ASEC(AhnLab Security Emergency response Center)は最近 GlobeImposter ランサムウェアが活発に拡散していることを確認した。この攻撃は MedusaLocker 攻撃者によって行われている。具体的なパスは確認できなかったが、感染ログで確認できる様々な根拠によって、攻撃が RDP を通して行われていると推定することができる。
攻撃者は GlobeImposter 以外にもフォトスキャナー、Mimikatz のような様々なツールをインストールしており、これを利用して企業の内部であると確認できる場合は、内部ネットワークも攻撃の対象になるものと見られる。
1. RDP を利用したランサムウェアのインストール
RDP、すなわちリモートデスクトップサービスを攻撃ベクトルに利用し、攻撃者は一般的に外部から接続できるシステムを対象に RDP が有効になっているシステムをスキャンする。スキャンプロセスで見つけたシステムについて総当たり攻撃や辞書攻撃などを行う。もしユーザーが不適切なアカウント情報を使用している場合、攻撃者は簡単にアカウント情報を獲得することができる。
攻撃者が獲得したアカウント情報でリモートデスクトップを利用してシステムにログインする場合、このシステムについての制御を獲得できるため、その後様々な不正な振る舞いを実行することができる。GlobeImposter をインストールした攻撃者も RDP を攻撃ベクトルとして使用したものと推定される。それぞれの事例について後述で扱うが、根拠としては以下の通りである。
A. エクスプローラープロセス(explorer.exe)によるマルウェアの生成
B. RDP 関連設定よびログの削除
C. RDP を攻撃ベクトルとして使用する MedusaLocker ランサムウェアの攻撃者の関連性
攻撃者は主に「ミュージック」フォルダー内に「skynet work」フォルダーを生成した後、このパスにマルウェアをインストールする。このランサムウェアの攻撃は昨年から発生し続けており、最近までも同じパスを使用していたのが特徴である。以下は過去に同じ攻撃者の攻撃事例で確認されたログであり、エクスプローラープロセス、すなわち explorer.exe がマルウェアを生成することが確認できる。このような振る舞いは RDP を通して接続されたシステムにマルウェアをインストールするときと同じであるため、RDP が攻撃ベクトルとして使用されたという推測の根拠になる。
これ以外にも MedusaLocker 攻撃者との関連性が存在する。最近 HHS から、MedusaLocker ランサムウェア攻撃者が RDP を利用してランサムウェアに感染させるといったレポートが発表されたことがある。[1] MedusaLocker 攻撃グループは、以前から RDP を攻撃ベクトルとして使用しており、米国のサイバーセキュリティ・社会基盤安全保障庁(Cybersecurity and Infrastructure Security Agency、CISA)でも関連情報を公開していた。[2]
重要な点は、最近攻撃に使用されている GlobeImposter ランサムウェアのランサムノートで確認されたメールアドレスと onion アドレスが、以前 CISA から公開された MedusaLocker 攻撃グループが使用するリストに含まれている点である。
そして、多数のログを調査していたところ、いくつかのランサムウェアの攻撃事例で GlobeImposter と MedusaLocker がともに使用されていた事例も確認された。すなわち MedusaLocker ランサムウェアの攻撃者は RDP を主な攻撃ベクトルとして使用し、不適切に管理されているシステムを対象に攻撃を行っており、最近では攻撃に MedusaLocker の代わりに GlobeImposter ランサムウェアを主に使用していることがわかっている。
2. 攻撃プロセスで使用されるマルウェア
Figure 1.でわかるように、攻撃者は様々なマルウェアを感染システムにインストールする。インストールされるツールは主にスキャナーおよびアカウント情報窃取ツールである。これを通して感染システム以外にも、このシステムが含まれたネットワークも攻撃対象になり得ると推定できる。
- advanced_port_scanner.exe, advanced_port_scanner_2.5.3869.exe : ポートスキャナ
- 「kamikadze new」 フォルダー内ファイル : Mimikatz
- netpass (1).exe : NirSoft 社の Network Password Recovery ツール
- networkshare_pre2.exe : 共有フォルダースキャナ
攻撃者は RDP でシステムを掌握した後、上記のツールを利用してネットワークをスキャンし、感染システムが特定ネットワークに含まれているかを確認する。もし、特定のネットワークに含まれている場合は、このネットワークに存在する他のシステムも暗号化するために、内部偵察およびアカウント情報、そしてラテラルムーブメントプロセスを行う。
以下は当社 ASD(AhnLab Smart Defense) インフラで確認されたログであり、攻撃者が攻撃に使用した Mimikatz コマンドである。sekurlsa::logonpasswords コマンドは、現在システムのメモリに保存されている確認可能なすべてのアカウント情報を出力し、これらをドメイン環境から獲得したアカウント情報は、ラテラルムーブメントを使用することができる。
攻撃者はランサムウェア以外にも XMRig コインマイナーもインストールケースがあるが、Figure 1. で確認された Miners.exe がこれにあたる。すなわち MedusaLocker 攻撃者は、ランサムウェアを利用して感染システムを暗号化させることもあるが、XMRig をインストールしてコインを採掘する場合もある。
- Mining Pool : pool.supportxmr[.]com:3333
- User : 49c2xjofxbxkydovzvfart2ekruhe6wiep55xcjaogaq1dugduyzgxphd1zx6j21nvv5emtupnfr39sulbp1ggczqwfzjmc
- Password : x
3. GlobeImposter
「Skynet work」フォルダー内の ols.exe ファイルは GlobeImposter ランサムウェアである。GlobeImposter はファイルの暗号化では AES 共有鍵アルゴリズムを、暗号化に使用されたキーは RSA 公開鍵 / 個人鍵を使用するランサムウェアである。[3]
| 概要 | 説明 |
|---|---|
| 暗号化方式 | AES / RSA-1024 |
| 拡張子 | .onelock |
| 暗号化除外パス | 以下の項目を参照 |
| 暗号化除外拡張子 | 以下の項目を参照 |
| ランサムノート | how_to_back_files.html |
| その他 | RunOnce キー登録 ボリュームシャドーサービスの削除 イベントログの削除 RDP ログの削除 |
GlobeImposter は実行すると、新しい RSA-1024 公開鍵 / 個人鍵のペアを生成し、RSA 公開鍵を利用して、ファイルの暗号化に使用される AES 鍵を暗号化する。生成された RSA 個人鍵は、攻撃者の RSA 公開鍵に暗号化されるが、この鍵はバイナリに暗号化されて存在する。RSA 公開鍵は以下のようにハードコーディングされた AES キーで復号化することができる。
GlobeImposter は継続性維持のため、まず自身を %LOCALAPPDATA% パスにコピーして、RunOnce キーに登録し、再起動後に動作するように設定する。そして攻撃者の個人鍵について、SHA256 ハッシュ値を名前にしたファイルを %PUBLIC% パスに生成後、キー情報を暗号化して保存する。
その後システム内部にファイルを暗号化するが、暗号化除外対象のパスと拡張子リストのような設定データは AES キーで暗号化されている。設定データを復号化するのに使用される AES キーは、上記のような攻撃者の個人鍵についての SHA256 ハッシュ値である。以下は復号化プロセスを通して獲得した除外パスおよび暗号化除外拡張子のリストである。
| 暗号化除外パス |
|---|
| Windows, Microsoft, Microsoft Help, Windows App Certification Kit, Windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Windows Phone Kits, Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, Windows Sidebar, WindowsPowerShell, NVIDIA Corporation, Microsoft.NET, Internet Explorer, Kaspersky Lab, McAfee, Avira spytech software, sysconfig, Avast, Dr.Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla, Firefox, Opera, YandexBrowser, ntldr, Wsus, ProgramData |
| 暗号化除外拡張子 |
|---|
| .onelock, .dll, .sys, .exe, .rdp, .ini, .revenlock8, .revenlock9, .revenlock10, .locklock, .allock, .allock2, .allock3, .allock4, .allock5, .allock6, .allock7, .allock8, .allock9, .allock10, .netlock1, .allock1, .allock02, .allock03, .allock05, .allock06, .allock07, .allock08, .alloc |
ファイルの暗号化プロセスが完了すると、以下のような Batch ファイルを生成して実行する。Batch ファイルはボリュームシャドーコピーとログ削除機能を担っている。削除されるログにはイベントログと RDP 関連のログがある。これによってランサムウェア攻撃は RDP を通して行われ、攻撃者が自身の接続記録を削除するための目的でランサムウェアがこのような機能を追加したものとみられる。
ランサムノートは感染したフォルダーに「how_to_back_files.html」という名前で生成される。ランサムノートもまた、既知の GlobeImposter のランサムノートとは異なり、以前の Carbon Black で公開したレポートで確認された MedusaLocker のランサムノートと同じ特徴がある。[4]
4. 結論
攻撃者は、以前から初期侵入プロセスおよびラテラルムーブメントのプロセスにおいて RDP を利用し続けてきた。このような攻撃は主に、不適切なアカウント情報を持っているシステムについて総当たり攻撃および辞書攻撃を通して行われる。特に MedusaLocker 攻撃者以外にも、多数のランサムウェアの攻撃者が、RDP を代表的な初期攻撃ベクトルとして使用している。
ユーザーは RDP を使用しない場合は無効化することで攻撃の試みを減らすことができる。もし RDP を使用している場合は、アカウントのパスワードを複雑にして、周期的に変更することで総当たり攻撃および辞書攻撃を防がなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Ransomware/Win.MedusaLocker.R335910 (2022.11.23.00)
– Trojan/Win32.FileCoder.R228072 (2018.05.16.01)
– Trojan/Win32.RL_CoinMiner.C4078402 (2020.04.25.01)
– Trojan/Win32.RL_CoinMiner.C4078402 (2020.04.25.01)
– Trojan/Win32.RL_Mimikatz.R366782 (2021.02.18.01)
– Trojan/Win.Mimikatz.R433236 (2021.07.23.01)
– Trojan/Win.Mimikatz.R434976 (2021.07.31.01)
– HackTool/Win.Scanner.C5310311 (2022.11.21.03)
– HackTool/Win.Scanner.C5310305 (2022.11.21.03)
– Trojan/Win.Mimikatz.R433236 (2021.07.23.01)
– Trojan/RL.Mimikatz.R248084 (2018.12.10.01)
– Unwanted/Win32.Agent.R266440 (2019.04.23.00)
– HackTool/Win.PSWTool.R345815 (2022.09.02.00)
ビヘイビア検知
– Persistence/MDP.AutoRun.M224
– Ransom/MDP.Event.M4428
IOC
MD5
– 715ddf490dbaf7d67780e44448e21ca1: GlobeImposter ランサムウェア (ols.exe)
– 646698572afbbf24f50ec5681feb2db7: MedusaLocker ランサムウェア (olm.exe)
– 70f87b7d3aedcd50c9e1c79054e026bd: XMRig コインマイナー (Miners.exe)
– f627c30429d967082cdcf634aa735410: NirSoft 社の Network Password Recovery (netpass (1).exe)
– 597de376b1f80c06d501415dd973dcec: 共有フォルダースキャナ (networkshare_pre2.exe)
– 4fdabe571b66ceec3448939bfb3ffcd1: ポートスキャナ (advanced_port_scanner.exe)
– 6a58b52b184715583cda792b56a0a1ed: ポートスキャナ (Advanced_Port_Scanner_2.5.3869.exe)
– 4edd26323a12e06568ed69e49a8595a5: Mimikatz (mimik.exe)
– a03b57cc0103316e974bbb0f159f78f6: Mimikatz (mimispool.dll)
– ddfad0d55be70acdfea36acf28d418b3: Mimikatz (mimilib.dll)
– 21ea77788aa2649614c9ec739f1dd1b8: Mimikatz (mimikatz.dll)
– 5e1a53a0178c9be598edff8c5170b91c: Mimikatz (86.exe)
– bb8bdb3e8c92e97e2f63626bc3b254c4: Mimikatz (64.exe)
C&C
– hxxp://46.148.235[.]114/cmd.php : XMRig コインマイナー
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報