ランサムウェア攻撃で悪用される正規ツールについてトレンドマイクロが解説
トレンドマイクロ株式会社は9月8日、ランサムウェア攻撃で悪用された正規ツールについて同社ブログで解説している。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
同社によると、セキュリティリサーチやシステムの運用管理、ペネトレーションテストなどの正当な目的で使用される正規ツールについて、サイバー犯罪者はランサムウェア攻撃に悪用しており、現在ではランサムウェア攻撃の典型的な構成要素となっている。
同社ではサイバー犯罪者にとって都合が良い理由として、正規ツール自体は不正なものではなくセキュリティソリューションによる検出を回避できる可能性がある点、殆どのツールがオープンソースで誰もが無料でアクセスし使用できる点、ツールの機能が優れておりサイバー犯罪者にとっても有用性が高い点を挙げている。
ランサムウェア攻撃で悪用されることが多い正規ツールとその悪用方法は下記の通り。
・Cobalt Strike
サイバー犯罪者は、攻撃キャンペーンにおいてラテラルムーブメント(横展開)を行うため、またはバックドアとしてこのツールを使用する。
本ツールはRATとしての機能も多数備えているほか、シェルコードを難読化した上でMalleableコマンドアンドコントロール(別名Malleable C2)を使用することで、検出を回避する可能性がある。
・PsExec
攻撃者はリモートシステム上でプロセスを実行する機能を利用し、任意のコマンドシェルの実行と横展開のためにPsExecを悪用する可能性がある。
PsExecはランサムウェアの転送やリモート実行に悪用される可能性もある。
・Mimikatz
サイバー犯罪者はMimikatzの機能を利用し認証情報をダンプし、ユーザ名、パスワード、その他の認証情報を抽出、抽出された情報はほかの攻撃段階で権限昇格に使用される可能性がある。
・Process Hacker
サイバー犯罪者は、Process Hackerの使用で実行中のプロセスの全体像が把握でき、セキュリティソリューションを含む任意のプロセスやサービスを発見し停止する。
・AdFind
AdFindは、ADからコンピュータ、ユーザ、またはグループを探索するための偵察ツールとして利用される可能性がある。
ADを介した横展開に必要な情報を得るために利用される場合もある。
・MegaSync
MEGAとMegaSyncは、最近の二重脅迫型ランサムウェアのキャンペーンにおける重要な手順であるデータ持ち出しに利用される可能性がある。
《ScanNetSecurity》