Community Night SANS Secure Australia 2023 - Detecting & Hunting Ransomware Operator Tools: It Is Easier Than You Think!

  • Wednesday, 29 Mar 2023 6:00PM AEDT (29 Mar 2023 07:00 UTC)
  • Speaker: Ryan Chapman

Join us in this Community Night talk as Ryan Chapman, author of SANS FOR528: Ransomware for Incident Responders, provides an overview of tools leveraged often by ransomware operators. Though a multitude of ransomware operations and affiliate groups exist, we see a great deal of overlap between the tools leveraged by these groups (and that's an understatement!). Are you following and utilizing projects such as Living Off Trusted Sites (LOTS) and Bring Your Own Vulnerable Driver (BYOVD)? Are you looking for Bloodhound/SharpHound? Do you know how PsExec-like tools work at a forensic level (e.g., smbexec)? Are you hunting for rogue installations of Remote Monitoring & Maintenance (RMM) tools? Did you know that data exfiltration tools like Winzip, 7Zip, WinSCP, FileZilla, Rclone, and MEGAsync often leave forensic artifacts that are absolute snitches that are just phenomenal for us cyber defenders? Join us in this session so that we can discuss these tools, show you how they work, and share tips & tricks related to preventing, detecting, and hunting them!

意外と簡単なランサムウェア運用ツールの検出と駆逐

今回のCommunity Nightでは、SANSの「FOR528: Ransomware for Incident Responders」の開発者であるRyan Chapmanが、ランサムウェアの運用に活用されているツールについて紹介します。ランサムウェアの運用については様々なバリエーションが存在しますが、活用されているツールには重複している点も少なくありません。Living Off Trusted Sites (LOTS) やBring Your Own Vulnerable Driver (BYOVD)のようなプロジェクトを活用していますか?Bloodhound/SharpHoundなどを利用していますか?PsExecのようなツールがフォレンジックでどのように活用されているかわかりますか?Remote Monitoring & Maintenance (RMM)ツールが不正インストールされた場合に検出することはできますか?Winzip、7Zip、WinSCP、FileZilla、Rclone、MEGAsyncのような、データの持ち出しに利用されるツール類が、事故調査時にとても重要となるフォレンジックアーティファクトを残すことがあることをご存知でしょうか。この講演に参加していただき、これらのツールについて、どのように使われているのか、防御、検知、ハンティングに関連するヒントなどを共有します。

※日本語への同時通訳を行います。