コマンド&コントロール(C&C)のサーバに正規サービスを利用することは、検出を回避するためによく利用される手法です。ランサムウェアは、通常、収集した情報を自身のC&Cサーバへそのまま送信しますが、中にはそうでないファミリも存在します。例えば、暗号化型ランサムウェア「cuteRansomware(キュートランサムウェア)」は、ユーザの PC から収集した情報を送信するために、Google の文書・表計算・プレゼンテーション作成アプリケーション「Googleドキュメント」を利用します。
トレンドマイクロは、2016年9月初旬、無料オンライン画像共有サービス「Imgur」を自身の C&Cサーバに悪用する暗号化型ランサムウェア「CryLocker(クライロッカー)」(「RANSOM_MILICRY.A」として検出)を確認しました。「Imgur」は、ユーザがアルバムに画像をアップロードし、他者と画像を共有することができる Webサイトです。弊社は、エクスプロイトキット活動の監視中に、「Rig Exploit Kit(Rig EK)」および「Sundown Exploit Kit(Sundown EK)」が、「CryLocker」を拡散しているのを確認しました。
暗号化型ランサムウェアが感染PC から収集した情報を「Portable Network Graphics(PNG)」の画像ファイルにパッケージ化する手法は、今回初めて確認されました。「CryLocker」に利用される PNGファイルは、ユーザを追跡する役割も果たし、感染PC から情報が収集した情報を PNGファイルに加工して、Imgur のアルバムにアップロードします。「CryLocker」の背後にいるサイバー犯罪者は、検出回避して感染PC に常駐するためにこの手法を利用したと考えられます。弊社は、Imgur のサービスを悪用する「CryLocker」の活動について、Imgur に報告済みです。
図1:ユーザのデータが PNGファイルに加工され Imgur のアルバムへ送信される
■ 侵入方法と解析結果
弊社は、2016年9月1日から2日にかけて Rig EK が「malvertisement(不正広告)」を利用して「CryLocker」を拡散するのを確認しています。その後この Rig EK は、「CryLocker」を拡散する不正広告活動を停止しました。そして、Imgur にアップロードされていた PNGファイルを詳細に解析したところ、確認された最も古いファイルはそれより前の8月25日に暗号化されたものでした。
図2と図3:Sundown EK と Rig EK のトラフィック
弊社は、続いて2016年9月5日、やはり「CryLocker」の拡散に Sundown EK が不正広告活動を利用するのを確認しました。その際に数点の変化も見られました。例えば、デスクトップの壁紙を「CryLocker」と呼ばれる脅迫状に変更する挙動です。本記事執筆時点(2016年9月7日現在)、情報収集された件数は 8,000にまで達しています。
図4:窃取された情報を C&Cサーバへ送信されたユーザの数(8月25日から9月5日)
図5:「CryLocker」の脅迫状
弊社の解析から、「CryLocker」は暗号化したファイルの拡張子を「*.CRY」に変更することが確認されています。これは、暗号化型ランサムウェア「Buddy Ransomware(バディランサムウェア)」が用いる拡張子と同じです。しかし、類似点はそれだけで、これら2つの暗号化型ランサムウェアのファイル構造が異なることが解析の結果明らかになっています。
通常の暗号化型ランサムウェアとは異なる点として、「CryLocker」はまず暗号化対象のファイルのコピーを作成してから、オリジナルのファイルを削除します。この挙動により、ファイル復旧ソフトウェアを利用して暗号化されたファイルを復旧することが可能です。とはいえ、ファイルサイズが 20MB 以上となると困難になるでしょう。
「CryLocker」が収集する情報には、MACアドレス、SSID など、ユーザの WiFiアクセスポイントの情報が含まれます。また、ユーザの地理位置情報またはブラウザの位置情報を、「Google Maps Geolocation API」を利用して確認します。そして、“C:\Temp\lol.txt” ファイルが存在するか確認し、存在した場合、ファイルの暗号化を行いません。しかし、ファイルの存在が確認できた場合でも、シャドウコピーの削除や脅迫状の表示といった他のランサムウェアの活動は実行します。弊社は、新しい検体(SHA1: 4bf164e49e4cb13efca041eb154aae1cf25982a8)でこのような挙動が確認されたことから、このような機能が作成者の削除し忘れによるものか、それとも意図的なものか疑問を持っています。
また、Windows の API 「GetKeyboardLayoutList」関数を利用し、入力ロケール識別子(キーボードレイアウトハンドル)を確認します。次に、システムの言語識別子を確認します。そして、以下の言語が検出された場合、暗号化型ランサムウェアの活動は実行せずにシステムから撤退します。
- ベラルーシ語
- カザフ語
- ロシア語
- サハ語
- ウクライナ語
- ウズベク語
このような選別活動は、以前にも「Andromeda」のボットネットに実装されていたことが確認されています。
図6:API 「GetKeyboardLayoutList」関数のコード
■ 「CryLocker」の C&C通信
上述のように、「CryLocker」は、指定した Imgur のアルバムへ収集した情報の送信を試みます。送信に失敗した場合、テキストデータの保存・公開ができるウェブアプリケーションサービス「Pastebin」に類似した「pastee.org」というサービスへ、情報を送信します。しかし、このサーバは解析および執筆時点において、アクセスすることはできませんでした。
さらに、Imgur も pastee.org も適切に機能しなかった場合の代替手段として、あるいは、送信するデータサイズが小さい場合は、UDPポート番号4444経由で特定の IPアドレスへ情報を送信することがあります。
図7:感染PC から Pastee.org へデータの送信を試みる「CryLocker」
ネットワークトラフィックを確認すると、”pastee.org/submit“ および ”imgur.com/upload/checkcaptcha” への送信活動には、不正な形式のユーザエージェントが含まれていました。
図8:不正な形式のエージェントを示すネットワークトラフィック
「CryLocker」は、適正な PNGファイルの形式およびヘッダに則しておらず、不正な形式に加工されていました。PNGファイルには、有効なファイルヘッダを持っていてもイメージデータはなく、ASCII文字コードのシステム情報だけが含まれています。この手法は、「秘密文」を他の情報に埋め込んで秘匿する技術、つまりサイバー犯罪の場合ではファイルやデータを他のデータに埋め込み隠ぺいする手法である、「steganography(ステガノグラフィ)」とは別の手法です。
図9:画像プレビューができない PNGファイル
■ トレンドマイクロの対策
サイバー犯罪者は、通常、正規の Webサイトやクラウドサービスの抜け道を利用して、自身の ID や不正活動を隠ぺいします。そのような背景から、正規の Webサービスでは、セキュリティ対策のための指針と制限事項強化が重要となります。今回の「CryLocker」のような場合、画像共有サービスの Webサイトでは、アップロードされる画像ファイルを確認するプロセスを導入することを推奨します。そのようなプロセスによって、もし PNGファイルが不正な形式であれば、システムが識別しアップロードを拒否することができます。
トレンドマイクロは、不正なファイルを検出し、関連する不正な URLをブロックすることによって、企業や個人ユーザをこの脅威から保護します。弊社のセキュリティ対策は、「CryLocker」を入り口でブロックし、被害を未然に防ぎます。また、組織内で利用するサーバやネットワーク、そして広範囲のユーザ機器を監視・管理し、保護することのできる、多層的なセキュリティ対策を提供します。
ネットワークセキュリティ対策製品「TippingPoint」では、2016年9月13日以降、以下の MainlineDVフィルターにより今回の脅威をブロックします。
- 39144: HTTP: Ransom_Milcry.A Checkin
サーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、以下の DPIルールによって脆弱性を利用する脅威から保護されています。
- 2131: RIG – Exploit Kit – HTTP(Request) – Variant 3
「CryLocker」に関連する SHA1ハッシュ値
- d6a09353a1e4ccd7f5bc0abc401722035fabefa9 – 「RANSOM_MILICRY.A」として検出
- 4BF164E49E4CB13EFCA041EB154AAE1CF25982A8 – 「RANSOM_MILICRY.A」として検出
※協力執筆者:Vachel Dai および Mat Powell
参考記事:
- 「Picture Perfect: CryLocker Ransomware Uploads User Information as PNG Files」
by Kawabata Kohei, Joseph C. Chen, and Jeanne Jocson
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)