パズルを組み立てる：Qilinランサムウェア調査

執筆：Huntress LabsのLindsey O’Donnell-Welch、Ben Folland、Harlan Carvey

セキュリティアナリストの日常業務の大部分は、インシデント中に実際に何が起こったのかを解明することです。ログやウイルス対策の検出、その他の手がかりなど、痕跡をつなぎ合わせることで、攻撃者がどのように初期アクセスを得て、その後何をしたのかを理解します。

しかし、必ずしも単純明快とは限りません。外部要因によって可視性が制限されることもあります。たとえば、Huntressエージェントがすべてのエンドポイントに展開されていなかったり、標的となった組織が侵害発生後にHuntressエージェントをインストールした場合などです。

このような場合、創造的に複数のデータソースを調査し、実際に何が起こったのかを特定する必要があります。

最近、私たちは上記の両方の要因が当てはまるインシデントを分析しました。10月11日、ある組織がインシデント後にHuntressエージェントをインストールし、最初は1台のエンドポイントのみでした。

可視性という観点では、このインシデントは鍵穴から覗くというより、針の穴から覗くようなものでした。それでも、Huntressのアナリストはインシデントに関する多くの情報を導き出すことができました。

Qilinインシデント：調査開始時の状況

Huntressエージェントは、Qilinランサムウェア感染後、1台のエンドポイントにインストールされました。これは、何が起こったのかを解明しようとするアナリストの視点から見ると、どういう意味でしょうか？

手がかりは限られていました。エンドポイント検出＆対応（EDR）やSIEMのテレメトリはなく、Huntress特有のランサムウェアカナリアも発動していませんでした。また、1台のエンドポイントのみだったため、可視性はそのエンドポイントで発生したアクティビティに限定されていました。 

その結果、Huntressのアナリストがこのインシデントの解明を始めるために利用できたのは、管理型ウイルス対策（MAV）のアラートだけでした。Huntressエージェントがエンドポイントに追加されると、SOCは既存のMAV検出に気付き、その一部が図1に示されています。

アナリストは、エンドポイントからファイルの取得を開始し、まずWindowsイベントログ（WEL）の特定のサブセットから始めました。

これらのログから、アナリストは2025年10月8日に脅威アクターがエンドポイントへアクセスし、Total Software Deployment Serviceと、不正なScreenConnect RMMインスタンス（IPアドレス94.156.232[.]40を指すもの）をインストールしたことを確認できました。

VirusTotalでこのIPアドレスを検索した結果が図2に示されています。

インストールに関する興味深い点として、LogMeInが2025年8月20日にファイル%user%\Downloads\LogMeIn.msiから正規にインストールされていたようです。

その後、10月8日に不正なScreenConnectインスタンスがファイルC:\Users\administrator\AppData\Roaming\Installer\LogmeinClient.msiからインストールされました。

さらに、タイムラインによると10月2日にファイル%user%\Downloads\LogMeIn Client.exeがWindows Defenderによってレビューのために提出され、その後は特にアクションが取られていません。 

ScreenConnectのインストールから、タイムライン内のScreenConnectアクティビティイベントにピボットすると、10月11日に3つのファイルがScreenConnectインスタンス経由でエンドポイントに転送されたことが分かりました。r.ps1、s.exe、ss.exeです。

さらに調査すると、r.ps1だけがエンドポイント上に残っていることが判明しました（下記参照）。

$RDPAuths = Get-WinEvent -LogName
'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational'
-FilterXPath @'
<QueryList><Query Id="0"><Select>
  *[System[EventID=1149]]
</Select></Query></QueryList>
'@
# Get specific properties from the event XML
[xml[]]$xml=$RDPAuths|Foreach{$_.ToXml()}
$EventData = Foreach ($event in $xml.Event) {
  # Create custom object for event data
  New-Object PSObject -Property @{
   TimeCreated = (Get-Date ($event.System.TimeCreated.SystemTime) -Format 'yyyy-MM-dd hh:mm:ss K')
   User = $event.UserData.EventXML.Param1
   Domain = $event.UserData.EventXML.Param2
   Client = $event.UserData.EventXML.Param3
  }
}
$EventData | FT

スクリプトの内容から、脅威アクターはエンドポイントへのRDPアクセスに関連するIPアドレス、ドメイン、ユーザー名を特定しようとしていたと考えられます。 

しかし、WindowsイベントログにはMicrosoft-Windows-PowerShell/4100メッセージが記録されていました：

エラーメッセージ = ファイル C:\WINDOWS\systemtemp\ScreenConnect\22.10.10924.8404\Files\r.ps1 は、このシステムではスクリプトの実行が無効になっているため、読み込むことができません。

このメッセージは、スクリプトがエンドポイントに転送され、脅威アクターが実行を試みてから20秒以内に記録されました。 

PCAログの解析

残りの2つのファイル、s.exeとss.exeは、すでにエンドポイント上に存在しなかったため、解明にはさらに手間がかかりました。

しかし、HuntressのアナリストはWindows 11エンドポイント上のデータソース、特にAmCache.hveファイルとProgram Compatibility Assistant（PCA）ログファイルを活用し、ファイルのハッシュを取得し、脅威アクターがファイルの実行を試みたものの、いずれも失敗したことを確認しました。 

脅威アクターはWindows Defenderを無効化しました。これはWindows Defenderイベント記録で確認でき、イベントID5001からリアルタイム保護機能が無効化されたことが示されています。続いて複数のイベントID5007が記録され、SpyNetReportingやSubmitSamplesConsentなどの機能が（この場合は無効化）変更されたこと、さらにSecurityCenterメッセージでWindows DefenderがSECURITY_PRODUCT_STATE_SNOOZED状態になったことが示されています。

その後、脅威アクターはs.exeの起動を試みましたが、PCAログにはほぼ直後に「Installer failed」というメッセージが記録されました。図3に示されるVirusTotalの検出結果や、VirusTotalで特定された挙動から、このファイルは情報窃取型マルウェア（infostealer）であると考えられます。 

PCAログのメッセージは、このインストーラーとして識別されたファイルが実行に失敗したことを示しています。

7秒後、脅威アクターはss.exeの実行を試みましたが、直後に正規のWindowsアプリケーションc:\windows\syswow64\werfault.exeが起動されました。PCAログには「PCA resolve is called, resolver name: CrashOnLaunch, result: 0」というメッセージがss.exeに関して3回連続で記録され、いずれもアプリケーションが実行されなかったことを示しています。 

再度、上記2つのファイルの実行を試みる前に、脅威アクターは2025-10-11 01:34:21 UTCにWindows Defenderを無効化し、Windows DefenderのステータスがSECURITY_PRODUCT_STATE_SNOOZEDと報告されました。2025-10-11 03:34:56 UTCに脅威アクターがリモートでエンドポイントにアクセスし、2025-10-11 03:35:13 UTCにはランサムノート作成の試み（Behavior:Win32/GenRansomNote）に対するWindows Defenderの複数の検出や、修復試行の失敗を示すメッセージが記録されました。

この時点で、Windows DefenderのステータスはSECURITY_PRODUCT_STATE_ONと報告されていました。Windows Defenderの検出と直前のリモートログインを合わせると、ランサムウェア実行ファイルが別のエンドポイントからネットワーク共有に対して実行されたことを示唆しています。

図4は、エンドポイント上で見つかったQilinランサムノートの抜粋です。

Qilinランサムウェアは「ランサムウェア・アズ・ア・サービス（RaaS）」型の亜種であり、ランサムウェアの運用は中央で管理されているものの、各アフィリエイトは異なる攻撃パターンを取るため、残される痕跡やアーティファクトも異なります。

例えば、Huntressのアナリストが観測した複数のQilinインシデントでは、脅威アクターがリモートデスクトッププロトコル（RDP）経由でログインし、同様のランサムノートや暗号化ファイル拡張子が含まれていました。

しかし、s5cmdによるデータ流出が観測されたのは1件のみでした。 

調査における複数データソースの価値

この調査を通じて、Huntressのアナリストは鍵穴から覗いていたわけではありません。Huntressエージェントはインシデント後にインストールされたため、EDRテレメトリもSIEMデータも、ランサムウェアカナリアもなく、インシデントの進行を把握するための基盤がありませんでした。

さらに、HuntressポータルでMAVアラートが受信された時点では、このインフラ内でHuntressエージェントがインストールされていたのはこの1台のエンドポイントだけでした。 

鍵穴ではなく、針の穴から覗くような状況でした。それでも、複数のデータソースに頼ることで、脅威アクターがエンドポイントで試みた活動をより深く理解でき、調査結果の裏付けや、実際に何が起こったのかをより明確に把握することができました。

例えば、脅威アクターが不正なScreenConnectインスタンスを使って複数の悪意あるファイル（情報窃取型マルウェアとみられるものを含む）を展開しようとしたことを理解することで、被害企業がインシデントの範囲や対応方法を判断する際の参考になります。

調査中、特に時間が限られていたり、そう思い込んでいる場合は、1つのアーティファクトを見つけてそれをもとにストーリーを組み立ててしまいがちです。「これは自分には異常に見える」と考えてしまいがちですが、実際にそのインフラ内で異常なのかどうかを十分に考慮しないこともあります。特に、針の穴から覗くような調査ではなおさらです。

複数のデータソースでアクティビティを検証し、最初のインジケーターだけで悪意ある活動と決めつけないことが、脅威アクターの活動をより正確に把握し、より正確な判断や対処の基盤となります。

Huntress紹介：デモ＆AMA

サイバー脅威は休みませんし、私たちも休みません。Huntressでは常にイノベーションを続けており、セキュリティのレベルアップや皆様のビジネス保護のために、仕事は決して止まりません。

最も難しい質問、実際のシナリオ、セキュリティ上の悩みをお持ちください。一緒に解決しましょう。

ウェビナーを予約する！
 

IOC一覧