ランサムウェア
活動範囲を拡大するランサムウェア「RansomExx」を事例で解説
2020年に注目を多く集める攻撃となったランサムウェアの亜種「RansomExx」は、その後の調査によってこの活動が未だ有効であること、また更なる開発の兆候があることが示されています。最近の調査ではLinux環境に適応した新亜種が使用されたという事実も判明しており、Windows以外にも活動範囲を拡大していることが分かります。
2020年に注目を多く集める攻撃となったランサムウェアの亜種「RansomExx」は、その後の調査によってこの活動が未だ有効であること、また更なる開発の兆候があることが示されています。最近の調査ではLinux環境に適応した新亜種が使用されたという事実も判明しており、Windows以外にも活動範囲を拡大していることが分かります。
トレンドマイクロの監視活動によってRansomExx が米国、カナダ、ブラジルの企業を侵害していることが判明したほか、Linux を狙う亜種の持続的な活動も確認されています。本記事では、最初のアクセスの侵入経路として IcedIDを使用し、ペイロードの拡散手法として「Vatet Loder」を使用、侵入後に「PyXie」と「Cobalt Strike」の2種の遠隔操作ツール(RAT)を使用するRansomExxの活動について解説します。このツールの組み合わせにより、初めに実行されたアクセスからランサムウェアを展開するまで要した時間はわずか5時間でした。
RansomExxはセキュリティ企業SecureWorks社がGOLD DUPONTと名付けたサイバー犯罪者集団によって運用されていました。この集団は2018年から活動しています。最新の攻撃に基づいて、GOLD DUPONTは環境を危険にさらすための迅速かつ効果的なアプローチを示しました。Vatet Loder、PyXie、Trickbot、RansomExxなどのマルウェアやCobalt Strikeなどのツールは、GOLD DUPONTの典型的な攻撃手法の一部として知られています。
このRansomExxは2020年のランサムウェア攻撃で頻繁に見られる効果的な手法を示しており、これらの手法には不正なペイロードを拡散するためのバンキングトロジャン化されたソフトウェアの利用や、全体的に短時間で実行される素早い攻撃が含まれます。
■調査
トレンドマイクロが確認したある事例では、パスワードで保護されたZIPファイルが添付されたメールが発端でした。このZIPファイルは、実際には不正マクロを含むWord文書(「Trojan.W97M.SHATHAK.A」として検出)で、ユーザを誘導してマクロコンテンツを有効にするメッセージを表示します。
図1:不正マクロを含むWord文書の内容
文書内でマクロを許可することにより、不正URLからボット型マルウェアIcedID(「TrojanSpy.Win32.ICEDID.BP」として検出)のダウンロードを試みます。ダウンロードが成功すると、このマルウェアはWindowsの標準機能であるregsvr32.exeを使用して実行されます。
図2: Word文書内の不正マクロの例
一般的なIcedIDのアプローチとして、不正なURLからペイロードをダウンロードする際、ステガノグラフィを使用します。ステガノグラフィとは、データファイル内に不正コードを隠蔽する手法です。具体的には画像データである.pngファイル内に暗号化されたペイロードである不正コードが含まれており、復号化されてメモリにペイロードが挿入されます。IcedIDは1時間毎に実行するようにスケジュールされたタスクを作成します。このタスクでは、再度regsvr32.exeを使用して不正なDLLを実行します。
図3:不正スケジュールされたタスクの初期化
この事例では、Windowsの正規インストーラであるmsiexec.exeがペイロードの挿入と展開において使用されていることを確認しました。最終的なペイロードとしては商用ツールであるCobalt Strikeがインストールされ、C&Cサーバを介して攻撃者による遠隔操作が可能になります。
図4:C&Cサーバに接続している感染端末のデータ(ハニーポットから取得)
攻撃者は不正サーバへの接続を確立した後にコンピュータ情報を収集し、ラテラルムーブメント(ネットワーク内での感染拡大)を開始しました。この事例では、一般的なファイル共有であるSMBを介したものを除いて、マルウェアがラテラルムーブメントを行うために使用した手法の全てを示す証拠は確認されていません。
図5:攻撃者が侵入したコンピュータから収集した情報の一部
侵入された環境で実行される他のコンポーネントを配信するために使用された物証としては、Notepad ++に偽装したVatet Loder(「Trojan.Win32.VATET.SM」として検出)がありました。以前の記事でも解説したように、Vatet Loder はXORベースの手法を使用してファイルを復号します。この事例の場合には”config.dat”というファイル内の不正コードを復号し、メモリ中に挿入してペイロードを実行します。
図6:Vatet Loderが行う動作
この事例では”config.dat”がペイロードとなっていましたが、遠隔操作ツールである「PyXie」、認証情報取得ツールである「LaZagne」や「Mimikatz」など複数のツールや最終目的であるランサムウェア「RansomExx」本体など、多様な目的で使用されている複数のconfig.datファイルが特定できました。 重要な発見のひとつは、情報収集に使用されるconfig.datのペイロードの構成、特に収集された情報の送信に使用されるサーバのアドレスに関連する部分に内部IPが含まれていることです。この内部IPが漏えいのポイントとして使用され、前述のC&Cサーバで通信が行われたことを示す証拠が存在します。この挙動から、一部のコンポーネントは攻撃者の侵入後に作成され、攻撃全体が実際に非常に高速で行われていると考えられます。
■Linux向け亜種の攻撃手法
今回の事例とRansomExxを含む最近の攻撃との関連で、Linuxサーバを侵害するためにRansomExxの新しいLinux版が使用されていることが確認されました。RansomExxを利用する攻撃者はVMware環境全般、特にVMwareファイルのストレージとして機能するコンピュータを狙うことを確認しています。また最近の調査ではVMWare ESXiの脆弱性である「CVE-2019-5544」および「CVE-2020-3992」を悪用することも報告されています。
トレンドマイクロのTelfhashを用いてLinux向けのRansomExxの亜種を3つ確認しましたが、3つの検体はいずれも同じ挙動を示していました。この3つの中から解析した検体は、mbedtlsと呼ばれるオープンソースのライブラリから暗号化機能をすべて取り入れた64ビットのELF実行ファイルです。この検体はマルチスレッドで実行されるとすぐにファイルの暗号化を行います。ネットワーク活動や反解析技術、その他の特徴的な活動はありません。また、この検体にはいくつかのデバッグ情報が含まれており、関数名やソースコードファイル名などの特徴を確認することが可能です。
図7:RansomExx不正コード内のデバッグ情報の例
本検体は実行時にGeneratePreDataと呼ばれる関数の呼び出しを開始します。この関数は、ネイティブLinux関数からの疑似乱数値とmbedtls操作の両方を使用して256ビットのAESキーを作成します。 AESキーはハードコードされたRSA-4096公開鍵を使用して暗号化され、結果はグローバル変数に書き込まれます。そのグローバル変数の内容はECBモードでAESによる暗号化を将来的に行うために各ファイルへ追加されます。
図8:ハードコードされたRSA公開鍵
GeneratePreData関数はランサムウェアによって作成されたスレッドで無限ループで実行され、0.18秒ごとに暗号化キーを生成します。このスレッドはランサムウェアの実行が終了するまで実行され続けます。
図9:ランサムウェアの主な機能
図10:AES暗号化
RansomExxは、コマンドラインパラメータとしてディレクトリが指定された場合にのみ実行されます。暗号化の準備はlist_dirと呼ばれる関数から始まります。 list_dir関数によって実行される最初のアクションは、コマンドラインを介して渡される引数がディレクトリであることを確認します。この確認が成功した場合、身代金文書の作成を担当する関数が呼び出されます。その後、指定されたディレクトリ内をスキャンし通常のファイルがあった場合、ランサムウェア拡張子文字列が含まれているかどうかを確認して暗号化する必要があるかどうかを判断します。マルウェアは、ディレクトリ内で見つかった暗号化する必要があるすべてのファイルに対して暗号化のタスクを追加します。パラメータのディレクトリ内にサブディレクトリがある場合、list_dir関数が再度呼び出されます。このようにしてランサムウェアはファイルを暗号化していきます。
図11:「list_dir()」関数
図12:ランサムノート(身代金文書)を作成する不正コード
■被害に遭わないためには
攻撃者は、より効果的な攻撃となるように攻撃ツールと手法を絶えず改善しています。最終的なランサムウェアの展開に先立って、遠隔操作ツールや正規のWindowsツールなどを、ファイルレス活動を交えて使用して内部活動を行います。これはランサムウェアを用いた攻撃の成功可能性を高めるためです。
ランサムウェア攻撃の成功を妨げる1つの鍵は、最初の段階での侵入を防ぐことです。最初の段階で侵入と遠隔操作が確立できなかった場合、今回の事例でわかったようなスピードと敏捷性は問題視されません。今回の事例から分かったこととして、ユーザは不正ファイルがコンピュータへ侵入するのを防ぐために、信頼できる正規の提供元からのみファイルをダウンロードする必要があります。ユーザはOfficeマクロを有効にしないようにする必要があり、有効するように促す文書には注意を払う必要があります。
一般に、より強固なセキュリティ対策によってランサムウェアやその他の脅威がコンピュータに強い影響を与えるのを防ぐことができます。これには、最小特権の原則の採用や、コンピュータが最新の状態であることの確認を含みます。脆弱性対策の中でも、仮想パッチのようなソリューションは、レガシーシステムを確実に保護するのに役立ちます。
■トレンドマイクロの対策
エンドポイントの保護は法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」が有効です。「ファイルレピュテーション(FRS)」技術によるウイルス検出、機械学習型検出や挙動監視機能(不正変更監視機能)の組み合わせによる多層防御で既知の検体だけでなく、継続して登場する新たな亜種に対しても対応します。
また、今回の攻撃ではセキュリティ対策製品回避を目的にパスワード付き圧縮ファイルが使用されていますが、メールセキュリティ製品である「Trend Micro Email Security™」および、「Deep Discovery Email Inspector」ではパスワード付き圧縮ファイルのパスワードを特定して内部のファイルを検索する機能があります。これにより、利用者の手元に届く前にフィルタリングすることが可能です。また、不審なメールの送信元やヘッダ情報、内容に基づくフィルタリング機能も有効です。
サーバの保護はTrend Micro Cloud One™ – Workload Securityソリューションが有効です。仮想パッチや機械学習などの手法を使用して、重要なアプリケーション、オペレーティングシステム(OS)に影響する脅威からクラウドワークロード、サーバ、コンテナを保護します。
脅威の可視化&迅速な対応では「Trend Micro XDR」が有効です。高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。
■侵入の痕跡(Indicators of Compromise 、IoCs)
侵入の痕跡(Indicators of Compromise、IoCs)は、こちらを参照してください。
参考記事:
- 「Expanding Range and Improving Speed: A RansomExx Approach」
By Leandro Froes
翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)