【概要】
| ツール名 | 備考 |
|---|---|
| Mimikatz | メモリから資格情報をダンプするための爆発後のツール |
| PowerShell PowerSploit | post-exploitationに使用される PowerShell スクリプト集 |
| LaZagne | Mimikatz に似ており、ローカルに保存されたソフトウェアからパスワードを収集するために使用される |
| AdFind | Active Directory クエリツール |
| Bloodhound | ドメインActive Directoryを列挙し、デバイス、ログインしているユーザー、リソース、パーミッションを完全に可視化するためのポストエクスプロイトツール |
| PsExec | リモートシステム上でプロセスを実行することができる |
■攻撃の手順
| No | 説明 |
|---|---|
| 1 | Invoke-DACheck スクリプトでドメイン管理者を調べる |
| 2 | Mimikatz "mimikatz's sekurlsa::logonpasswords "経由でホストパスワードを収集する |
| 3 | トークンを反転させ、ミミカッツのコマンド出力から管理者コメント用のトークンを作成する |
| 4 | net view "でホストのネットワークを確認します。 |
| 5 | FTP、SSH、SMB、RDP、VNCプロトコル用のポートスキャン |
| 6 | 利用可能なホストのアクセスを一覧表示 |
| 7 | アクティブディレクトリファインダー "AdFind "キットをバッチスクリプト "adf.bat "で "net view "とportscanned hostsからアップロードする |
| 8 | WMIC コマンドでホスト上のアンチウイルス名を表示する |
| 9 | 多目的パスワード復旧ツール「LaZagne」をアップロードしてホストをスキャン |
| 10 | パスワード復旧ツールの削除 |
| 11 | ADFindの実行と出力の保存 |
| 12 | AdFind ツールの成果物を削除し、出力をダウンロードする |
| 13 | すべてのRyukのランサムウェアのためのネット共有フルアクセスを付与する |
| 14 | リモート実行ソフト「PSExec」と用意したネットワークホストをアップロードし、ウィルス対策製品をアンインストールします。 |
| 15 | 実行バッチスクリプトと解析されたネットワークホストをアップロードし、PsExecを介して別の危険なユーザーの下でRyukランサムウェアを実行する |
【ニュース】
◆How Ryuk Ransomware operators made $34 million from one victim (BleepingComputer, 2020/11/07 03:44)
[Ryukランサムウェアの運営者が1人の被害者から3400万ドルを稼いだ方法]
https://www.bleepingcomputer.com/news/security/how-ryuk-ransomware-operators-made-34-million-from-one-victim/
【関連まとめ記事】
◆全体まとめ
◆マルウェア / Malware (まとめ)
◆ランサムウェア (まとめ)
◆Ryuk (まとめ)
http://malware-log.hatenablog.com/entry/Ryuk
◆Cobalt Strike (まとめ)
https://malware-log.hatenablog.com/entry/Cobalt_Strike
