KNOTWEED のもつれを解く: ゼロデイ エクスプロイトを使用するヨーロッパの民間部門の攻撃者

news

Microsoft Threat Intelligence Center (MSTIC) と Microsoft Security Response Center (MSRC) は、最近パッチが適用されたCVE-2022-22047を含む複数の Windows および Adobe ゼロデイ エクスプロイトを使用する民間部門の攻撃者 (PSOA) を発見しました。ヨーロッパおよび中米の顧客に対する限定的かつ標的型の攻撃。 MSTIC が KNOTWEED として追跡している PSOA は、これらの攻撃で使用された Subzero と呼ばれるマルウェアを開発しました。

このブログでは、観測された KNOTWEED アクティビティと、お客様に対する標的型攻撃で使用された関連マルウェアに関する Microsoft の分析について詳しく説明します。この情報は、これらの攻撃の検出を改善するために、お客様および業界パートナーと共有されます。 CVE-2022-22047 を使用したエクスプロイトからシステムを保護するために、2022 年 7 月の Microsoft セキュリティ更新プログラムの展開を早めることをお勧めします。 Microsoft Defender ウイルス対策と Microsoft Defender for Endpoint は、KNOTWEED のマルウェアとツールに対する検出も実装しています。

マイクロソフトがサイバー傭兵とも呼ぶPSOA は、さまざまなビジネス モデルを通じてハッキング ツールやサービスを販売しています。このタイプのアクターの 2 つの一般的なモデルは、サービスとしてのアクセスとハック フォー ハイヤーです。 Access-as-a-Service では、攻撃者は購入者が操作で使用できる完全なエンド ツー エンドのハッキング ツールを販売します。PSOA は操作のターゲティングや実行には関与しません。ハック・フォー・ハイヤーでは、詳細な情報が購入者から攻撃者に提供され、攻撃者は対象の操作を実行します。 MSTIC は、観察された攻撃とニュース レポートに基づいて、KNOTWEED がこれらのモデルを混ぜ合わせている可能性があると考えています。彼らは Subzero マルウェアをサード パーティに販売していますが、一部の攻撃では KNOTWEED 関連のインフラストラクチャを使用していることが観察されており、より直接的な関与が示唆されています。

ノットウィードとは?

KNOTWEED は、DSIRF という名前のオーストリアを拠点とする PSOA です。のDSIRF ウェブサイト[ウェブ アーカイブ リンク] は、サービスを提供していると述べています「テクノロジー、小売、エネルギー、金融セクターの多国籍企業に」そして彼らが「情報の収集と分析における高度に洗練された一連の技術。「彼らは以下を含むいくつかのサービスを公に提供しています」個人と団体を深く理解することにより、デューデリジェンスとリスク分析プロセスを強化します。」「あなたの会社の最も重要な資産に挑戦する高度に洗練されたレッドチーム。」

でも、多数 ニュース レポートは、DSIRF を Subzero と呼ばれるマルウェア ツールセットの開発と販売の試みに関連付けました。 MSTIC は、Subzero マルウェアが 2021 年と 2022 年に、Windows と Adobe Reader のゼロデイ エクスプロイトを含むさまざまな方法で展開されていることを発見しました。レッドチームや侵入テストを委託しておらず、不正な悪意のある活動であることを確認しました。これまでに観測された被害者には、オーストリア、英国、パナマなどの国の法律事務所、銀行、戦略コンサルタントが含まれます。国際的なターゲティングは一般的であるため、特定の国でのターゲットの特定は、必ずしも DSIRF 顧客が同じ国に居住していることを意味しないことに注意することが重要です。

MSTIC は、DSIRF と、これらの攻撃で使用されたエクスプロイトおよびマルウェアとの間に複数のリンクを発見しました。これらには、DSIRF に直接リンクするマルウェアによって使用されるコマンド アンド コントロール インフラストラクチャ、1 つの攻撃で使用される DSIRF 関連の GitHub アカウント、エクスプロイトの署名に使用される DSIRF に発行されたコード署名証明書、およびその他のオープンソースのニュース レポートが含まれます。 Subzero は DSIRF によるものです。

観測されたアクターの活動

KNOTWEED 初期アクセス

MSTIC は、KNOTWEED の Subzero マルウェアがさまざまな方法で展開されていることを発見しました。以降のセクションでは、Subzero のさまざまな段階を Microsoft Defender の検出名で示します。永続的なローダーの場合はJumplump 、メインのマルウェアの場合はCorelumpです。

2022 年の KNOTWEED エクスプロイト

2022 年 5 月、MSTIC は、Adobe Reader のリモート コード実行 (RCE) と、Subzero の展開につながった攻撃で使用されている 0 日間の Windows 権限昇格エクスプロイト チェーンを発見しました。エクスプロイトは PDF ドキュメントにパッケージ化され、メールで被害者に送信されました。 Microsoft はエクスプロイト チェーンの PDF または Adobe Reader RCE 部分を取得できませんでしたが、被害者の Adobe Reader バージョンは 2022 年 1 月にリリースされました。ゼロデイ エクスプロイト。 KNOTWEED による他のゼロデイの広範な使用に基づいて、Adobe Reader RCE がゼロデイ エクスプロイトであると中程度の信頼度で評価します。 Windows エクスプロイトは MSRC によって分析され、ゼロデイ エクスプロイトであることが判明し、2022 年 7 月に CVE-2022-22047 としてパッチが適用されました。興味深いことに、Windows のエクスプロイト コードには、Chromium ベースのブラウザーからも使用できるように設計されていることが示されていますが、ブラウザー ベースの攻撃の証拠は確認されていません。

CVE-2022-22047 の脆弱性は、Windows のクライアント サーバー ランタイム サブシステム (CSRSS) のアクティベーション コンテキストキャッシュの問題に関連しています。大まかに言えば、この脆弱性により、攻撃者は巧妙に細工されたアセンブリ マニフェストを提供できる可能性があります。これにより、任意のプロセスに対して、アクティベーション コンテキスト キャッシュに悪意のあるアクティベーション コンテキストが作成されます。このキャッシュされたコンテキストは、次にプロセスが生成されたときに使用されます。

CVE-2022-22047 は、権限昇格を目的とした KNOTWEED 関連の攻撃で使用されました。この脆弱性により、サンドボックスを回避し (以下で説明するように、いくつかの注意事項があります)、システム レベルのコード実行を実現することもできました。エクスプロイト チェーンは、サンドボックス化された Adobe Reader レンダラー プロセスから悪意のある DLL をディスクに書き込むことから始まります。次に、CVE-2022-22047 エクスプロイトを使用して、悪意のある DLL のパスを指定する文書化されていない属性をアプリケーション マニフェストに提供することで、システム プロセスを標的にしました。その後、システム プロセスが次に生成されたときに、悪意のあるアクティベーション コンテキストの属性が使用され、悪意のある DLL が特定のパスから読み込まれ、システム レベルのコードが実行されました。

CVE-2022-22047 を悪用するには、攻撃者が DLL をディスクに書き込める必要があることに注意してください。ただし、Adobe Reader や Chromium などのサンドボックスの脅威モデルでは、攻撃者がパスを制御できないファイルを書き出す機能は危険とは見なされません。したがって、これらのサンドボックスは CVE-2022-22047 の悪用に対する障壁にはなりません。

2021 年の KNOTWEED エクスプロイト

2021 年、MSRC は 2 つの Windows 権限昇格エクスプロイト ( CVE-2021-31199およびCVE-2021-31201 ) が Adobe Reader エクスプロイト ( CVE-2021-28550 ) と組み合わせて使用されているという報告を受けました。これらはすべて 6 月にパッチが適用されました。 2021. MSTIC は、Subzero の展開に使用されたエクスプロイト チェーンでこれらが使用されていることを確認できました。

その後、Subzero の展開を、Windows Update Medic Service の Windows 権限昇格の脆弱性 ( CVE-2021-36948 ) に関連する 4 番目のエクスプロイトに結び付けることができました。 DLL。攻撃に使用された悪意のある DLL は、「DSIRF GmbH」によって署名されていました。

ファイル プロパティ ページの [デジタル署名の詳細] タブのスクリーンショット。タブには、ファイルのデジタル署名が OK であることが示されます。署名者情報部分の下に示されている名前は DSIRF GmbH です。
図 1. Medic Service エクスプロイト DLL 上の DSIRF からの有効なデジタル署名

悪意のある Excel ドキュメント

エクスプロイト チェーンに加えて、Subzero の展開につながった別のアクセス方法は、不動産ドキュメントを装った Excel ファイルでした。このファイルには悪意のあるマクロが含まれており、カーマスートラからの無害なコメントの大部分、文字列の難読化、および Excel 4.0 マクロの使用によって難読化されていました。

マクロ コード スニペットの 2 つのスクリーンショット。検出を回避するためにマクロを難読化する方法のさまざまな例を示しています。最初のコード スニペットでは、マクロ コードの間にカーマ スートラのテキストが挿入されています。 2 番目のコード スニペットは、攻撃者が難読化のために Excel 4 マクロを使用する関数のコードを示しています。
図 2: KNOTWEED Excel マクロの難読化の 2 つの例

実行時に文字列の難読化を解除した後、VBA マクロはExecuteExcel4Macro関数を使用してネイティブの Win32 関数を呼び出し、 VirtualAllocを使用して割り当てられたメモリにシェルコードを読み込みます。 CreateThreadが呼び出されてシェルコードが実行される前に、 memsetを使用して、各オペコードが新しく割り当てられたバッファーに個別にコピーされます。

マルウェアがオペコードを新しく割り当てられたバッファにコピーするコード スニペットのスクリーンショット。
図 3: オペコードのコピー
マルウェアが CreateThread 関数を呼び出してシェルコードを実行するコード スニペットのスクリーンショット。
図 4: シェルコードで CreateThread を呼び出す

次のセクションでは、マクロによって実行されるシェルコードについて説明します。

KNOTWEED マルウェアと戦術、技術、手順 (TTP)

Corelump ダウンローダーおよびローダー シェルコード

ダウンローダ シェルコードは、エクスプロイト チェーンまたは悪意のある Excel ドキュメントから実行される最初のシェルコードです。シェルコードの目的は、攻撃者のコマンド アンド コントロール (C2) サーバーからCorelumpの第 2 段階のマルウェアを取得することです。ダウンローダー シェルコードは、ファイルの末尾 (JPEG ファイルの末尾を示す0xFF 0xD9マーカーの後ろ) に追加された追加の暗号化データを含む JPEG 画像をダウンロードします。 JPEG は、ユーザーの%TEMP%ディレクトリに書き込まれます。

図 5: ローダー シェルコードと Corelump が埋め込まれたイメージの 1 つ

ダウンローダーのシェルコードは、JPEG の末尾の直後にある 16 バイトのマーカーを検索します。マーカーを見つけた後、ダウンローダ シェルコード RC4 は、次の 16 バイトを RC4 キーとして使用して、ローダ シェルコードを復号化します。最後に、ローダー シェルコード RC4 は、2 つ目の RC4 キーを使用してCorelumpマルウェアを復号化し、手動でメモリにロードします。

Corelump マルウェア

Corelumpはメインのペイロードであり、検出を回避するためにメモリ内にのみ存在します。キーロギング、スクリーンショットのキャプチャ、ファイルの抽出、リモート シェルの実行、KNOTWEED の C2 サーバーからダウンロードした任意のプラグインの実行など、さまざまな機能が含まれています。

インストールの一部として、 Corelumpは正当な Windows DLL のコピーを作成し、それらのセクションを悪意のあるコードで上書きします。このプロセスの一環として、 Corelumpは PE ヘッダーのフィールドも変更して、エクスポートされた新しい関数の追加、制御フロー ガードの無効化、 CheckSumMappedFile から計算された値によるイメージ ファイルのチェックサムの変更などの悪質な変更に対応します。これらのトロイの木馬化されたバイナリ ( Jumplump ) はC:WindowsSystem32spooldriverscolorのディスクに投下され、永続性のために COM レジストリ キーが変更されます (COM ハイジャックの詳細については、「動作」セクションを参照してください)。

ジャンプ ランプローダー

Jumplumpは、 Corelumpを %TEMP% ディレクトリの JPEG ファイルからメモリにロードする役割を果たします。 Corelumpが存在しない場合、 Jumplumpは C2 サーバーから再度ダウンロードを試みます。 Jumplumpとダウンローダのシェルコードはどちらも解析を困難にするために難読化されています。ほとんどの命令の後に別の命令と jmp の組み合わせへの jmp が続き、プログラム全体で複雑な制御フローが発生します。

Jumplump マルウェアで使用される jmp/命令の難読化を示すアセンブリ コードのスクリーンショット。
図 6: Jumplump で使用される jmp/命令の難読化を示す逆アセンブリ

Mex と PassLib

KNOTWEED は、特注のユーティリティ ツール Mex および PassLib を使用して観察されました。これらのツールは KNOTWEED によって開発され、公開されているソースから派生した機能を備えています。たとえば、Mex は、GitHub からコピーされたいくつかのレッド チームまたはセキュリティ プラグインを含むコマンドライン ツールです (以下にリストされています)。

ノミ ミミカツ SharpHound3
カール ピン城 SharpOxidResolver
ハタ2 ルベウス ファーププリンター
内部モノローグ SCシェル スプールサンプル
インベイグ シートベルト 代役を務める
ロックレス SharpExec

PassLib は、Web ブラウザー、電子メール クライアント、LSASS、LSA シークレット、Windows 資格情報マネージャーなど、さまざまなソースから資格情報をダンプできるカスタム パスワード スティーラー ツールです。

侵害後のアクション

KNOTWEED マルウェアが使用された被害者では、侵害後のさまざまなアクションが観察されました。

  • UseLogonCredentialを「1」に設定して、プレーンテキストの資格情報を有効にします。
    • reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
  • comsvcs.dll による資格情報のダンプ:
    • rundll32.exe C:WindowsSystem32comsvcs.dll, MiniDump
  • KNOTWEED IP アドレスからダンプされた資格情報を含む電子メールにアクセスしようとする
  • Curl を使用して、 vultrobjects[.]comなどの公開ファイル共有から KNOTWEED ツールをダウンロードする
  • DSIRF に関連付けられたアカウントによって作成された GitHub Gist から PowerShell スクリプトを直接実行する

DSIRFへのKNOTWEEDインフラストラクチャ接続

RiskIQ は、MSTIC であるacrobatrelay[.]comによって識別される既知のコマンド アンド コントロール ドメインから離れて、KNOTWEED の攻撃インフラストラクチャの視野を広げました。グループに固有でそのドメインに関連付けられた SSL 証明書やその他のネットワーク フィンガープリントの使用における固有のパターンを活用して、RiskIQ は KNOTWEED の制御下にある追加の IP アドレスのホストを特定しました。このインフラストラクチャは、主に Digital Ocean と Choopa によってホストされており、少なくとも 2020 年 2 月から積極的にマルウェアを配信しており、この記事の執筆時点でも継続しています。

次に、RiskIQ はパッシブ DNS データを利用して、それらの IP が悪意のある時点でどのドメインに解決されたかを特定しました。このプロセスにより、 demo3[.]dsirf[.]eu (同社自身の Web サイト) などの DSIRF への直接リンクを持ついくつかのドメインと、debugmex[.]dsirflabs[.] など、マルウェアの開発に使用されたと思われるいくつかのサブドメインが得られました。 eu (特注のユーティリティ ツール Mex を使用してマルウェアをデバッグするために使用される可能性が高いサーバー) およびszstaging[.]dsirflabs[.]eu (Subzero マルウェアをステージングするために使用される可能性が高いサーバー)。

検出と防止

マイクロソフトは引き続き KNOTWEED の活動を監視し、お客様のために保護を実装します。以下に詳述する現在の検出と IOC が実施されており、Microsoft のセキュリティ製品全体で Microsoft のお客様を保護しています。追加の高度なハンティング クエリも以下に提供されており、組織がこれらの攻撃に対する保護と調査を拡張するのに役立ちます。

行動

Corelumpは、 Jumplumpローダー DLL をC:WindowsSystem32spooldriverscolor にドロップします。これは、正規のプログラムだけでなく、マルウェアによっても使用される共通のディレクトリであるため、このフォルダへの PE ファイルの書き込みを監視する必要があります。

Jumplumpは永続化のために COM ハイジャックを使用し、COM レジストリ キーを変更してC:WindowsSystem32spooldriverscolorJumplump DLL を指すようにします。デフォルトのシステム CLSID 値の変更を監視して、この手法を検出する必要があります (例: HKLMSOFTWAREClassesCLSID{GUID}InProcServer32 デフォルト値)。 Jumplumpで使用される 5 つの CLSID は、Windows 11 での元のクリーンな値と共に以下にリストされています。

  • {ddc05a5a-351a-4e06-8eaf-54ec1bc2dcea} = “ %SystemRoot%System32ApplicationFrame.dll
  • {1f486a52-3cb1-48fd-8f50-b8dc300d9f9d} = “ %SystemRoot%system32propsys.dll
  • {4590f811-1d3a-11d0-891f-00aa004b2e24} = “ %SystemRoot%system32wbemwbemprox.dll
  • {4de225bf-cf59-4cfc-85f7-68b90f185355} = “ %SystemRoot%system32wbemwmiprvsd.dll
  • {F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} = “ %SystemRoot%System32Actioncenter.dll

侵害後のアクションの多くは、コマンド ラインに基づいて検出できます。お客様は、PowerShell がインターネット上の場所からスクリプトを実行する、 HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigestなどの一般的に悪用されるレジストリ キーを変更する、ミニダンプを介して LSASS 資格情報をダンプするなど、悪意のあるアクティビティの可能性を監視する必要があります。

お客様に推奨されるアクション

アクターが使用し、観察されたアクター アクティビティ セクションで説明されている手法は、以下に示すセキュリティ上の考慮事項を採用することで軽減できます。

  • すべてのお客様は、 CVE-2022-22047のパッチ適用を優先する必要があります。
  • 関連するインジケーターを検出するために、Microsoft Defender ウイルス対策がセキュリティ インテリジェンス更新プログラム1.371.503.0以降に更新されていることを確認します。
  • 含まれている侵害の兆候を使用して、それらが環境内に存在するかどうかを調査し、潜在的な侵入を評価します。
  • Excel マクロのセキュリティ設定を変更して、ブックを開いたときにどのマクロをどのような状況で実行するかを制御します。 Antimalware Scan Interface ( AMSI ) によるランタイム マクロ スキャンがオンになっていることを確認することで、悪意のある XLM または VBA マクロを停止することもできます。この機能はデフォルトで有効になっていますが、マクロ ランタイム スキャン スコープのグループ ポリシー設定が [すべてのファイルに対して有効にする] または [低信頼ファイルに対して有効にする] に設定されている場合はオンになっています。
  • 多要素認証 (MFA) を有効にして、資格情報が侵害される可能性を軽減し、すべてのリモート接続に MFA が適用されるようにします。注: Microsoft は、アカウントを保護するために、すべてのお客様にMicrosoft Authenticatorなどのパスワードなしのソリューションをダウンロードして使用することを強くお勧めします。
  • 信頼性を確認し、異常なアクティビティを調査するために、特に単一要素認証で構成されたアカウントに焦点を当てて、リモート アクセス インフラストラクチャのすべての認証アクティビティを確認します。

侵害の痕跡 (IOC)

次のリストは、調査中に確認された IOC を示しています。お客様には、環境内でこれらの指標を調査し、検出と保護を実装して過去の関連アクティビティを特定し、システムに対する将来の攻撃を防止することをお勧めします。すべてのサンプル ハッシュは VirusTotal で入手できます。

インジケータ タイプ 説明
78c255a98003a101fa5ba3f49c50c6922b52ede601edac5db036ab72efc57629 SHA-256 悪意のある Excel ドキュメントと VBA
0588f61dc7e4b24554cffe4ea56d043d8f6139d2569bc180d4a77cf75b68792f SHA-256 悪意のある Excel ドキュメントと VBA
441a3810b9e89bae12eea285a63f92e98181e9fb9efd6c57ef6d265435484964 SHA-256 Jumplump マルウェア
cbae79f66f724e0fe1705d6b5db3cc8a4e89f6bdf4c37004aa1d45eeab26e84b SHA-256 Jumplump マルウェア
fd6515a71530b8329e2c0104d0866c5c6f87546d4b44cc17bbb03e64663b11fc SHA-256 Jumplump マルウェア
5d169e083faa73f2920c8593fb95f599dad93d34a6aa2b0f794be978e44c8206 SHA-256 Jumplump マルウェア
7f29b69eb1af1cc6c1998bad980640bfe779525fd5bb775bc36a0ce3789a8bfc SHA-256 Jumplump マルウェア
02a59fe2c94151a08d75a692b550e66a8738eb47f0001234c600b562bf8c227d SHA-256 Jumplump マルウェア
7f84bf6a016ca15e654fb5ebc36fd7407cb32c69a0335a32bfc36cb91e36184d SHA-256 Jumplump マルウェア
afab2e77dc14831f1719e746042063a8ec107de0e9730249d5681d07f598e5ec SHA-256 Jumplump マルウェア
894138dfeee756e366c65a197b4dbef8816406bc32697fac6621601debe17d53 SHA-256 Jumplump マルウェア
4611340fdade4e36f074f75294194b64dcf2ec0db00f3d958956b4b0d6586431 SHA-256 Jumplump マルウェア
c96ae21b4cf2e28eec222cfe6ca903c4767a068630a73eca58424f9a975c6b7d SHA-256 Corelump マルウェア
fa30be45c5c5a8f679b42ae85410f6099f66fe2b38eb7aa460bcc022babb41ca SHA-256 Mex ツール
e64bea4032cf2694e85ede1745811e7585d3580821a00ae1b9123bb3d2d442d6 SHA-256 Passlib ツール
acrobatrelay[.]com ドメイン C2
フィンコンサルト[.]cc ドメイン C2
realmetaldns[.]com ドメイン C2

注:これらの指標は、この観察された活動を網羅しているとは見なされません。

検出

Microsoft Defender ウイルス対策

Microsoft Defender ウイルス対策は、署名ビルド1.371.503.0で始まる KNOTWEED によって使用されるマルウェア ツールとインプラントを次のファミリ名として検出します。

  • バックドア:O97M/ジャンプランプドロッパー
  • トロイの木馬:Win32/Jumplump
  • トロイの木馬:Win32/Corelump
  • ハックツール:Win32/Mexlib
  • トロイの木馬:Win32/Medcerc
  • 動作:Win32/SuspModuleLoad

エンドポイントの Microsoft Defender

Microsoft Defender for Endpoint のお客様には、攻撃の可能性を示す次のアラートが表示される場合があります。これらのアラートは、必ずしも KNOTWEED の侵害を示しているわけではありません。

  • COM ハイジャックJumpLumpマルウェアの永続化手法を含む複数の動作を検出します。
  • CTF モジュールを使用した権限昇格の可能性 – CVE-2022-2204 に関連する権限昇格の可能性を検出します。また、昇格したプロセスを起動し、信頼されていないモジュールをロードして悪意のあるアクティビティを実行することにより、ローカル権限昇格を実行しようとする試みも検出します
  • KNOTWEED アクターの活動が検出されました– KNOTWEED アクターの活動を検出します
  • WDigest 構成の変更UseLogonCredentialレジストリ キーへの変更によりクリア テキスト パスワードが取得される可能性を検出します
  • センシティブなクレデンシャル メモリの読み取り– ミニダンプを介して LSASS クレデンシャル ダンプを検出します
  • Curl の疑わしい動作– Curl を使用して公開ファイル共有から KNOTWEED ツールをダウンロードすることを検出します。
  • 疑わしいスクリーン キャプチャ アクティビティ– 侵害されたシステムのスクリーンショットをキャプチャするCorelumpの動作を検出します

ハンティング クエリ

マイクロソフト センチネル

Microsoft Sentinel のお客様は、ブログ投稿で概説されているアクティビティを特定するために、次のリソースを利用できます。

KNOTWEED に関連する Microsoft Defender ウイルス対策の検出

このクエリは、このブログ投稿に記載されている Microsoft Defender ウイルス対策検出の発生を識別します。

File not found · Azure/Azure-Sentinel
Cloud-native SIEM for intelligent security analytics for your entire enterprise. - File not found · Azure/Azure-Sentinel

KNOTWEED に関連するファイル ハッシュ IOC

このクエリは、一連の一般的な Microsoft Sentinel データ セット全体で KNOTWEED に関連するファイル ハッシュ IOC に基づいて一致を識別します。

File not found · Azure/Azure-Sentinel
Cloud-native SIEM for intelligent security analytics for your entire enterprise. - File not found · Azure/Azure-Sentinel

KNOTWEED に関連するドメイン IOC

このクエリは、一連の一般的な Microsoft Sentinel データ セット全体で KNOTWEED に関連するドメイン IOC に基づいて一致を識別します。

File not found · Azure/Azure-Sentinel
Cloud-native SIEM for intelligent security analytics for your entire enterprise. - File not found · Azure/Azure-Sentinel

カラー プロファイル フォルダを指すように変更された COM レジストリ キー

このクエリは、 C:WindowsSystem32spooldriverscolor内の実行可能ファイルを指すように COM レジストリ キーへの変更を識別します。

https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/COMRegistryKeyModifiedtoPointtoFileinColorDrivers.yaml

カラー プロファイル フォルダにドロップされた PE ファイル

このクエリは、 C:WindowsSystem32spooldriverscolorフォルダーに作成されている PE ファイルを検索します。

https://github.com/Azure/Azure-Sentinel/blob/master/Detections/DeviceFileEvents/PEfiledroppedinColorDriversFolder.yaml

新しいソースからダウンロードされた異常に大きな JPEG

このクエリは、一般的なソースからではなく、ファイル サイズが異常に大きいリモート ソースからの JPEG ファイルのダウンロードを検索します。

https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/CommonSecurityLog/AbnormallyLargeJPEGFiledDownloadedfromNewSource.yaml

Curl を使用して新しいファイルをダウンロードする

このクエリは、Curl を使用してダウンロードされる新しいファイルを探します。

https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/MultipleDataSources/DownloadofNewFileUsingCurl.yaml

資格情報のダンピングの疑い

このクエリは、comsvcs.dll を使用してメモリから資格情報をダンプする攻撃者を探します。

https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SecurityEvent/SuspectedLSASSDump.yaml

平文の認証情報にダウングレードする

このクエリは、有効なプレーン テキスト資格情報に設定されているレジストリ キーを検索します。

https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/WDigestDowngradeAttack.yaml

Microsoft 365 Defender の高度な検索

Microsoft 365 Defender のお客様は、次の高度な検索クエリを実行して、環境内の IOC および関連する悪意のあるアクティビティを見つけることができます。

KNOTWEED に関連する Microsoft Defender ウイルス対策の検出

このクエリは、Microsoft Defender ウイルス対策による関連するマルウェアとツールの検出を識別します。

https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/Microsoft%20365%20Defender/Campaigns/KNOTWEED/KNOTWEED-AVDetections.yaml

KNOTWEED に関連するファイル ハッシュ IOC

このクエリは、Microsoft Defender for Endpoint テーブル全体で KNOTWEED ファイル ハッシュ IOC を表示します。

https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/Microsoft%20365%20Defender/Campaigns/KNOTWEED/KNOTWEED-FileHashIOCsJuly2022.yaml

KNOTWEED に関連するドメイン IOC

このクエリは、エンドポイント デバイス ネットワーク接続の Microsoft Defender に対する KNOTWEED に関連するドメイン IOC に基づいて一致を識別します。

https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/Microsoft%20365%20Defender/Campaigns/KNOTWEED/KNOTWEED-DomainIOCsJuly2022.yaml

カラー プロファイル フォルダを指すように変更された COM レジストリ キー

このクエリは、 C:WindowsSystem32spooldriverscolor内の実行可能ファイルを指すように COM レジストリ キーへの変更を識別します。

https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/Microsoft%20365%20Defender/Campaigns/KNOTWEED/KNOTWEED-COMRegistryKeyModifiedtoPointtoColorProfileFolder.yaml

カラー プロファイル フォルダにドロップされた PE ファイル

このクエリは、 C:WindowsSystem32spooldriverscolor フォルダーに作成されている PE ファイルを検索します。

https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/Microsoft%20365%20Defender/Campaigns/KNOTWEED/KNOTWEED-PEFileDroppedinColorProfileFolder.yaml

Curl を使用して新しいファイルをダウンロードする

このクエリは、Curl を使用してダウンロードされる新しいファイルを探します。

https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/Microsoft%20365%20Defender/Campaigns/KNOTWEED/KNOTWEED-DownloadingnewfileusingCurl.yaml

参照: https://www.microsoft.com/en-us/security/blog/2022/07/27/untangling-knotweed-european-private-sector-offensive-actor-using-0-day-exploits/

Comments

タイトルとURLをコピーしました