本稿では、ランサムウェアファミリー「White Rabbit」を解析し、この新規ランサムウェアファミリーが駆使する、よく知られた検出回避の手法について解説します。トレンドマイクロは、2021年12月、米国の地方銀行を攻撃した新たなランサムウェアファミリー「White Rabbit」を確認しました。このランサムウェアファミリーは、既によく知られたランサムウェアファミリー「Egregor」を参考にした隠ぺい手法を備えており、サイバー犯罪者グループ「FIN8」と関連する可能性があると見られています。
![](https://www.trendmicro.com/content/dam/trendmicro/global/en/research/22/a/new-ransomware-spotted--white-rabbit-and-its-evasion-tactics-/systracer.jpg)
図1:ランサムウェアの実行のコマンドラインを示すSysTracerのログ例
rabbit.exeの引数として-p KissMe が使用されていることがわかる