LockerGoga:ランサムウェアを装ったワイパー型マルウェア
エグゼクティブ サマリー
ランサムウェア攻撃の頻度は、ここ数年で上昇しています。この種のマルウェアは甚大な被害を与える可能性があります。基幹システムに感染すると業務にまで影響が出る可能性もあります。そうしたマルウェアは無数ありますが、その新しい例が LockerGoga です。これはランサムウェアの変種で、洗練されていないとはいえ、組織や個人に甚大な被害をもたらす危険性を秘めています。他にも、ランサムウェアを装ったワイパー型マルウェア(NotPetya など)も確認しています。
以前の LockerGoga では、感染したシステムに保存されているファイルを暗号化することで、それらのデータをアクセス不可能にしてきました。データが暗号化されると、復号化キーと引き換えに Bitcoin での支払を要求する身代金要求文が表示されます。最近の LockerGoga の亜種の一部では、同じ暗号化手口を使用する一方で、暗号化の完了後に被害者を強制的にログオフさせ、システムに再度ログインできなくする機能を備えています。これらのケースの大半では、被害者が支払要求に応じるどころか、身代金要求メッセージの確認すらできないのです。この種の LockerGoga は壊滅的であると言えます。
LockerGoga に関連する初期の感染経路は現在のところ不明です。ただし感染手段には、未修正の脆弱性のエクスプロイトや、ユーザの資格情報のフィッシングなど、多様な可能性が考えられます。これらの手段は、最初の突破口から侵入範囲を広げる上でも役立ちます。不正取得したユーザの資格情報は攻撃者にとって特に価値が高いと言えます。脆弱性のエクスプロイトでも、たとえば「SamSam」攻撃
では、インターネットに接続されている脆弱なサーバを侵入経路に利用しています。
LockerGoga の詳細
実際に観察された LockerGoga サンプルのいくつかは、Sectigo 社から ALISA LTD 社に発行された証明書で署名されているようです。
これはマルウェア検出の回避措置だと考えられます。有効な証明書で署名された実行可能ファイルは、未署名の実行可能ファイルほど細かく分析されないためです。ただし問題の証明書はすでに発行者によって無効化されています。
LockerGoga の感染プロセスでは、実行可能ファイルが標的マシンの %TEMP% ディレクトリにコピーされ実行されます。
また Talos では、次のコマンド構文を使用して Windows イベント ログを消去しようとする LockerGoga の亜種も確認しています。
その後は身代金要求文を作成し、暗号化プロセスを開始します。LockerGoga は、重要データの保存によく使われるファイル形式に幅広く対応しています。ファイルが暗号化されると元のファイル(暗号化前のファイル)が削除され、拡張子が *.LOCKED の暗号化データに置き換えられます。他の一般的なランサムウェアと異なり、LockerGoga はごみ箱内のファイルまで暗号化します。
LockerGoga の亜種で別の興味深い点は、ファイルが個別に暗号化されていると考えられる点です。実際にサンプルからは、ファイルを個別に暗号化するコマンドが観察されています。以下の図はその一例です。この手のコマンドは非効率的でオーバーヘッドが発生するため、一般的には使われていません。
LockerGoga の身代金要求文
LockerGoga が感染に成功すると、身代金要求文を README_LOCKED.txt というテキスト ファイルとして被害者のデスクトップに書き込みます。同じファイル名の身代金要求文は、1 月に Talos が観察した別のキャンペーンでも使われていました。身代金要求文をメモ帳で開くと、次のような内容が表れます。
別の興味深い点ですが、最近の洗練されたランサムウェアの多くと異なり、要求文には身代金の支払方法が記載されていません。また、Bitcoin や Monero の Wallet アドレスも含まれていません。攻撃者に連絡するための電子メール アドレスが 2 つ記載されているに過ぎないのです。ただしそれらの電子メール アドレスも、Talos が分析したサンプルごとに異なっています。
攻撃者がリモート アクセスで使う専用のコマンド アンド コントロール(C2)サーバも存在しないようです。他にも、攻撃者の信頼性を向上させ、被害者が要求を呑む可能性を上げるため、少数の暗号化ファイルを無料で復号化することも提案しています。また、感染先のネットワークで自己増殖する能力が(少なくとも)確認されていない点も特異だと言えます。
まとめ
ユーザの写真であろうと社内文書であろうと、データは私たちすべてにとって貴重なリソースです。そうした貴重なデータを人質に取るランサムウェアは、今後も重大な脅威であり続けると言えます。ランサムウェアはこれまでも利益目的で使用されてきたほか、ネットワーク運用を妨害し、分析をより困難して痕跡を隠すために使用されたケース(Not Petya 攻撃など)もあります。
未修正の脆弱性のエクスプロイトから、電子メールや Web を介したマルウェアの配信、不正取得した(または購入した)資格情報の使用まで、攻撃の種類や手口は多岐にわたっています。セキュリティの基本原則が重要なのは、まさにこれが理由です。AMP などの製品が提供する保護機能だけでなく、エンドポイントをほぼリアルタイムで可視化できるソリューションへの必要性も増しています。Duo のような多要素認証(MFA)を導入すれば、水平方向のアクセスを制限することで初期感染を防ぎ、感染拡大を遅らせることができます。ランサムウェアやワイパー型マルウェアに対抗する上で、ネットワーク アーキテクチャや適切なネットワーク セグメンテーションに関して確立されたベスト プラクティスに従うことも助けになります。Talos は今後もマルウェアの監視を続け、新しい亜種や手口からお客様を引き続き保護いたします。
注:今回の記事では、Talos が調査中の事柄に関して扱っています。そのため記事の情報には不確定な部分もありますが、調査が進むにつれて更新される予定です。
カバレッジ
LockerGoga は現在もシスコのセキュリティ製品によって検出されています。シスコのセキュリティ製品は、LockerGoga などのランサムウェアから組織を保護します。
ThreatGrid インジケータ レポートの例:
AMP による検出例:
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。
侵害の兆候
次の侵害の兆候は、LockerGoga ランサムウェアによる攻撃との関連性が観察されています。
LockerGoga 実行ファイル(SHA256):
c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15
88d149f3e47dc337695d76da52b25660e3a454768af0d7e59c913995af496a0f
eda26a1cd80aac1c42cdbba9af813d9c4bc81f6052080bc33435d1e076e75aa0
ba15c27f26265f4b063b65654e9d7c248d0d651919fafb68cb4765d1e057f93f
7bcd69b3085126f7e97406889f78ab74e87230c11812b79406d723a80c08dd26
C3d334cb7f6007c9ebee1a68c4f3f72eac9b3c102461d39f2a0a4b32a053843a
身代金メッセージ送信元の電子メール アドレス:
MayarChenot@protonmail[.]com
DharmaParrack@protonmail[.]com
SayanWalsworth96@protonmail[.]com
DharmaParrack@protonmail[.]com
wyattpettigrew8922555@mail[.]com
SuzuMcpherson@protonmail[.]com
QicifomuEjijika@o2[.]pl
AsuxidOruraep1999@o2[.]pl
RezawyreEdipi1998@o2[.]pl
AbbsChevis@protonmail[.]com
IjuqodiSunovib98@o2[.]pl
RezawyreEdipi1998@o2[.]pl
Tags:本稿は 2019年3月20日に Talos Group
