サイバー攻撃速報:AWS S3におけるコードフィンガー型ランサムウェアの防御 > コードフィンガー型ランサムウェアの防御

サイバー攻撃速報: AWS S3におけるコードフィンガー型ランサムウェアの防御 > コードフィンガー型ランサムウェアの防御

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
ビデオ

Vectra AI脅威ブリーフィング:Salt Typhoon

Vectra AI脅威ブリーフィング:Salt Typhoon
Vectra AI脅威ブリーフィング:Salt Typhoon
ダウンロードする言語を選択
ダウンロード
アクセスレポート
ダウンロードありがとうございます
以下のリソース(無料)アクセスしてください。
ダウンロード
ダウンロード
フランス語版ダウンロード
ドイツ語版ダウンロード
スペイン語版ダウンロード
日本語版ダウンロード
イタリア語版ダウンロード

TL;DW:Salt Typhoon どのように機能するのか?

Salt Typhoon、検出を回避するためにWindowsに組み込まれたツールを使って、構造化された攻撃シーケンスに従います。その手口と使用するコマンドの内訳は以下の通りだ。

1.初期アクセス

Salt Typhoon 、主に既知の脆弱性を持つ公開サーバを悪用します。phishing頼るのではなく、N-dayやzero-day 悪用して リモートでコードを実行(RCE)することを好みます。

2.実行と持続性

いったんアクセスすると、悪意のあるペイロードを実行し、Windowsのツールを使って永続性を確保する。

PowerShellの実行:

彼らはPowerShellを使ってスクリプトを制限なく実行する:

powershell -ex bypass -c "<password>"
  • -EXバイパス:実行ポリシーを上書きしてスクリプトの実行を許可する。
  • <password>:通常暗号化されているスクリプトを復号化するためのキー。

レジストリの永続性:

ユーザーがログインするたびにmalware 実行されるように、レジストリ・キーを追加する:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "<malware_name>" /t REG_SZ /d "<malware_path>" /f
  • 「HKCUSoftware:自動起動プログラムのレジストリの場所。
  • REG_SZ:文字列値(malware パス)を指定します。
  • /f:確認なしで強制的に実行する。

3.偵察

Salt Typhoon 権限をエスカレートさせる前に、環境に関するインテリジェンスを収集する。

WMIC(Windows管理インストルメンテーション・コマンドライン)の使用

wmicプロセス名、プロセスID、コマンドラインを取得する。
  • 実行中のすべてのプロセスとコマンドライン引数を一覧表示する。

使用 ネットグループ ドメイン管理者を特定する

cmd /c "net group 'domain admins' /domain"
  • Active Directoryにドメイン管理者アカウントを問い合わせる。
  • /ドメイン:クエリがローカルマシンだけでなく、Active Directoryドメインにも適用されるようにする。

4.クレデンシャル盗難と特権のエスカレーション

偵察後、特権をエスカレートさせ、認証情報を盗む。

クレデンシャル盗難ツールの導入

彼らは次のようなツールをインストールする:

  • ミミカッツ(記憶からクレデンシャルを取り出す)。
  • キーロガー(キー入力を記録)。
  • クレデンシャル・ダンピング・ユーティリティ

Cobalt Strike特権のエスカレーション

配備 Cobalt Strike正規のレッド・チーミング・ツールであるCobalt Strikeを導入し、SYSTEM権限を獲得してネットワークに深く侵入する。

5.横方向の動き

Salt Typhoon 、さまざまなWindowsユーティリティを使ってネットワーク上に拡散する。

バッチファイルを別のマシンにコピーする

copy \\<target_ip>\C$\Windows\Temp\malware.bat
  • 用途 \\<target_ip> を使用して、別のマシン上の共有フォルダを指定します。
  • バッチスクリプト(.bat)をリモートで実行する。

コピーしたスクリプトをWMICで実行する

wmic /node:<target_ip> process call create "cmd /c C:\Windows\Temp\malware.bat"
  • /node:<target_ip>:を指定します。 ターゲットマシン.
  • プロセス・コール・クリエイト:リモートでプロセスを実行する。
  • cmd /c:コピーしたバッチファイルを実行します。

Windowsサービスを使ったバックドアの作成 (スクリプト作成)

sc \\<target_ip> create VGAuthtools binpath= "C:\Windows\System32\installutil.exe C:\Windows\Temp\malware.exe" start= auto type= own
  • sc:Windowsサービス制御ユーティリティ。
  • \\<target_ip>:サービスの作成 ほとんど を別のマシンにインストールする。
  • VGAuthtools:malware 正規のツールとして偽装する。
  • ビンパス:用途 installutil.exe (a Windows用正規ツール)を実行する。 悪意のあるペイロード.
  • 開始=自動: マシンが再起動するたびにマルウェアを再起動することで永続性を確保します。

6.Command & Control (C2) +データ流出

Salt Typhoon はC2サーバーとの 持続的な通信を確立する。

Cobalt Strike &Malware

  • 危険なマシンに信号を送る "ハートビート"。
  • 新しい指示や最新情報を受け取る。
  • 盗まれた認証情報や機密データを流出させる。

パブリッククラウドサービスを悪用した情報流出

Salt Typhoonは、盗んだデータをアップロードするために信頼できるプラットフォームを利用することで、検知を回避している。

  • AnonFiles
  • File.io
  • GitHub
  • Gmail

7.継続的なスパイ活動と影響

Salt Typhoonは、侵害されたネットワークを継続的に監視し、長期間にわたって機密データを盗み出す

    ----

    Vectra AIはどのようにこれらの攻撃を検知できるのか?

    Vectra AIのプラットフォームは、既知の脅威だけでなく、実際の攻撃行動に焦点を当てています。これにより、攻撃者がWindowsの内蔵ツールを使用している場合でも、Salt Typhoon活動を 検知することができます。

    • 異常なリモートアクセスと実行
    • 疑わしいKerberosの活動
    • 特権異常とSMBブルートフォース試行
    • 隠されたトンネルと不審なPowerShellアクティビティ

    AI主導の検知についての詳細、またはセルフガイドデモをお試しください。

    世界中の専門家や企業から信頼されています

    よくあるご質問(FAQ)