倣し、正当なWindowsのバイナリが悪意のある行動を実行するために乱用され、一般的な管理活動に溶け込む試みがなされます。 -
レグレッションテストスクリプト:
# Tenguランサムウェア実行シミュレーションスクリプト # このスクリプトは、検出ルールをトリガーするためにLOLBinsの使用をシミュレートします。 Write-Host "[*] Tenguランサムウェア実行シミュレーションの開始..." -ForegroundColor Cyan # 1. PowerShellベースのペイロードステージングのシミュレーション (T1059.001) Write-Host "[*] PowerShellペイロードステージングのシミュレーション..." -ForegroundColor Yellow powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output '悪意あるペイロードのダウンロードのシミュレーション中...'" # 2. CMDベースの偵察のシミュレーション (T1059.003) Write-Host "[*] CMDベースの偵察のシミュレーション..." -ForegroundColor Yellow cmd.exe /c "whoami /all" # 3. Rundll32実行のシミュレーション (T1218.011) Write-Host "[*] Rundll32悪意あるDLLの実行のシミュレーション..." -ForegroundColor Yellow rundll32.exe javascript:"alert('Simulated Tengu Payload Execution');" Write-Host "[+] シミュレーション完了。SIEMでアラートを確認してください。" -ForegroundColor Green -
クリーンアップコマンド:
# このシミュレーションでは永続的なファイルやレジストリキーは変更されませんでした。 # 実行されたコマンドは揮発性のプロセス実行です。 Write-Host "[*] Persistence Artifactsを作成しなかったのでクリーンアップ不要です。" -ForegroundColor Cyan