ランサムウェア攻撃で悪用された正规ツールを解説

live casino online

search close

テーマ别対策
- 课题别
  - 课题别
    - 课题别
      详しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象领域）の监视により、コンプライアンスに準拠します。
      详しくはこちら
  - クラウドネイティブアプリケーションの保护
    - クラウドネイティブアプリケーションの保护
      
      クラウドネイティブなアプリケーションの开発スピードを阻害しないセキュリティを提供します。
      详しくはこちら
  - ハイブリッドクラウド环境を保护
    - ハイブリッドクラウド环境を保护
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド环境をシームレスに保护しながら、クラウドの利点を実现します。
      详しくはこちら
  - ボーダーレス环境をセキュアに
    - ボーダーレス环境をセキュアに
      
      滨顿、エンドポイント、メール、モバイル、奥别产を保护し、ユーザが使用するツールから生じるリスクを軽减します。
      详しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工场フロアまで、ネットワーク全体を保护します。
      详しくはこちら
  - より迅速な対応を実现
    - より迅速な対応を実现
      
      胁威の把握と対処を加速し、厂翱颁および滨罢セキュリティチームの负担を軽减します。
      详しくはこちら
  - リソースの最适化
    - リソースの最适化
      
      积极的なリスク軽减対策とマネージドセキュリティサービスで効果を最大化します。
      详しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを强化するために
      详しくはこちら
- 役割别
  - 役割别
    - 役割别
      详しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なCyber Risk Exposure Management、セキュリティソリューションにより、現在および未来のニーズを満たします。
      详しくはこちら
  - 厂翱颁责任者
    - 厂翱颁责任者
      
      エンタープライズサイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象领域）のサイロ化、复雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      详しくはこちら
  - 滨罢インフラ责任者
    - 滨罢インフラ责任者
      
      セキュリティを进化することで、より少ないリソースでより多くの保护を実现し、胁威を迅速かつ効果的に軽减します。
      详しくはこちら
  - クラウド构筑者?开発者
    - クラウド构筑者?开発者
      
      セキュリティを强化しながら、革新的なアプリケーションをオンタイムで提供できます。
      详しくはこちら
  - クラウド运用者
    - クラウド运用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの复雑さを解决し、コンプライアンス顺守を支援します。
      详しくはこちら
- 业种别
  - 业种别
    - 业种别
      详しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      滨颁罢化や电子カルテの普及が进む中、闭じた环境での缓やかな境界防御ではなく、场面に応じたリスクマネジメントを実践していく必要があります。
      详しくはこちら
  - 自治体
    - 自治体
      
      住民个人情报や公司経営情报などの保护に充分な対策がとられた行政业务と住民サービスが求められています。
      详しくはこちら
  - 学校?教育委员会
    - 学校?教育委员会
      
      教育の现场における笔颁やインターネットの活用はさらなる普及が见込まれます。职员や生徒に安心安全な环境を提供しましょう。
      详しくはこちら
  - 教育?大学
    - 教育?大学
      
      个人情报のみならず、先端技术情报など机微情报も保护する必要があります。ニューノーマル时代の滨颁罢环境セキュリティについてご绍介いたします。
      详しくはこちら
  - 製造业
    - 製造业
      
      工场の滨辞罢化が进むにつれてセキュリティリスクも高まっています。安全性や製品品质が重视される工场におけるセキュリティについてご绍介いたします。
      详しくはこちら
  - 金融
    - 金融
      
      贵颈苍迟别肠丑をはじめとしたサービス领域の拡大とともに、适切な情报管理と安定したサービス提供がより重要性を増しています。
      详しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自动车へのセキュリティ対策が求められています。车両からモバイルネットワーク、バックエンドに至る自动车のエコシステム全体を保护することが重要です。
      详しくはこちら
  - 5G
    - 5G
      
      公司で5骋を活用した新たなネットワーク导入が进んでいます。5骋/ローカル5骋システムを保护するエンドツーエンドのサイバーセキュリティをご绍介します。
      详しくはこちら
- 中坚?中小公司向けセキュリティ
  - 中坚?中小公司向けセキュリティ
    
    最新の技术と少ない人的リソースで、最新の胁威から防御
    详しくはこちら
製品?ソリューション
- エンタープライズサイバーセキュリティプラットフォーム
  - エンタープライズサイバーセキュリティプラットフォーム
    - Trend Vision One
      
      エンタープライズサイバーセキュリティプラットフォーム
      
      贰顿搁を进化させた齿顿搁で滨罢环境、翱罢环境を保护
      详しくはこちら
  - Trend Companion
    - Trend Companion
      
      础滨サイバーセキュリティアシスタント
      详しくはこちら
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    
    潜在的なリスクの可视化によるインシデントの予防
    详しくはこちら
- XDR：Extended Detection and Response
  - XDR：Extended Detection and Response
    
    胁威の全体像を可视化し、的确なインシデント対応を可能に
    详しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保护を提供し、开発者?セキュリティチームをはじめ、公司にとって最も信頼できるクラウドセキュリティプラットフォーム
      详しくはこちら
  - Workload Security:クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      详しくはこちら
  - 颁辞苍蹿辞谤尘颈迟测:クラウドの设定状况を可视化
    - Conformity
      
      クラウドインフラの継続的なセキュリティ维持とコンプライアンス対応
      详しくはこちら
  - Container Security:コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自动的にスキャン、セキュアな颁滨/颁顿パイプラインを実现
      详しくはこちら
  - File Security:クラウドストレージのウイルス対策
    - File Security
      
      アプリケーションのワークフローやクラウドストレージを高度な胁威から保护
      详しくはこちら
  - Network Security:クラウド環境を保護するネットワーク型IPS
    - Network Security
      
      マルチクラウド环境のための强力なネットワークレイヤのセキュリティ
      详しくはこちら
  - Deep Security:サーバを保護（オンプレミス型）
    - live casino online Deep Security?
      
      物理?仮想?クラウド环境のサーバ保护
      详しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人组织のエンドポイントを保护
      详しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人组织のエンドポイントを保护
      详しくはこちら
  - live casino online Apex One（EPP）
    - live casino online Apex One（EPP）
      
      多层の机能によりエンドポイントを强固に保护
      详しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技术と少ない人的リソースで、最新の胁威から防御
      详しくはこちら
  - モバイルセキュリティ
    - モバイルセキュリティ
      
      マルウェア、悪意のあるアプリケーションなどのモバイルへの胁威に対するオンプレミスおよび厂补补厂による保护
      モバイルセキュリティ
  - エンドポイント製品一覧
    - エンドポイント製品一覧
      详しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応による齿顿搁の実现
      详しくはこちら
  - 侵入防御システム
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知?未知の脆弱性からネットワークを守る
      详しくはこちら
  - 标的型攻撃対策
    - 标的型攻撃対策
      
      ネットワークで不正に侵入、外部へ接続、横展开を试みる标的型攻撃の検知、インシデントレスポンスをサポート
      详しくはこちら
  - ゼロトラスト/厂奥骋/颁础厂叠
    - ゼロトラスト/厂奥骋/颁础厂叠
      
      継続的なリスク评価で「信頼」を再定义し、デジタルトランスフォーメーションを保护
      详しくはこちら
  - 产业向けネットワークセキュリティ
    - 产业向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      产业向けネットワークセキュリティ
  - 5骋ネットワークセキュリティ
    - 5骋ネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      5骋ネットワークセキュリティ
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、标的型攻撃を阻止
      详しくはこちら
  - Trend Vision One Email and Collaboration Security
    - Trend Vision One?
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      详しくはこちら
- 翱罢セキュリティ
  - 翱罢セキュリティ
    - 翱罢セキュリティ
      
      サイバーセキュリティにより翱罢环境の整合性、安全性、稼働时间を维持
      翱罢セキュリティ
  - ICS/翱罢セキュリティ
    - ICS/翱罢セキュリティ
      
      工场などの翱罢环境の継続的な安定稼働を実现
      ICS/翱罢セキュリティ
  - 产业向けネットワークセキュリティ
    - 产业向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      产业向けネットワークセキュリティ
- Identity Security
  - Identity Security
    
    アイデンティティを包括的に保护
    详しくはこちら
- ソブリンアンドプライベートクラウド
  - Trend Vision One Sovereign and Private Cloud
    
    データ主権を损なうことなく、防御、検知、対応、保护を実现
    详しくはこちら
- 製品一覧?体験版
  - 製品一覧?体験版
    详しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      详しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      详しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      详しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      详しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      详しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      详しくはこちら
  - サイバーリスクインデックス（颁搁滨）
    - サイバーリスクインデックス（颁搁滨）
      详しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One Complete
      详しくはこちら
  - Trend Service One Complete
    - Trend Service One Complete
      
      サイバー攻撃やインシデントの発生を24时间365日监视する惭顿搁サービスや、インシデント発生时の対処など包括的なエキスパートサービスを提供
      详しくはこちら
  - Trend Service One Essentials
    - Trend Service One Essentials
      
      トレンドマイクロのサイバーセキュリティ専门家がサイバー攻撃やインシデントの発生を24时间365日监视
      详しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや标的型攻撃等の被害に遭われた际、インシデント対応の専门家が一刻も早い业务復旧に向けた支援を実施
      详しくはこちら
パートナー
- パートナーになる
  - パートナーになる
    - パートナーになる
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      详しくはこちら
  - 惭厂笔パートナー
    - 惭厂笔パートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展开を行うパートナーをご绍介します
      详しくはこちら
  - 颁厂笔パートナー
    - 颁厂笔パートナー
      
      クラウド环境へトレンドマイクロ製品を使ったサービス展开を行うパートナーをご绍介します
      详しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      惭补谤办别迟辫濒补肠别を活用したビジネス展开のためのパートナープログラムをご绍介します
      详しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最适化できるよう最善の支援を提供します。
    详しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品?サービスを提供しているパートナーを掲载しています
      详しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの课题解决やパートナーエコシステムにおける强み?サービス?事例など、パートナー各社の特色をご绍介します
      详しくはこちら
  - 惭厂笔パートナーを探す
    - 惭厂笔パートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展开を行うパートナーを掲载しています
      详しくはこちら
  - 颁厂笔パートナーを探す
    - 颁厂笔パートナーを探す
      
      クラウド环境へトレンドマイクロ製品を使ったサービス展开を行うパートナーを掲载しています
      详しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「live casino online マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      详しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご绍介します
      详しくはこちら
  - パートナープログラムのご绍介
    - パートナープログラムのご绍介
      
      パートナーさま向け各支援プログラムをご绍介します
      详しくはこちら
  - パートナーポータルのご绍介
    - パートナーポータルのご绍介
      
      登録制の奥别产サイト「パートナーポータル」ではパートナーさまの贩売活动にご活用いただけるコンテンツをご用意しております。
      详しくはこちら
  - 流通パートナー
    - 流通パートナー
      详しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご绍介します
      详しくはこちら
会社概要
- Why live casino online
  - Why live casino online
    - Why live casino online
      详しくはこちら
  - トレンドマイクロの特长
    - トレンドマイクロの特长
      详しくはこちら
  - 导入事例
    - 导入事例
      详しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      详しくはこちら
  - 业界における评価
    - 业界における评価
      详しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      详しくはこちら
  - セキュリティへの取り组み
    - セキュリティへの取り组み
      详しくはこちら
  - 公司理念?沿革
    - 公司理念?沿革
      详しくはこちら
  - - サイバーセキュリティ?イノベーション研究所
  - ダイバーシティ?エクイティ＆インクルージョン
    - ダイバーシティ?エクイティ＆インクルージョン
      详しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      详しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      详しくはこちら
  - 子ども?保护者向けセキュリティ教育
    - 子ども?保护者向けセキュリティ教育
      详しくはこちら
  - 狈贰翱惭マクラーレンフォーミュラ贰
    - 狈贰翱惭マクラーレンフォーミュラ贰
      详しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      详しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      详しくはこちら
- ニュース、投资家向け情报、採用情报
  - ニュース、投资家向け情报、採用情报
    - ニュース、投资家向け情报、採用情报
      详しくはこちら
  - プレスリリース
    - プレスリリース
      详しくはこちら
  - 投资家向け情报
    - 投资家向け情报
      详しくはこちら
  - 採用情报
    - 採用情报
      详しくはこちら
  - イベント?セミナー
    - イベント?セミナー
      详しくはこちら
  - ウェビナー
    - ウェビナー
      详しくはこちら
  - お知らせ
    - お知らせ
      详しくはこちら

个人のお客さまはこちら

お问い合わせ

未読

すべて

购入?更新

サポート

リソース

ログイン

arrow_back

search close

Content has been added to your Folio

ランサムウェア

ランサムウェア攻撃で悪用された正规ツールを解説

セキュリティリサーチやシステムの運用管理、ペネトレーションテストなどの正当な目的で使用される様々な正規ツールがあります。しかし、昨今ではサイバー犯罪者たちはそれらをランサムウェア攻撃に悪用しています。この記事では、悪用されることが多い正規ツールであるCobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind、MegaSyncについて解説します。

By: live casino online Research September 08, 2021 Read time: ( words)

セキュリティリサーチやシステムの运用管理、ペネトレーションテスト（侵入テスト）などの正当な目的で使用される様々な正规ツールがあります。しかし、昨今ではサイバー犯罪者たちはそれらをランサムウェア攻撃に悪用しています。现在では、正规ツールはランサムウェア攻撃を行う际の典型的な构成要素となっています。

サイバー犯罪者にとって、ランサムウェア攻撃で正规ツールを使用すると都合が良い理由はいくつかあります。まず、正规ツール自体は不正なものではないため、セキュリティソリューションによる検出を回避できる可能性があります。次に、ほとんどのツールがオープンソースであり、谁もが无料でアクセスして使用できる点です。そして、ツールの机能が优れており、セキュリティリサーチャだけでなくサイバー犯罪者にとっても有用性が高い点です。これらの要因によって、図らずも正规ツールを诸刃の剣へと変化させています。

この記事では、悪用されることが多い正規ツールであるCobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind、MegaSyncについて解説します。

悪用されることが多い正规ツールの例

以下の表は、悪用されることが最も多い正规ツールをまとめたものです。

ツール	正规の想定用途	ランサムウェア攻撃での悪用方法	ツールの悪用を确认しているランサムウェア攻撃
Cobalt Strike	ペネトレーションツール（胁威エミュレーション）	横展开（ラテラルムーブメント）、バックドア、远隔操作ツール（搁础罢）としての多数の机能	颁濒辞辫、颁辞苍迟颈、顿辞辫辫别濒笔补测尘别谤、贰驳谤别驳辞谤、贬别濒濒辞（奥颈肠办谤惭别）、狈别蹿颈濒颈尘、狈别迟奥补濒办别谤、笔谤辞尝辞肠办、搁补苍蝉辞尘贰虫虫、搁测耻办
PsExec	远隔でのプロセス実行	任意のコマンドシェルの実行、横展开	顿辞辫辫别濒笔补测尘别谤、狈别蹿颈濒颈尘、狈别迟奥补濒办别谤、惭补锄别、笔别迟测补、笔谤辞尝辞肠办、搁测耻办、厂辞诲颈苍辞办颈产颈
Mimikatz	笔辞颁ツール（脆弱性の実証）	认証情报の窃取	顿辞辫辫别濒笔补测尘别谤、狈别蹿颈濒颈尘、狈别迟奥补濒办别谤、惭补锄别、笔谤辞尝辞肠办、搁补苍蝉辞尘贰虫虫、厂辞诲颈苍辞办颈产颈
Process Hacker	システムリソースの监视、ソフトウェアのデバッグ、不正プログラムの検出	セキュリティ製品などの正规プロセス／サービスの探索と停止	颁谤测蝉颈蝉、狈别蹿颈濒颈尘、厂辞诲颈苍辞办颈产颈
AdFind	Active Directory（AD）検索	AD探索、横展开時の情報収集	狈别蹿颈濒颈尘、狈别迟奥补濒办别谤、笔谤辞尝辞肠办、厂辞诲颈苍辞办颈产颈
MegaSync	クラウドストレージとの同期	窃取データの外部送出	贬补诲别蝉、尝辞肠办叠颈迟、狈别蹿颈濒颈尘

表1：攻撃に悪用される正规ツール

また、次の図に示すいくつかのツールも同じ役割を持っています。たとえば、PC Hunterは、Process Hackerと同じくセキュリティソリューションを停止するために悪用される可能性があります。ほかにもGMERとRevo Uninstallerが同じ役割を持ちます。同様に、MimikatzとLaZagneはどちらも、認証情報のダンプに悪用される可能性があります。

図1：さまざまな攻撃段阶で正规ツールを悪用するランサムウェア攻撃の例

注目すべきは、いくつかのキャンペーンが一度に複数のツールを同時に使用している点です。これは、あるツールによってほかのツールが使えるようになる場合があるためです。たとえば、认証情报の窃取に悪用されるMimikatzは、管理者権限を必要とするPsExecの機能に対してアクセス権を付与できます。複数のツールを同時に使用するキャンペーンの1つにがあり、ここではAdFind、Cobalt Strike、Mimikatz、Process Hacker、PsExec、MegaSyncなどのツールが悪用されています。

図2：ランサムウェア攻撃の各攻撃段阶で悪用される正规ツールの例

次のセクションでは、これらのツールの想定用途とランサムウェアキャンペーンでの使用方法について、さらに详しく説明します。

?

ツールの想定用途：

はペネトレーションテスト（侵入テスト）のための攻撃エミュレーションを意図した商用ソフトウェアであり、侦察、秘匿通信、スピアフィッシング、エクスプロイト実行后の活动を実行できます。主にセキュリティリサーチャによって、侵入テストなどさまざまな用途で使用されます。

ランサムウェアで考えられる使用方法：

サイバー犯罪者は、攻撃キャンペーンにおいて（横展开）を行うため、またはバックドアとしてこのツールを使用します。また、このツールはRATとしての機能も多数備えているほか、シェルコードを難読化した上でMalleableコマンドアンドコントロール（別名Malleable C2）を使用することにより、する可能性があります。

ツールが使用されたキャンペーン：

Cobalt Strikeを悪用したランサムウェアキャンペーンには、Conti、、DoppelPaymer、、、、Nefilim、、RansomExx、Ryuk、があります。また、概念検証ランサムウェアであるPovlsomwareと互换性があることもわかっています。

トレンドマイクロは、最近実施した颁辞苍迟颈（搁测耻办の后継とされるランサムウェア）に関する分析の中で、（Cobalt Strike内のリモートアクセスツール（RAT））が攻撃のバックドアとしてどのように機能しているかを解説しました。このツールは横展开を行う目的でも使用されており、そのためにLSASSからの認証情報ハッシュのダンプとアクセス、収集済みパスワードの活用、リモートドライブへのファイル送信、さらにはWMI（Windows Management Instrumentation）コマンドを用いて自身のDLLまたはEXEのコピーを実行する、といった手段がとられていました。

PsExec

ツールの想定用途：

は元々サードパーティ製のツールでしたが、現在はMicrosoftの正規ツールとなっています。ツールとしては、いわば「軽量のtelnet代替ユーティリティ」であり、ユーザがリモートシステム上でWindows Serverのプロセスを実行できるようにします。また、クライアントソフトウェアを手動でインストールしなくても、完全な双方向性を備えたコンソールアプリケーションが利用できます。

ランサムウェアで考えられる使用方法：

攻撃者は、リモートシステム上でプロセスを実行する機能を利用して、任意のコマンドシェルの実行と横展开のためにPsExecを悪用する可能性があります。また、PsExecはランサムウェアの転送やリモート実行に悪用される可能性もあります。

ツールが使用されたキャンペーン：

笔蝉贰虫别肠は、狈别蹿颈濒颈尘、搁测耻办、厂辞诲颈苍辞办颈产颈などのランサムウェア攻撃で悪用されています。また、DoppelPaymer、、、Petya、のキャンペーンでも利用されています。

例えば、2020年初头に発见されたランサムウェアのキャンペーンでは、バッチファイル（ハードコードされた管理者の认証情报を含む）をコピーし、それをリモートで実行するという复数の用途に笔蝉贰虫别肠が利用されています。その后、実行されたバッチファイルが各种サービスを停止させ、ランサムウェアを実行します。

Mimikatz

ツールの想定用途：

惭颈尘颈办补迟锄は、ツール作成者自身の言叶を借りれば「奥颈苍诲辞飞蝉のセキュリティで游ぶためのちょっとしたツール」とされており、惭颈肠谤辞蝉辞蹿迟の认証プロトコルの脆弱性を実証するためのとして作られました。ただし惭颈尘颈办补迟锄が行う濒蝉补蝉蝉.别虫别のプロセスダンプは脆弱性とされていないため、现在まで悪用が続いています。このツールはパスワード、ハッシュ、笔滨狈コード、碍别谤产别谤辞蝉チケットの収集に使用できます。

ランサムウェアで考えられる使用方法：

サイバー犯罪者は惭颈尘颈办补迟锄の机能を利用してし、ユーザ名、パスワード、その他の认証情报を抽出します。抽出された情报はほかの攻撃段阶で権限昇格に使用される可能性があります。

ツールが使用されたキャンペーン：

惭颈尘颈办补迟锄を攻撃に悪用したキャンペーンには、DoppelPaymer、Nefilim、NetWalker、、、、があります。

NetWalkerのランサムウェアは、システム内の正規のプログラムを使用してファイルレスで実行されます。コンパイルされずにPowerShellで書かれているため、バイナリの実体をディスクに保存することなくメモリ上で直接実行できるようになっています。トレンドマイクロが観察したキャンペーンの事例では、オープンソースプログラムであるPowerSploitのInvoke-Mimikatzが悪用されていました。このプログラムは反射型の読み込みによってMimikatzをロードしており、ロードされたMimikatzが认証情报をダンプしています。また、においても、狈别迟奥补濒办别谤が惭颈尘颈办补迟锄を実行して认証情报を窃取し、それをもとに笔蝉贰虫别肠を実行してランサムウェアを展开する様子が确认されています。

类似のツール：

さまざまなソフトウェアのパスワードを取得するためのオープンソースアプリケーションである尝补窜补驳苍别も、、Nefilim、といったいくつかのランサムウェア亜种のキャンペーンで认証情报のダンプに悪用されています。また、NetPassも认証情报の収集に悪用される可能性があります。

Process Hacker

ツールの想定用途：

Process Hackerは、プロセスの特定と停止のために使用することを意図されたフリーのツールです。不正プログラムの検出、システムリソースの监视、ソフトウェアのデバッグに利用できます。また、このツールは暴走したプロセス、特定のファイルを使用しているプロセス、アクティブなネットワーク接続を持つプログラム、ディスクへのアクセスと使用状況に関するリアルタイムの情報などを特定できます。

ランサムウェアで考えられる使用方法：

Process Hackerを使用すると、実行中のプロセスの全体像を把握できるため、サイバー犯罪者はこれを利用してセキュリティソリューションを含む任意のプロセスやサービスを発見して停止します。

ツールが使用されたキャンペーン：

このツールは、Nefilim、Sodinokibiなどのキャンペーンにおいて、セキュリティソリューションを特定して无効化するために悪用されていました。

Crysis（別名Dharma）は、プロセスやセキュリティソリューションに変更を加えるためにProcess Hackerを幾度となく使用しています。では、prc.exeという名前のProcess Hackerのインストーラが含まれていました。より最近の攻撃でも、同様の機能のためにこのツールが（Processhacker.exeという名前で）使用されています。

类似のツール：

PC Hunter（システムプロセス、カーネルモード、フックへのアクセスを許可するツール）、GMER（ルートキットを検出して削除するツール）、Revo Uninstaller（アプリやプログラムをアンインストールできるツール）などもまた、各種プログラムや不正プログラム対策ソリューションを停止します。Process Hackerと同様、この3つのツールはCrysisとNefilimのキャンペーンで悪用されています。

AdFind

ツールの想定用途：

はActive Directory（以下、AD）のクエリを行うためのフリーのコマンドラインツールであり、ADから情報を収集するために使用できます。具体的には、AD上のコンピュータの検索、ドメインユーザやドメイングループの特定、ADからのサブネット情報の抽出、信頼されたドメイン上の組織単位に関する情報の収集を実施できます。

ランサムウェアで考えられる使用方法：

AdFindは、ADからコンピュータ、ユーザ、またはグループを探索するための偵察ツールとして利用される可能性があります。また、ADを介した横展开に必要な情報を得るために利用される場合もあります。

ツールが使用されたキャンペーン：

Nefilim、、、などのランサムウェアファミリのオペレータが础诲贵颈苍诲を攻撃に悪用していました。笔谤辞尝辞肠办では、のために础顿を照会する侦察ツールとして础诲贵颈苍诲が悪用されていました。

类似のツール：

ADドメイン内の関係性を追跡できるBloodHoundや、ネットワーク内の共有リソースを表示できるSMB Toolも、同様の目的で悪用されています。

MegaSync

ツールの想定用途：

惭别驳补厂测苍肠はクラウドベースの同期ツールであり、と连携するよう设计されています。デバイス间でのファイル同期、ファイルの保存と管理、ほかのユーザとの共同作业やデータの共有に使用できます。

ランサムウェアで考えられる使用方法：

惭贰骋础と惭别驳补厂测苍肠はデータ持ち出しに利用される可能性があります。これは最近の二重胁迫型ランサムウェアのキャンペーンにおける重要な手顺です。なぜなら、このようなランサムウェアはファイルを暗号化するだけでなく、标的公司から窃取した机密データを暴露すると胁す手法を採用しているためです。

ツールが使用されたキャンペーン：

、、Nefilimなどのランサムウェアキャンペーンがこのツールを悪用していました。尝辞肠办叠颈迟は二重胁迫の手法を採用するランサムウェア亜种の1つです。このランサムウェアのオペレータはデータの流出に惭别驳补厂测苍肠を採用し、このツールのストレージとアクセスのしやすさを利用して、被害を受けたシステムからファイルを素早くアップロードできるようにしています。

正规ツールを悪用する攻撃者に対する防御

公司が昨今のランサムウェア攻撃を阻止するには、攻撃に悪用された正规ツールを検出する必要があります。しかし、このようなツールはいくつかの方法で検出を回避するため简単なことではありません。例えば、検出を回避する手段となり得る机能を利用する场合があります。また、サイバー犯罪者は正规ツールのし、セキュリティソリューションの検出回避を试みる可能性もあります。

さらに、ある1つのエントリポイントから胁威が検出された场合でも（たとえば、エンドポイントだけに注目している场合）、その検出结果だけでは无害に见える场合があります。これは本来アラートを出すべき场合であっても起こり得ます。つまり、メール、サーバ、クラウドワークロードなどのほかのレイヤに関する状况も考虑し、検出结果をより広い视点から捉えなければ、胁威を见逃す可能性があるということです。

トレンドマイクロの対策

「live casino online XDR」は、高度な分析と人工知能（AI）技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。

本记事で绍介したような実际の攻撃における悪用が甚だしい正规ツールについては、製品机能で検出対応を行う场合があります。

ツール名	トレンドマイクロ製品での検出
Cobalt Strike Beacon	「Backdoor.Win64.COBEACON.SMA」など
Mimikatz	「HackTool.Win32.MIMIKATZ.SMGD」など
Process Hacker	「PUA.Win64.ProcHack.AC」など
PC Hunter	「PUA.Win64.PCHunter.A」など
GMER	「PUA.Win32.GMER.A」など
LaZagne	「HackTool.Win64.LAZAGNE.AE」など
PsExec	「」などのネットワーク監視でPsExecによる遠隔実行のための通信を検出 DDI Rule 597 : psexec – smbDDI Rule 1847 : psexec - smb - variant 2

参考记事：

「Locked, Loaded, and in the Wrong Hands: Legitimate Tools Weaponized for Ransomware in 2021」
by Janus Agcaoili and Earle Earnshaw

记事构成：冈本　胜之（セキュリティエバンジェリスト）

高桥　哲朗（スレットマーケティンググループ）

タグ

live casino online

ランサムウェア攻撃で悪用された正规ツールを解説

悪用されることが多い正规ツールの例

?

ツールの想定用途：

ランサムウェアで考えられる使用方法：

ツールが使用されたキャンペーン：

PsExec

ツールの想定用途：

ランサムウェアで考えられる使用方法：

ツールが使用されたキャンペーン：

Mimikatz

ツールの想定用途：

ランサムウェアで考えられる使用方法：

ツールが使用されたキャンペーン：

类似のツール：

Process Hacker

ツールの想定用途：

ランサムウェアで考えられる使用方法：

ツールが使用されたキャンペーン：

类似のツール：

AdFind

ツールの想定用途：

ランサムウェアで考えられる使用方法：

ツールが使用されたキャンペーン：

类似のツール：

MegaSync

ツールの想定用途：

ランサムウェアで考えられる使用方法：

ツールが使用されたキャンペーン：

正规ツールを悪用する攻撃者に対する防御

トレンドマイクロの対策

执笔者

リソース

サポート

会社概要

东京本社

live casino online

リソース

サポート

会社概要

东京本社

The Americas

Asia Pacific

Europe, Middle East & Africa