ランサムウェア攻撃で悪用される正規ツールについてトレンドマイクロが解説
トレンドマイクロ株式会社は9月8日、ランサムウェア攻撃で悪用された正規ツールについて同社ブログで解説している。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
同社によると、セキュリティリサーチやシステムの運用管理、ペネトレーションテストなどの正当な目的で使用される正規ツールについて、サイバー犯罪者はランサムウェア攻撃に悪用しており、現在ではランサムウェア攻撃の典型的な構成要素となっている。
同社ではサイバー犯罪者にとって都合が良い理由として、正規ツール自体は不正なものではなくセキュリティソリューションによる検出を回避できる可能性がある点、殆どのツールがオープンソースで誰もが無料でアクセスし使用できる点、ツールの機能が優れておりサイバー犯罪者にとっても有用性が高い点を挙げている。
ランサムウェア攻撃で悪用されることが多い正規ツールとその悪用方法は下記の通り。
・Cobalt Strike
サイバー犯罪者は、攻撃キャンペーンにおいてラテラルムーブメント(横展開)を行うため、またはバックドアとしてこのツールを使用する。
本ツールはRATとしての機能も多数備えているほか、シェルコードを難読化した上でMalleableコマンドアンドコントロール(別名Malleable C2)を使用することで、検出を回避する可能性がある。
・PsExec
攻撃者はリモートシステム上でプロセスを実行する機能を利用し、任意のコマンドシェルの実行と横展開のためにPsExecを悪用する可能性がある。
PsExecはランサムウェアの転送やリモート実行に悪用される可能性もある。
・Mimikatz
サイバー犯罪者はMimikatzの機能を利用し認証情報をダンプし、ユーザ名、パスワード、その他の認証情報を抽出、抽出された情報はほかの攻撃段階で権限昇格に使用される可能性がある。
・Process Hacker
サイバー犯罪者は、Process Hackerの使用で実行中のプロセスの全体像が把握でき、セキュリティソリューションを含む任意のプロセスやサービスを発見し停止する。
・AdFind
AdFindは、ADからコンピュータ、ユーザ、またはグループを探索するための偵察ツールとして利用される可能性がある。
ADを介した横展開に必要な情報を得るために利用される場合もある。
・MegaSync
MEGAとMegaSyncは、最近の二重脅迫型ランサムウェアのキャンペーンにおける重要な手順であるデータ持ち出しに利用される可能性がある。
《ScanNetSecurity》
関連記事
![[インタビュー] ランサムウェア身代金交渉人の告白:前編「誰かが犯罪者と話さなければならない」 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/35638.png)
![中国来年度サイバー人材新卒1,300人採用/APT組織ランサムで小遣い稼ぎか/政府御用達マルウェア ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/35600.jpg)
関連リンク
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
東京高速道路のメールアカウントを不正利用、大量のメールを送信
-
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
-
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
インフォマート 公式 Facebook ページに不正ログイン
-
バッファロー製無線 LAN ルータに複数の脆弱性
-
クラウド労務管理「WelcomeHR」の個人データが閲覧可能な状態に、154,650 人分のダウンロード確認
-
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し