ランサムウェア
オンラインゲーム「原神」の正規ドライバを悪用してウイルス対策を停止させるランサムウェア攻撃を確認
トレンドマイクロのランサムウェア攻撃調査の中で、人気ロールプレイングゲーム「原神」に含まれる正規ドライバmhyprot2.sysがウイルス対策プロセスやサービスを停止させる活動に悪用されていることが判明しました。
Netfilter、FiveSys、Fire Chiliなどの不正なコード署名ルートキットの存在は既に知られています。これらのルートキットは、通常、盗まれた証明書で署名されていたり、虚偽の検証に利用されていたりします。そして今回確認されたのは、正規に署名された正規のドライバの悪用でした。悪用されたのは、人気ロールプレイングゲーム「原神(英題:Genshin Impact)」用のアンチチートドライバであるmhyprot2.sys※でした。このドライバは現在、ランサムウェアの攻撃者により、ランサムウェアを大量に展開させる前段階としてウイルス対策プロセスやサービスを停止する手口に悪用されています。セキュリティ部門や担当者は、mhyprot2.sysがあらゆるマルウェアに悪用される可能性があることに注意する必要があります。
※:2022年9月4日、mhyprot2.sysの脆弱性として「CVE-2020-36603」が採番され、NISTの「NATIONAL VULNERABILITY DATABASE」にも登録されました
今回の調査で確認できたこと
2022年7月最終週、エンドポイント保護が適切に設定されているはずのユーザ環境において、ランサムウェアの感染が発生しました。状況を解析したところ、オンラインゲーム「原神」のアンチチート機能を提供するmhyprot2.sysというコードネーム付きのドライバが、権限を回避するために悪用されていることが判明しました。その結果、カーネルモードからのコマンドにより、エンドポイント保護プロセスが強制終了されていました。
本稿執筆の時点ではmhyprot2.sysのコード署名機能はまだ有効となっています。なお、このドライバは攻撃者が悪用のために感染端末に持ち込むものです。感染端末に元のゲームである「原神」がインストールされている必要はありません。オンラインゲームのインストール状況と、このドライバ使用の可否は直接関係していません。
調査において確認したランサムウェアは、感染活動における最初のステップでした。攻撃者は、その後、感染端末からランサムウェアを展開し、感染を拡大させることを目的としていました。mhyprot2.sys はあらゆるマルウェアに組み込まれる可能性があるため、引き続き、このドライバの範囲を特定するために調査を続けています。
mhyprot2.sysモジュールの入手のしやすさ、特権を回避するためのドライバの汎用性、入念な概念実証(PoC)の存在など、これらの特徴や要因から、企業や組織のセキュリティ部門はこのドライバに対する注意が必要です。またこうした点から、このドライバの使用率は前述のルートキットよりも使用率が高い可能性があります。
また、今回紹介する攻撃者の活動における時系列と攻撃順序もセキュリティ部門にとって注目すべき点といえます。今回の事例で使用された手法の一覧は、巻末のMITRE ATT&CKをご参照ください。
活動のタイムライン
感染初期の証跡は、標的となった組織における未確認のエンドポイントからドメインコントローラにかけて確認されたsecretsdumpでした。それに続いて、ビルトインドメイン管理者アカウントによるwmiexecを使用した探索コマンドの実行が確認されました。エージェントレスでリモートマシンから資格情報をダンプするsecretsdumpと、Windows Management Instrumentation (WMI)を通じてリモートでコマンドを実行するwmiexecはどちらも、ネットワークプロトコルを扱うPython クラスのフリーコレクションである Impacketに含まれているツールになります。
その後、攻撃者は、侵害した別の管理者アカウントを使用して、RDP経由でドメインコントローラに接続しました。そこからは、このユーザアカウントですべての活動が実行されました。
そして以下の不正なファイルがデスクトップに転送され、ここで初めて脆弱性のあるドライバが確認されました。そして、kill_svc.exe がmhyprot2 サービスをインストールし、ウイルス対策機能を停止させました。
kill_svc.exe (C:\users<侵害されたユーザ>\kill_svc.exe)
mhyprot2.sys (C:\users<侵害されたユーザ>\mhyprot2.sys)
別の不正なファイル avg.msi は、netlogon (<ドメインコントローラ>NETLOGONavg.ms)の共有箇所に転送されました。このWindowsインストーラは、セキュリティソフトAVG Internet Securityを装った不正ファイルavg.exeを含んでおり、以下のファイルを作成して実行する役割を担っています。
- logon.bat - HelpPane.exe を実行し、ウイルス対策ソフトやその他のサービスを停止させ、svchost.exeを実行するバッチファイル
- HelpPane.exe - Microsoft HelpとSupportの実行ファイルを装った不正ファイル。kill_svc.exeと同様、mhyprot2.sys をインストールしてウイルス対策のサービスを停止させる
- mhyprot2.sys – 脆弱な「原神」のアンチチートドライバ
- svchost.exe - ランサムウェアのペイロード
また、このことは、攻撃者がスタートアップ/ログオンスクリプトを介してドメインコントローラを使用し、ランサムウェアを拡散させようしていたことを示しています。
こうして、netlogon共有箇所にホストされているWindowsインストーラavg.msiは、グループポリシーオブジェクト(GPO)を介して1つのワークステーションエンドポイントに展開されました。この動作は、GPO経由の展開が成功するかどうかをテストするためだったと思われますが、今回確認したケースでは失敗という結果になっていました。
その後、攻撃者は、未確認のエンドポイントからワークステーションにログインしており、その際、Logon Type 3 (Network Logon)およびLogon Type 10 (RemoteInteractive)双方のログインが確認されました。そしてWindowsインストーラavg.msiは3回手動でインストールされましたが、これも失敗に終わり、暗号化まで至りませんでした。しかしウイルス対策サービスの停止には成功しました。
また、avg.msiから展開したファイルavg.exeがデスクトップへ転送の上、3回実行されました。しかしトレンドマイクロの解析では、ウイルス対策を停止しているにもかかわらず、このステップは機能しませんでした。どうやら、.msiや.exeファイルを使用すると、アプリケーションの動作が止まってしまう状態となっていたようです。
攻撃者は、この事態に対処するため、logon.batをデスクトップに転送して手動実行を試みていました。このファイル logon.batは、本来 であれば、avg.exe によって作成・実行されるものですが、この場合は単独で使用されていました。
実際、logon.batは機能して、ランサムウェアsvchost.exeが脅迫状を作成し、ファイルを暗号化しました。このことを知って、攻撃者はランサムウェア拡散に必要な以下の3つのファイルを「lol」という名称の共有フォルダにホストしました。
- mhyprot2.sys
- kill_svc.exe(ウイルス対策サービスを停止させるためのファイル)
- svchost.exe(ランサムウェア)
上記のファイルをコピーして実行する以下のバッチファイルは、ビルドインのドメイン管理者アカウントの認証情報を使用して、WindowsツールPsExec経由で配備されました。そしてファイルip.txt上に標的ワークステーションがリストアップされました。
b.bat (C:\Users<侵害されたユーザ>Desktop/bat)
ドライバmhyprot2.sysの詳細
ドライバ mhyprot2.sys は、kill_svc.exe/HelpPane.exeによって NtOpenFile 関数を使用して読み込まれます。
mhyprot2.sys を読み込んだ後、kill_svc.exe/HelpPane.exeは、終了させるプロセスの一覧をチェックします。
その後、DeviceIoControl関数を用いて、この一覧情報がドライバに渡されます。
そして制御コード0x81034000がドライバに送信され、一覧内のプロセス停止の指示がなされます。
このように発見されたドライバmhyprot2.sysは、2020年8月に作成されたもののようです。ソーシャルメディアの流れを遡ると、2020年9月に「原神」がリリースされた直後、このドライバのモジュールが、ゲームのアンインストール後でも削除されず、また権限迂回も可能であることが認識され、ゲームコミュニティでも話題になっていました。
ユーザのkagurazakasanae氏から提供された実証実験(PoC)では、ライブラリがセキュリティソフト360 Total Securityを終了させることが確認されました。また、Kento Oki氏から提供されたより包括的なPoCでは、以下のような機能を備えていたことが確認されました。
- ユーザモードからカーネルの権限で任意のカーネルメモリの読み書き
- ユーザモードからカーネルの権限で任意のユーザメモリの読み書き
- 特定のプロセスIDによるモジュールの列挙
- システム稼働時間の取得
- 特定のプロセスのスレッドを列挙し、コマンドラインインタフェース (CLI)から直接カーネルでの PETHREAD 構造体の読み取り
- 脆弱なドライバコンテキスト(ring-0)で呼び出される ZwTerminateProcess を使用し、プロセス ID で特定のプロセスを終了
また、この問題は、Kento Oki氏がすでに「原神」開発元のmiHoYo社に脆弱性として報告していました。Kento Oki氏のPoCをきっかけに議論が深まったもの、開発元はこの問題を脆弱性として認めず、修正プログラムも提供されませんでした。もちろん、この部分のコードサイニングの証明書は、現在も失効しておらず有効であり、デバイスドライバとしてのデジタル署名も同様に有効のままとなっています。
デバイスドライバとしてのコードサイニングの複雑さ
悪用される可能性のあるデバイスドライバであり、なおかつコードサイニングが施された今回のようなモジュールは、まだ 珍しい存在といえます。この事例で特筆すべきは、有効なコードサイニングを有する正規のデバイスドライバのモジュールが、ユーザモードからカーネルモードへの特権を迂回する機能を持つという点です。仮にベンダがこれを特権迂回の脆弱性として認め、修正プログラムを提供したとしても、一度配布されたこのモジュールを消し去ることはできません。このモジュールのファイルには、今回指摘されたデバイスドライバのコードサイニングが施されてあり、このモジュール自体をカーネルモードで読み込むことを可能にします。秘密鍵の盗難によって不正なモジュールにサイニングされた場合は、コード署名の無効化のために証明書を失効させることが可能ですが、今回の場合は、正当なモジュールの悪用が行われました。秘密鍵の漏えいが確認されている様子はありませんので、証明書が失効されるかは不明です。少なくとも現時点では、コードサイニングの証明書は有効なままとなっています。
前述の通り、このモジュールは非常に入手しやすく、存在を抹消されるまでは誰でも入手可能です。特権を迂回するための便利なユーティリティとして、長い間重宝される可能性があります。証明書の失効やウイルス対策ソフトによる検出は、悪用を阻止するのに役立つかもしれませんが、合法的なモジュールであるため、現時点では決定的な解決策は無いといえます。。
前述の通り、このモジュールは非常に入手しやすく、存在を抹消されるまでは誰でも入手可能です。特権を迂回するための便利なユーティリティとして、長い間重宝される可能性があります。証明書の失効やウイルス対策ソフトによる検出は、悪用を阻止するのに役立つかもしれませんが、合法的なモジュールであるため、現時点では決定的な解決策は無いといえます。
悪用を阻止するための監視と検知
今回報告した中で特権回避による悪用の可能性があり、なおかつ有効なコードサイニングを有するデバイスドライバのファイルは、限られた数しか存在していません。
したがってセキュリティ部門やネットワーク保護の担当者は、社内のハッシュ値の存在を監視することをお勧めします。トレンドマイクロでは、少なくとも以下のファイルにおいて特権回避が可能であることを確認しました。
mhyprot2.sys(0466e90bf0e83b776ca8716e01d35a8a2e5f96d3)
また、Windowsのイベントログを監視して、ドライバに対応するサービスのインストールを確認することもお勧めします。意図しないサービスがインストールされている場合、セキュリティ侵害の可能性が高いといえます。
- Windows イベントログ (システム) - 7045: 新しいサービスがシステムにインストールされました。サービス名:mhyprot2AA
推奨事項とトレンドマイクロのソリューション
ランサムウェアの攻撃者は、標的のデバイスにマルウェアを密かに展開する方法を常に探しています。その際、人気のあるオンラインゲームやその他の娯楽を悪用することは、被害者をおびき寄せて危険なファイルをダウンロードさせる上で効果的な手口となります。企業や組織は、どのようなソフトウェアがコンピュータに導入されているかを監視し、感染を未然に防ぐための適切なソリューションを用意することが重要です。
個人ユーザや企業は、ランサムウェアの被害が及ぶ前に、不審な挙動やツールをブロックするための多層的な保護とふるまい検知機能を持つTrend Micro Vision One™など、多層的な検知と対応を提供するセキュリティソリューションが有効です。Trend Micro Apex One™は、次世代レベルの自動脅威検知と対応を提供し、人手によるランサムウェアのような高度な脅威からエンドポイントを保護します。
感染の痕跡については、こちらをご参照ください。
追加考察:Nathaniel Gregory RagasaおよびEleazar Valles
MITRE ATT&CK tactics and techniques
参考記事:
• 「Ransomware Actor Abuses Genshin Impact Anti-Cheat Driver to Kill Antivirus」
By: Ryan Soliven, Hitomi Kimura
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)