Windowsログをつかってランサム を検知する方法をいろいろ調べています。
1.file_event_win_susp_desktop_txt
file_event_win_susp_desktop_txt.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/windows/file/file_event/file_event_win_susp_desktop_txt.yml
これをChatGPTに解説してもらいました。
このSigmaルールは、ユーザーのデスクトップに「.txt」ファイルが作成された際に、そのイベントを検出するためのものです。特に、ランサムウェアによる「身代金要求メモ」がテキストファイルとしてユーザーのデスクトップに作成されることを想定しています。このルールの各部分を以下に説明します。
1. Title(タイトル)
Suspicious Creation TXT File in User Desktop
「ユーザーのデスクトップに作成された疑わしいTXTファイル」というタイトルです。このルールは、デスクトップ上にTXTファイルが生成されることに焦点を当てています。
2. ID
caf02a0a-1e1c-4552-9b48-5e070bd88d11
ルールの一意の識別子です。
3. Status(ステータス)
test
このルールはまだテスト段階であることを示しています。
4. Description(説明)
Ransomware create txt file in the user Desktop
ランサムウェアがユーザーのデスクトップに「.txt」ファイルを作成する動作を検出することを目的としています。
5. References(参考資料)
https://github.com/redcanaryco/atomic-red-team/blob/f339e7da7d05f6057fdfcdd3742bfcf365fee2a9/atomics/T1486/T1486.md#atomic-test-5---purelocker-ransom-note
参照として、Atomic Red TeamによるT1486のテストケースのリンクが示されています。これは、ランサムウェアによる身代金要求メモの例を提供しています。
6. Author(作成者)
frack113
ルールを作成した人物です。
7. Date(作成日)
2021-12-26
ルールが作成された日付です。
8. Tags(タグ)
attack.impact
attack.t1486
MITRE ATT&CKのタクティクスやテクニックに関連するタグです。ここでは、T1486: Data Encrypted for Impact(データを影響を与えるために暗号化する)というランサムウェアの技術に関連しています。
9. Logsource(ログソース)
product: windows
category: file_event
ルールが適用されるログのソースです。Windowsオペレーティングシステムにおけるファイル操作イベントが対象となります。
10. Detection(検出部分)
Selection(選択条件):
Image|endswith: '\cmd.exe'
実行されたプログラムのパスが「cmd.exe」で終わることを条件にしています。cmd.exeはWindowsのコマンドプロンプトで、攻撃者がこれを使ってファイルを操作する可能性があります。
TargetFilename|contains|all: '\Users\', '\Desktop\'
ファイルパスに「\Users\」および「\Desktop\」が含まれていること。つまり、ユーザーのデスクトップに関連するファイルです。
TargetFilename|endswith: '.txt'
ファイル名が「.txt」で終わること、つまりTXTファイルであることを意味しています。
Condition(条件):
selection
上記の条件がすべて一致した場合に検出が発生します。
11. False Positives(誤検知)
Unknown
現時点で誤検知の可能性は不明です。
12. Level(重要度)
high
このルールがトリガーされた場合、重要度は「高」とされています。ランサムウェアによるテキストファイルの作成は重大な脅威となり得るためです。
全体のまとめ:
このルールは、ユーザーのデスクトップにTXTファイルが作成される動作をモニタリングし、特にランサムウェアが身代金要求メモとしてテキストファイルを残すケースを検出します。
参考になりそうな資料を掲載しておきます。
インシデント調査のための攻撃ツール等の実行痕跡調査に関する
報告書
https://www.jpcert.or.jp/research/20160628ac-ir_research.pdf
2.proc_creation_win_gpg4win_portable_execution
proc_creation_win_gpg4win_portable_execution.yml
https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_gpg4win_portable_execution.yml
これをChatGPTに解説してもらいました。
このSigmaルールは、T1486: Data Encrypted for Impact に関連するGnuPG(GNU Privacy Guard)のプロセス作成イベントを検出するものです。ランサムウェアなどの攻撃者が、ファイルを暗号化するためにGnuPGを使用するケースを監視していますが、正規のインストールパスにある場合は除外するフィルタを適用しています。以下に各部分を解説します。
1. Tags(タグ)
attack.impact
攻撃のインパクト(影響)に関連するタクティクスを示しています。
attack.t1486
MITRE ATT&CKのテクニック「T1486: Data Encrypted for Impact」(影響を与えるためのデータ暗号化)に関連しています。これはランサムウェアなどがデータを暗号化して影響を与える攻撃手法です。
2. Logsource(ログソース)
category: process_creation
このルールは、Windowsの「プロセス作成イベント」を対象としています。新しいプロセスが作成されると、その情報がログに記録されます。
product: windows
対象のオペレーティングシステムはWindowsです。
3. Detection(検出部分)
Selection(選択条件):
Image|endswith: '\gpg.exe'および \gpg2.exe
実行されたプログラムのパスが「gpg.exe」または「gpg2.exe」で終わるプロセスを検出します。gpgはGnuPGの実行ファイルで、ファイルの暗号化に使用されます。
OriginalFileName: 'gpg.exe'
元々のファイル名が「gpg.exe」であるプロセスを対象としています。
Description: 'GnuPG’s OpenPGP tool'
プロセスの説明が「GnuPG’s OpenPGP tool」であることを条件としています。GnuPGの正当なツールであることを確認しています。
Filter_main_legit_location(正規インストール場所のフィルタ):
Image|contains
以下のディレクトリにGnuPGがインストールされている場合は正規のインストールと見なして除外します。
正規インストールパスの例として次のものが挙げられています:
:\Program Files (x86)\GNU\GnuPG\bin\
:\Program Files (x86)\GnuPG VS-Desktop\
:\Program Files (x86)\GnuPG\bin\
:\Program Files (x86)\Gpg4win\bin\
これらのディレクトリに存在する場合は、通常の使用と見なしてアラートから除外されます。
Condition(条件):
selection and not 1 of filter_main_*
selection(選択条件)が一致し、かつfilter_main_*(正規インストールパスのフィルタ)に一致しない場合に検出が発生します。つまり、GnuPGが正規の場所にない場合のみ警告を発します。
4. Level(重要度)
medium
このルールの検出が中程度のリスクを示すことを意味しています。正規のGnuPGのインストールがある場合は問題ないものの、ランサムウェアなどが悪意を持ってGnuPGを使う可能性があるため、注意が必要です。
全体のまとめ:
このルールは、GnuPG(gpg.exeまたはgpg2.exe)を使用してファイルを暗号化するプロセスを監視します。特にランサムウェアがデータ暗号化のためにGnuPGを悪用する可能性を考慮していますが、正規のインストールパスにある場合は除外されます。
暗号化にGnuPGを使うランサム 情報
ファイル暗号化で「脅迫」するランサムウェア、複数の新種を確認
https://blog.trendmicro.co.jp/archives/9535
3.file_rename_win_ransomware
https://github.com/SigmaHQ/sigma/blob/master/rules/windows/file/file_rename/file_rename_win_ransomware.yml
これをChatGPTに解説してもらいました。
このSigmaルールは、特定のファイル形式がランサムウェアなどによって**改名(リネーム)**される際のイベントを検出することを目的としています。特に、ランサムウェアによるデータの暗号化や名前の変更の動作をキャッチするために設計されています。このルールは、Windowsの特定のログを活用しており、そのログソースについても解説します。
1. Tags(タグ)
attack.impact
攻撃の影響に関連するものです。
attack.t1486
MITRE ATT&CKのテクニック「T1486: Data Encrypted for Impact」(影響を与えるためのデータ暗号化)に関連しています。ランサムウェアによるファイル暗号化が考えられます。
2. Logsource(ログソース)
product: windows
このルールはWindowsオペレーティングシステム上で使用されます。
category: file_rename
ログソースは「ファイルのリネームイベント」に関連しています。このルールは、ファイルの名前が変更された際に生成されるログに基づいています。
definition: 'Requirements: Microsoft-Windows-Kernel-File Provider with at least the KERNEL_FILE_KEYWORD_RENAME_SETLINK_PATH keyword'
このルールには、Microsoft-Windows-Kernel-File プロバイダーによるログが必要です。特に、KERNEL_FILE_KEYWORD_RENAME_SETLINK_PATH キーワードが含まれるイベントに基づいています。これは、カーネルレベルでのファイルリネーム操作をキャッチするためのもので、詳細なファイル操作を監視します。
3. Detection(検出部分)
Selection(選択条件):
SourceFilename|endswith:
元のファイル名が次の拡張子で終わるものを対象にしています:
.doc, .docx, .jpeg, .jpg, .lnk, .pdf, .png, .pst, .rtf, .xls, .xlsx
これらは、一般的な文書、画像、メール、スプレッドシートなどのファイル拡張子で、ランサムウェアによる攻撃対象になりやすいファイル形式です。
TargetFilename|contains:
名前が変更されたファイル(ターゲットファイル)の名前が、元の拡張子と一緒に異なる拡張子が追加されているかどうかをチェックします。たとえば、document.docxがdocument.docx.encryptedなどに変更されたケースを検出します。
Filter_main_generic(一般的なフィルタ):
TargetFilename|endswith:
以下の拡張子で終わるファイルリネームイベントは除外します。これらは一般的にバックアップや一時ファイルに関連するためです:
.backup, .bak, .old, .orig, .temp, .tmp
Filter_optional_anaconda(オプションのフィルタ):
TargetFilename|contains:
ファイル名に:\ProgramData\Anaconda3\が含まれている場合、または拡張子が.c~で終わる場合は、Anacondaなどの正当なプロセスによるファイル操作として除外します。Anacondaはデータサイエンス用のソフトウェアパッケージです。
Condition(条件):
selection and not 1 of filter_main_* and not 1 of filter_optional_*
上記の選択条件に一致し、かつフィルタに引っかからない場合に検出を発生させます。つまり、バックアップや正規のソフトウェア(Anacondaなど)による操作ではないファイルリネームを検出します。
4. False Positives(誤検知)
Backup software
バックアップソフトウェアがファイルの名前を変更することがあり、これが誤検知の可能性として挙げられています。
5. Level(重要度)
medium
このルールの検出が中程度のリスクを示すことを意味します。ランサムウェアによる影響を考慮しての重要度設定ですが、バックアップや正規のプロセスも存在するため、注意深く判断する必要があります。
4.image_load_dll_rstrtmgr_suspicious_load
Detects the load of RstrtMgr DLL (Restart Manager) by a suspicious process.
This library has been used during ransomware campaigns to kill processes that would prevent file encryption by locking them (e.g. Conti ransomware, Cactus ransomware). It has also recently been seen used by the BiBi wiper for Windows.
It could also be used for anti-analysis purposes by shut downing specific processes.
5.image_load_dll_rstrtmgr_uncommon_load
Detects the load of RstrtMgr DLL (Restart Manager) by an uncommon process.
This library has been used during ransomware campaigns to kill processes that would prevent file encryption by locking them (e.g. Conti ransomware, Cactus ransomware). It has also recently been seen used by the BiBi wiper for Windows.
It could also be used for anti-analysis purposes by shut downing specific processes.
6.proc_creation_win_reg_bitlocker
これをChatGPTに解説してもらいました。
このSigmaルールは、WindowsシステムでBitLocker関連のレジストリ設定が不正に変更される可能性を検出することを目的としています。BitLockerはWindowsで提供されるディスク暗号化機能で、攻撃者がこれに関連する設定を操作することでセキュリティ対策を無効化する試みをする可能性があります。このルールは、BitLockerに関連するレジストリキーへの不正アクセスや変更を検出します。
1. Logsource(ログソース)
category: process_creation
このルールは「プロセス作成イベント」に基づいています。つまり、新しいプロセスが実行され、そのプロセスがコマンドラインを介してレジストリを変更しようとした場合のイベントを監視しています。
product: windows
このルールはWindowsオペレーティングシステムに適用されます。
2. Detection(検出部分)
Selection(選択条件):
CommandLine|contains|all:
コマンドラインに「REG」と「ADD」が含まれているプロセスを対象にしています。
REG ADDは、Windowsでレジストリに新しいキーや値を追加するためのコマンドです。
特に次のパスにあるレジストリキーが操作される場合を監視しています:
\SOFTWARE\Policies\Microsoft\FVE
これは、BitLocker(FVE: Full Volume Encryption)に関連するレジストリパスです。攻撃者がこれらの設定を変更することで、BitLockerの動作やセキュリティ設定を操作する可能性があります。
さらに、コマンドに「/v」(値の名前を指定)と「/f」(強制的に変更)オプションが含まれている場合を検出します。これにより、強制的に設定を上書きするコマンドをキャッチします。
CommandLine|contains:
次の特定の値がコマンドラインに含まれている場合に絞り込みます。これらの値は、BitLockerの設定に関連しています:
EnableBDEWithNoTPM: TPM(Trusted Platform Module)がなくてもBitLockerを有効にする設定。
UseAdvancedStartup: 高度なスタートアップオプションを使用する設定。
UseTPM: TPMを使用する設定。
UseTPMKey: TPMキーを使用する設定。
UseTPMKeyPIN: TPMキーとPINを併用する設定。
RecoveryKeyMessageSource: リカバリーキーのメッセージソースに関する設定。
UseTPMPIN: TPMとPINを併用する設定。
RecoveryKeyMessage: リカバリーキーのメッセージに関する設定。
これらのコマンドは、BitLockerのセキュリティに関わる重要な設定を変更するものです。攻撃者がこれらの設定を操作することで、BitLockerによるディスク暗号化を無効化したり、回避する可能性があります。
Condition(条件):
selection
選択条件に一致した場合に、検出を発生させます。つまり、上記のBitLocker設定を変更するコマンドが実行されるとアラートが発生します。
3. 全体の解説
このルールは、Windowsのプロセス作成ログに基づいて、BitLockerのセキュリティ設定を変更する試みを監視します。攻撃者が「REG ADD」コマンドを使用して、BitLockerのTPMやリカバリーキーなどの重要な設定を操作することで、ディスク暗号化の機能を回避しようとする行為を検出することが目的です。
BitLockerはシステムのディスクを暗号化することでデータ保護を行う重要な機能ですが、攻撃者がこれに関連する設定を改ざんすることで、データの暗号化を回避しようとするケースがあります。このルールにより、BitLockerのセキュリティ設定の改ざんを早期に発見し、対応することが可能になります。
関連情報
Windowsの「BitLocker」を悪用して勝手に暗号化するランサムウェア出現 回復オプションも削除 カスペルスキー報告
https://www.itmedia.co.jp/news/articles/2405/28/news172.html
Azure Virtual Desktop のセキュリティに関する推奨事項
https://learn.microsoft.com/ja-jp/azure/virtual-desktop/security-recommendations
Windows Modify Registry Configure BitLocker
https://research.splunk.com/endpoint/bd1c770f-1b55-411e-b49e-20d07bcac5f8/
⭐️いろんな検知ルールが後半に書かれています⭐️
ShrinkLocker Malware: Abusing BitLocker to Lock Your Data
https://www.splunk.com/en_us/blog/security/shrinklocker-malware-abusing-bitlocker-to-lock-your-data.html
7.proc_creation_win_renamed_gpg4win
https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_renamed_gpg4win.yml
ChatGPTに解説してもらいました。
このSigmaルールは、GPG(GNU Privacy Guard)という暗号化ツールのプロセスが実行される際に、それが不正な場所で起動されていないかを検出することを目的としています。GPGはデータの暗号化や署名に広く使用されるツールですが、攻撃者がこのツールを悪用してファイルを暗号化し、データを人質に取る(ランサムウェア攻撃)ケースがあります。このルールは、特定の場所以外でGPGが実行された場合にアラートを発生させます。
1. Tags(タグ)
attack.impact
攻撃の影響に関連するアクションを示します。
attack.t1486
MITRE ATT&CKのテクニック「T1486: Data Encrypted for Impact」(影響を与えるためのデータ暗号化)に関連しています。これは、ランサムウェアなどによるデータ暗号化の動作に対応しています。
2. Logsource(ログソース)
category: process_creation
ログソースは「プロセス作成イベント」に基づいています。つまり、新しいプロセスが作成された際の情報をログとして取得します。
product: windows
このルールは、Windowsオペレーティングシステムに適用されます。
3. Detection(検出部分)
Selection(選択条件):
OriginalFileName: 'gpg.exe'
gpg.exeというファイル名を持つプロセスが実行された場合を検出対象としています。GPG(GNU Privacy Guard)は、データの暗号化と復号化に使われるツールです。
Filter_main_img(主なフィルタ):
Image|endswith:
実行ファイル(Image)のパスが次のもので終わる場合を除外します:
\gpg.exe
\gpg2.exe
これにより、システム上で正規のパスから実行されたGPGプロセス(例えば、公式のインストール場所から起動されたもの)を除外します。攻撃者がGPGを別の場所に置いて不正に使用しようとする場合には検出されます。
Condition(条件):
selection and not 1 of filter_main_*
上記の選択条件に一致し、かつフィルタに引っかからない場合に検出が発生します。つまり、GPGが正規の場所(フィルタされたパス)から起動された場合は無視し、そうでない場合にアラートを出します。
4. Level(重要度)
high
このルールは「高」レベルのリスクを示しています。GPGが正規の場所以外で実行されると、重要なファイルの不正な暗号化など、ランサムウェア的な攻撃の可能性があるため、優先的に調査する必要があります。
5. 全体の解説
このルールは、**GPG(gpg.exe または gpg2.exe)**というファイル暗号化ツールが不正な場所で実行されることを検出します。GPGは、正規のセキュリティツールとして広く使用されていますが、攻撃者が不正に使用することでデータを暗号化し、ランサムウェア攻撃を仕掛ける可能性があります。このルールは、GPGが通常のパス(公式のインストール場所)以外で実行された場合を特定し、セキュリティインシデントの発生を通知するように設計されています。
正規の場所から実行されるGPGプロセスはフィルタリングされるため、誤検知のリスクを最小限に抑えつつ、正規でない場所からの実行を優先的にアラートとして報告する仕組みになっています。
実際の適用例
もし攻撃者がGPGをシステム上の特定の場所にインストールし、その後ファイルを暗号化するために使用する場合、このルールはその動作をキャッチし、アラートを発生させます。
コメントを残す