ランサムウェア
ランサムウェア「Agenda」が仮想化ツール「vCenter」や「ESXi」のサーバに拡散:独自のPowerShellスクリプトを使用
Rust言語によるランサムウェア「Agenda」の最新亜種について、VMWareのvCenterやESXiサーバに拡散する手口を中心に解説します。
ランサムウェアグループ「Agenda(別称:Qilin)」は、2022年に発見された以降も攻勢を維持し、能力強化を図ってきました。Agenda(トレンドマイクロでは「Water Galura」の名前で追跡)が狙う標的の範囲は世界各地に及び、これまでに米国やアルゼンチン、オーストラリア、タイの企業や組織を感染させてきました(攻撃者の暴露サイトによる)。標的の業界としては、金融業や法律部門を狙う傾向が見られます。
さらに、トレンドマイクロの脅威インテリジェンスデータによると、ランサムウェア「Agenda」の検知件数が2023年の12月から著しく増加しました。このタイミングでAgendaの動きが活発化したか、または標的の範囲が拡大したと考えられます。
最近に入りトレンドマイクロでは、Rust言語で作成されたAgendaの新型亜種に遭遇しました。これまでの分析によると、本ランサムウェアグループは、バイナリファイルを標的システムに送り込む手段として、リモート監視・管理(RMM:Remote Monitoring and Management)ツールや攻撃ツール「Cobalt Strike」を頻繁に利用します。今回発見されたAgendaの新型亜種についても、リモート管理ツール「PsExec」や通信プロトコル「SecureShell」を用いることで、実行ファイルを標的システム中に拡散させます。さらに、多数に及ぶ脆弱なドライバを不正利用して、防御回避を図ります。
実行
T1059.003 Command and Scripting Interpreter(コマンドおよびスクリプトのインタプリタ)
最近見られるランサムウェア「Agenda」は、複数のコマンドライン引数を受け取ります。下表に、2023年7月のバージョンと、2024年2月のバージョン間で、コマンドライン引数を比較した結果を示します。表中、変更のあった箇所を太字で示します。
水平移動・内部活動
T1021.004 Remote Services - SSH(リモートサービス - SSH)
コマンドライン引数として「--spread-vcenter」が指定された場合、Agendaは独自のPowerShellスクリプトをバイナリから抽出して実行することで、自身をVMWareのvCenterやESXiサーバに拡散させます。その影響は仮想マシンや仮想環境インフラ全体に及び、結果としてサービスの運用に支障が出る他、データや金銭の損失に至る場合もあります。
Agendaは、起動するとまず、ユーザに対してvCenterやESXiホストの認証情報に加え、拡散対象であるESXiバイナリのパスを入力するように求めます。この手続きは対話型シェルによって行われますが、被害者が進んで当該情報を入力するとは考えにくく、実際には攻撃者が何らかの形で端末をコントロールし、入力したものと考えられます。
今回のPowerShellスクリプトは、端末内にファイルという形で用意されることはなく、代わりに、稼働しているPowerShellプロセスのメモリ内部に直接書き込まれ、実行されます(ファイルレス実行)。
メモリ内に書き込まれたPowerShellスクリプトは、まずはじめに、必要なモジュールがインストール済みであるかを確認します。
次に本スクリプトは、攻撃者が名前指定したホストに接続し、全ESXiホストのルートパスワードを変更します。結果、被害者側から侵害済みホストにアクセスすることが難しくなり、この状態は暗号化の完了後も継続します。なお、変更後の新しいパスワードは、ランサムウェア「Agenda」の実行時にも要求されます。
続いて本PowerShellスクリプトは、ファイル転送のためにSSHを有効化します。
SSHの有効化後、SSHセッションを作成します。これを通して、ESXiバイナリのアップロードを行います。
アップロードが完了すると、対象のホスト側でペイロードが起動します。以上の手続きにより、ランサムウェアが標的システム中に拡散し、著しい損害を引き起こします。
T1570 Lateral Tool Transfer(ツールの内部転送)
表1で示した通り、Agendaは拡散用のコマンドライン引数を「-propagate(伝搬)」から「--spread(拡散)」に変更し、その意図を露骨に示すようになりました。本機能の行使にあたり、まず、下記パスにPsExecの実行ファイルを作成します。
%User Temp%\{ランダム}.exe
次に、下記コマンドによって当該のPsExecを実行します。
"cmd" /C %User Temp%\{ランダム}.exe -accepteula \\ -c -f -h -d "{マルウェアのファイルパス}" --password {要求されるパスワード}--spread {ホスト名} --spread-process
影響
T1486 Data Encrypted for Impact(「影響」としてのデータ暗号化)
今回、ランサムウェアグループ「Agenda」は、標的システムに繋がっているプリンタからランサムノートを印刷する機能を追加しました。本機能の行使にあたっては、ランサムノートのコピーをパス「%User Temp%\{生成されたファイル名}」に作成し、下記のコマンドを実行します。
“powershell" -Command "Get-Printer | Format-List Name,DriverName - プリンタドライバの取得に使用
"powershell" -Command " Timeout /T '0' ; Get-Content -Path '%User Temp%\{生成されたファイル名}' | Out-Printer -Name '{プリンタ名}' "
2つ目のコマンドにより、指定のプリンタからランサムノートが印刷されます。
防御回避
T1480 Execution Guardrails(実行制限)
Agendaの最新バージョンは、VMクラスタ(仮想マシンやESXiホストのグループ内でリソースを共有する仕組み)を停止する機能を備えています。本機能を行使するにあたり、下記のコマンドを使用します。
PowerShell -Command “Stop-Cluster -Force”
T1211 Exploitation for Defense Evasion(脆弱性の不正利用による防御回避)
最近発生したAgendaの事例を分析した結果、本ランサムウェアグループは、セキュリティ検知を回避するために、BYOVD(Bring Your Own Vulnerable Driver:攻撃者自ら脆弱性なドライバを持ち込む)の手口を用いていることが判明しました。BYOVD自体は新しい手口ではなく、すでに多くの攻撃グループが広域的に使用しています。具体例として、署名付きドライバ「Martini.sys」を不正利用するランサムウェア「Kasseika」の他、ランサムウェアグループ「Akira」、「AvosLocker」なども挙げられます。
ランサムウェアグループ「Agenda」の場合、感染チェーンごとに異なったドライバを利用する点で特徴的であり、これによってさまざまなセキュリティツールを強制的に停止しようとします。
Agendaが不正利用する脆弱なドライバとして、カーネル操作ツールとして一般公開されている「YDark」の他、アンチウイルスやEDR(エンドポイントの検知・応答)の検知回避ツール「Spyboy's Terminator」なども挙げられます。防御回避のために毎回異なったドライバを利用する性質は、ランサムウェアとしての柔軟な適応力を示すものです。ランサムウェアの阻止を目指すセキュリティ防衛チームにとっては、こうした巧妙な手口にいかに対処していくかが重要な鍵になると考えられます。
まとめと推奨事項
ランサムウェア「Agenda」は、仮想マシンのインフラ内部にまで拡散、侵入できる点で特徴的です。これは、背後にいる攻撃グループが、広範に渡るシステムや組織を狙っていることを示すものです。企業や組織では、ランサムウェアによる攻撃活動に警戒を払い、さらに、下記に示すセキュリティ対策の実施を推奨します。
- 必要な場合を除き、従業員に管理者権限やアクセス権を付与しない。
- セキュリティ製品を定期的にアップデートし、定時スキャンを有効化する。
- データ損失のフェールセーフ対策として、定期的にバックアップを作成する。
- メールやWebサイトの安全な利用法を理解し、実践する。添付ファイルやアプリケーション、URLリンクについては、発信者の正当性を確認できない限り、クリックまたはダウンロードしないように心がける。
- ソーシャルエンジニアリングの脅威と対策に関する教育を定期的に実施する。
企業や組織では、マルチレイヤーのアプローチを採用することにより、システムへの侵入経路(エンドポイント、メール、Web、ネットワーク)を厳重に保護することが可能です。また、セキュリティソリューションを導入することで、不正なコンポーネントや不審な挙動を検知し、攻撃を的確に阻止できるようになります。
Trend Vision One™は、マルチレイヤーによる挙動検知と保護の機能を提供します。これにより、ランサムウェア攻撃が実行される前の早い段階で、不審なツールや挙動をブロックすることが可能です。
Trend Cloud One™ - Workload Securityは、既知、未知を問わず、脆弱性を突いた脅威からシステムを保護します。この保護機能は、仮想パッチや機械学習などの技術によって実現しています。
Trend Micro™ Deep Discovery™ Email Inspectorは、独自のサンドボックスと高度な解析技術を備えています。フィッシングメールなどの不正なメールを的確にブロックすることで、ランサムウェアの侵入を阻止します。
Trend Micro Apex One™は、次世代の脅威検知・応答機能を提供します。本機能は、ファイルレス攻撃やランサムウェアなどの高度な手口にも対処可能であり、エンドポイントを安全に保護します。
Vision Oneによる脅威ハンティング用クエリ
Vision Oneによる脅威ハンティングでの有効性が見込まれるクエリとして、下記が挙げられます。
(fullPath:("C:\Users\Public\enc.exe" OR "C:\Users\Public\pwndll.dll") OR malName:*agenda*) OR (objectFilePath: ("C:\Users\Public\enc.exe" OR "C:\Users\Public\pwndll.dll"))
侵入の痕跡(IoC:Indicators of Compromise)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script
By: Arianne Dela Cruz, Raymart Yambot, Raighen Sanchez, Darrel Tristan Virtusio
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)