意外と簡単なランサムウェア運用ツールの検出と駆逐

今回のCommunity Nightでは､SANSの「FOR528: Ransomware for Incident Responders」の開発者であるRyan Chapmanが、ランサムウェアの運用に活用されているツールについて紹介します。ランサムウェアの運用については様々なバリエーションが存在しますが、活用されているツールには重複している点も少なくありません。Living Off Trusted Sites (LOTS) やBring Your Own Vulnerable Driver (BYOVD)のようなプロジェクトを活用していますか？Bloodhound/SharpHoundなどを利用していますか？PsExecのようなツールがフォレンジックでどのように活用されているかわかりますか？Remote Monitoring & Maintenance (RMM)ツールが不正インストールされた場合に検出することはできますか？Winzip､7Zip、WinSCP、FileZilla、Rclone、MEGAsyncのような、データの持ち出しに利用されるツール類が、事故調査時にとても重要となるフォレンジックアーティファクトを残すことがあることをご存知でしょうか。この講演に参加していただき、これらのツールについて、どのように使われているのか、防御、検知、ハンティングに関連するヒントなどを共有します。