AhnLab EDR を活用した Akira ランサムウェア攻撃の事例検知 Posted By ATCP , 2025년 02월 14일 Akira は比較的新しく登場したランサムウェア攻撃者であり、2023年3月から活動している。他のランサムウェア攻撃者と同じく組織に侵入したあとファイルを暗号化するだけでなく、機密情報を窃取して交渉に使用する。実際に以下のような2024年の統計でも、Akira ランサムウェアによる被害企業の数が上位を占めている。 攻撃者はランサムウェアを通じて組織のシステムを暗号化したあと、交渉のための Tor Web サイトを案内するが、要求事項が満たされない場合、攻撃の過程で窃取した機密情報を公開することもある。実際に攻撃者が運営する Tor Web サイトでも、被害企業が公開され続けている。 初期侵入方式としては、マルチファクター認証(MFA)が適用されていない VPN…
AhnLab EDR を活用した USB で伝播する韓国国内コインマイナー配布事例の検知 Posted By ATCP , 2025년 02월 12일 1. 概要 コインマイナーは、主に仮想通貨をマイニングするためにユーザーのコンピューターの CPU と GPU 資源を密かに使用し、これによってコンピューターの性能が低下する。コインマイナーは、主にフィッシングメール、不正な Web サイト、システムの脆弱性などを通じて配布され、このマルウェアに対する解析は ASEC Blog でも紹介したことが[1](韓国語にて提供)ある。今回の記事では、前の投稿で解析したコインマイナーの不正な振る舞いを、当社…
AhnLab EDR を活用した Play ランサムウェア攻撃の事例 Posted By ATCP , 2025년 01월 08일 Play ランサムウェアは、Balloonfly または PlayCrypt とも呼ばれ、2022年6月に初めて確認されて以来、現在までに世界中で300以上の組織を攻撃したとされている。ファイルを暗号化した後に「.PLAY」拡張子を追加するのが特徴であり、最近まで活発に活動している。他のランサムウェア攻撃者と同様に、システムを暗号化する前に情報を窃取して被害者を脅迫し、Web サイトで攻撃された企業のリストを公開している。 Palo Alto Networks 社の Unit42 のレポートによると、Play…
AhnLab EDR を活用した Proxy ツールの検知 Posted By ATCP , 2024년 11월 29일 攻撃者は、感染システムの操作権限を獲得したあとも、RDP を利用して遠隔地から画面操作を行うことがある。これは利便性のためでもあるが、持続性の維持が目的である場合もある。そのため、攻撃プロセスでは、RDP サービスが有効にされていない場合は RDP Wrapper をインストールすることもあり、既存のアカウントの資格情報を奪取する、または新たなバックドアアカウントを追加することもある。 しかし、感染システムがプライベートネットワーク、すなわち NAT 環境の内部に存在する場合は、IP およびアカウント情報を知っていたとしても外部からリモートデスクトップを利用した接続は不可能である。そのため、攻撃者はシステムを外部に公開させてくれる機能を担当する Proxy ツールを追加でインストールする場合もある。…
遠隔操作ツールを利用した感染システムの制御 – EDR 検知 (2) Posted By ATCP , 2024년 11월 25일 遠隔操作ツールは RAT(Remote Administration Tool)とも呼ばれ、遠隔地の端末を管理し、操作する機能を提供するソフトウェアである。最近、初期侵入プロセスやラテラルムーブメントのプロセスで攻撃対象のシステムを操作するため、バックドアマルウェアの代わりに遠隔操作ツールをインストールする事例が増加している。 これはファイアウォールや検知を回避するための意図的なもので、AntiVirus 製品では一般的なマルウェアとは異なり、これらのツールを単純に検知して遮断することに限界があるためである。そのため攻撃者はこれらの点を悪用しており、このような攻撃に備えるためには EDR を活用して、疑わしい振る舞いをモニタリングし、対応する必要がある。 AhnLab EDR(Endpoint…
AhnLab EDR を活用した BlueKeep による攻撃の検知 Posted By ATCP , 2024년 11월 15일 BlueKeep(CVE-2019-0708)は2019年5月に公開された脆弱性であり、クライアントとサーバー間の RDP(Remote Desktop Protocol)接続プロセスにおいて発生する。クライアントが特定のチャンネル(MS_T120)へ悪意を持ったパケットを送信すると、Use-After-Free 脆弱性が発生し、リモートコードの実行が可能になる。[1] この脆弱性は最近でも ASEC ブログで取り上げられており[2]、APT グループがこれを活用している。 ここでは、最近 AhnLab EDR(Endpoint Detection…
AhnLab EDR を活用した Linux 持続性維持手法の検知 (1) Posted By ATCP , 2024년 10월 11일 持続性維持の手法は、攻撃者がシステムに侵入したあと持続的な活動を維持するために使用する手法である。一度の侵害ではすべての目標を達成するのが困難な場合があるため、攻撃者はシステムに再度アクセスできる方法を確保しておくことがある。そのため、マルウェアがシステムの再起動後も動作できるよう、様々な方法によって設定を行う、またはバックドアアカウントをインストールするなどの方法を使用する。 一般的に Windows 環境では Run キーやスタートアッププログラム、タスクスケジューラ、サービスなどを利用する方法がよく使用される。もちろん、このほかにも DLL Side-Loading、Winlogon Helper DLL、ルートキットなどの様々な手法も活用されている。これは Linux…
SnakeKeylogger マルウェアの EDR 検知 Posted By ATCP , 2024년 08월 06일 1. 概要 SnakeKeylogger は、.NET 言語で製作された Infostealer タイプのマルウェアであり、電子メール、FTP、SMTP または Telegram などを利用したデータ流出方法が含まれることが特徴である。SnakeKeylogger は、過去からスパムメールでの拡散が続いており、このマルウェアに関する分析は ASEC…
