既に周知されているランサムウェアを利用していてはさらなる収益は見込めないと考えたサイバー犯罪者は、標的となるユーザ層を拡大して身代金の収益率を上げようと、様々な実用的新機能を取り入れた新しいファミリを次々と作成しています。
その一例として、今回暗号化型ランサムウェア「RAA(アール・エイ・エイ、「RANSOM_JSRAA.A」として検出)」について報告します。ランサムウェアは、通常、「exe」「dll」といった拡張子のファイル形式が多い中で、「RAA」はすべてが Webブラウザ上で実行されるスクリプト言語で記述されている数少ない暗号化型ランサムウェアです。この暗号化型ランサムウェアは、報告されている JavaScript ではなく、弊社の解析によると、JScript で記述されています。なお、JavaScript も JScript も Java とは別のものです。これら3つの違いについて Microsoft による説明が公開されています。このスクリプト言語は Windows システムのために開発されたもので、スクリプト実行環境「Windows Script Host」エンジンによって、Internet Explorer(IE)で実行されます。そして、この暗号化型ランサムウェアは最近のブラウザである Microsoft Edge では実行できません。
おそらくサイバー犯罪者は、スクリプト言語「JScript」を利用することで、検出回避率の向上を狙ったと推測します。JScript はポリモーフィズム機能を実現し、難読化を容易にします。
図1:ロシア語で書かれている「RAA」の脅迫状には、感染ファイルを復号するための鍵とソフトウェアの代金0.39ビットコイン(約27,151円。2016年6月23日現在)を送金する方法について記載されている
JScript は、一見 JavaScript に類似していますが、これは両方共 ECMAScript から派生していることに由来します。程度の差はありますが、これらのスクリプト言語には互換性があります。極めて簡単に言えば、JScript は Microsoft が ECMAScript を実装したもの、そして JavaScript は Mozilla が ECMAScript を実装したものです。明確な違いの1つは、JScript は、IE に示されるオブジェクトつまり ActiveX オブジェクトへ、また、「WScript」のような他のシステムオブジェクトへのアクセスが可能である点です。
図2: WScript に関する6行目から、JScript であることがわかる
■ なぜ JScriptなのか
ランサムウェアの作成にスクリプト言語を利用するのは、今に始まったことではありません。Cryptowall 4.0のダウンローダは、JScript で書かれていましたし、PowerWareでは、タスクに応じて PowerShell が利用されていました。 Ransom32 は、すべて JavaScript で書かれていますが、そのパッケージには通常のファイル、つまり匿名通信システム「The Onion Router(Tor)」クライアント、サーバ側の JavaScript 環境「Node.js」、そしてスクリプトの実行に利用するモジュールが含まれていました。
不正プログラムの多くはコンパイルされたプログラミング言語で記述されています。ランサムウェアの場合はそれが実行ファイルの形をとっています。使用頻度の低いプログラミング言語で記述することが、検出回避に繋がり、拡散に有利と考えられています。サイバー犯罪者は攻撃には時間が大きく影響することを知っており、作成した不正プログラムが検出されるまでの時間の長期化を図り最大の利益を得ようとします。
これらのスクリプト言語は、記述が容易である点の他、移植することも容易です。最近の Windows OS 搭載機器では、コードに変更を加えることなく実行することができます。例えば、Windows Scripting Host の JScript の実行は、Windows XP から可能となっています。
■ 「RAA」コードの詳細
「RAA」は IE の「クロスサイトスクリプティング(XSS)」のような攻撃方法による以外に実行できないため、他のブラウザでは実行することができません。また Windows Script Host の実行も必要とします。ActiveX オブジェクトの実行も IEブラウザによって認証される必要があります。「RAA」の随所に利用されている WScript が、他のブラウザでは実行できない要因になっているようです。例として以下の1行は Chromeブラウザではエラーを引き起こします。
図3:不正プログラムが Chromeブラウザで実行された場合のエラーメッセージ
一方で、この不正プログラムはスクリプト自体をクリックするだけでも実行させることが可能です。スパムメールの添付書類や、Office文書のオブジェクト、あるいはコマンドラインを介して実行できます。不正プログラムのファイル名は、以下のいずれかが該当します。
- st.js
- ST.js
- mgJaXnwanxlS_doc_.js
- _mgJaXnwanxlS_doc_.js
解析によると、「RAA」は CryptoJS を利用して暗号化を行います。CryptoJS は JavaScript に実装されている暗号化アルゴリズムのオープンソースライブラリで、AES-128、AES-192および AES-256に対応しています。
暗号化されたデータのファイル名には、拡張子「locked」が追加されます。これまでに「RAA」は16のファイル形式を暗号化することが確認されています。ファイル名に「.locked」、「~」および 「$」などが含まれる場合、暗号化を避けます。また、以下のディレクトリ下にあるファイルは暗号化しません。
- Program Files ( x86を含む)
- Windows
- Recycle Bin
- Recycler
- AppData
- Temp
- ProgramData
- Microsoft
また、「RAA」は Base64暗号化方式を利用し、情報収集型不正プログラム「FAREIT」を作成し復号します。この不正プログラムは「Pony」という名称でも知られています。この不正プログラムは、File Transfer Protocol (FTP) クライアントや他のファイル管理ソフトウェア、Outlook のようなメールソフト、Webブラウザ、また仮想通貨「Bitcoin(ビットコイン)」の Walletに保存されている認証情報を窃取し、得た情報を C&Cサーバへ送信する不正プログラムとしても知られています。この不正プログラムは「Volume Shadow Copy Service(VSS)」に関連する以下のレジストリを削除します。
このようにしてシステムのアプリケーションが記憶領域に書き込みをしている間は、バックアップも復元も不可能になります。これは、当然この暗号化型ランサムウェアの成功につながっています。
「DMA Locker 4.0」(「RANSOM_MADLOCKER.B」として検出)と暗号化型ランサムウェア「JIGSAW」の特定の亜種の挙動にも見られるように、「RAA」はいくつかのファイルを無料で復号してくれます。これは恐らく、実際にファイルの復号が可能であると請け合うための駆け引きと思われます。またビットメッセージを利用した専用のカスタマーサポートも用意しています。ビットメッセージとは、分散型ピアツーピア(P2P)の通信プロトコルで、暗号化されたメッセージの送信に利用されます。
■ 推奨事項およびトレンドマイクロの対策
サイバー犯罪者は、さらに多くのシステムをランサムウェアに感染させようと企み、新しい手口の考案に余念がありません。今回の事例では、検出を回避する、つまり PCから暗号化型ランサムウェアが除去されないようにするため、スクリプト言語を利用している手口を報告しました。
3-2-1ルールに従いバックアップを取ることによって、「RAA」のような暗号化型ランサムウェアの被害を緩和することが可能です。
- 3つ以上のコピーを保存
- 2つの異なる種類の端末に保存(例:ハードドライブおよび USB)
- そのうちの1つは他の2つとは異なる場所に保存(例:自宅とオフィス)
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、「RAA」のような暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」およびWebゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって、強固な保護を提供します。
ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。
- 法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
- 個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx
この脅威に関連するハッシュ値:
- 2C0B5637701C83B7B2AEABDF3120A89DB1DBAAD7 – 「RANSOM_JSRAA.A」として検出
- 822BF6D0EB04DF65C072B51100C5C852761E7C9E – 「TSPY_FAREIT.YYSVN」として検出
※協力執筆者:Renaud Bidou、 Jasen Sumalapao および Jaaziel Carlos
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)