ランサムウェア攻撃で悪用される正規ツールについてトレンドマイクロが解説 | ScanNetSecurity
2021.09.25(土)

ランサムウェア攻撃で悪用される正規ツールについてトレンドマイクロが解説

トレンドマイクロ株式会社は9月8日、ランサムウェア攻撃で悪用された正規ツールについて同社ブログで解説している。

調査・レポート・白書 調査・ホワイトペーパー
 トレンドマイクロ株式会社は9月8日、ランサムウェア攻撃で悪用された正規ツールについて同社ブログで解説している。

 同社によると、セキュリティリサーチやシステムの運用管理、ペネトレーションテストなどの正当な目的で使用される正規ツールについて、サイバー犯罪者はランサムウェア攻撃に悪用しており、現在ではランサムウェア攻撃の典型的な構成要素となっている。

 同社ではサイバー犯罪者にとって都合が良い理由として、正規ツール自体は不正なものではなくセキュリティソリューションによる検出を回避できる可能性がある点、殆どのツールがオープンソースで誰もが無料でアクセスし使用できる点、ツールの機能が優れておりサイバー犯罪者にとっても有用性が高い点を挙げている。

 ランサムウェア攻撃で悪用されることが多い正規ツールとその悪用方法は下記の通り。

・Cobalt Strike
 サイバー犯罪者は、攻撃キャンペーンにおいてラテラルムーブメント(横展開)を行うため、またはバックドアとしてこのツールを使用する。
 本ツールはRATとしての機能も多数備えているほか、シェルコードを難読化した上でMalleableコマンドアンドコントロール(別名Malleable C2)を使用することで、検出を回避する可能性がある。

・PsExec
 攻撃者はリモートシステム上でプロセスを実行する機能を利用し、任意のコマンドシェルの実行と横展開のためにPsExecを悪用する可能性がある。
 PsExecはランサムウェアの転送やリモート実行に悪用される可能性もある。

・Mimikatz
 サイバー犯罪者はMimikatzの機能を利用し認証情報をダンプし、ユーザ名、パスワード、その他の認証情報を抽出、抽出された情報はほかの攻撃段階で権限昇格に使用される可能性がある。

・Process Hacker
 サイバー犯罪者は、Process Hackerの使用で実行中のプロセスの全体像が把握でき、セキュリティソリューションを含む任意のプロセスやサービスを発見し停止する。

・AdFind
 AdFindは、ADからコンピュータ、ユーザ、またはグループを探索するための偵察ツールとして利用される可能性がある。
 ADを介した横展開に必要な情報を得るために利用される場合もある。

・MegaSync
 MEGAとMegaSyncは、最近の二重脅迫型ランサムウェアのキャンペーンにおける重要な手順であるデータ持ち出しに利用される可能性がある。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  2. 静岡大学のクラウドサーバに不正アクセス、約53,000通の迷惑メール送信の踏み台に

    静岡大学のクラウドサーバに不正アクセス、約53,000通の迷惑メール送信の踏み台に

  3. 新生銀行グループのアプラス、約48万件のカード会員向けログイン情報を委託先2社に誤って提供

    新生銀行グループのアプラス、約48万件のカード会員向けログイン情報を委託先2社に誤って提供

  4. IPAと経産省、「Qubit Chain(旧SIMIAチェーン)」プロジェクトと無関係と強調

    IPAと経産省、「Qubit Chain(旧SIMIAチェーン)」プロジェクトと無関係と強調

  5. 山口県でスーパーマーケット展開する丸久の委託先ジーアールに不正アクセス、25,693件の個人情報流出

    山口県でスーパーマーケット展開する丸久の委託先ジーアールに不正アクセス、25,693件の個人情報流出

  6. オンラインスーパーを管理する東芝テック 委託先ジーアール社に不正アクセス、顧客情報6,337件流出

    オンラインスーパーを管理する東芝テック 委託先ジーアール社に不正アクセス、顧客情報6,337件流出

  7. ソフトウェアベンダの不手際トップ10、第1位はアクセスコントロールの不備 ~ OWASP発表

    ソフトウェアベンダの不手際トップ10、第1位はアクセスコントロールの不備 ~ OWASP発表

  8. JPRS、Windows DNSの複数の脆弱性情報を公開

    JPRS、Windows DNSの複数の脆弱性情報を公開

  9. 学部内の情報交換に使用した「LINE」トークルームに何者かが参加、180日分のトーク履歴が流出

    学部内の情報交換に使用した「LINE」トークルームに何者かが参加、180日分のトーク履歴が流出

  10. 新たに倉敷市でも発覚したオリエンタルコンサルタンツグループへのランサムウェア攻撃、登記簿情報も流出の可能性

    新たに倉敷市でも発覚したオリエンタルコンサルタンツグループへのランサムウェア攻撃、登記簿情報も流出の可能性

ランキングをもっと見る