ALPHV としても知られるBlackCatランサムウェアは、蔓延している脅威であり、サービスとしてのランサムウェア (RaaS) ギグ エコノミーが拡大している典型的な例です。型にはまらないプログラミング言語 (Rust)、複数の標的デバイスと可能性のあるエントリ ポイント、多数の脅威活動グループとの提携により、注目に値します。 BlackCat の到着と実行は、それを展開する攻撃者によって異なりますが、結果は同じです。ターゲット データは暗号化され、盗み出され、「二重恐喝」に使用されます。支払った。
2021 年 11 月に初めて観測された BlackCat は、Rust プログラミング言語で記述された最初のランサムウェア ファミリの 1 つであったため、最初に話題になりました。このランサムウェアは、ペイロードに最新の言語を使用することで検出を回避しようとします。特に、従来のセキュリティ ソリューションは、そのような言語で書かれたバイナリを分析および解析する能力にまだ追いついていない可能性があります。 BlackCat は、複数のデバイスとオペレーティング システムをターゲットにすることもできます。 Microsoft は、Windows および Linux デバイスと VMWare インスタンスに対する攻撃の成功を確認しています。
以前に説明したように、RaaS アフィリエイト モデルは複数のプレーヤーで構成されています。ネットワークを侵害して永続性を維持するアクセス ブローカー。ツールを開発する RaaS オペレーター。 RaaS アフィリエイトは、最終的にランサムウェア ペイロードを起動する前に、ネットワークを横断してデータを盗み出すなどの他の活動を実行します。このように、RaaS ペイロードとして、BlackCat がターゲット組織のネットワークに侵入する方法は、BlackCat を展開する RaaS 関連会社によって異なります。たとえば、これらの攻撃者の一般的な侵入経路には、リモート デスクトップ アプリケーションや侵害された資格情報が含まれますが、攻撃者がExchange サーバーの脆弱性を利用して標的のネットワーク アクセスを取得することも確認されています。さらに、少なくとも 2 つの既知のアフィリエイトが BlackCat を採用しています: DEV-0237 (以前に Ryuk、Conti、および Hive を展開したことで知られています) とDEV- 0504 (以前に Ryuk、REvil、BlackMatter、および Conti を展開したことで知られています)。
このようなバリエーションや採用は、組織が BlackCat に遭遇するリスクを著しく高め、攻撃者やグループの戦術、技術、手順 (TTP) が異なるため、BlackCat の検出と防御に課題をもたらします。したがって、2 つの BlackCat の「ライブ」または展開が同じように見えることはありません。実際、Microsoft の脅威データに基づくと、このランサムウェアの影響は、アフリカ、南北アメリカ、アジア、ヨーロッパのさまざまな国や地域で確認されています。
BlackCat を展開するような人間が操作するランサムウェア攻撃は進化を続けており、攻撃を収益化するために攻撃者が好む方法の 1 つとして残っています。組織は、 Microsoft 365 Defenderのような包括的なソリューションでセキュリティのベスト プラクティスとポリシーを補完することを検討する必要があります。これは、さまざまな脅威シグナルを関連付けて、そのような攻撃とその後のアクティビティを検出してブロックする保護機能を提供します。
このブログでは、ランサムウェアの手法と機能について詳しく説明します。また、BlackCat が展開された場所で観測された 2 つのインシデントと、現在 BlackCat を配信している脅威活動グループに関する追加情報についても詳しく説明します。最後に、クエリのハンティングや製品固有の軽減策など、防御者がこの脅威から組織を保護するのに役立つベスト プラクティスと推奨事項を提供します。
BlackCat の構造: ペイロード機能
前述のように、BlackCat は Rust プログラミング言語で記述された最初のランサムウェアの 1 つです。最新の言語の使用は、攻撃者が従来のセキュリティ ソリューションによる検出を回避するだけでなく、ペイロードをリバース エンジニアリングしようとしている可能性のある防御者に挑戦するために、ペイロードを Rust や Go などの言語に切り替えるという最近の傾向を示しています。または類似の脅威と比較します。
BlackCat は、Windows および Linux デバイスと VMWare インスタンスをターゲットにして暗号化できます。アフィリエイトが使用法や遭遇した環境に応じて構成可能な自己伝播を含む、広範な機能を備えています。
BlackCat ペイロードに管理者権限がないことが確認されたインスタンスでは、ペイロードはdllhost.exeを介して起動され、次に以下のコマンド (表 1) がcmd.exeを介して起動されました。 BlackCat ペイロードにより、アフィリエイトは実行を環境に合わせてカスタマイズできるため、これらのコマンドは異なる場合があります。
攻撃者が使用したフラグと使用可能なオプションは次のとおりです。 –アクセストークン; –伝播; -no-prop-servers
指示 | 説明 |
【サービス名】 /stop | 実行中のサービスを停止して、データの暗号化を許可します |
vssadmin.exe シャドウの削除 /all /quiet | 回復を防ぐためにバックアップを削除します |
wmic.exe シャドウコピーの削除 | シャドウ コピーを削除します |
wmic csproduct は UUID を取得します | ターゲット デバイスの Universally Unique Identifier (UUID) を取得します。 |
reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters /v MaxMpxCt /d 65535 /t REG_DWORD /f | レジストリを変更して MaxMpxCt 設定を変更します。 BlackCat は、許可される未処理のリクエストの数を増やすためにこれを行います (たとえば、PsExec 手法を介してランサムウェアを配布するときの SMB リクエスト)。 |
for /F ”tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl ”%1” | イベントログをクリアします |
fsutil 動作セット SymlinkEvaluation R2L:1 | リモートからローカルへのシンボリック リンクを許可します。シンボリック リンクは、別のファイル システム オブジェクトを指すファイル システム オブジェクト (ファイルやフォルダーなど) であり、多くの点でショートカットに似ていますが、より強力です。 |
fsutil 動作セット SymlinkEvaluation R2R:1 | リモートからリモートへのシンボリック リンクを許可します |
net use [コンピュータ名] /user:[ドメイン][ユーザー] [パスワード] /persistent:no | ネットワーク共有をマウントします |
ユーザー アカウント制御 (UAC) のバイパス
BlackCat は UAC をバイパスできます。つまり、管理者以外のコンテキストから実行された場合でも、ペイロードは正常に実行されます。ランサムウェアが管理者権限で実行されていない場合、システム上の最大数のファイルを暗号化するために必要な十分なアクセス許可を使用して、 dllhost.exeの下でセカンダリ プロセスを実行します。
ドメインとデバイスの列挙
ランサムウェアは、特定のシステムのコンピューター名、デバイスのローカル ドライブ、およびデバイスの AD ドメイン名とユーザー名を特定できます。このマルウェアは、ユーザーがドメイン管理者権限を持っているかどうかも識別できるため、より多くのデバイスを身代金要求する能力が向上します。
自己増殖
BlackCat は、ネットワークに接続されているすべてのサーバーを検出します。このプロセスは、最初に NetBIOS Name Service (NBNC) メッセージをブロードキャストして、これらの追加デバイスをチェックします。次に、ランサムウェアは、PsExec を介して構成内で指定された資格情報を使用して、応答サーバーで自分自身を複製しようとします。
復旧作業の妨げ
BlackCat には、復旧作業をより困難にする方法が数多くあります。以下は、ペイロードによって起動される可能性のあるコマンドとその目的です。
- ブートローダーを変更する
- “C:Windowssystem32cmd.exe” /c “bcdedit /set {デフォルト}”
- 「C:Windowssystem32cmd.exe」/c「bcdedit /set {デフォルト} recoveryenabled いいえ」
- ボリューム シャドウ コピーを削除する
- “C:Windowssystem32cmd.exe” /c “vssadmin.exe 影を削除 /all /quiet”
- 「C:Windowssystem32cmd.exe」/c「wmic.exe シャドウコピーの削除」
- Windows イベント ログをクリアする
- “C:Windowssystem32cmd.exe” /c “cmd.exe /c for /F “tokens=*” 関数が正しくありません。 in (‘ wevtutil.exe el ‘) DO wevtutil.exe cl ”関数が正しくありません。 “”
こっそり侵入: BlackCat ランサムウェアにつながる可能性のある攻撃を特定する
RaaS モデルと一致して、攻撃者は BlackCat を進行中のキャンペーンの追加のペイロードとして利用します。 TTP はほぼ同じままですが (Mimikatz や PsExec などのツールを使用してランサムウェア ペイロードを展開するなど)、BlackCat 関連の侵害には、攻撃を実行するランサムウェア アフィリエイトに応じてさまざまなエントリ ベクトルがあります。したがって、これらの攻撃の身代金前の手順も著しく異なる可能性があります。
たとえば、当社の調査では、BlackCat を導入した 1 つの関連会社が、パッチが適用されていない Exchange サーバーを利用したり、盗んだ資格情報を使用して標的のネットワークにアクセスしたりしたことがわかりました。以下のセクションでは、私たちが観察したこれら 2 つのインシデントのエンド ツー エンドの攻撃チェーンについて詳しく説明します。
ケース スタディ 1: パッチが適用されていない Exchange 経由のエントリ
私たちが観察した 1 つのインシデントでは、攻撃者はパッチが適用されていない Exchange サーバーを利用して標的の組織に侵入しました。
発見
Exchange の脆弱性を悪用すると、攻撃者は次の検出コマンドを起動して、侵入したデバイスに関する情報を収集しました。
- cmd.exeとコマンドverおよびsysteminfo – オペレーティング システムの情報を収集します。
- net.exe – 環境内のドメイン コンピューター、ドメイン コントローラー、およびドメイン管理者を特定します。
これらのコマンドを実行した後、攻撃者はディレクトリをナビゲートし、攻撃の後続の段階で使用できるアカウント資格情報へのアクセスを許可するパスワード フォルダーを発見しました。また、 delコマンドを使用して、最初の侵害活動に関連するファイルを削除しました。
次に攻撃者は、ネット使用と盗んだ資格情報を使用してネットワーク共有をマウントし、複数の方法を組み合わせてラテラル ムーブメントの潜在的な標的を探し始めました。まず、以前に収集したデバイス名をノードとして使用するWMIC.exeを使用し、コマンドwhoami /allを起動し、 google.comに ping を送信してネットワーク接続を確認しました。結果の出力は、マウントされた共有の.logファイルに書き込まれました。次に、攻撃者はコマンドレットGet-ADComputerとフィルターを使用してPowerShell.exeを使用し、最後のサインイン イベントを収集しました。
横移動
2 日半後、攻撃者は、対話型サインインを介して侵害された資格情報を使用して、最初の発見作業中に見つけたターゲット デバイスの 1 つにサインインしました。彼らは、ウイルス対策製品が検出する可能性のある Mimikatz のようなファイルをドロップする必要のない資格情報の盗難手法を選択しました。代わりに、彼らはTaskmgr.exeを開き、 LSASS.exeプロセスのダンプ ファイルを作成し、そのファイルを ZIP アーカイブに保存しました。
攻撃者は、Active Directory (AD) 環境に関する広範な情報を収集するように設計されたツールである ADRecon の PowerShell スクリプト バージョン ( ADRecon.ps1 ) を使用して、以前の検出作業を続けました。攻撃者は、サーバー メッセージ ブロック (SMB) およびリモート デスクトップ プロトコル (RDP) で組織内のデバイスへの接続を開くネット スキャン ツールでこのアクションを追跡しました。発見されたデバイスについて、攻撃者はさまざまなネットワーク共有への移動を試み、リモート デスクトップ クライアント ( mstsc.exe ) を使用してこれらのデバイスにサインインし、侵害されたアカウント資格情報を再び使用しました。
これらの動作は何日も続き、攻撃者は組織全体の多数のデバイスにサインインし、資格情報をダンプし、アクセスできるデバイスを特定しました。
収集と流出
攻撃者がサインインした多くのデバイスでは、ドメイン設定や情報、知的財産など、組織から大量のデータを収集して盗み出す試みが行われました。これを行うために、攻撃者は MEGAsync と Rclone の両方を使用し、これらは正規の Windows プロセス名 ( winlogon.exe 、 mstsc.exeなど) に名前を変更しました。
ラテラルムーブメントのターゲットを特定するためのドメイン情報の抽出
ドメイン情報を収集することで、攻撃者は攻撃をさらに進めることができました。この情報によって、ラテラル ムーブメントの潜在的な標的や、攻撃者がランサムウェア ペイロードを配布するのに役立つ標的を特定できるからです。これを行うために、攻撃者は次のような多数の PowerShell コマンドレットでADRecon.ps1を再度使用しました。
- Get-ADRGPO – ドメイン内のグループ ポリシー オブジェクト (GPO) を取得します
- Get-ADRDNSZone – ドメイン内のすべての DNS ゾーンとレコードを取得します
- Get-ADRGPLink – ドメイン内の管理範囲に適用されるすべてのグループ ポリシー リンクを取得します
さらに、攻撃者はADFind.exeコマンドをドロップして使用し、個人、コンピューター、組織単位、および信頼情報に関する情報を収集し、多数のデバイスに ping を送信して接続を確認しました。
二重恐喝のための流出
知的財産の窃盗により、攻撃者は、その後の身代金が支払われなかった場合に情報を公開すると脅迫することができた可能性があります。これは「二重恐喝」として知られる行為です。知的財産を盗むために、攻撃者は SQL データベースを標的にしてデータを収集しました。また、アクセス可能な各デバイスのディレクトリやプロジェクト フォルダなどをナビゲートし、そこから見つかったデータを盗み出しました。
盗み出しは複数のデバイスで数日間発生し、攻撃者は大量の情報を収集して二重恐喝に使用できました。
暗号化と身代金
最初の侵害から攻撃者がランサムウェアの展開に進むまでに丸 2 週間かかりました。このことから、攻撃者がその活動から得たアカウントとアクセスの範囲を理解するために、アラート アクティビティのトリアージとスコープの必要性が浮き彫りになりました。 PsExec.exeを使用したランサムウェア ペイロードの配布は、最も一般的な攻撃方法であることが判明しました。
ケース スタディ 2: 侵害された資格情報を介したエントリ
私たちが観察した別のインシデントでは、ランサムウェア アフィリエイトが、侵害された資格情報を使用してインターネットに接続されたリモート デスクトップ サーバー経由で環境への初期アクセスを取得したことを発見しました。
横移動
攻撃者はターゲット環境へのアクセスを取得すると、SMB を使用して Total Deployment Software 管理ツールをコピーして起動し、リモートでの自動ソフトウェア展開を可能にしました。このツールがインストールされると、攻撃者はそれを使用して、リモート デスクトップ ソフトウェア アプリケーションである ScreenConnect (現在の ConnectWise) をインストールしました。
資格情報の盗難
ScreenConnect は、デバイス上でリモート セッションを確立するために使用され、攻撃者がインタラクティブに制御できるようにしました。デバイスを制御した状態で、攻撃者はcmd.exeを使用してレジストリを更新し、WDigest を介したクリアテキスト認証を許可しました。これにより、攻撃者はパスワード ハッシュをクラックする必要がなくなり、時間を節約できました。その後すぐに、彼らはタスク マネージャーを使用してLSASS.exeプロセスをダンプし、パスワードを盗み出しました。現在はクリアテキストになっています。
8 時間後、攻撃者はデバイスに再接続し、資格情報を再び盗みました。しかし今回は、資格情報の盗難ルーチンのために Mimikatz をドロップして起動しました。これは、 LSASS.exeに保存されている資格情報以外の資格情報を取得できる可能性があるためと考えられます。その後、攻撃者はサインアウトしました。
永続性と暗号化
1 日後、攻撃者は ScreenConnect を使用して環境に戻りました。 PowerShell を使用してコマンド プロンプト プロセスを起動し、 net.exeを使用してデバイスにユーザー アカウントを追加しました。次に、新しいユーザーがnet.exeを介してローカル管理者グループに追加されました。
その後、攻撃者は新しく作成したユーザー アカウントを使用してサインインし、ランサムウェア ペイロードのドロップと起動を開始しました。このアカウントは、ScreenConnect や環境内の他の足場を超えて、必要に応じてプレゼンスを再確立できるようにするための追加の永続化の手段としても機能します。アクセスが完全に修復されていない場合、ランサムウェアの攻撃者は、同じ組織を 2 回身代金を要求する以上のことはありません。
Chrome.exeは、BlackCat ペイロードをホストするドメインに移動するために使用されました。特に、フォルダ構造には組織名が含まれており、これは組織専用の事前にステージングされたペイロードであることを示しています。最後に、攻撃者はデバイス上で BlackCat ペイロードを起動して、データを暗号化しました。
BlackCat を展開するランサムウェア アフィリエイト
前述のインシデントとは別に、ランサムウェアの展開に関連する最も多作な 2 つの関連グループが BlackCat の展開に切り替えたことも確認しています。ペイロードの切り替えは、一部の RaaS アフィリエイトにとって、ビジネスの継続性を確保するため、またはより良い利益の可能性がある場合に一般的です。組織にとって残念なことに、このような採用により、関連する脅威を検出するという課題がさらに増えます。
Microsoft は、これらのアフィリエイト グループの 1 つをDEV-0237として追跡しています。 FIN12としても知られる DEV-0237 は、Hive、Conti、Ryuk ランサムウェアの配布で有名です。私たちは、このグループが 2022 年 3 月以降、BlackCat を分散ペイロードのリストに追加したことを確認しました。彼らが最後に使用したペイロード (Hive) から BlackCat に切り替えたのは、後者の復号化方法に関する公の言説が原因であると疑われています。
DEV- 0504 は、ランサムウェア攻撃のために BlackCat に切り替えた別のアクティブなアフィリエイト グループです。多くの RaaS アフィリエイト グループと同様に、DEV-0504 攻撃では次の TTP が観察される可能性があります。
- リモート作業を可能にするソフトウェア ソリューションを実行しているデバイスなど、資格情報が侵害されたデバイスにアフィリエイトがリモートでサインインする可能性があるエントリ ベクトル
- 攻撃者がアクセス権を使用してドメイン上で発見を行う
- 最初に侵害されたアカウントを使用する可能性のある横方向の動き
- Mimikatz や Rubeus などのツールを使用した資格情報の盗難
DEV-0504 は通常、「send.exe」または「sender.exe」と呼ばれることが多いStealBit などの悪意のあるツールを使用して、侵害したデバイス上のデータを組織から盗み出します。次に、PsExec を使用してランサムウェア ペイロードを配布します。このグループは、2021 年 12 月に始まる BlackCat の導入前に、次のランサム ファミリーを配信していることが確認されています。
- ブラックマター
- コンティ
- ロックビット 2.0
- 悪魔
- リューク
BlackCat ランサムウェアに対する防御
今日のランサムウェア攻撃は、RaaS アフィリエイト モデルによる産業化の進展と二重恐喝の傾向の増加により、より影響力が大きくなっています。 BlackCat ランサムウェアに関連して観測されたインシデントは、これら 2 つの要因を利用しており、ランサムウェア ペイロードの検出のみに焦点を当てた従来のセキュリティおよび防御アプローチに対して、この脅威を永続化しています。 BlackCat のような脅威を検出するだけでは十分ではありませんが、人間が操作するランサムウェアは、展開されたネットワークや攻撃対象のネットワークに合わせて成長、進化、適応し続けているため、もはや十分ではありません。
代わりに、組織は防御戦略を変更して、エンドツーエンドの攻撃チェーンを防ぐ必要があります。前述のように、攻撃者のエントリ ポイントはさまざまですが、TTP はほぼ同じままです。さらに、これらのタイプの攻撃は、組織の不十分な資格情報の衛生状態と従来の構成または構成ミスを利用して成功を収め続けています。したがって、防御側は、アクセス監視や適切なパッチ管理などのさまざまなベスト プラクティスを通じてネットワークを強化することで、これらの一般的なパスと弱点に対処する必要があります。 このブログでは、ランサムウェアに対するこれらの防御戦略を構築するための詳細な手順を説明しています。
私たちが観察した BlackCat 関連のインシデントでは、ランサムウェア アフィリエイトの一般的なエントリ ポイントは、侵害された資格情報を介して、インターネットに接続されたリモート アクセス ソフトウェアとパッチが適用されていない Exchange サーバーにアクセスすることでした。したがって、防御側は、組織の ID 体制を見直し、外部アクセスを注意深く監視し、環境内の脆弱な Exchange サーバーを見つけてできるだけ早く更新する必要があります。 BlackCat のようなランサムウェアが関与する攻撃に起因する経済的影響、評判の低下、およびその他の影響は、ダウンタイム、サービスの中断、およびセキュリティ更新プログラムの適用とベスト プラクティスの実装に関連するその他の問題点を見過ごす価値はありません。
Microsoft 365 Defender の包括的な脅威防御機能を活用する
Microsoft 365 Defenderは、クロスドメインの可視性と調整された脅威防御を提供することにより、BlackCat ランサムウェアやその他の同様の脅威をもたらす攻撃から組織を保護するのに役立ちます。複数層の動的保護テクノロジを使用し、電子メール、エンドポイント、ID、およびクラウド アプリからの脅威データを関連付けます。 Microsoft Defender for Endpointは、Mimikatz などのツール、実際の BlackCat ペイロード、およびその後の攻撃者の動作を検出します。 脅威と脆弱性の管理機能は、さまざまなプラットフォーム間で脆弱なデバイスや不適切に構成されたデバイスを検出するのにも役立ちます。このような機能は、Exchange を実行しているデバイスなどの脆弱なデバイスで発生する可能性のあるエクスプロイトの試みを検出してブロックするのに役立ちます。最後に、 高度なハンティングにより、防御側はカスタム検出を作成して、このランサムウェアやその他の関連する脅威を積極的に表面化させることができます。
その他の軽減策と推奨事項
防御者は、次の手順に従って、このランサムウェアの影響を軽減することもできます。
- Microsoft Defender ウイルス対策を有効にします。 Microsoft Defender ウイルス対策またはウイルス対策製品の同等の製品でクラウド配信の保護を有効にして、急速に進化する攻撃者のツールと手法に対応します。クラウドベースの機械学習保護により、大量の新しい未知の亜種がブロックされます。
- ランダム化された強力なローカル管理者パスワードを適用します。 Local Administrator Password Solution (LAPS) などのツールを使用します。
- ローカル デバイス アクセス、RDP アクセス、および仮想プライベート ネットワーク (VPN) と Outlook Web Access を介したリモート接続には、多要素認証(MFA) が必要です。 Windows HelloやFast ID Online (FIDO) v2.0 セキュリティ キーなどのソリューションにより、ユーザーは生体認証や物理キーまたはデバイスを使用してサインインできます。
- Microsoft Defender ファイアウォールを有効にします。
- 制御されたフォルダー アクセスを実装して、ファイルがランサムウェアによって変更または暗号化されるのを防ぎます。制御されたフォルダー アクセスを [ 有効] または [監査モード] に設定します。
- Exchange サーバーの脆弱性を調査して修正します。また、 Exchange Emergency Mitigation サービスの実装が環境に適しているかどうかを判断します。このサービスは、緩和策を適用してサーバーに対する潜在的な脅威に対処することで、Exchange サーバーを安全に保つのに役立ちます。
Microsoft 365 Defender のお客様は、以下の追加の軽減策を適用することもできます。
- ランサムウェアに対する高度な保護を使用します。
- Microsoft Defender for Endpoint で改ざん防止を有効にして、セキュリティ設定に対する悪意のある変更を防ぎます。 Microsoft Defender for Endpoint および Microsoft 365 Defender でネットワーク保護を有効にして、アプリケーションまたはユーザーがインターネット上の悪意のあるドメインやその他の悪意のあるコンテンツにアクセスするのを防ぎます。
- 関連するThreat Analytics レポートで参照されている軽減策が Exchange サーバーに適用されていることを確認します。
- この脅威に関連するアクティビティをブロックまたは監査するには、次の攻撃面削減ルールを有効にします。
- Windows ローカル セキュリティ機関サブシステム ( lsass.exe ) からの資格情報の盗用をブロックします。
- PSExec および WMI コマンドからのブロック プロセスの作成
- 普及率、年齢、または信頼できるリストの基準を満たさない限り、実行可能ファイルの実行をブロックします
脅威に関係なく、ランサムウェアの軽減策の完全なリストについては、この記事を参照してください:ランサムウェアと恐喝から迅速に保護する.
Microsoft Defender 365 を使用して、自動化されたクロスドメイン セキュリティと組み込みの AI によって攻撃を阻止する方法について説明します。
Microsoft 365 Defender 脅威インテリジェンス チーム
付録
Microsoft 365 Defender の検出
Microsoft Defender ウイルス対策
エンドポイント EDR の Microsoft Defender
セキュリティ センターの次のタイトルのアラートは、ネットワーク上の脅威の活動を示している可能性があります。
- アクティブな「BlackCat」ランサムウェアが検出されました
- 「BlackCat」ランサムウェアが検出されました
- BlackCat ランサムウェア
ハンティング クエリ
Microsoft 365 ディフェンダー
ランサムウェア アクティビティの可能性を特定するには、次のクエリを実行します。
PerfLogs パスでの疑わしいプロセスの実行
このクエリを使用して、ランサムウェア ペイロードを配置するために使用される一般的なパスである PerfLogs で実行されているプロセスを探します。
DeviceProcessEvents | | InitiatingProcessFolderPath には「PerfLogs」があります | |ここで、InitiatingProcessFileName は正規表現 "[az]{3}.exe" と一致します | |長さを拡張 = strlen(InitiatingProcessFileName) | |長さ == 7
MaxMpxCt パラメータの不審なレジストリ変更
このクエリを使用して、レジストリ設定を変更し、許可される未処理の要求の数を増やす疑わしい実行中のプロセスを探します (たとえば、PsExec 手法を介してランサムウェアを配布するときの SMB 要求)。
DeviceProcessEvents | |どこ ProcessCommandLine has_all("LanmanServer", "parameters", "MaxMpxCt", "65535")
BlackCat ランサム ペイロードの実行を示す不審なコマンド ライン
これらのクエリを使用して、「–access-token」を正常に暗号化するために必要なコマンド引数に基づいて実行されている BlackCat ペイロードのインスタンスを探します。
DeviceProcessEvents | |どこ ProcessCommandLine has_all("--access-token", "-v") | | extend CommandArguments = split(ProcessCommandLine, " ") | | mv-expand CommandArguments | |ここで、CommandArguments は正規表現 "^[A-Fa-f0-9]{64}$" に一致します
DeviceProcessEvents | | InitiatingProcessCommandLine には「--access-token」があります | | ProcessCommandLine には「get uuid」があります
疑わしいデータ流出
このクエリを使用して、データの流出を示すコマンド ラインと、攻撃者が二重恐喝を試みる可能性があることを示すコマンド ラインを探します。
デバイス ネットワーク イベント | | InitiatingProcessCommandLine has_all("copy", "--max-age", "--ignore-existing", "--multi-thread-streams", "--transfers") および InitiatingProcessCommandLine has_any("ftp", "ssh" "、"-q")
参照: https://www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/
Comments