TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

How Ryuk Ransomware operators made $34 million from one victim

【概要】

ツール名 備考
Mimikatz メモリから資格情報をダンプするための爆発後のツール
PowerShell PowerSploit post-exploitationに使用される PowerShell スクリプト集
LaZagne Mimikatz に似ており、ローカルに保存されたソフトウェアからパスワードを収集するために使用される
AdFind Active Directory クエリツール
Bloodhound ドメインActive Directoryを列挙し、デバイス、ログインしているユーザー、リソース、パーミッションを完全に可視化するためのポストエクスプロイトツール
PsExec リモートシステム上でプロセスを実行することができる


■攻撃の手順

No 説明
1 Invoke-DACheck スクリプトでドメイン管理者を調べる
2 Mimikatz "mimikatz's sekurlsa::logonpasswords "経由でホストパスワードを収集する
3 トークンを反転させ、ミミカッツのコマンド出力から管理者コメント用のトークンを作成する
4 net view "でホストのネットワークを確認します。
5 FTP、SSH、SMB、RDP、VNCプロトコル用のポートスキャン
6 利用可能なホストのアクセスを一覧表示
7 アクティブディレクトリファインダー "AdFind "キットをバッチスクリプト "adf.bat "で "net view "とportscanned hostsからアップロードする
8 WMIC コマンドでホスト上のアンチウイルス名を表示する
9 多目的パスワード復旧ツール「LaZagne」をアップロードしてホストをスキャン
10 パスワード復旧ツールの削除
11 ADFindの実行と出力の保存
12 AdFind ツールの成果物を削除し、出力をダウンロードする
13 すべてのRyukのランサムウェアのためのネット共有フルアクセスを付与する
14 リモート実行ソフト「PSExec」と用意したネットワークホストをアップロードし、ウィルス対策製品をアンインストールします。
15 実行バッチスクリプトと解析されたネットワークホストをアップロードし、PsExecを介して別の危険なユーザーの下でRyukランサムウェアを実行する


【ニュース】

◆How Ryuk Ransomware operators made $34 million from one victim (BleepingComputer, 2020/11/07 03:44)
[Ryukランサムウェアの運営者が1人の被害者から3400万ドルを稼いだ方法]
https://www.bleepingcomputer.com/news/security/how-ryuk-ransomware-operators-made-34-million-from-one-victim/


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)
  ◆ランサムウェア (まとめ)

◆Ryuk (まとめ)
http://malware-log.hatenablog.com/entry/Ryuk


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2022