Chrysalis IoC トリアージ

Security
Chrysalis IoC トリアージ

Chrysalis IoC トリアージ

Chrysalis IoC Triage は、Chrysalis バックドアおよび Lotus Blossom(Billbug)キャンペーンに関連する IoC(Indicator of Compromise)をホスト上で読み取り専用に検査する PowerShell ベースのツールです。Windows 環境で動作し、システム変更を行わず、Rapid7 の公開情報に基づく IoC 情報をチェックして初動対応やフォレンジック前のトリアージを支援します。導入は軽量で、既存のセキュリティ運用やスクリプトワークフローへ組み込みやすい設計です。

https://github.com/CreamyG31337/chrysalis-ioc-triage

概要

Chrysalis IoC Triage は、Chrysalis バックドアおよび Lotus Blossom 臭いのある活動に関連する既知のインジケーター(ファイル名、レジストリ、サービス、パス、ネットワークアドレス等)を対象に、Windows ホスト上で読み取り専用のチェックを行う PowerShell スクリプト群です。システムに変更を加えずに迅速に情報を収集できるため、インシデント対応の初動やスクリーニング、フォレンジック前の切り分け作業で有用です。IoC は Rapid7 の解析に基づき整理されており、軽量で実行しやすい点が特徴です。

GitHub

リポジトリの統計情報

  • スター数: 21
  • フォーク数: 0
  • ウォッチャー数: 21
  • コミット数: 2
  • ファイル数: 9
  • メインの言語: PowerShell

主な特徴

  • 読み取り専用のホストベース検査:システム変更を行わず安全に実行可能
  • Rapid7 の公開 IoC に基づくシグネチャ群を使用
  • Windows / PowerShell 実装でエンドポイントに対する手早いトリアージを実現
  • 軽量かつスクリプト化しやすく、SIEM 連携や自動化ワークフローに適合

技術的なポイント

本プロジェクトは「読み取り専用」で動作する点が最も重要な設計方針で、インシデント対応の初期段階で誤って証拠を改変しないことを重視しています。そのため、ファイルシステムの列挙、レジストリ読み取り、サービス/プロセス一覧、ネットワーク接続の照会などを PowerShell の既存コマンドレット(Get-ChildItem、Get-ItemProperty、Get-Service、Get-Process、Get-NetTCPConnection 等)や WMI/CIM を用いて行う想定です。IoC データはリポジトリ内に静的に格納されているか、スクリプト内で定義されたリストから参照され、各チェックはマッチしたエントリをレポート出力するシンプルなフローを持ちます。

設計上の注意点として、PowerShell ベースのスクリプトは管理者権限なしでも多くの情報を取得できますが、一部の証跡(他ユーザのプロファイルや保護領域)は権限が必要です。したがって運用では実行権限と情報の網羅性のトレードオフを理解しておく必要があります。また、既知 IoC に依存するため、ハッシュや固定パスなど静的なインジケーターに対しては検出が容易ですが、攻撃者がファイル名やパスを変更した場合の検出は困難です。これを補うために、スクリプトは複数種のインジケーター(ファイル名、サービス名、レジストリキー、ネットワークアドレス、 mutex 名など)を組み合わせて照合することが想定されます。

実行結果の取り扱い(ログ化、出力形式)は運用面での柔軟性を高める重要なポイントです。PowerShell で JSON や CSV にエクスポートすることで SIEM や SOC の自動化パイプラインに組み込みやすくなります。さらに、AGENTS.md や CONTRIBUTING.md の存在から、複数の実行環境やエージェントとの連携、将来的なルール追加の手順が用意されている可能性が高く、IoC の更新や改訂を容易に組み込める構造が見込まれます。

最後に、読み取り専用チェックは初期トリアージには有効ですが、より深い解析(メモリダンプ、過去ログ解析、タイムライン生成等)は別途フォレンジックツールが必要です。本リポジトリは「まず怪しいか否か」を素早く判断するための補助ツールとして位置づけられます。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .gitignore: file
  • AGENTS.md: file
  • CHANGELOG.md: file
  • CONTRIBUTING.md: file
  • LICENSE: file

…他 4 ファイル

まとめ

読み取り専用の IoC チェッカーとして初期トリアージに適した、軽量で実践的なツールです。

リポジトリ情報:

READMEの抜粋:

Chrysalis IoC Triage

A read-only host-based checker for Indicators of Compromise (IoC) associated with the Chrysalis backdoor and Lotus Blossom (Billbug) campaign. Runs on Windows via PowerShell and does not modify the system.

Source

All IoCs are derived from the following publication:

Rapid7 – The Chrysalis Backdoor: A Deep Dive into Lotus Blossom’s toolkit
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

**…**