ランサムウェア
ランサムウェアスポットライト:AvosLocker
AvosLockerは、比較的新しいランサムウェアファミリーであり、最新のランサムウェアの特徴である、窃取した情報を暴露すると脅す「二重脅迫」を用いています。
AvosLockerは、比較的新しいランサムウェアファミリーであり、最新のランサムウェアの特徴である、窃取した情報を暴露すると脅す「二重脅迫」を用いています。本稿では、この新規のランサムウェアファミリーとその主要な手口について解説します。
企業や組織が知っておくべきこと
AvosLockerは、他の主要なランサムウェアファミリーと同様、サービスとしてのランサムウェア(RaaS)のビジネスモデルでも活動しており、2021年7月に初めて確認されて以降、時間の経過とともにいくつかの亜種が登場しています。AvosLockerの主な特徴は以下のとおりです。
リモート管理ツール「AnyDesk」を使用する
このランサムウェアファミリーによる攻撃キャンペーンの特徴の1つは対象の端末へ接続するためにリモート管理ツール(RAT)であるAnyDeskを使用することです。このツールを使って攻撃者が端末を手動で操作して、感染させることが可能です。
セーフモードで自身を実行する
もう1つの重要な要素は、検出回避の一部としてセーフモードで自身を実行することです。攻撃者はマシンを再起動し、特定のドライバを無効化し、セーフモードで実行することで、セーフモードに対応していないセキュリティ対策ソフトの検出を回避できます。このためセーフモードでもAnyDeskが実行されるよう特定のドライバが設定されています。これは、かつてREvilが採用していた手口でもあります。
攻撃者が窃取した情報をオークションにかける
REvilを参考にして、二重恐喝の手口の他、窃取情報をWebサイト上でオークションにかける手法も駆使しています。これにより、暗号化したデータが復旧されたとしても、攻撃者に取っては別に収益化の手段を保持しておくことが可能となります。
上述の通り、攻撃者は、複数の手口を駆使したランサムウェアのバージョンをリリースしています。セーフモード上で自身を実行する手法は、第2バージョンで確認されました。Linux端末を狙う傾向に伴い、2021年10月には、攻撃グループの宣伝どおり、Linux向けの亜種が登場しました。この亜種はESXi仮想マシン(VM)を攻撃することができるため、要注意となっています。
AvosLockerの背後の攻撃者は、RaaS による攻撃キャンペーン実行に際しては事前調査も実施します。これにより、要求する身代金の支払い能力などに基づいてターゲットを選択し、対象に応じた攻撃を仕掛けます。
以下、トレンドマイクロによる検知結果やリークサイトの情報から、同攻撃グループがどの地域や業種をよくターゲットにしているかを見ていきます。
影響を受けた主な産業や国
トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro™ Smart Protection Network™(以下、SPN)」のデータからAvosLocker の攻撃活動を確認することができます。国別検出台数のデータによると、インドとカナダにおいて2021年7月1日から2022年2月28日にかけて検出台数が上位を占めていました。
業界別検出台数のデータによると、食品・飲料の業界で最も活発で、テクノロジーと金融業界がそれに続きました。ただし、サンプル数が少ないため、わずかな差に留まっています。
本稿執筆の時点では、検出台数が最も多かったのは2月で、年初に確認された急激な増加が続いている状況です。
AvosLockerのリークサイトに基づく対象地域や業界
AvosLockerのリークサイトを調査することで、このランサムウェアのターゲットを別の視点から把握することができました。2021年12月1日から2022年2月28日までの間に、15社の企業が標的としてリストアップされていました。このサイトに記載されている企業は、攻撃に見舞われた際、要求された身代金を支払っていなかった対象のリストのようです。
そしてこのリストを地域別に分類すると、北米の企業に注力していたことが分かりました。
リークサイトで確認された15社のうち、半数以上が中小企業でした。業界の内訳については、図5のとおり、突出した業界はなく、特定の業界を狙っているという傾向は確認されませんでした。
しかしAvosLocker の場合、リークサイトの調査に際しては、他の著名なランサムウェアファミリーと比較して、件数が少ないという点も留意する必要があります。サンプル数が限られているため、正しい傾向を把握するためには、さらなる調査が必要かもしれません。
感染フローおよび各種手口
AvosLockerは、RaaS(サービスとしてのランサムウェア)のビジネスモデルを採用しているため、感染フローは、ターゲットによって異なる場合があります。以下の感染フローは、RaaSが駆使されているさまざまな手口やツールを示しています。
初期侵入
- AvosLockerは、Zoho ManageEngine ServiceDesk Plusおよびその脆弱性の悪用によって初期侵入を果たし、WebシェルとAnyDeskをダウンロードします。
- 侵害されたアカウントを利用して、RDPや仮想プライベートネットワーク(VPN)経由で対象の端末へアクセスするケースも報告されています。
検出回避、事前調査、クレデンシャルアクセス
- Avast Anti-Rootkit Driver およびPowerShell スクリプトを使用して、特定のセキュリティソフトを無効化します。
- BATスクリプトを使用して、Windowsセーフモード上で実行可能なセキュリティソフトも無効化します。
- MimikatzとXenArmor Password Recovery Pro Toolにより認証情報を取得します。
- Nmap、NetScan、Windowsネイティブコマンド(ipconfig、nslookupなど)を使用して、対象となるネットワーク上で事前調査を実行します。
- ランサムウェア活動の痕跡を感染端末上に書き込まないようにします。
水平移動・内部活動、コマンド&コントール
- AvosLockerはAnyDeskをインストールし、対象のシステムを制御します。
- PDQ Deployを使用して、対象のシステム上でWindowsバッチスクリプトを実行します。
被害規模
- 他のすべての活動が終了すると、ランサムウェアAvosLockerとしての活動を実行して、感染端末のファイルを暗号化します。
- 現在、AvosLockerのランサムウェア活動では、Windows版とLinux版の両方が存在します。Linux版は、ESXi仮想マシンを終了させることでも知られています。
- Windows版での最新の攻撃では、ランサムウェア活動のセキュリティソフトによる検出を回避するため、セーフモードで再起動後に実行する手法も採られています。
- セーフモード上で実行するため、自動実行下にRunOnceレジストリエントリを追加しています。さらに調査からRunOnceレジストリ経由の実行時に複数の方法が採られることも判明しました。
- ランサムウェアのペイロードを直接実行する
- ランサムウェアのペイロードをダウンロードして実行するPowerShellスクリプトの実行をする
- 偽装された.jpgファイルからランサムウェアのペイロードを復号して実行するPowerShellスクリプトを実行する
- そして図7のような身代金請求の脅迫状を表示します。
その他の技術的詳細
- 以下のディレクトリにおける活動を回避します。
- All Users
- AppData
- boot
- bootmgr
- Games
- Intel
- Microsoft. (ディレクトリ名がMicrosoft で始まるもの)
- Program Files
- ProgramData
- Public
- Sophos
- System Volume Information
- Windows
- Windows.old
- WinNT
- ファイル名に以下の文字列を含むファイルの暗号化を回避します。
- autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- config.msi
- desktop.ini
- iconcache.db
- ntldr
- ntuser.dat
- ntuser.dat.log
- ntuser.ini
- thumbs.db
- Thumbs.db
- ファイル名に以下の文字列を含むファイルの暗号化を回避します。
- .386
- .adv
- .ani
- .avos
- .avos2
- .avos2j
- .avoslinux
- .bat
- .bin
- .cab
- .cmd
- .com
- .cpl
- .cur
- .deskthemepack
- .diagcab
- .diagcfg
- .diagpkg
- .dll
- .drv
- .exe
- .hlp
- .hta
- .icl
- .icns
- .ico
- .ics
- .idx
- .key
- .ldf
- .lnk
- .lock
- .mod
- .mpa
- .msc
- .msi
- .msp
- .msstyles
- .msu
- .nls
- .nomedia
- .ocx
- .pdb
- .prf
- .ps1
- .rom
- .rtp
- .scr
- .shs
- .spl
- .sys
- .theme
- .themepack
- .wpx
- 以下のプロセスを終了させます。
- encsvc
- thebat
- mydesktopq os
- xfssvccon
- firefox
- infopath
- winword
- steam
- synctime
- notepad
- ocomm
- onenote
- mspub
- thunderbird
- agntsvc
- sql
- excel
- powerpnt
- outlook
- wordpad
- dbeng50
- isqlplussvc
MITRE tactics and techniques
MITRE tactics and techniquesの詳細については、こちらをご参照ください。
使用したマルウェア、ツール、エクスプロイトの概要
企業や組織のセキュリティ部門は、AvosLocker の攻撃で通常使用される以下のツールおよび脆弱性の悪用に注意する必要があります。
初期侵入
- Zoho ManageEngine ServiceDesk Plus の脆弱性の悪用
不正活動の実行
- PowerShell
- Windowsコマンドシェル
クレデンシャルアクセス
- Mimikatz
- XenArmor Password Recovery Tool Pro
事前調査
- NetScan
- Nmap
水平移動・内部活動
- PDQ Deploy
検出回避
- BAT file
- Avast Anti-Rootkit Scanner
- PowerShell script
コマンド&コントロール
- AnyDesk
推奨事項
AvosLocker は、 LockBit、Conti、Clop などの他のランサムウェアファミリーほど著名ではありませんが、これらと同じような足跡を辿っているように思われます。また、REvil などで見られた有効な手口も再利用しています。このことは、企業や組織がこのランサムウェアファミリーに注意を払うだけでなく、今日の攻撃者が採用する最新の手口の傾向をしっかりと理解しておく必要性を示しているといえます。
このような脅威からシステムを保護するため、企業や組織は、セキュリティフレームワークを確立することが必要です。これにより、ランサムウェアに対する強固な防御を確立するためのリソースを体系的に割り当てることが可能となります。
これらのセキュリティフレームワークに含まれるベストプラクティスは以下のとおりとなります。
監査とインベントリーの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
トレンドマイクロのソリューション
企業や組織は、下記のソリューションによる多層的なアプローチのセキュリティ対策を採用することで、社内システムへのさまざまな侵入経路(エンドポイント、メール、ウェブ、ネットワーク)への防御が可能となります。また、不審なコンポーネントや挙動行動を検出も可能となります。
- 「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
感染の痕跡
本記事の感染の痕跡(IoC)は、こちらをご参照ください。なお、これらの指標は、攻撃ごとに異なる場合があります。
参考記事:
• 「Ransomware Spotlight: AvosLocker」
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)