報道によると、2019年3月19日、ノルウェイのアルミニウム製造企業「Norsk Hydro」が暗号化型ランサムウェア「LockerGoga」による攻撃を受けました。同社は、Facebookページへの投稿の中で、「製造システムへの接続中断の影響でいくつかの工場で一時的な操業停止があった」と述べています。操業を止めることができないその他の工場では、手動操作に切り替える必要があったとのことです。
トレンドマイクロはLockerGogaを「Ransom.Win32.LOCKERGOGA.THBOGAI」、「Ransom.Win32.LOCKERGOGA.AA」、および「Ransom.Win64.LOCKERGOGA.A」として検出対応しています。
■侵入経路
解析の結果、LockerGogaは、名前を変更した「PsExec」によって作成および実行されることが分かりました。PsExecは、「SOREBRECT」や「Bad Rabbit」のようないくつかのランサムウェアにも悪用されたシステム管理ツールです。PsExecの使用には認証情報が必要なため、攻撃者はすでにネットワークへの侵入に成功しており、情報探索活動によって事前に認証情報を入手していた可能性があります。認証情報を窃取する方法として、総当たり攻撃、スピアフィッシング、またはマルウェアを利用した攻撃などが考えられます。
LockerGogaの亜種の中には、アカウントのパスワードを変更したり、感染PCを起動できなくしたりする機能を備えているものが確認されています。ユーザは身代金要求文書を見ることさえできず、身代金を支払ってファイルを復号しようとする機会さえ与えられません。このような破壊的な挙動から、LockerGogaは、金銭ではなく、標的組織の業務停止を目的として拡散されたのではないかと考えられています。
■「LockerGoga」の出現時期
LockerGogaは、2019年1月にフランスのエンジニアリング分野のコンサルティング企業「Altran Technologies」への攻撃で初めて報告されました。同社のプレス発表によると、Altran TechnologiesはLockerGogaの影響を緩和するためにネットワークとすべてのアプリケーションを停止したとのことです。他にも、欧州のいくつかの企業がこのランサムウェアの影響を受けました。
■「LockerGoga」の挙動
パスワードの変更とログオフ
LockerGogaは、インストール後、感染PCのアカウントのパスワードを変更し、PCにログインしているユーザをログオフさせます。次に、自身を一時フォルダに移動し、コマンドライン(cmd)を使用して名前を変更します。このコマンドラインパラメータには、暗号化対象のファイルへのパスは含まれていません。
ファイルの暗号化
LockerGogaは、ほとんどのランサムウェアファミリとは異なり、インスタンスベースで暗号化処理を行います。これは、ファイルごとにプロセスを開始することを意味します。いくつかの亜種では、開始したプロセスあたり2つ以上のファイルを暗号化することが確認されています。暗号化するファイルの拡張子には、図2のように、Word、PDF、Excel、PowerPoint、データベースファイル、動画、JavaScript、およびPythonが含まれます。
図1:LockerGogaが暗号化するファイルの拡張子
いくつかの亜種は、特定のファイルの暗号化、ファイルの削除、身代金要求文書に記載するメールアドレス、すべてのファイル形式の暗号化等を表すパラメータを持っていました。
解析した検体の中には、暗号化対象から除外するファイルがほとんどあるいはまったく無く、OS起動時に使用する「Windows Boot Manager(BOOTMGR)」を暗号化し、再起動できなくするものも確認されています。
図2:感染システムの再起動後に表示されるメッセージ
身代金要求文書
LockerGogaは、デスクトップPC、ノートPC、そしてサーバのようなシステムに保存されたファイルを暗号化します。この時、1つのファイルを暗号化するたびにレジストリキー「HKEY_CURRENT_USER\SOFTWARE\Microsoft\RestartManager\Session00{01-20}」の値が変更されます。暗号化処理の後、LockerGogaは身代金要求文書「README_LOCKED.txt」をデスクトップフォルダに作成します。
図3:LockerGogaの身代金要求文書
ネットワーク接続の無効化
静的解析の結果、LockerGogaは感染システムのWi-Fiまたはイーサネットアダプタを列挙することが判明しました。次に、LockerGogaは、感染PCを外部のいかなる接続からも切断するために、「CreateProcessW」関数を使用してコマンドラインから「netsh.exe interface set interface DISABLE」を実行し、列挙したネットワークインターフェイスを無効化します。これらは、暗号化処理の後、現在のアカウントからログアウトする前に実行されます。
ファイルの暗号化が最終的な活動ではなく、パスワードを変更してユーザをシステムから締め出すこのような挙動は注目すべきものだと言えます。
図4:LockerGogaが感染システムのネットワークアダプタを無効化するコード
検出回避
LockerGogaのコードは、「Alisa Ltd.」、「Kitty’s Ltd.」、および「Mikl Limited.」のようないくつかの有効な証明書を使用してデジタル署名されていました。有効な証明書の利用により、システムへの侵入が可能になった可能性があります。これらの証明書はすでに失効しています。
LockerGogaはネットワークトラフィックを持ちません。そのため、ネットワークベースの防御を回避することが可能です。
LockerGogaのいくつかの亜種は、メインの処理を実行する前に一定時間スリープし、サンドボックス技術や仮想マシン(VM)を使用した検出を回避する機能を備えています。このような検出回避手法は、さまざまなランサムウェアファミリや、標的型攻撃に使用されるようなその他の脅威によって使用されている手法です。他にも、機会学習ベースの検出エンジンを逃れる亜種もいくつか確認されています。トレンドマイクロ、サンドボックス技術や機械学習技術に対抗する機能を備えたこれらの特定の亜種の検証を進めているところです。このような検出回避手法も、ランサムウェア「Cerber」で確認されているように、新しいものではありません。
自己拡散機能の有無
LockerGogaは、「WannaCry」や「Petya/NotPetya」のようなランサムウェアとは異なり、自己拡散機能は備えていないようです。
■「LockerGoga」が暗号化したファイルの復号は可能か?
本記事執筆時点(2019年3月20日)で、LockerGogaが暗号化したファイルを復号する方法は知られていません。その他のランサムウェアファミリとは異なり、トレンドマイクロが確認したLockerGogaの亜種のいくつかには暗号化対象ファイルの一覧が存在しませんでした。また、確認したすべての亜種が、感染PCを十分機能しない状態に陥れ、身代金の支払いや復号ツールの実行を困難にするものでした。
■「LockerGoga」は標的型攻撃の一部として利用されたのか?
標的型攻撃に利用された暗号化型ランサムウェア「Ryuk」とは異なり、LockerGogaがそのような攻撃の一部として利用されたことを示す明らかな指標は見つかっていません。しかし、LockerGogaは、「HDDCryptor」、Linuxを対象とする「Erebus」、そして「Crysis」のようなランサムウェアが使用したような手口で、特定の標的システムにデプロイすることが可能です。また、LockerGogaはネットワーク接続も暗号化鍵を生成するためのコマンド&コントロール(C&C)通信も行いません。このような挙動は、標的型のランサムウェア攻撃に典型的なものです。
■「LockerGoga」と「Ryuk」の比較
LockerGogaとRyukは、どちらのファミリも特定の標的を狙って使用されたと考えられていますが、両者の間に直接的なつながりは無いようです。例えば、LockerGogaには、ネットワーク経由の拡散や情報窃取のようなRyukが備えている特定の機能がありません。下の表はRyukとLockerGogaを比較したものです。
| 項目 | Ryuk | LockerGoga |
| SHA-1値 | f047f4f4aa45c4ad3f158462178c0cfcc7373fe2 | 37cdd1e3225f8da596dc13779e902d8d13637360 b5fd5c913de8cbb8565d3c7c67c0fbaa4090122b |
| プラットフォーム | Windows NT | Windows NT |
| コンパイラ | Microsoft Visual C++ | Microsoft Visual C++ (2015) |
| 身代金要求文書のファイル名 | 「RyukReadMe.txt」 | 「README-NOW.txt」 または 「README_LOCKED.txt」 ※亜種によって異なる |
| インストール方法 | ファイル名はそのままで、実行ディレクトリから実行、「csrss.exe」、「explorer.exe」、「lsaas.exe」以外のすべての実行中プロセスに注入される。 | 「%TEMP%\svc<ランダムな文字列>.<ランダムな数字>.exe」として作成され、「%TEMP%\svc<ランダムな文字列>.<ランダムな文字列な数字}.exe -<ランダムな文字列> -<ランダムな文字列> <ランダムな文字列>」として実行される 「%TEMP%\tgytutrc<4桁のランダムな数字>.exe」 |
| 暗号化されたファイルに追加される拡張子 | 「.ryk」 | 「.locked」 |
| プロセスの終了 | 以下を終了
|
|
| スタートアップ時の機能 | 「HKCU\Software\Microsoft\Windows\CurrentVersion\Runand svchos = <そのままのファイルパス>\<そのままのファイル名>」 | |
| 暗号化するファイル | 文書、画像、スプレッドシート、PDF ただし、「$Recycle.Bin」、「Windows」、「Mozilla」、「Chrome」、「AhnLab」フォルダは除外 |
主に、文書、スプレッドシート、プレゼンテーション、メディア、スクリプト ただし、「%Program Files%」、「%ProgramData%」、「%System Root%\Recycle Bin」、「%System Root%\Boot」フォルダは除外 |
| 注目すべき挙動 | コマンド「vssadmin.exe /all /Quiet」によりすべてのシャドウコピーを削除 | すべてのユーザアカウントのパスワードを変更 |
| 暗号化アルゴリズム | 「RSA-4096」と「AES-256」 | 「Crypto++」 |
| ファイル構造 | パックされている | パックされていない |
表1:「Ryuk」と「LockerGoga」の比較
■被害に遭わないためには
以下はLockerGogaのようなランサムウェアの被害に遭わないためのベストプラクティスです。
- 定期的にバックアップを取る
- システムおよびアプリケーションを最新のバージョンに保つ
- 修正プログラムを適用できなレガシーシステムおよびソフトウェアには仮想パッチを使用する
- 最小権限の原則を適用する
- 悪用される恐れのあるシステム管理ツールの使用を制限する
- ネットワークの分割およびデータの分類により重要システムや機密情報のさらなる露出を最小化する
- 侵入経路として利用される恐れのあるサードパーティ製のコンポーネントまたは古くなったコンポーネントを無効化する
- メールゲートウェイを保護し、スパムメールや不審なメールをブロックする
- アプリケーションコントロールや挙動監視のような多層的な防御を実装し、システムに対する望まない変更や異常なファイルの実行を防ぐ
- セキュリティ文化を醸成する
■トレンドマイクロの対策
以下のソリューション/セキュリティ対策製品は、LockerGogaを検出およびブロックすることにより法人および個人のお客様を保護します。
- 個人のお客様向けの製品ラインナップ
- 法人向けエンドポイントセキュリティ対策製品「ウイルスバスター™ コーポレートエディション XG」および「ウイルスバスター™ ビジネスセキュリティ」
【更新情報】
| 2019/04/11 18:15 | 見出し「「LockerGoga」は標的型のランサムウェアか?」を「「LockerGoga」は標的型攻撃の一部として利用されたのか?」に更新しました。 |
参考記事:
- 「What You Need to Know About the LockerGoga Ransomware」
by Trend Micro
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)
