ASEC (AhnLab Security Emergency response Center)は最近、Crysis ランサムウェア攻撃者が Venus ランサムウェアを攻撃に同時使用していることを確認した。Crysis と Venus ランサムウェアはどちらも主に外部に公開されたリモートデスクトップサービスを攻撃対象とすることで知られている代表的なランサムウェアである。[1](英語外部サイト)実際に当社 AhnLab Smart Defense(ASD)インフラで確認されたログを通しても、攻撃が RDP によって行われているものと推定している。
攻撃者は Crysis と Venus ランサムウェア以外にもポートスキャナ、Mimikatz のような様々なツールをインストールしている。これらのツールを利用して感染システムが企業のイントラネットであると確認された場合、内部ネットワークも攻撃対象となるおそれがあり、実際の事例も確認されている。
1. RDP を利用したランサムウェアのインストール
RDP、すなわちリモートデスクトップサービスを攻撃ベクトルに利用し、攻撃者は一般的に外部から接続できるシステムを対象に RDP が有効になっているシステムをスキャンする。スキャンプロセスで見つけたシステムについて総当たり攻撃や辞書攻撃などを行う。もしユーザーが不適切なアカウント情報を使用している場合、攻撃者は簡単にアカウント情報を獲得することができる。
攻撃者が獲得したアカウント情報でリモートデスクトップを利用してシステムにログインする場合、このシステムについての制御を獲得できるため、その後様々な不正な振る舞いを実行することができる。Venus ランサムウェアをインストールした攻撃者も RDP を攻撃ベクトルに使用したものと推定され、以下のようにエクスプローラープロセス(explorer.exe)により多数のマルウェアが生成されることが根拠の一つである。
過去に確認された攻撃において、攻撃者はまず Crysis ランサムウェアを通じて感染システムの暗号化を試みており、失敗すると再び Venus ランサムウェアを利用して暗号化を試みている。
参考に、この攻撃者は同じ Crysis ランサムウェアを利用してこれ以降にも別のシステムを対象に攻撃を何度も実行している。確認された攻撃のうちの一つでは、同様に外部に公開された RDP サービスを対象としており、攻撃に成功すると別のシステムにも RDP で接続し、Crysis ランサムウェアを感染させている。
2. 攻撃プロセスで使用されるマルウェア
攻撃者は様々なマルウェアを感染システムにインストールする。インストールされるツールはスキャナ、およびアカウント情報窃取機能を担うツールであり、それらの大半は NirSoft 社が製作したものであることが特徴である。これを通して感染システム以外にも、このシステムが含まれたネットワークも攻撃対象になり得ると推定できる。
| ファイル名(パス名) | 種類 |
|---|---|
| 1.exe_ | Venus ランサムウェア |
| bild.exe_ | Crysis ランサムウェア |
| \mimik\x32\mimik.exe \mimik\x32\mimilib.dll \mimik\x64\mimik.exe \mimik\x64\mimilib.dll |
Mimikatz |
| webbrowserpassview.exe | Web Browser Password Viewer – NirSoft |
| mailpv.exe | Mail PassView – NirSoft |
| vncpassview.exe | VNCPassView – NirSoft |
| wirelesskeyview64.exe | Wireless Key View – NirSoft |
| bulletspassview64.exe | BulletsPassView – NirSoft |
| routerpassview.exe | RouterPassView – NirSoft |
| mspass.exe | MessenPass (IM Password Recovery) – NirSoft |
| rdpv.exe | Remote Desktop PassView – NirSoft |
| netpass64.exe | Network Password Recovery – NirSoft |
| ns64.exe | Network Share Scanner |
攻撃者は RDP でシステムを掌握した後、上記のツールを利用してネットワークをスキャンし、感染システムが特定ネットワークに含まれているかを確認する。もし、特定のネットワークに含まれている場合は、このネットワークに存在する他のシステムも暗号化するために、内部偵察およびアカウント情報収集プロセスを行うことがある。Mimikatz はこれらのプロセスで使用される場合があり、収集したアカウント情報を利用してネットワーク内の他のシステムにラテラルムーブメントを行うことがある。実際の Crysis ランサムウェアの攻撃事例において、攻撃者は RDP を利用してネットワーク内の他のシステムにラテラルムーブメントを行った。
攻撃者は最終的に Crysis ランサムウェアを実行してシステムの暗号化を試みており、数時間後に失敗を認識すると再び Venus ランサムウェアを攻撃に使用した。Crysis ランサムウェアが正常に動作した場合、ユーザーは以下のようなランサムノートを確認することになる。
- 攻撃者のメールアドレス : datacentreback@msgsafe[.]io, moriartydata@onionmail[.]org
3. Venus ランサムウェア
「Download」フォルダー内に攻撃者がコピーしたファイルのうち、Venus ランサムウェアは「bild.exe_」という名前を持っている。
| 概要 | 説明 |
|---|---|
| 拡張子 | .venus |
| 暗号化除外パス | “Tor Browser”, “Windows”, “dropbox”, “iexplorer” |
| 暗号化除外パス | “venus”, “README.txt”, “README.html” |
| ランサムノート | README.html |
| 終了対象のプロセス | 以下の項目を参照 |
| その他 | ボリュームシャドウコピーの削除 |
Venus ランサムウェアはより多くのファイルを暗号化するため、まず Office、電子メールクライアント、データベース等の様々なプログラムを終了させる。
| 終了対象のプロセスリスト |
|---|
| agntsvc.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, onenote.exe, oracle.exe, outlook.exe, powerpnt.exe, sqbcoreservice.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlservr.exe, sqlwriter.exe, synctime.exe, tbirdconfig.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe, xfssvccon.exe |
「.venus」拡張子に対応するアイコンを登録したあとファイルの暗号化を実行するが、暗号化されたファイルの拡張子が「.venus」に変更され、ユーザーには以下のようなアイコンに変更されたファイルが表示される。
Venus ランサムウェアがボリュームシャドウコピーを削除するために使用するコマンドは以下の通りである。
> cmd.exe /C wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
ここまでのプロセスが完了すると、デスクトップ画面を変更して README ファイルを表示させる。README ファイルにはシステムの情報を窃取しファイルを暗号化したことを知らせる内容と共に、48時間以内に連絡をするようにとの内容が記載されている。
- 攻撃者のメールアドレス : venusdata@onionmail.org
4. 結論
攻撃者は、以前から初期侵入プロセスおよびラテラルムーブメントのプロセスにおいて RDP を利用し続けてきた。このような攻撃は主に、不適切なアカウント情報を持っているシステムについて総当たり攻撃および辞書攻撃を通して行われる。特に、この Venus ランサムウェアの攻撃事例の Crysis 攻撃者以外にも、多数のランサムウェアの攻撃者が、RDP を代表的な初期攻撃ベクトルとして使用している。
ユーザーは RDP を使用しない場合は無効化することで攻撃の試みを減らすことができる。もし RDP を使用している場合は、アカウントのパスワードを複雑にして、周期的に変更することで総当たり攻撃および辞書攻撃を防がなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Trojan/Win32.Crysis.R213980 (2018.11.23.00)
– HackTool/Win.PassViewer.C5353353 (2023.01.08.03)
– Ransomware/Win.Venus.C5220541 (2023.02.20.03)
– Trojan/Win64.Mimikatz.R348743 (2020.08.20.07)
– Trojan/Win32.RL_Mimikatz.R281240 (2019.07.14.00)
– Trojan/Win32.RL_Mimikatz.R364133 (2021.01.25.01)
– Trojan/Win.Mimikatz.R428853 (2021.07.02.01)
– HackTool/Win.Mailpassview.C5353346 (2023.01.08.03)
– HackTool/Win.PassViewer.C5353355 (2023.01.08.03)
– HackTool/Win64.WirelessKeyView.C3697346 (2020.05.21.06)
– HackTool/Win.PassViewer.C5353358 (2023.01.08.03)
– Unwanted/Win32.Agent.R266440 (2019.04.23.00)
– HackTool/Win.PSWTool.R345815 (2022.09.02.00)
– HackTool/Win.PassViewer.C5353351 (2023.01.08.03)
– Unwanted/Win32.HackTool.C613821 (2014.11.01.00)
– Unwanted/Win32.Passview.C568442 (2014.09.23.00)
ビヘイビア検知
– Ransom/MDP.Decoy.M1171
– Ransom/MDP.Command.M2255
– Ransom/MDP.Event.M1785
IOC
MD5
– 67b1a741e020284593a05bc4b1a3d218 : Venus ランサムウェア (1.exe_)
– 786ce74458720ec55b824586d2e5666d : Crysis ランサムウェア (bild.exe_)
– 51373c09f0cb65ab149b0423d85f057e : Mimikatz (\mimik\x32\mimik.exe)
– 4984b907639851dfa8409e60c838e885 : Mimikatz (\mimik\x32\mimilib.dll)
– 8d0a0f482090df08b986c7389c1401c2 : Mimikatz (\mimik\x64\mimik.exe)
– 3a302cd820b1535ccc6545542bf987d1 : Mimikatz (\mimik\x64\mimilib.dll)
– 57445041f7a1e57da92e858fc3efeabe : Web Browser Password Viewer (webbrowserpassview.exe)
– cc2d70a961bc6dce79168ae99ab30673 : Mail PassView (mailpv.exe)
– d28f0cfae377553fcb85918c29f4889b : VNCPassView (vncpassview.exe)
– 2a541cb2c47e26791bca8f7ef337fe38 : Wireless Key View (wirelesskeyview64.exe)
– 7f31636f9b74ab93a268f5a473066053 : BulletsPassView (bulletspassview64.exe)
– 3684fe7a1cfe5285f3f71d4ba84ffab2 : RouterPassView (routerpassview.exe)
– df218168bf83d26386dfd4ece7aef2d0 : MessenPass (mspass.exe)
– 44bd492dfb54107ebfe063fcbfbddff5 : Remote Desktop PassView (rdpv.exe)
– f627c30429d967082cdcf634aa735410 : Network Password Recovery (netpass64.exe)
– 597de376b1f80c06d501415dd973dcec : Network Share Scanner (ns64.exe)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報