Hunt.ioの研究者がTheGentlemanランサムウェアグループのIOCを確認していた際に、公開ディレクトリを発見した。
このサーバーには126ファイル(約140MB)が含まれ、ランサムウェア侵入の複数フェーズをカバーする構造化された攻撃ツールキットだった。
ネットワーク偵察
SoftPerfect Network Scanner(netscan.exe)
GUIのネットワークスキャナー
ランサムウェア攻撃者ご用達のサッカーボール
ツールキット内にライセンスファイル(netscan.lic)と119KBのカスタム設定ファイル(netscan.xml)が含まれており、正規ライセンスを取得した上でカスタム設定を使いこむぐらいには使い慣れている。
設定を使用しているのはあまり見たことが無いかもしれない。
権限昇格
PC Hunter
ルートキット検出用だが、攻撃者はカーネルレベルでのプロセス、ドライバー、レジストリフックの可視化に使用される。
アンチウイルス製品やセキュリティ製品が何をどのように監視しているのか、確認する用。
こういうことにばかり使用されるので、EDRとかは普通に実行検知する。
ただし、今回は4つの異なるビルドがあるということなのでシグネチャ回避や難読化バージョンが含まれている可能性あり。
PowerRun
TrustedInstaller権限でプロセスを実行する。
SYSTEM権限でさえ変更できないシステムファイルやサービスの操作が可能になる。
とは言われているものの、EDRのプロセスは止められないんじゃ?
VirusTotalでの検知は無いことが、公式ページでアピールされている。 https://www.virustotal.com/gui/file/b066ca2702853c2fcbf686897c18f6d315be7ae753007ac2c1d73c87b0a30de9/detection
PowerTool
PC Hunterに似たカーネルレベルのプロセス操作ツール。
保護されたプロセスの終了、ドライバーのアンロード、カーネルオブジェクトの操作といった追加機能を持つらしい。
防御回避
Defender Control v2.1
Windows Defenderを細かく制御するツール。
特定サービスやコマンド実行のスキャン設定無効化など、Windows Defenderを完全に止めずに制御していたらしい。
ConfigureDefender
もっと細かくWindows Defenderの制御ができるようだが、正直よく分からん。
WinDefGpo_Reg.ps1
AveYoのToggle Defenderをベースにしたスクリプト。
UACバイパスやWindows Defender妨害機能。
永続化とリモートアクセス?
Ngrok
グローバルIPが無くても外部からアクセスできるようするトンネリングサービス。
開発用のWebサーバ公開/共有用らしいが、ランサムウェア攻撃でしか普通に使用されているのを見たことがない。
RustDesk
RMMツール。
オープンソースで軽量で使いやすいというのが、何とも言えないヤバさ。
その他
レジストリベースのDefender破壊スクリプト、ランサムウェア実行前準備スクリプト、mimikatz、7zip、WDigest有効化、アンチフォレンジックスクリプトなど。
大きくカスタムせずにかき集めた正規ツールの使用で高度な攻撃が可能?
今回確認された攻撃ツールは、高度な脆弱性悪用ツールでもなく、ゼロデイ悪用ツールでもなく、新規のマルウェアということでもない。
大体は、どこかで公開された何かを便利にするために使用するようなツールの集まり。
Living Off the Landや正規ツールの悪用とはよく聞くけども、正規ツール?っていうのは本当に色々世の中にあって要は使いようなんだなっていうのを改めて実感。
そこも紳士的にジェントルマンにってこと?
