ルールダイジェスト: トロイの木馬とランサムウェア

今日のダイジェストでは、セーフコRAT、ウルサトロイの木馬、および広範囲に広がっているランサムウェア株の検出を支援する脅威バウンティプログラムのメンバーによって提供されたコンテンツを強調したいと思います。

セーフコRATは、2019年中頃に初めて発見された.NETで書かれた比較的新しいリモートアクセス型トロイの木馬です。セーフコRATはスタートアップキーを作成し、ログイン時にマルウェアを実行して感染システムで持続性を達成します。次に特定の活動タイプを探してChromeブラウザ履歴を取得し、クレジットカード、ビジネス、ソーシャルメディア、ゲーム、暗号通貨、ショッピングに関するものを探します。その後、収集したデータをC＆Cサーバーに送り、システム情報を提供するためのさらなる指示を受け取ります。セーフコRATはスクリーンショット、動画、キーストロークログなどのデータを収集し、さらには追加のペイロードを感染機にダウンロードすることもできます。この脅威は以下のユーザーによって提出されたルールを使用して検出できます。 アリエル・ミラフエル: https://tdm.socprime.com/tdm/info/pzThUunC2GRh/h6ULBXMBPeJ4_8xcW1GX/?p=1

次に、ウルサトロイの木馬を検出するのに役立つアリエルの別のルールを考えたいと思います。最近のサンプルは先週発見されました。このマルウェアは偽のAdobe Flashインストーラの形で広められ、インストール時にmsiexec.exeおよびWScript.exeを実行してウルサトロイの木馬をインストールする悪意のあるVBSスクリプトを実行します。コミュニティの脅威ハンティングルールはこちらで見つけることができます： https://tdm.socprime.com/tdm/info/asMDB1Q6aq2d/0KUIBXMBPeJ4_8xcSk9v/?p=1

次に、ランサムウェア検出コンテンツに移ります。 オスマン・デミル が先週、バランランサムウェアファミリーの新しいバリアントであるゼッペリンランサムウェアを特定するルールを投稿しました。バランランサムウェアは2019年5月初旬に出現し、それ以来増殖を続けています。わずか9ヶ月で、このランサムウェアはそのコードと攻撃ベクトルを変更することで5回以上のアップデートをリリースし、ステルス性を保ち、より多くの損害を与えるようになりました。ゼッペリンランサムウェアは2019年後半に初めて発見され、主にフィッシングメールを通じて組織のネットワークに到達します。これらのメールにはランサムウェアファイルを被害者のマシンにダウンロードして実行するマクロ対応ドキュメントが含まれています。さらに、他のゼッペリンのサンプルも偽の広告をクリックさせるように設計されたマルバタイジングを通じて配布され、悪意のあるファイルのダウンロードを引き起こします。最後に、他のランサムウェア同様、ゼッペリンはウェブインターフェースを介した公共のリモートデスクトップソフトウェアの使用を活用し被害者のマシンをリモートで制御しランサムウェアを実行します。コミュニティルールは脅威検出マーケットプレイスで入手可能です： https://tdm.socprime.com/tdm/info/Ovf0s4ss56b6/KoD_CXMBQAH5UgbBxfdB/?p=1

以下のルールは、 エミル・エルドガン によってリリースされ、ランサムウェアファミリー独自の回避技術を持つメデューサロッカーランサムウェアの挙動を発見するのに役立ちます。メデューサロッカーは2019年9月に最初に発見され、敵対者はバッチファイルを使用して検出を回避します。ランサムウェアペイロードに付属している悪意のあるバッチファイルには、ネットワークなしのセーフモード（ミニマルモード）でコンピュータが起動されたときにWindows Defenderを削除するためにWindowsレジストリを編集するコマンドが含まれています。それから、メデューサロッカーをサービスとして追加し、セーフモード（ミニマル）での起動ごとに実行されるように設定します。セーフモード環境をセットアップして邪魔されずに実行できるようにします。バッチファイルは次回のコンピュータの起動をセーフモードミニマルで行い、コンピュータを静かに再起動します。ランサムウェアの動作分析（メデューサロッカー）のルールはこちらです： https://tdm.socprime.com/tdm/info/Z1vqspJZLMJn/D335CXMBSh4W_EKGZcUP/?p=1

結論として、エミルによってリリースされた最後のルールを紹介します。このルールはヒドゥンティアランサムウェアを検出します。このIOC Sigmaは、今週発見されたマルウェアサンプルに基づいています。ヒドゥンティアランサムウェアは新しい脅威ではなく、その検出コンテンツは私たちの過去の ダイジェストの1つですでに公開されています。このオープンソースのランサムウェアは、5年前にGitHubリポジトリにコードが登場してからも依然として危険であり、実際に野生で使用され続けています。セキュリティソリューションの検出コンテンツを以下のリンクでダウンロードできます： https://tdm.socprime.com/tdm/info/J9TxSVXj3U1d/pKj2CXMBPeJ4_8xc9Fxr/?p=1

ルールは次のプラットフォーム用に翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio,

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT＆CK:

Tactics: 実行、持続性、ディフェンスエヴァジオン、ラテラルムーブメント、コマンド・アンド・コントロール、影響。

技術: レジストリの変更 (T1112)、レジストリ実行キー/スタートアップフォルダー (T1060)、コマンドラインインターフェース (T1059)、 Rundll32 (T1085)、データ暗号化による影響 (T1486)、セキュリティツールの無効化 (T1089)、システム復旧の抑制 (T1490)、 リモートファイルコピー (T1105)

次のダイジェストを1週間後にお待ちください。

どうぞお元気で！