ランサムウェア
新たなランサムウェア「White Rabbit」が駆使する検出回避の手法について
本稿では、ランサムウェアファミリー「White Rabbit」を解析し、この新規ランサムウェアファミリーが駆使する、よく知られた検出回避の手法について解説します。
本稿では、ランサムウェアファミリー「White Rabbit」を解析し、この新規ランサムウェアファミリーが駆使する、よく知られた検出回避の手法について解説します。トレンドマイクロは、2021年12月、米国の地方銀行を攻撃した新たなランサムウェアファミリー「White Rabbit」を確認しました。このランサムウェアファミリーは、既によく知られたランサムウェアファミリー「Egregor」を参考にした隠ぺい手法を備えており、サイバー犯罪者グループ「FIN8」と関連する可能性があると見られています。
図1:ランサムウェアの実行のコマンドラインを示すSysTracerのログ例
rabbit.exeの引数として-p KissMe が使用されていることがわかる
■ コマンドラインパスワードの使用
White Rabbitの攻撃手法で最も注目すべきは、このランサムウェアのペイロードとなるバイナリが、感染端末の内部構成を解読した上で、自身の動作を展開するために、特定のコマンドラインパスワードを要求するという点です。この手法は、ランサムウェアファミリーEgregorが自身の手口が検出されるのを回避するために用いた仕組みです。
このペイロードは、一見すると目立たず、際立った文字列もない100KB程度の小さなファイルであり、危険をはらんでいるようには見えません。不正活動の所在は、ログイン用の文字列から把握できるのですが、それらの実際の動作は、正しいパスワードがなければ容易に確認することはできない状態になっています。
トレンドマイクロで解析した検体の場合、図1のように、パスワードやパスフレーズに「KissMe」を使用していましたが、他の検体では別の文言を使用している可能性があります。図1には、ランサムウェアが受け入れる引数も示されており、以下のような意味を持つと推測されます。
- -p: password/passphrase
- -f: file to be encrypted
- -l: logfile
- -t: malware’s start time
■ 侵入の痕跡と「FIN8」との関連性
トレンドマイクロの調査によると、偵察、侵入、ペイロードを感染端末に投下させるために用いられたとされるCobalt Strikeコマンド使用の痕跡が確認されています。
図2:Cobalt Strikeの痕跡を示す証拠
一方、Lodestone社のリサーチャーは、この攻撃で使用された不正URLが、「FIN8」と呼ばれるサイバー犯罪者グループと関係があるとも指摘しています。さらにまた、FIN8と関連するF5バックドア「Badhatch」の未公開バージョンが使用されたことも指摘しています。ただし残念ながら、解析の時点では当該URLからのファイルを取得することはできませんでした。
■ ランサムウェアの挙動
今回のランサムウェアは、その手口自体は複雑ではありません。最近の多くのランサムウェアファミリーと同様、White Rabbitも二重恐喝の手法を駆使しており、下図3の脅迫状からも確認できるとおり、窃取した情報を公開または販売するとしてターゲットを脅迫していました。
図3:White Rabbitが使用した脅迫状
このランサムウェアは、暗号化対象のファイルごとにそれぞれ別の脅迫状を作成します。そして各脅迫状には暗号化されたファイルが「.scrypt.txt」というファイル名で付記されます。またランサムウェアによるファイル暗号化や身代金要求などの活動に先立ち、感染端末内の複数のプロセスやサービス、特にセキュリティソフト関連のものを終了させる場合もあります。
その後このランサムウェアは、上記の「-f)の引数が指定されていない場合には、固定ドライブ、リムーバブルドライブ、ネットワークドライブ、その他のリソース内のファイルの暗号化を試みます。また、感染端末がクラッシュしたり、自身が保持する脅迫状が削除されたりするのを避けるため、以下のパスおよびディレクトリをスキップします。
- *.scrypt.txt
- *.scrypt
- c:\windows\*
- *:\sysvol\*
- *:\netlogon\*
- c:\filesource\*
- *.exe
- *.dll
- *\desktop.ini
- *:\windows\*
- c:\programdata\*
- *:\programfiles\*
- *:\program files (x86)\*
- *:\program files (x64)\*
- *.lnk
- *.iso
- *.msi
- *.sys
- *.inf
- %User Temp%\*
- *\thumbs.db
■ 結論
現在時点では、サイバー犯罪者グループFIN8とランサムウェアファミリーWhite Rabbitとの間に深い関連性があるのか、もしくは作成者が同じという程度なのかは、まだ判断がつかない状態です。FIN8が主に侵入・偵察ツールを駆使することで知られている点を考慮すると、この関連性は、同グループが今回のランサムウェアを含め、自分たちの武器庫を拡大していることを示唆している可能性があります。これまでのところ、White Rabbitの標的は少数であり、これは彼らがまだ試行錯誤を続けているか、大規模な攻撃のための準備段階にあるか、そうした状況を示していることが推測されます。
上述のとおり、White Rabbitは、複雑でない挙動から考えて、まだ開発段階にあると思われます。しかし、このような初期段階であるにもかかわらず、高度な標的型攻撃や二重の恐喝手法など、最新のランサムウェアの厄介な特徴を備えている点は留意すべきでしょう。今後も引き続き注視していく必要があります。
■ 被害に遭わないためには
- セキュリティ対策の多層的な防御は、最新のランサムウェアを防御し、彼らが利用する検出回避の手口を阻止するのに役立ちます。企業や組織は、これらのセキュリティ対策を導入することで、今回のようなセキュリティリスクを軽減することができます。
- クロスレイヤーの機能を備えた検知・対応のセキュリティを導入することも有効です。これにより、攻撃活動が最終段階に達する前に、ランサムウェア活動、技術、挙動を予測し、事前に各状況に応じたソリューションで対処することができます。Trend Micro Vision Oneは、ランサムウェアのコンポーネントを検出してブロックし、企業や組織に影響が及ぶ前に攻撃を食い止めることができます。
- 攻撃の予防および復旧に備えたプレイブックを作成することも効果的です。インシデントレスポンス(IR)プレイブックとIRフレームワークの両方を活用することで、企業や組織はランサムウェアを含むさまざまな攻撃への対策を講じることができます。
- 攻撃シミュレーションを実施することも有効です。これにより、意思決定者、セキュリティ担当者、IR部門が、潜在的なセキュリティギャップや攻撃を特定し、想定された攻撃に備えることができるよう、各従業員に現実的なサイバー攻撃シミュレーションを体験させることができます。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「New Ransomware Spotted: White Rabbit and Its Evasion Tactics」
by Arianne Dela Cruz, Bren Matthew Ebriega, Don Ovid Ladores, Mary Yambao
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)