「脅威アクターはより高度化・巧妙化し、戦術を絶えず変化させている。」この決まり文句は、侵害件数の増加に組織が直面する中で、サイバーセキュリティの議論を支配してきました。
業界のレポートは通常、攻撃者を、初期侵入からデータ流出やランサムウェア展開までを滞りなく進める、完璧な手順書を実行する几帳面なオペレーターとして描きます。
しかし、Windowsイベントログに記録された現実は、まったく異なる様相を示しています。
脅威ハンティングチームによる最近のフォレンジック調査は、「高度持続的脅威」という体裁の裏に、より混沌とした真実があることを明らかにしています。攻撃者はしばしばコマンドを取り違え、想定外の障害に直面し、事前に定めた戦略を実行するというより試行錯誤に頼るのです。
エンドポイント検知・対応(EDR)のテレメトリとWindowsイベントログ記録を組み合わせて分析すると、脅威アクターがリアルタイムで実験し、防御の障壁に反応し、失敗した手法を繰り返している様子が露わになります。
セキュリティ研究者が取り上げた11月の侵害事例は、この運用上の混乱を浮き彫りにしました。
表面的な分析ではWarlockランサムウェア展開へ向けたスムーズな進行に見えたものの、Windowsイベントログを精査すると、攻撃者が大きく苦戦していたことが判明しました。
これは、練習済みの台本に従う精鋭のサイバー工作員の行動ではありませんでした。暗闇の中で手探りし、その場でうまくいったか失敗したかに応じて戦術を調整している人物の、デジタル版に等しいものでした。
脅威アクターはCloudflareトンネルのインストールを繰り返し試みて当初は失敗し、タイプミスしたコマンドを実行し、さらに侵害されたシステムにアプリケーションが存在しないにもかかわらずOpenSSHサーバーの起動を試みました。
3つのインシデント、1つの執拗な敵対者
さらに説得力のある証拠は、2025年11月6日から11月25日の間に調査された3件の別々の侵入から得られました。
セキュリティアナリストは、3件すべてのインシデントで同一の戦術・技術・手順(TTP)を特定し、単一の脅威アクターまたは連携したグループを示唆する、重複するインフラ指標も確認しました。
各攻撃は、Microsoft Internet Information Services(IIS)Webサーバーを介したリモートコード実行を可能にするWebアプリケーションの脆弱性を起点としていました。
敵対者の目的は一貫していました。永続的なアクセスを確立するために、「agent.exe」というGolangベースのトロイの木馬を展開することです。
インシデント1 では、攻撃者の反復的な学習プロセスが示されました。Microsoft Defenderがcertutil.exeベースの初回ダウンロード試行をブロックした際、脅威アクターは高度な回避技術へと転換しませんでした。
代わりに、単に名前を変えた実行ファイル(815.exe)をアップロードし、Windows Defenderを無効化しようとすることすらなく、成功するまで3回起動を試みただけでした。
Defenderが12月3日に最終的にagent.exeを隔離すると、攻撃者は5日後に正規のGotoHTTPリモート管理ツールを装ったリブランド版を携えて戻り、同じ脆弱なWebアプリケーションの侵入口にアクセスしました。
インシデント2 では、学習内容の適用が見られました。11月17日、脅威アクターはマルウェアを展開する前にPowerShellでWindows Defenderの除外設定を先回りして追加しました。これは、インシデント1で遭遇した隔離問題への直接的な対応でした。
しかし、運用上の問題は続きました。永続化メカニズム(「WindowsUpdate」という名称のWindowsサービス)は、サービスコントロールマネージャーのイベントログに記録されているとおり、複数回試みたにもかかわらず起動に失敗しました。
インシデント3 (11月25日)は、インシデント2とほぼ同一のパターンに従い、同じWindows Defender除外コマンドと、同じサービス起動失敗が含まれていました。
防御側への示唆
このフォレンジック証拠は、絶えず進化する敵対者という物語に疑問を投げかけます。革命的な戦術転換というより、これらのインシデントは、脅威アクターが過去の失敗に基づいて段階的な調整を行う一方で、うまくいかない手法を同時に繰り返していることを示しています。
セキュリティチームにとって、この洞察は実行可能です。特定の摩擦点(サービスインストールの失敗、隔離のトリガー、繰り返されるアクセス試行)を理解することで、防御側は行動パターンを特定し、的を絞った対抗策を実装できます。
「巧妙な」攻撃者とは、専門性ではなく反復によって最終的に成功する、単に執拗な存在にすぎないのかもしれません。
侵害指標(IOC)
| 項目 | 説明 |
|---|---|
| C:\users\public\815.exe | |
| SHA256: | 909460d974261be6cc86bbdfa27bd72ccaa66d5fa9cbae7e60d725df13d7e210 |
| インシデント詳細 | 実行ファイル(インシデント1) |
| IPアドレス(ダウンロード試行) | 110.172.104.95 |
| クライアント/ネットワーク接続IP | 188.253.126.205, 188.253.126.202, 103.36.25.171 |
| agent.exe & dllhost.exe | |
| SHA256: | 66a28bd3502b41480f36bd227ff5c2b75e0d41900457e5b46b00602ca2ea88cf |
| インシデント詳細 | 実行ファイル(インシデント2、3) |
| VirusTotalリンク | Spark RATの検知 |
| test.exe | |
| SHA256: | 272de450450606d3c71a2d97c0fcccf862dfa6c76bca3e68fe2930d9decb33d2 |
| インシデント詳細 | 実行ファイル(インシデント2、3) |
| VirusTotalリンク | ShellcodeRunnerの検知 |
| クライアント/ネットワーク接続IP | 188.253.126.202, 103.36.25.169 (インシデント2) |
| 追加IP(インシデント3) | 188.253.121.101 |
翻訳元: https://gbhackers.com/windows-event-logs/
