Ryukランサムウェア攻撃検出

[post-views]
10月 29, 2020 · 10 分で読めます
Ryukランサムウェア攻撃検出

ランサムウェア活動の増加に伴い、Ryukランサムウェアは国際的に有名な企業を犠牲にし、トップの座を保持しています。ここ数週間で、研究者たちはネットワーク全体に影響を与えた幾つかの成功したランサムウェア攻撃を報告しています。世界最大のオフィス家具会社Steelcaseは攻撃を受けてシステムを シャットダウンしました が、攻撃によるデータ喪失は知られていないと株主に報告しています。RyukランサムウェアはUniversal Health Servicesの施設運営を 停止させ 、感染した病院がシステムをシャットダウンし、患者を他の医療施設に振り向けることを余儀なくさせました。これは、パンデミックの始まりに起きた暴力的な活動の後も、Ryukオペレーターが引き続き医療を狙っていることを示しています。さらに、ITサービス会社のSopra Steriaも 攻撃について 報告しました。FBIの情報によれば、Ryukランサムウェア攻撃からのハッカーの収益は6,100万ドルを超えています。

医療セクターに対するRyukランサムウェア攻撃

今週、Ryukの関係者たちは米国の医療セクターをターゲットにした大規模なキャンペーンを準備していることが分かりました。連邦機関が セキュリティ警報を発表し、サイバー犯罪者によって使用される戦術といくつかの侵害の兆候を明らかにしています。400を超える医療施設が標的になる可能性があり、未確認情報によると、すでに30の施設が感染しています。

サイバー犯罪者はパニックを引き起こし、多数の組織にデータの復号化のための身代金を支払わせることを計画しています。また、Ryukの関係者がファイルを暗号化する前に機密データを盗むことが多いため、被害者に対する追加の圧力を与えることができます。選挙が近づいていることも状況を悪化させています。

最近の攻撃では、Ryukの背後にいる詐欺師たちは、Zerologonの欠陥とマルウェアフレームワークの能力を利用して特権昇格を達成しました。この脆弱性の悪用により、組織のネットワーク内の単一のシステムがBazarLoaderを含むフィッシングメールを介して感染してから数時間以内に、ドメインコントローラーを乗っ取ることができました。そしてサーバーやバックアップサーバーを含むワークステーション上のデータを暗号化します。この脆弱性の詳細とその悪用を検出するためのThreat Detection Marketplaceで入手可能なコンテンツの詳細については BazarLoader をご覧ください。 こちら.

新しいRyukの変種は検出を逃れるためにさまざまな技術を利用し、その後実行権限を変更する関数を呼び出します。以前のランサムウェアの変種と比較して、最近のRyuk攻撃は暗号化までの時間が大幅に短縮されており、それにより対象企業が攻撃をタイムリーに検出する可能性が大幅に減少しています。

Ryuk攻撃の検出

ほとんどすべての場合、攻撃は異なる進行をし、各攻撃で攻撃者はユニークなランサムウェアサンプルを作成するため、IOCベースのコンテンツではタイムリーに攻撃を検出および停止するのは難しいでしょう。当社のチームとThreat Bountyプログラムの参加者は、BazarLoaderおよびRyukランサムウェアによって活用される技術や手順を特定するための脅威ハンティングルールを公開しています。

Roman RanskyiによるSINGLEMALT / KEGTAP / Ryuk技術と手順のルール Roman Ranskyi: https://tdm.socprime.com/tdm/info/lf753JGo35D4/4Y32c3UBmo5uvpkjQZWE/

Osman Demir、Threat Detection Marketplaceのアクショナブル検出コンテンツの活発なThreat Bounty開発者が、最近の攻撃に使用されたランサムウェア変種を検出するSigmaルールを公開しました – Ryukの暗号化および回避技術

https://tdm.socprime.com/tdm/info/9lnBk5qhd9IV/Nb8mZXUBTwmKwLA9QLI2/

また、Threat Detection Marketplaceで利用可能な以下のルールにも注目することをお勧めします:

Emir ErdoganによるRyukランサムウェアの持続性ルール Emir Erdogan: https://tdm.socprime.com/tdm/info/eWyQLgWZwv3v/EGzmQHUBmo5uvpkju9HX/

SOC Prime TeamによるTeam9/Bazarバッチファイル名パターン(cmdline経由)ルール: https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/

SOC Prime TeamによるTeam9/Bazarスケジュールタスク名(監査経由)ルール: https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/3KjlQHUBTwmKwLA94W5a/

Ariel MillahuelによるBazar Loader検出(Sysmon検出)ルール: Ariel Millahuel: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/w6jmQHUBTwmKwLA9cm-b/

Ryukの検出はChronicle SecurityおよびApache Kafka ksqlDBに対応しています。ルールは以下のプラットフォームに対応している翻訳があります:

SIEM:Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR:Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

戦術:影響、実行、 防御回避、持続性、 探索、特権昇格、横移動、コマンドアンドコントロール

技術:影響を与えるためのデータ暗号化(T1486)、ユーザー実行(1204)、BITSジョブ(T1197)、ドメイントラスト探索(T1482)、リモートファイルコピー(T1544)、リモートサービス(T1021)、署名されたバイナリプロキシ実行(T1218)、Windows管理インスツルメンテーション(T1047)、レジストリの変更(T1112)、プロセスインジェクション(T1055)、レジストリクエリ(T1012)、レジストリ実行キー/スタートアップフォルダ(T1060)、スクリプティング(T1064)

 

Ryukランサムウェアのいくつかの行動ルール 攻撃:

WMIC LOLBASの使用法:

https://tdm.socprime.com/tdm/info/BepoiNiXj8Ut/y8WK1W4BUORkfSQheZnZ/

NTDSUTIL:

https://tdm.socprime.com/tdm/info/SOvxy6p5Cnof/Hp4_n2UBtApo-eN_NyF6/

非実行フォルダからの実行:

https://tdm.socprime.com/tdm/info/RVIFEay7irsd/bW5VKmkBFVBAemBcGlNv/

NTDSアクセス:

https://tdm.socprime.com/tdm/info/6VhAtbw6rBa2/WTk92W0BLQqskxffCpek/

Mimikatzルール:

https://tdm.socprime.com/tdm/info/qoNd4DX79bOa/CzkT2W0BLQqskxffCpcz/

https://tdm.socprime.com/tdm/info/ee3PIzxoFMI6/ncIy2W0BEiSx7l0HIpz0/

https://tdm.socprime.com/tdm/info/QctzDmwqbvco/7MIw0G0BEiSx7l0H9JIj/

https://tdm.socprime.com/tdm/info/es5UmjxJNrQg/FDkd2W0BLQqskxffjZe7/

https://tdm.socprime.com/tdm/info/74llvzojtbi4/PELH6m4ByU4WBiCt6HUg/

PSEXECの使用法:

https://tdm.socprime.com/tdm/info/7GxQdQqC8jRl/Q8XMxm4BUORkfSQh5Yyq/

https://tdm.socprime.com/tdm/info/R8d9PuDz6Kqf/B8tD8nABTfY1LRoXMJme/



SOC Prime Threat Detection Marketplaceを試してみたいですか? 無料でサインアップ。または Threat Bounty Programに参加 し、自分のコンテンツを制作してThreat Detection Marketplaceのコミュニティと共有しましょう。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。