トレンドマイクロは、検出回避のために Windows スクリプトファイル(拡張子「.WSF」)を拡散に利用する暗号化型ランサムウェア「Locky」を確認しました。Windows スクリプトファイルは、複数のスクリプト言語を1つのファイルの中で組み合わせる機能を備えています。従来のセキュリティ対策製品では Windows スクリプトファイルを検出対象ファイルとして設定していないため、この手法を利用することで、検出困難となります。
とはいえ、2016年5月の「CERBER」拡散のスパムメール活動で Windows スクリプトファイルが利用されたため、この方法は特に斬新な手法ではありません。これは、「CERBER」が Windows スクリプトファイルを利用することでサンドボックスやブラックリストなどのセキュリティ対策の回避に成功するのを見て、「Locky」の背後にいる攻撃者がその方法を真似た、とも考えられます。
■ 侵入経路とソーシャルエンジニアリングの手法
この「Locky」 の亜種は、ユーザの PC に侵入するために、Windows スクリプトファイルを含む ZIPファイルが添付されているスパムメールを利用します。メールには「bank account record(銀行口座明細)」「annual report(年次報告書)」「company database(会社のデータベース)」などの件名が利用されているところから、企業を攻撃対象としていると推察されます。弊社は、スパムメールのほとんどが、欧州で従業員が仕事を開始する時間帯である協定世界時午前9時から午前11時の間に送信されていることを確認しました。さらに収集したデータからは、スパムメール活動が平日に多く、週末に減少していることも確認されています。
図1:スパムメールのメッセージ例
図2:Windows スクリプトファイルが添付されたスパムメールの数(2016年7月13日~8月3日)
図3:スパムメールの送信数/毎時(2016年7月25日~29日)
また、弊社は「アノニマスからの音声メールメッセージ」という件名のスパムメールの例も確認しました。これは、サイバー犯罪者が、ハッカー集団「Anonymous(アノニマス)」の人気を利用しようとしたことを意味するかもしれません。もしくは、アノニマスは単に匿名の人物を指しているとも考えられます。
図4:「アノニマスからの音声メールメッセージ」という件名のスパムメール
このスパムメール活動の第一波は7月15日に確認され、その際それぞれのメールは異なる IPアドレスから発信されていました。最初にスパムメールが発信されていた国はセルビア、コロンビア、およびベトナムでした。そして7月18日と19日に確認されたスパムメール活動の第二波では、タイやブラジルといった国から送信されています。
■ なぜ Windows スクリプトファイルなのか
Windows スクリプトファイルは、暗号化型ランサムウェア本体のダウンローダとして利用されています。この手法を利用することで、静的ファイルに対応していないサンドボックス解析といったセキュリティ対策を回避します。そして、スクリプト言語の組み合わせによって暗号化されるため、解析を困難にします。
VBScript や JavaScript の利用と同様に、Windows スクリプトファイルも不正プログラムのダウンロードを可能にします。「Locky」の場合、Windows スクリプトファイルによってダウンロードされる暗号化型ランサムウェアは、それぞれ異なるハッシュ値を持つため、ブラックリストによる検出が困難です。弊社が検出したある検体は、正規のファイルとして扱われるために「Yahoo Widget」のファイルのプロパティを装っていました。
図5:「Yahoo Widget」のプロパティを偽装する不正プログラム
図6:Windows スクリプトファイルによってダウンロードされるランサムウェアは、それぞれ異なるファイル名とハッシュ値を持つ
■ 更に詳しい調査
解析の結果、この暗号化型ランサムウェアが、脅迫状を表示する前にユーザPC の表示言語を確認するため、レジストリキーの利用を確認しました。例えば、設定されている言語が英語であれば、脅迫状は英語で表示されます。このように最初にシステムの表示言語を確認する挙動は、「JIGSAW」や「CRYPTLOCK」、そして「警察を装うランサムウェア(REVETON)」でも確認されています。
図7:脅迫状を表示する前に PC の表示言語を確認する暗号化型ランサムウェア
図8:英文の脅迫状
図9:ブラジルポルトガル語の脅迫状
この「Locky」の亜種は、コマンド&コントロール(C&C)通信のネットワークのトラフィックを暗号化するためために、プロトコル「Secure Shell(SSH)」、またはオープンソースのソフトウェア「OpenVPN」を利用します。通信していた C&Cサーバのうちの1つは、「Deep Web(ディープWeb)」にある匿名通信システム「The Onion Router(Tor)」のWebサイト、zjfq4lnfbs7pncr5[.]onion[.]to にありました。
他の「Locky」の亜種と同様に、この亜種もファイルをすべて暗号化した後、拡張子を「.ZEPTO」に変更します。「Locky」はまた、ファイルの拡張子を「.ZEPTO」に変えるためにネイティブAPI を利用します。
弊社は、この新しい「Locky」亜種がブラジルのアンダーグラウンド市場で販売されていたことから、作成者はブラジル在住であると推測します。また、「unknown_antisec」と名乗る人物が、弊社のブラジルのアンダーグラウンド市場についてのブログ記事(最初にトレンドマイクロブラジルのブログで公開されたもの)をFacebookでシェアし、内容について考察しているのを確認しています。問題のユーザは、和訳すれば「奴らがランサムウェアを持ってきた、さあ飲め」といった意味になるブラジルポルトガル語の表題をつけていました。ブラジルのサイバー犯罪者は、自作の商品やサービスを宣伝するためにソーシャルメディアや表層Webを主に利用します。
暗号化型ランサムウェア「Locky」の作成者は、マクロに始まり、JavaScript および VBScript、そして Windows スクリプトファイルの利用へと改良を加え続けています。このファイル形式であれば、暗号化型ランサムウェア「RAA」に利用されていた JScript のようなスクリプト言語でもなんでも、難読化のために組み合わせることが可能です。
■ トレンドマイクロの対策
Windows スクリプトファイルの利用によって従来のサンドボックス解析を回避してしまうため、「Locky」の新しい亜種を最初の段階で阻止しなければなりません。弊社の製品は、「Locky」を拡散する、Windows スクリプトファイルが添付されたスパムメールを検出することによって、入口で防衛することができます。そのようにして、不正なファイルが実行されることを阻止します。この新しい「Locky」に関連する挙動はすでに検出されているため、サンドボックス機能により、不正プログラムがシステム上で実行されることを阻止することができます。
個人ユーザおよび企業は、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策をとることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
関連するSHA1ハッシュ値:
JS_LOCKY.DLDVEF
- 0A17D419461F2A7A722F4E15C2760D182626E698
- 0B4396BD30F65B74CE38F7F8F6B7BC1E451FBCCC
- 0C82F9EBC4ACE5D6FD62C04972CF6A56AA022BFD
- 21DCA77E6EF9E89C788EE0B592C22F5448DE2762
- 288C7C4FA2FC2A36E532F938B1DC18E4918A0E36
- 69DA16CB954E8E48CEA4B64A6BBC267ED01AB2B3
- 6A9B6AE21C5F5E560591B73D0049F6CA2D720122
- 752AB2146016BCAFBFE17F710D61D3AD3822F849
- 8BDC38B005E09B34C1BCE94529158DE75408E905
- B8B79E8BAF39E0E7616170216B25C1505974F42C
- 5994eb7696e11818d01bc7447adcf9ec5c1c5f13
- 936ac2f42a1a641d52ba8078c42f5879e2dd41a0
- 0b7b2ba3c35e334bf5bc13929c77ecaf51758e2b
- 3bc8656186ee93d25173ba0f3c07a9cced23e7cd
- 08f1565514122c578da05cbf8b50ee9dcfa41af6
- 4641fb72aaf1461401490eaf1916de4103bbece5
- 3790c8bc8e691c79d80e458ba5e5c80b0b12a0c8
- 91762a5406e5291837ed259cd840cf4d22a2ddfa
- 005cc479faa2324625365bde7771096683312737
- eb01089b3625d56d50e8768e94cfef1c84c25601
JS_LOCKY.DLDVEJ
- 812FBF9E30A7B86C4A72CCA66E1D2FC57344BB09
- AE78A7B67CB5D3C92406CFA9F5FB38ADC8015FDF
- 0e76d8fd54289043012a917148dacda0730e4d88
- c76222e1206bad8e9a4a6f4867b2e235638a4c4c
JS_LOCKY.DLDVEL
- A2420F7806B3E00DB9608ABF80EE91A2447F68AD
- A94CE98BCC9A130AA88E9655672497C701BDA4A5
- fc591d83cdebe57b60588f59466ec3b12283cc2c
- 719f0d406038b932805d338f929d12c899ec97e1
JS_LOCKY.DLDVEP
- DA0FD77C60A2C9A53985A096BDAE1BEF89034A01
- 56dd1d2b944dae25e87a2f9b7d6c653b2ece4486
RANSOM_LOCKY.DLDVEO
- 180BDD12C3EE6D8F0A2D47DDAAD5A2DAA513883E
- 2C62F7B01DD423CEF488100F7C0CA440194657D9
- 6DECCBB36F4E83834985FE49FC235683CF90F054
- E2D94F69134D97C71F2B70FC0A3558B30637E46D
- E3E49BF06CD03FB0EA687507931927E32E0A5A1C
RANSOM_LOCKY.DLDVEF
- 22DE960D38310643C3E68C2BA8EC68D855B43EBD
RANSOM_LOCKY.DLDVEL
- 5A044104A6EED7E343814B3E0FC2DB535C515EA2
- 9BA7499C98E2B52303912352E1ACA694552E0E86
- 9F48FA841FC8B0E945C43DB5B18B37BDF2DA8F5B
RANSOM_HPLOCKY.SM2
- 3329FB8FD5E664CCDE59E12E608E0BCE3EF95225
- 5BE1DE4A018B746953381EA400278D25E7C3D024
- B2D1E7860F617014E0546B9D48450F221FE118EC
- BB8ABA09BC9B97C7358B62F2FF016D05955A5967
RANSOM_HPLOCKY.SM3
- 1A46C45A443B1C10EAA9AA317CD343B83160828F
- A2899353B237E08A7570C674D05D326D43173231
- D8FF29CFF5341B361CA3CEE67EABBD22698DAA2B
RANSOM_LOCKY.F116GT
- 565951232E4A1D491D932C916BC534E8FB02B29B
RANSOM_LOCKY.F116GS
- E362B04FE7F26663D7D43DD829D3C4310B2FC699
RANSOM_LOCKY.SMA6
- 6014A6AFDF09EDEB927A9A6A4E0DF591D72B1899
- DCDB228D515F08673542B89ABB86F36B3B134D72
※協力執筆者:Franklynn Uy および Jon Oliver
参考記事:
- 「New Locky Ransomware Spotted in the Brazilian Underground Market, Uses Windows Script Files」
by Trend Micro
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)