ランサムウェア
ランサムウェア攻撃で悪用された正規ツールを解説
セキュリティリサーチやシステムの運用管理、ペネトレーションテストなどの正当な目的で使用される様々な正規ツールがあります。しかし、昨今ではサイバー犯罪者たちはそれらをランサムウェア攻撃に悪用しています。この記事では、悪用されることが多い正規ツールであるCobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind、MegaSyncについて解説します。
セキュリティリサーチやシステムの運用管理、ペネトレーションテスト(侵入テスト)などの正当な目的で使用される様々な正規ツールがあります。しかし、昨今ではサイバー犯罪者たちはそれらをランサムウェア攻撃に悪用しています。現在では、正規ツールはランサムウェア攻撃を行う際の典型的な構成要素となっています。
サイバー犯罪者にとって、ランサムウェア攻撃で正規ツールを使用すると都合が良い理由はいくつかあります。まず、正規ツール自体は不正なものではないため、セキュリティソリューションによる検出を回避できる可能性があります。次に、ほとんどのツールがオープンソースであり、誰もが無料でアクセスして使用できる点です。そして、ツールの機能が優れており、セキュリティリサーチャだけでなくサイバー犯罪者にとっても有用性が高い点です。これらの要因によって、図らずも正規ツールを諸刃の剣へと変化させています。
この記事では、悪用されることが多い正規ツールであるCobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind、MegaSyncについて解説します。
悪用されることが多い正規ツールの例
以下の表は、悪用されることが最も多い正規ツールをまとめたものです。
| ツール | 正規の想定用途 | ランサムウェア攻撃での悪用方法 | ツールの悪用を確認している ランサムウェア攻撃 |
| Cobalt Strike | ペネトレーションツール (脅威エミュレーション) |
横展開(ラテラルムーブメント)、バックドア、遠隔操作ツール(RAT)としての多数の機能 | Clop、Conti、DoppelPaymer、Egregor、Hello(WickrMe)、Nefilim、NetWalker、ProLock、RansomExx、Ryuk |
| PsExec | 遠隔でのプロセス実行 | 任意のコマンドシェルの実行、 横展開 |
DoppelPaymer、Nefilim、NetWalker、Maze、Petya、ProLock、Ryuk、Sodinokibi |
| Mimikatz | PoCツール(脆弱性の実証) | 認証情報の窃取 | DoppelPaymer、Nefilim、NetWalker、Maze、ProLock、RansomExx、Sodinokibi |
| Process Hacker | システムリソースの監視、 ソフトウェアのデバッグ、 不正プログラムの検出 |
セキュリティ製品などの正規プロセス/サービスの探索と停止 | Crysis、Nefilim、Sodinokibi |
| AdFind | Active Directory(AD)検索 | AD探索、横展開時の情報収集 | Nefilim、NetWalker、ProLock、Sodinokibi |
| MegaSync | クラウドストレージとの同期 | 窃取データの外部送出 | Hades、LockBit、Nefilim |
表1:攻撃に悪用される正規ツール
また、次の図に示すいくつかのツールも同じ役割を持っています。たとえば、PC Hunterは、Process Hackerと同じくセキュリティソリューションを停止するために悪用される可能性があります。ほかにもGMERとRevo Uninstallerが同じ役割を持ちます。同様に、MimikatzとLaZagneはどちらも、認証情報のダンプに悪用される可能性があります。
図1:さまざまな攻撃段階で正規ツールを悪用するランサムウェア攻撃の例
注目すべきは、いくつかのキャンペーンが一度に複数のツールを同時に使用している点です。これは、あるツールによってほかのツールが使えるようになる場合があるためです。たとえば、認証情報の窃取に悪用されるMimikatzは、管理者権限を必要とするPsExecの機能に対してアクセス権を付与できます。複数のツールを同時に使用するキャンペーンの1つにNefilimがあり、ここではAdFind、Cobalt Strike、Mimikatz、Process Hacker、PsExec、MegaSyncなどのツールが悪用されています。
図2:ランサムウェア攻撃の各攻撃段階で悪用される正規ツールの例
次のセクションでは、これらのツールの想定用途とランサムウェアキャンペーンでの使用方法について、さらに詳しく説明します。
ツールの想定用途:
Cobalt Strikeはペネトレーションテスト(侵入テスト)のための攻撃エミュレーションを意図した商用ソフトウェアであり、偵察、秘匿通信、スピアフィッシング、エクスプロイト実行後の活動を実行できます。主にセキュリティリサーチャによって、侵入テストなどさまざまな用途で使用されます。
ランサムウェアで考えられる使用方法:
サイバー犯罪者は、攻撃キャンペーンにおいてラテラルムーブメント(横展開)を行うため、またはバックドアとしてこのツールを使用します。また、このツールはRATとしての機能も多数備えているほか、シェルコードを難読化した上でMalleableコマンドアンドコントロール(別名Malleable C2)を使用することにより、検出を回避する可能性があります。
ツールが使用されたキャンペーン:
Cobalt Strikeを悪用したランサムウェアキャンペーンには、Conti、Clop、DoppelPaymer、Egregor、Hello(WickrMe)、NetWalker、Nefilim、ProLock、RansomExx、Ryuk、Sodinokibiがあります。また、概念検証ランサムウェアであるPovlsomwareと互換性があることもわかっています。
トレンドマイクロは、最近実施したConti(Ryukの後継とされるランサムウェア)に関する分析の中で、Cobalt Strike Beacon(Cobalt Strike内のリモートアクセスツール(RAT))が攻撃のバックドアとしてどのように機能しているかを解説しました。このツールは横展開を行う目的でも使用されており、そのためにLSASSからの認証情報ハッシュのダンプとアクセス、収集済みパスワードの活用、リモートドライブへのファイル送信、さらにはWMI(Windows Management Instrumentation)コマンドを用いて自身のDLLまたはEXEのコピーを実行する、といった手段がとられていました。
PsExec
ツールの想定用途:
PsExecは元々サードパーティ製のツールでしたが、現在はMicrosoftの正規ツールとなっています。ツールとしては、いわば「軽量のtelnet代替ユーティリティ」であり、ユーザがリモートシステム上でWindows Serverのプロセスを実行できるようにします。また、クライアントソフトウェアを手動でインストールしなくても、完全な双方向性を備えたコンソールアプリケーションが利用できます。
ランサムウェアで考えられる使用方法:
攻撃者は、リモートシステム上でプロセスを実行する機能を利用して、任意のコマンドシェルの実行と横展開のためにPsExecを悪用する可能性があります。また、PsExecはランサムウェアの転送やリモート実行に悪用される可能性もあります。
ツールが使用されたキャンペーン:
PsExecは、Nefilim、Ryuk、Sodinokibiなどのランサムウェア攻撃で悪用されています。また、DoppelPaymer、NetWalker、Maze、Petya、ProLockのキャンペーンでも利用されています。
例えば、2020年初頭に発見されたランサムウェアNefilimのキャンペーンでは、バッチファイル(ハードコードされた管理者の認証情報を含む)をコピーし、それをリモートで実行するという複数の用途にPsExecが利用されています。その後、実行されたバッチファイルが各種サービスを停止させ、ランサムウェアを実行します。
Mimikatz
ツールの想定用途:
Mimikatzは、ツール作成者自身の言葉を借りれば「Windowsのセキュリティで遊ぶためのちょっとしたツール」とされており、Microsoftの認証プロトコルの脆弱性を実証するための概念実証コードとして作られました。ただしMimikatzが行うlsass.exeのプロセスダンプは脆弱性とされていないため、現在まで悪用が続いています。このツールはパスワード、ハッシュ、PINコード、Kerberosチケットの収集に使用できます。
ランサムウェアで考えられる使用方法:
サイバー犯罪者はMimikatzの機能を利用して認証情報をダンプし、ユーザ名、パスワード、その他の認証情報を抽出します。抽出された情報はほかの攻撃段階で権限昇格に使用される可能性があります。
ツールが使用されたキャンペーン:
Mimikatzを攻撃に悪用したキャンペーンには、DoppelPaymer、Nefilim、NetWalker、Maze、ProLock、RansomExx、Sodinokibiがあります。
NetWalkerのランサムウェアは、システム内の正規のプログラムを使用してファイルレスで実行されます。コンパイルされずにPowerShellで書かれているため、バイナリの実体をディスクに保存することなくメモリ上で直接実行できるようになっています。トレンドマイクロが観察したキャンペーンの事例では、オープンソースプログラムであるPowerSploitのInvoke-Mimikatzが悪用されていました。このプログラムは反射型の読み込みによってMimikatzをロードしており、ロードされたMimikatzが認証情報をダンプしています。また、その他のキャンペーンにおいても、NetWalkerがMimikatzを実行して認証情報を窃取し、それをもとにPsExecを実行してランサムウェアを展開する様子が確認されています。
類似のツール:
さまざまなソフトウェアのパスワードを取得するためのオープンソースアプリケーションであるLaZagneも、RansomExx、Nefilim、NetWalkerといったいくつかのランサムウェア亜種のキャンペーンで認証情報のダンプに悪用されています。また、NetPassも認証情報の収集に悪用される可能性があります。
Process Hacker
ツールの想定用途:
Process Hackerは、プロセスの特定と停止のために使用することを意図されたフリーのツールです。不正プログラムの検出、システムリソースの監視、ソフトウェアのデバッグに利用できます。また、このツールは暴走したプロセス、特定のファイルを使用しているプロセス、アクティブなネットワーク接続を持つプログラム、ディスクへのアクセスと使用状況に関するリアルタイムの情報などを特定できます。
ランサムウェアで考えられる使用方法:
Process Hackerを使用すると、実行中のプロセスの全体像を把握できるため、サイバー犯罪者はこれを利用してセキュリティソリューションを含む任意のプロセスやサービスを発見して停止します。
ツールが使用されたキャンペーン:
このツールはCrysis、Nefilim、Sodinokibiなどのキャンペーンにおいて、セキュリティソリューションを特定して無効化するために悪用されていました。
Crysis(別名Dharma)は、プロセスやセキュリティソリューションに変更を加えるためにProcess Hackerを幾度となく使用しています。2018年の攻撃では、prc.exeという名前のProcess Hackerのインストーラが含まれていました。より最近の攻撃でも、同様の機能のためにこのツールが(Processhacker.exeという名前で)使用されています。
類似のツール:
PC Hunter(システムプロセス、カーネルモード、フックへのアクセスを許可するツール)、GMER(ルートキットを検出して削除するツール)、Revo Uninstaller(アプリやプログラムをアンインストールできるツール)などもまた、各種プログラムや不正プログラム対策ソリューションを停止します。Process Hackerと同様、この3つのツールはCrysisとNefilimのキャンペーンで悪用されています。
AdFind
ツールの想定用途:
AdFindはActive Directory(以下、AD)のクエリを行うためのフリーのコマンドラインツールであり、ADから情報を収集するために使用できます。具体的には、AD上のコンピュータの検索、ドメインユーザやドメイングループの特定、ADからのサブネット情報の抽出、信頼されたドメイン上の組織単位に関する情報の収集を実施できます。
ランサムウェアで考えられる使用方法:
AdFindは、ADからコンピュータ、ユーザ、またはグループを探索するための偵察ツールとして利用される可能性があります。また、ADを介した横展開に必要な情報を得るために利用される場合もあります。
ツールが使用されたキャンペーン:
Nefilim、NetWalker、ProLock、SodinokibiなどのランサムウェアファミリのオペレータがAdFindを攻撃に悪用していました。ProLockでは、ProLockのランサムウェアキャンペーンのためにADを照会する偵察ツールとしてAdFindが悪用されていました。
類似のツール:
ADドメイン内の関係性を追跡できるBloodHoundや、ネットワーク内の共有リソースを表示できるSMB Toolも、同様の目的で悪用されています。
MegaSync
ツールの想定用途:
MegaSyncはクラウドベースの同期ツールであり、MEGAファイル共有サービスと連携するよう設計されています。デバイス間でのファイル同期、ファイルの保存と管理、ほかのユーザとの共同作業やデータの共有に使用できます。
ランサムウェアで考えられる使用方法:
MEGAとMegaSyncはデータ持ち出しに利用される可能性があります。これは最近の二重脅迫型ランサムウェアのキャンペーンにおける重要な手順です。なぜなら、このようなランサムウェアはファイルを暗号化するだけでなく、標的企業から窃取した機密データを暴露すると脅す手法を採用しているためです。
ツールが使用されたキャンペーン:
Hades、LockBit、Nefilimなどのランサムウェアキャンペーンがこのツールを悪用していました。LockBitは二重脅迫の手法を採用するランサムウェア亜種の1つです。このランサムウェアのオペレータはデータの流出にMegaSyncを採用し、このツールのストレージとアクセスのしやすさを利用して、被害を受けたシステムからファイルを素早くアップロードできるようにしています。
正規ツールを悪用する攻撃者に対する防御
企業が昨今のランサムウェア攻撃を阻止するには、攻撃に悪用された正規ツールを検出する必要があります。しかし、このようなツールはいくつかの方法で検出を回避するため簡単なことではありません。例えば、Cobalt Strikeのように検出を回避する手段となり得る機能を利用する場合があります。また、サイバー犯罪者は正規ツールのコードを改変し、セキュリティソリューションの検出回避を試みる可能性もあります。
さらに、ある1つのエントリポイントから脅威が検出された場合でも(たとえば、エンドポイントだけに注目している場合)、その検出結果だけでは無害に見える場合があります。これは本来アラートを出すべき場合であっても起こり得ます。つまり、メール、サーバ、クラウドワークロードなどのほかのレイヤに関する状況も考慮し、検出結果をより広い視点から捉えなければ、脅威を見逃す可能性があるということです。
トレンドマイクロの対策
「Trend Micro XDR」は、高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。
本記事で紹介したような実際の攻撃における悪用が甚だしい正規ツールについては、製品機能で検出対応を行う場合があります。
| ツール名 | トレンドマイクロ製品での検出 |
| Cobalt Strike Beacon | 「Backdoor.Win64.COBEACON.SMA」など |
| Mimikatz | 「HackTool.Win32.MIMIKATZ.SMGD」など |
| Process Hacker | 「PUA.Win64.ProcHack.AC」など |
| PC Hunter | 「PUA.Win64.PCHunter.A」など |
| GMER | 「PUA.Win32.GMER.A」など |
| LaZagne | 「HackTool.Win64.LAZAGNE.AE」など |
| PsExec | 「Deep Discovery ™ Inspector」などのネットワーク監視でPsExecによる遠隔実行のための通信を検出 DDI Rule 597 : psexec – smbDDI Rule 1847 : psexec - smb - variant 2 |
参考記事:
- 「Locked, Loaded, and in the Wrong Hands: Legitimate Tools Weaponized for Ransomware in 2021」
by Janus Agcaoili and Earle Earnshaw
記事構成:岡本 勝之(セキュリティエバンジェリスト)
高橋 哲朗(スレットマーケティンググループ)