ランサムウェアの攻撃者は、組織の内部ネットワークを掌握した後、ランサムウェアを配布し、システムを暗号化して復旧のための金銭を要求する方式で収益を得た。しかし最近では、システムを暗号化する以外にも組織の内部データを流出させたあとに、対価を支払わなければこれを公開するという脅迫方法を同時に使用している。
一般的にランサムウェアの攻撃者はデータを収集したあと、圧縮して外部に流出させる。データを流出させる際は、複数の正常なユーティリティが使われる。ファイルの暗号化に使用されるランサムウェアや初期侵入時に使用するマルウェアとは異なり、自ら制作しなくても、すでに大容量のデータを安定的に転送する機能をサポートするユーティリティが多数存在するためである。
数年間に渡り多数のランサムウェアの攻撃者が活動を続けてきたが、データ流出プロセスで使われたものと知られているツールは、数種類が大半を占めている。攻撃者たちは主に FTP プロトコルやクラウドを利用してデータを流出させるが、FTP 方式の場合 WinSCP、FileZilla が主に使用され、クラウドの場合は MegaSync および Rclone が多く使用される。これらのプログラムは、一般ユーザーや管理者が業務や個人的な目的で使用する有名なツールである。すなわち、企業内部のシステムに存在するデータを流出させる際は正常なツールを使用するため、AntiVirus 製品単独でこれを完全にブロックするには限界がある。
AhnLab EDR(Endpoint Detection and Response)は、韓国国内唯一の振る舞いベースの解析エンジンを基盤に、エンドポイント領域に対し強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知・対応ソリューションである。AhnLab EDR は疑わしい振る舞いに関するタイプ別の情報を常時収集し、検知および解析、対応の観点から、ユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じた原因把握と適切な対応、再発防止プロセスを確立できる。
ここでは、データ流出段階で管理者がそれを認知し原因の把握と適切な対応を実行できるよう、攻撃者が主に使用するツールを AhnLab EDR を活用して検知できるケースを取り上げる。
1. WinSCP
WinSCP は、クライアントとサーバー間のファイル転送をサポートする FTP クライアントツールである。無料でありながら FTP だけでなく FTPS、SFTP、SCP 等、様々なプロトコルをサポートしているため、一般ユーザーもよく使用する有名な FTP クライアントツールの一つである。
これにより、Hive [1](外部サイト、英語にて提供)、Akira [2](外部サイト、英語にて提供)、Maze [3](外部サイト、英語にて提供) ランサムウェア等、様々な攻撃者がデータ流出段階でこのツールを使用したケースが知られている。AhnLab EDR は、正常なプログラムである WinSCP を利用して情報を転送する振る舞いについて、以下のように主な振る舞いとして検知し、管理者がこれを認知できるようにサポートする。
2. FileZilla
FileZilla もまた WinSCP のように FTP、FTPS、SFPT プロトコルをサポートする FTP クライアントツールであり、大半の機能を無料で使用できるため、多くのユーザーが利用している。
組織の内部データを窃取するのに FileZilla を使用するランサムウェアの攻撃者には、LockBit [4](外部サイト、英語にて提供)、Conti [5](外部サイト、英語にて提供)、BlackCat(ALPHAV) [6](外部サイト、英語にて提供) がある。AhnLab EDR は、正常なプログラムである FileZilla を利用して情報を転送する振る舞いについて、以下のように主な振る舞いとして検知し、管理者がこれを認知できるようにサポートする。
3. MegaSync
MEGA はクラウドストレージサービスを提供する業者であり、大容量のファイルのアップロード/ダウンロードのために MegaSync というクライアントプログラムをサポートする。ランサムウェアの攻撃者は、内部ネットワークを掌握したあと、窃取したデータを圧縮して MEGA クラウドにアップロードするが、このとき MEGA クラウドが提供する MegaSync をインストールしてアップロードするケースが多数存在する。
データ流出段階で MegaSync を使用するものと知られているランサムウェアの攻撃者には、Nefilim [7](外部サイト、英語にて提供)、Money Message [8](外部サイト、英語にて提供)、Revil [9](外部サイト、英語にて提供) がいる。AhnLab EDR は、正常なプログラムである MegaSync を利用して情報を転送する振る舞いについて、以下のように脅威として検知し、管理者がこれを事前に認知できるようにサポートする。
4. Rclone
Rclone は様々なクラウドストレージサービスに対し、ファイル転送機能をサポートするプログラムである。サポートする OS も Windows、Linux、Mac 等、ほとんどの OS であり、サポートするクラウドサービスも Dropbox、Google Drive、Microsoft OneDrive、MEGA クラウド等、大半をサポートしていることが特徴である。攻撃者はアップロードに使用するクラウドサービスとアカウント情報を設定ファイルに保存した後、以下のようなコマンドで流出させるデータをアップロードする。[10](外部サイト、英語にて提供)
Rclone が様々なクラウドサービスをサポートしていることもあり、上記で取り上げた他のツールよりもはるかに多くの攻撃者および攻撃事例において使用される傾向がある。上記で取り上げた Revil、Conti、Akira、BlackCat 以外にも、BlackBasta [11](外部サイト、英語にて提供)、Cactus [12](外部サイト、英語にて提供)、DarkSide [13](外部サイト、英語にて提供)、Royal [14](外部サイト、英語にて提供) ランサムウェアの攻撃者が Rclone を使用したケースが確認されている。AhnLab EDR は、正常なプログラムである Rclone を利用して情報を転送する振る舞いについて、以下のように脅威として検知し、管理者がこれを事前に認知できるようにサポートする。
5. 結論
ランサムウェアの攻撃者は、組織の内部ネットワークを掌握した後、システムを暗号化する前に内部データを窃取して脅迫に利用している。攻撃者は、内部データの流出プロセスで主に WinSCP、FileZilla、MegaSync、Rclone のようなツールを使用する。これらのツールは多数のユーザーが正常な目的で利用しているツールである。そのため、これらのツールを AntiVirus 単独で検知したり、遮断することは困難である。
AhnLab EDR は、内部データの流出プロセスで使用される正常なツールを脅威および主な振る舞いとして検知し、管理者がこれを事前に認知できるようにサポートする。管理者はこれにより、原因の把握と適切な対応を行うことができ、ランサムウェアの攻撃にさらされた後も、攻撃対象となったシステムで攻撃者の証跡資料として侵害事例の調査に必要なデータを確認することができる。
振る舞い検知
– Execution/DETECT.WinSCP.M11619
– Execution/DETECT.FileZilla.M11618
– Execution/EDR.Behavior.M10486
– Infostealer/EDR.Rclone.M11475
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories: AhnLab 検知