今週のルール: Thanosランサムウェア

本日の「今週のルール」セクションでは、提案されたルールに注目することをお勧めします。 Emir Erdoganによって発表された新しいルールは、RIPlace戦術を利用してアンチランサムウェア ソリューションを回避するThanosランサムウェアを検出するのに役立ちます。 https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1

Thanosランサムウェアは昨年末に初めて出現し、その作者は地下フォーラムや秘密のチャンネルでその販売を行いました。これはRansomware-as-a-Serviceとして配布されており、スキルのない攻撃者にさえカスタマイズされたツールを使って独自のペイロードを構築できるようにします。Thanosランサムウェアは、以前の多くのビルダーに基づくランサムウェアサービスよりも複雑です。Thanosビルダーで利用可能な多くのオプションは、セキュリティソリューションを回避するために設計されています。ランサムウェアの高度な機能には、複数の持続性オプション、ランダム化されたアセンブリデータ、アンチVM / VM回避、Windows Defenderや他のAV製品の終了、構成可能な拡散オプションがあります。最近、ランサムウェアの作者はRIPlaceの使用を追加して検出を回避しました。ThanosはRIPlace戦術を使用する最初のランサムウェアファミリーです。これは、検出を回避するためにファイルを悪意的に変更することを可能にするWindowsファイルシステムの技術です。

このルールは次のプラットフォーム向けに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 影響, 防御回避, 発見

技術: 影響に対するデータ暗号化 (T1486), セキュリティツールの無効化 (T1089), セキュリティソフトウェアの発見 (T1063), ソフトウェアの発見 (T1518)