1. VanHelsingとは VanHelsingは2025年3月7日に出現したRansomware-as-a-Service（RaaS）プログラムである[1][2]。RaaSとは、ランサムウェアの開発・運営を行う「オペレーター」と、実際の攻撃を実行する「アフィリエイト」が利益を分配するビジネスモデルで…

1. 本文書について 本文書は、VanHelsingランサムウェアのリークされたソースコードのうち、Builderコンポーネント（Locker/Loader/Decrypterのビルド・パッケージング・C2連携モジュール）の技術解析である。 1.1 解析対象の位置づけ # コンポーネント 役割…

1. 本文書について 本文書は、VanHelsingランサムウェアのリークされたソースコードのうち、Brewriterコンポーネント（MBRブートレコード書き換えモジュール）の技術解析である。 1.1 解析対象の位置づけ # コンポーネント 役割 本文書の対象 1 Locker ファ…

1. 本文書について 本文書は、VanHelsingランサムウェアのリークされたソースコードのうち、Decrypterコンポーネント（暗号化ファイルの復号モジュール）の技術解析である。 1.1 解析対象の位置づけ # コンポーネント 役割 本文書の対象 1 Locker ファイル暗…

1. 本文書について 本文書は、VanHelsingランサムウェアのリークされたソースコードのうち、Loaderコンポーネント（暗号化ペイロードの復号・メモリ内実行モジュール）の技術解析である。 1.1 解析対象の位置づけ # コンポーネント 役割 本文書の対象 1 Lock…

1. 本文書について 本文書は、VanHelsingランサムウェアのリークされたソースコードのうち、Lockerコンポーネント（ファイル暗号化モジュール）の技術解析である。 1.1 解析対象の位置づけ VanHelsingのリークアーカイブには、以下の5コンポーネントのソース…

参考URL Infoblox DNS C2調査レポート: https://www.infoblox.com/blog/security/dns-a-small-but-effective-c2-system/ 学術論文（PMC）: https://pmc.ncbi.nlm.nih.gov/articles/PMC10007605/ Sliver DNS C2 Wiki: https://github.com/BishopFox/sliver/wi…

github.com ファイル構成と概要 GlytchC2-main/ ├── attacker/ │ ├── attacker.py ... Attacker側メイン（コマンド送信・ストリーム録画・デコード制御） │ ├── crawler.py ... Twitch配信URL取得 + ffmpegフレームキャプチャ │ ├── decoder.py ... グレース…

github.com ファイル構成と概要 GlytchC2-main/ ├── attacker/twitch_chat_irc.py ... Attacker側のコピー（victim側と完全同一） ├── victim/twitch_chat_irc.py ... Victim側のコピー ├── attacker/example.env ... Attacker側 Twitch認証情報テンプレート…

github.com ファイル構成と概要 GlytchC2-main/attacker/ ├── attacker.py ... Attacker側メインスクリプト（コマンド送信・ストリーム録画・デコード制御） ├── crawler.py ... Twitch配信URLの取得とフレームキャプチャ ├── decoder.py ... グレースケール…

github.com ファイル構成と概要 GlytchC2-main/victim/ ├── victim.py ... Victim側メインスクリプト（C2コマンド受信・実行・配信制御） ├── encoder.py ... データ→グレースケール画像変換（ステガノグラフィエンコーダ） ├── twitch_chat_irc.py ... Twit…

カテゴリ別ツール一覧 ランサムウェアアクターが使用する持ち出しツールの大半は、正規のIT運用で使われるデュアルユースツールであり、EDR による検知を回避しやすい [1][2][3]。ReliaQuest の分析（2023年9月〜2024年7月）では、Rclone が全インシデントの…