ランサムウェア
ランサムウェア「BabLock(別称:Rorschach)」を解析
本稿では、ランサムウェア「LockBit」と似た性質を持ち、高度な回避技術によって迅速に攻撃を行うランサムウェア「BabLock(別称:Rorschach)」について解説します。
近年、奇異ながらも効果的な手口によって迅速に攻撃を進めるランサムウェア「BabLock(別称:Rorschach)」が話題になっています。トレンドマイクロでは以下の検出名であるBabLockは、ランサムウェア「LockBit」を母体としながらも、他のさまざまなランサムウェアを断片的に取り寄せてつなぎ合わせた構成となっています。なお、今回報告するBabLockと、現在第3バージョンを展開しているLockBitの攻撃グループは、それぞれ異なる組織であると考えられます。
Ransom.Win64.LOCKBIT.THGOGBB.enc
本稿では、BabLockが用いる攻撃チェーンや、その背後にいると考えられる攻撃グループの分析結果について解説します。
発見
トレンドマイクロでは2022年6月、感染端末内のファイルに特殊な拡張子を付加するランサムウェア(後にBabLockとして識別)を発見しました。従来型のランサムウェアでは多くの場合、「1検体あたり1拡張子」の方針に基づき、同じ固定文字列による拡張子が全対象ファイルに付加されます。これに対しBabLockでは、固定文字列の末尾に「00」から「99」までの乱数を付け足した形式の拡張子が、ファイルごとに個別で付加されます。この結果、ある感染端末内でランサムウェア「BabLock」が一度起動しただけでも、ファイルに応じて異なった拡張子が付加されるようになります。
調査結果によると、BabLockは常に複数のコンポーネントによるパッケージ構成で標的端末内に配備されます。通常、各コンポーネントの内容は下記の通りです。
- ランサムウェアとしての主機能を担う暗号化されたファイル「config.ini」
- サイドロードされる不正なDLL(「DarkLoader」に相当し、config.iniの復号およびランサムウェアのインジェクションを行う)
- 上記の不正なDLLをサイドロードする際に利用される無害な実行ファイル
- 上記の無害な実行ファイルを正しいパスワード付きで起動するためのCMDファイル
DarkLoaderのDLLは、特定のコマンドに対するチェック処理を行います。例として、コマンド「--run」については、暗号化処理の開始に必要な4桁のパスワードをチェックします。指定のパスワードが正しい場合に限り、DLLはランサムウェアの主機能を呼び出します。なお、「config.ini」を復号する処理において本パスワードが使用されることはありません。
無害な実行ファイルからサイドロードされたDLLは、まずはじめに、現在の実行パス上に「config.ini」のファイルが存在するかをチェックします。存在する場合、DLLは当該のconfig.iniを復号した上で、特殊なコマンドラインを添えて「notepad.exe(Windowsのメモ帳)」を起動します。
今回の攻撃キャンペーンでは、いくつかの特徴的な動作パターンが一貫して確認されました。その概要を下記に示します。
- ランサムウェアの主機能は多くの場合、ファイル「config.ini」として配布され、その内容は暗号化されている。
- config.iniの復号は、本攻撃キャンペーン用に作成されたローダ(弊社では「Trojan.Win64.DarkLoader」として検知)によって行われる。
- DarkLoaderは、「DLLサイドローディング」の手口によって無害な実行ファイルから起動される。
- BabLockは端末内の各ファイルに特殊な拡張子を付加する。この拡張子は、固定文字列の末尾に「00」から「99」に至る乱数を付け足した形式を持ち、ファイル毎に個別で定義される(例えば、一度の感染処理によって「extn00」から「extn99」に至る拡張子のいずれかがファイル毎にランダムに選ばれて付加される)。
- DarkLoaderのDLLは、その種類を問わず、暗号化されたランサムウェア「config.ini」を復号できる。また、その際に他の実行ファイルなどを必要としない。
- DarkLoaderのDLLは、APIの使用状況を解析されないようにするため、重要度の高い少数の「SysCall命令」を直接呼び出して利用する。
- 復号後のBabLockは、仮想環境での解析を阻止するため、VMProtectによる圧縮が施されている。
- BabLockをロードするために、API「Ntdll.RtlTestBit」のインジェクションが行われる。当該APIは、処理対象をランサムウェアのコード側に強制的にジャンプさせる形でフックされている(書き換えられている)。
- 「--run」で指定するパスワードは、攻撃事例によって異なる場合も見られた。しかしいずれのパスワードも似通ったものとなっている。
奇異ながらも優れた手口
弊社が2022年6月にはじめてBabLockに遭遇した際、他にも似たようなファイルが存在するかどうか、調査を行いました。その結果、最古のもので2022年3月付けのファイルが発見されました。当該ファイルがかなりの期間に渡って気づかれることなく潜伏し続けた理由について、さらなる調査が必要であると考えました。
2022年6月以降、本ランサムウェアに関する事例は、最新のものを含めて少数しか報告されていません。そのため、本稿執筆時点においては、標的とされる地域や業界、または被害者の傾向を明確に示す十分な統計データが得られていません。
しかし、BabLockは特徴的な機能や性質を持つため、攻撃の特定自体は比較的容易に行えます。先述の通り、BabLockによって暗号化されたファイルには、ハードコーディングされた固定文字列に「00」から「99」までの乱数を付け足した拡張子が付加されます。結果として、同じ固定文字列を含む拡張子が最大100パターン生成されることになります。
BabLockは下記の通り、巧妙な手法でランサムウェアとしての処理を実行します。
- ランサムウェアとしての処理を行うにあたり、特定の数字からなるパスワードを要求する。
- 機能を複数のコンポーネントに分割する。
- ランサムウェアの実機能を担うペイロードを分離し、暗号化されたファイル内に隠蔽する。
- ローダとして正常なアプリケーションを用いる。
さらにBabLockは、一般公開されているツールを感染チェーンの一部として利用します。最もよく使用されるツールとして、下記が確認されています。
BabLockとLockBitには、拡散を支援する目的でActive Directory(AD)のグループポリシーを設定する機能が備わっています。攻撃者はこれらの機能と上述したツールを組み合わせることにより、標的ネットワーク上を移動しようとします。
BabLockをLockBitや他のランサムウェアと比較
BabLockによる処理の大半は、他のどのランサムウェアよりもLockBit(2.0)と近い関係にあることが、分析によって判明しました。一方、「Babuk」や「Yanluowang」など他のランサムウェアとの類似性を指摘する報告も見られます。
弊社では調査当初、BabLockがランサムウェア「DarkSide」に繋がっている可能性を考えました。これは、ランサムノート(脅迫状)の文面が類似しているためです。しかし、BabLockはシャドーコピーを削除する際に下記のコマンドラインを用いる点で、DarkSideとは異なります。
vssadmin.exe delete shadows /All /Quiet
このため、BabLockがDarkSideに繋がっている可能性は低いと結論付けました。なお、DarkSideではシャドーコピーを削除する際に、Windows Management Instrument(WMI)やPowerShell(技術的にはこちらの方が優れた手法であり、標準的な監視ツールに対する検知回避の性能が高い)を使用します。
BabLockとLockBit(2.0)の間に見られる類似点の1つは、デスクトップ上のドロップ用パス生成時に、同じグループポリシーを用いることです。また、コマンド「vssadmin」によるシャドーコピーの削除も、LockBitの攻撃に多用される手口の1つです(ただし、最近見られる他の多くのランサムウェアもこれに該当)。さらに、Active Directoryの管理用ツール「GPUpdate」を起動する際にも、同一のコマンドが使用されます。このように両者の間には顕著な類似性が認められるため、弊社ではBabLockをランサムウェア「LockBit」に属するものとして検知します。
これまでの分析結果を踏まえると、BabLockは既知のさまざまなランサムウェアファミリから処理を断片的に切り取り、縫い合わせたような作りになっていると考えられます。
考察および結論
トレンドマイクロがBabLockとはじめて遭遇した時期は、偶然にもLockBit v3.0がリリースされた時期と重なります。しかし、BabLockは構造的に多くの面でLockBit v2.0の方に近いことが分かりました。そのため、BabLockはLockBitとは別の提携者またはグループによって運用されていると推測されます。LockBit v3.0がリリースされてからすでに1年以上が経過しましたが、BabLockのペイロードに変化は見られず、最新の攻撃事例についても同様です。この点からも、BabLockとLockBitのグループ間に繋がりはなく、緊密な提携関係にもないことが示されます。現状で判明していることとして、BabLockの背後にいる攻撃グループがLockBit v2.0をメイン機能として流用した点や、他のさまざまなランサムウェアを断片的につなぎ合わせることで独自仕様を作り出した点などが挙げられます。また、これらの機能が今後さらに強化される可能性も考えられます。
推奨事項
今回のような攻撃から企業や組織のシステムを保護する上では、各種リソースを自動的に割り当ててランサムウェアへの強固な防御網を構築できるセキュリティフレームワークが特に有効です。また、企業や組織では、下記ガイドラインの導入について検討することを推奨します。
Here are the lines placed into bullet tags with "AAA" as requested:
- データや資産の棚卸しを行う
- 承認済み、および未承認の機器やソフトウェアを特定、分類する
- イベントやインシデントのログを監視する
- ハードウェアやソフトウェアの設定を適切に管理する
- 管理者権限やアクセス権は、必要な場合にのみ、当該従業員のロールに割り当てる
- ネットワークのポート、プロトコル、サービスを監視する
- 正規なアプリケーションのみを起動できるように、ソフトウェアのホワイトリストを設定する
- データの保護、バックアップ、復旧の仕組みを導入する
- 多要素認証(MFA:Multifactor Authentication)を有効化する
- メール、エンドポイント、Web、ネットワークを含む全レイヤー向けに最新版のセキュリティソリューションを導入する
- システム内に存在する不審なツールなど、攻撃の兆候に警戒する
企業や組織では、多面的なアプローチを用いることで、エンドポイントやメール、Web、ネットワークなど、システム侵入に繋がるさまざまな経路を保護できます。また、不審な挙動や疑わしい要素を発見できるセキュリティソリューションは、ランサムウェアによる脅威を阻止するために役立ちます。
「Trend Vision One™」は、多層防御と挙動検知機能を提供し、ランサムウェアがシステムに損害を与える前に、疑わしい挙動やツールを早期にブロックすることを可能とします。
「Trend Micro Cloud One™ Workload Security」は、脆弱性を不正利用する既知及び未知の脅威からシステムを保護します。このような保護の実現には、仮想パッチや機械学習等の技術が用いられています。
「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスや高度な解析技術を用いて、ランサムウェアの侵入口となるフィッシングメールを含む不正なメールを効果的にブロックします。
「Trend Micro Apex One™」は、ファイルレス攻撃やランサムウェア等、より高次元の脅威に対し、次世代レベルの自動脅威検知機能及び防御を提供し、確実にエンドポイントを保護します。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
An Analysis of the BabLock (aka Rorschach) Ransomware
By: Don Ovid Ladores, Byron Gelera
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)