全4267文字
ランサムウエア攻撃は、幾つかの段階(フェーズ)に分けられる(図1)。今回は侵入後の各フェーズで使われるツールを分類してまとめた。筆者が調査した範囲で130種類以上のツールを網羅した▼。こうした情報は、攻撃の進行状況の把握や予防・判断に有用だ。それぞれのフェーズで使用されるツールを紹介しつつ、侵入後の具体的な手口を攻撃の進行に沿って解説していく。
図1●侵入後のランサムウエア攻撃のフェーズ
侵入後の攻撃をフェーズに分けた。各フェーズで様々な攻撃ツールが使用される。攻撃の過程で得られた結果を基に繰り返す作業もある。
[画像のクリックで拡大表示]
正規のRMMツールを悪用
侵入後は、まず足場を固める。これが「遠隔操作・持続性維持」のフェーズである。侵入した環境を調査してデータを窃取するには、持続的なアクセスを維持する必要がある。
遠隔操作の手段としては正規の遠隔監視・管理(RMM▼)ツールが多くの場合で使用される(表1)。代表例が「AnyDesk」だ。
表1●「遠隔操作・持続性維持」で使用されるツール
「AnyDesk」などの正規ツールが使われることが多い。
[画像のクリックで拡大表示]
また、持続性維持のために「CobaltStrike」に代表されるC2フレームワーク▼がよく使われる。そして、状況に応じて「ngrok」などのトンネリング▼ツールを使って通信経路を確保する。
