ダークウェブ上のランサムウェアドメインの匿名性解除
- Talos は、パブリック IP アドレスでホストされているランサムウェア攻撃者のダークウェブサイトを特定する手法を開発し、これまで謎に包まれていたランサムウェアグループ DarkAngels、Snatch、Quantum、Nokoyawa のインフラを明らかにしました。ここでは、その 3 つの手法を紹介します。
- パブリックインターネット IP を特定するために使用したのは、攻撃者の TLS 証明書のシリアル番号とページ要素をパブリックインターネット上の対応するインデックスと照合するという方法です。このほか、ランサムウェア攻撃者が犯したセキュリティミスも利用しました。
- ランサムウェア攻撃者が使用しているダークウェブのインフラの匿名性を暴くことで、ホスティングプロバイダーはネットワークでの違法行為を減らし、攻撃者の追跡を強化し、警察の捜査に役立つ情報を提供できるようになります。また、活動方法を変更する必要があるため、ランサムウェア攻撃に時間がかかるようになります。
ランサムウェアのインフラを取り巻く状況
ランサムウェア攻撃者は通常、違法行為を隠すために活動範囲をダークウェブに限定します。公開リークサイトおよび被害者とやり取りするポータルを TOR(The Onion Router)ネットワークにのみ開設し、具体的な URL は直接伝えます。サイトにアクセスするのは、同じグループの攻撃者と被害者、こうしたサイトを追跡して見つけ出すセキュリティ研究者だけです。攻撃者が TOR ネットワークを正しく使用していれば匿名性はそれなりに維持されますが、設定ミスをすると活動内容が公になり、セキュリティ研究者や警察の注目を集めます。ランサムウェア攻撃者は、何が何でもこうした事態を避け、匿名のまま活動できるようにあらゆる手を尽くします。
Talos は、複数の事例で、ダークウェブ上の攻撃者のインフラをホストするパブリック IP アドレスを特定しました。これらの IP アドレスから、パブリックインターネット上のユーザーは誰でもリークサイトなどの攻撃インフラにアクセスできる状態になっています。TOR によるネットワークの匿名性を解除すれば、ホスティングプロバイダーはネットワークでの違法行為への対策を講じることができ、Talos は違法行為を見つけたときに攻撃者の動向に変化がないか監視できます。
TOR のこうした隠しサービスについては、ウェブ検索エンジンでは直接インデックスが作成されないため、いくつかの方法を用いてクリアウェブの攻撃者のインフラを明らかにしました。その 1 つが、ダークウェブサイトに関連付けられている攻撃者の自己署名入り TLS 証明書とそのアイコン(ファビコン)を特定し、クリアウェブをインデックス化して、ダークウェブのものと同じ証明書とアイコンがパブリックインターネットで使用されているかどうかを確認するという方法です。所在地を特定できる機密性の高いサーバーデータを攻撃者がうっかり公開している事例もありました。このミスを利用して、攻撃者がランサムウェアサーバーを管理するために使用している IP アドレスのリストを入手することができました。
このような方法で、ランサムウェアグループが使用しているクリアウェブのインフラを明らかにしました。これまでに特定できたのは DarkAngels、Snatch、Quantum、Nokoyawa のものです。
方法 1:TLS 証明書の照合
TLS 証明書を照合することでランサムウェアグループの匿名性を解除できることがよくあります。ダークウェブサイトに関連付けられている攻撃者の自己署名入り TLS 証明書を特定し、クリアウェブをインデックス化して、同じ証明書がパブリックインターネットで使用されているかどうかを確認するという方法です。
通常、ランサムウェアサイトでは SSL/TLS は使用されません。SSL/TLS には証明機関が発行する証明書を含める必要があり、証明書を識別マーカーとして使用できるからです。SSL/TLS 証明書には、一意のシリアル番号や暗号キー情報などの識別情報が含まれているため、他の Web サイトで同じ識別情報が利用されていれば追跡できます。匿名性を維持できることがダークウェブを使用する大きなメリットなのですが、個人を識別できる証明書は Web サイトの背後にいる攻撃者の特定に役立ちます。ランサムウェアグループがダークウェブで SSL/TLS を使用してサイトを運営しているのは、安全な環境だという印象を被害者に与え、合法的な活動だと感じさせるためかもしれません。
DarkAngels
この方法で特定に成功したのが DarkAngels ランサムウェアグループです。DarkAngels の前身は Babuk だと言われています。DarkAngels の活動内容は他のランサムウェアグループとほぼ同じです。TOR 隠しサービスとしてブログサイトを開設し、被害者のデータを公開するまでのカウントダウンタイマーを設置します。さらに、被害者がチャットルームに入る際に使用するリンクも設置します。このチャットルームで、DarkAngels アフィリエイトと身代金の支払い交渉を行うことになります。
TOR ネットワーク上の Dark Angels ランサムウェアグループのホームページ
TOR ネットワーク上の Dark Angels サイトで提供されている TLS 証明書とそのシリアル番号を強調表示
Web クローラ
Shodan などの Web クローラは、パブリックインターネットをインデックス化する高性能のプログラムです。インターネット対応のサービスを実行しているホストコンピュータに関して無数の情報を提供します。Shodan が提供するサービスの 1 つに、TLS 証明書情報のカタログ化があります。Talos は、Shodan のインデックスを利用して、DarkAngels グループが自身のために作成した証明書と同じ証明書をシンガポールにあるホストも使用していることを確認しました。このホストの IP アドレスは 89.38.225[.]166 で、whois.ripe.net で調べると M247 LTD Singapore(AS9009)に属しています。
Shodan は、このホストに関して他にも次の情報をカタログ化しています。
匿名性解除
公開 Web 上のこのホストにアクセスしたところ、同じ情報がホストされており、誰でも閲覧できる状態になっていました。
また、TLS 証明書のシリアル番号も TOR 隠しサービスでホストされているサイトで使用されているものと同じです。
DarkAngels グループは TLS ページを使用して被害者とやり取りするためのページを TOR 隠しサービスとクリアウェブでホストしているため、このやり取り用のページを特定のホスティングプロバイダーに関連付けることができます。
関連付けられたドメイン
2021 年以降、89.38.225[.]166 の Domain Name System(DNS)レコードに A レコードとして以下のドメインがリストされています。
- myob[.]link
- myob[.]live
- myob[.]live
- myob[.]live
ランサムウェア攻撃者がプライバシードメイン登録プロキシサービスを使用して登録したドメインであり、匿名性を維持することが目的だと思われます。2022 年 5 月 11 日現在も、login.myob[.]link は DarkAngels がインフラをホストするために使用している IP アドレスに解決されます。
公開された秘密キーとログインポータル
データベースの接続文字列情報が詳しく記載されている .env ファイルも一般公開されているらしく、ファイルにはすべてのチャットログが保持されているようです。内容を見れば、APP_SECRET 鍵を確認できます。この事例では、攻撃者は Symfony を使用しているようです。Symfony は、Web アプリケーションを作成するためのフレームワークです。
サイトで動作するサービス用のログインポータルも存在するようです。
Snatch ランサムウェア
Snatch ランサムウェアグループも同じく、TOR 隠しサービスと SSL/TLS 証明書を使用して、書き込みとデータリーク用のサイトをホストしています。ただし、この事例では、メインページに snatch[.]press を指すクリアウェブリンクを掲載しています。
盗難データに関する Snatch ランサムウェアグループのブログ
Snatch がランサムウェアのインフラをホストするために使用しているプロバイダーを特定したいのですが、Cisco Umbrella を送信元とするテレメトリによると、snatch[.]press の URI は毎日のように頻繁に入れ替わっています。
ただし、これは話の一面にすぎません。snatch[.]press が現在解決される IP アドレスを見ると、次のようになっています。
この IP でホストされている Web ページを Web ブラウザで閲覧すると、接続に失敗したという応答が返されます。
同じように証明書の照合方法を使用すると、hxxps://snatch[.]press でホストされている証明書のシリアル番号が他の 2 つの IP アドレスに関連付けられていることを確認できます。そのうちの 1 つが、ページを実際にホストしているアドレスです。
この TLS 証明書をホストしている 2 つの IP アドレスは、スウェーデンのホスティングプロバイダーに属するアドレスです。ページをホストしている IP アドレスにアクセスすると、場所を確認できます。
Snatch ランサムウェアグループのホスティング IP アドレス
方法 2:ファビコンの照合
クリアインターネット上のダークウェブサイトを明らかにするために使用した方法が、「ファビコン照合」というプロセスです。ファビコンは URL に関連付けられているアイコンです。ブラウザのアドレスバーまたはブックマークリストのサイト名の横に表示され、Web サイトのブランディングバッジを視覚的に表します。照合方法は TLS 証明書の照合とほぼ同じです。パブリックインターネット上のファビコンファイルのインデックスを作成することができるので、ダークウェブ上の特定のファビコンがクリアインターネットにも表示されるかどうかを確認します。ファビコンファイルは通常、共通の命名規則を用いてパブリックディレクトリに保存されるため、簡単に見つけられます。ここでも Web クローラの Shodan が活躍します。Shodan は公開されている Web サイト全体をクロールしながら favicon.ico ファイルをインデックスに登録します。
Quantum ランサムウェアグループ
ファビコン照合を用いてパブリックインターネットでホストされているダークウェブ上のインフラを検出できた一例が Quantum ランサムウェアグループです。Quantum は先ごろ、ランサムウェア攻撃をすばやく仕掛けることでニュースに取り上げられましたが、基本的な運用セキュリティ(OPSEC)のミスを犯さないわけではありません。他のランサムウェアグループと同じように、Quantum は TOR 隠しサービスでブログを運営し、被害者から盗んだデータを掲載します。
匿名性解除
Quantum が TOR ネットワークで隠しサービスとして運営するブログには、Web ルートディレクトリに favicon.ico として保存されているファビコンファイルが含まれています。このファイルを取得することで、対応するハッシュ値を計算できます。このようなファビコンファイルのハッシュのインデックスを Shodan が登録していれば、ハッシュを検索できます。
この事例では、この特定のファビコンファイルを使用しているサイトは他に 1 つだけでした。クリアウェブの IP アドレス 185.38.185[.]32(オランダの AS60781 の一部)を取得すると、サイトにアクセスしてそのアドレスが同じコンテンツをホストしていることを確認できます。
同じことを発見した
研究者 Soufiane Tahiri 氏(@S0ufi4n3)に敬意を表します。
関連付けられたドメイン
この IP を DNS で逆引きすると、先ごろ注目を集めたドメインがこの IP を指していることを確認できます。また、動的 DNS サブドメインが数多くあります。
- quantumleap[.]quest
- iwasruninhome[.]site
- staceyvicari[.]com
- ddns[.]mobi
- 123ddns[.]com
方法 3:重大な運用セキュリティエラー
ランサムウェア攻撃者が重大なセキュリティエラーを犯して、匿名性が完全に解除されることがあります。次に紹介するケーススタディでは、ランサムウェア攻撃者がファイル権限を適切に設定しておらず、明らかなディレクトリトラバーサルの脆弱性がありました。この脆弱性を利用して、ランサムウェア管理者の所在地を特定できました。
Nokoyawa
Nokoyawa は比較的新しいランサムウェアグループであり、Karma ランサムウェアグループとの間でコードの類似性が多く見られます。ほとんどのランサムウェアグループと同じく、ネットワークに侵入してそのコンテンツを暗号化した後、システム管理者向けの身代金要求メッセージを残します。メッセージには TOR 隠しサービスの Web アドレスが含まれていて、被害者がランサムウェア アフィリエイトとチャットで復号鍵の交渉を開始できるようになっています。隠しサービスの Web アドレスには、攻撃対象の各企業に一意と思われる識別子も含まれています。
http://lirncvjfmdhv6samxvvlohfqx7jklfxoxj7xn3fh7qeabs3taemdsdqd.onion/pay?id=qruytnwpfyfjozignatcmtblnhtcqgaa
チャットウィンドウには、被害者が暗号化ファイルをアップロードする方法が記載されています。概念実証として、ランサムウェア攻撃者がファイルを 1 つか 2 つ復号し、復号方法が機能することを示すことになっています。ただし、この事例では、Web ポータルを設置したランサムウェア アフィリエイトが重大なセキュリティミスを犯したために正体がばれてしまいました。
大盛り上がりのディレクトリトラバーサル
共有ファイルの URL をチェックすると、リンクには HTTP パラメータがいくつか含まれていました。
download?id=qruytnwpfyfjozignatcmtblnhtcqgaa&file=gbrberodgkmsqplz.NOKOYAWA&type=download_upload
file= パラメータに手を加えれば、ディレクトリトラバーサルを実行できます。
download?id=qruytnwpfyfjozignatcmtblnhtcqgaa&file=../../../../etc/passwd&type=download_upload
匿名性解除
このコマンドは、Web ディレクトリを横断してルートにアクセスし、システムファイル /etc/passwd を取得するように Web サーバーに指示するものです。通常、システムファイルは機密性が高く、ユーザー権限設定とアクセス制御リストで保護されていますが、ランサムウェア攻撃者が Web サーバーを設定するときに単純なデータセキュリティミスを犯したために、今回はうまく取得できました。それだけではありません。通常はシステムの root ユーザーしかアクセスできないファイルも、ディレクトリトラバーサルで入手できました。つまり、専用の Web サーバーユーザーアカウントではなく root ユーザーとして Web サーバーを実行しているようなものです。こうなると、匿名性解除は造作もありません。/var/log/auth.log* をプルして、正常に機能したリモートログイン接続を検索するだけです。
Secure Shell(SSH)でログイン試行がうまくいくというのは、そのホストのユーザーがランサムウェア Web サーバーを管理できる有効なログイン情報を持っているということです。次の 2 つの IP アドレスから root ユーザーログインが正常に機能することを確認しました。
- 230.29[.]12
- 119.0[.]195
さらに調査を続けた結果、5.230.29[.]12 は Virtual Private Server(VPS)ホスティングサービスを提供している GHOSTnet GmbH に属していることを確認できました。コンピュータネットワークの犯罪者が、実際の居場所を隠すために VPS をネットワークプロキシ(中継ポイント)として使用することはよくあります。一方、176.119.0[.]195 は AS58271 に属し、Tyatkova Oksana Valerievna という名前で登録されています。攻撃者が正体を隠すためにドイツの VPS を使用することを忘れて、実際の居場所である 176.119.0[.]195 から直接この Web サーバーでのセッションにログインした可能性があります。
管理者ログインポータル
この Web サーバーの管理者ログインポータルも確認されています。ログイン情報の開示によって外部の攻撃者が正常にログインできた場合、Nokoyawa ランサムウェアのインフラをその攻撃者が制御することになる可能性があります。
一般に公開されている Nokoyawa ランサムウェアグループのインフラ管理者ログインポータル
まとめ
これまで紹介してきたとおり、オンラインで正体を隠すため、また Web サーバーのインフラをホストしている場所を突き止められないように、ランサムウェア攻撃者は数々の予防措置を講じています。Web サーバーの匿名性を確保するために TOR ネットワークを使用し、DNS プロキシ登録サービスを使用して、登録先のドメイン名から自分の名前が推定されないようにしています。Talos の経験では、ほとんどのランサムウェア攻撃者は居住国以外(スウェーデン、ドイツ、シンガポールなど)のホスティングプロバイダーを使用して、ランサムウェア攻撃用サイトをホストします。リモート管理タスクのためにランサムウェア Web インフラに接続する際は、VPS をプロキシ(中継ポイント)として使用して実際の居場所を隠します。こうした手法の一部を公開することで、ランサムウェアグループが正体を隠すために利用するツールと手順について知識が得られます。また、グループの活動の実態についての理解が深まります。
本稿は 2022 年 06 月 28 日に Talos Group
Tags:
