検索:
ホーム   »   不正プログラム   »   2021年登場のランサムウェア「Hello」、SharePoint脆弱性からWebシェル使用の手口を解説

2021年登場のランサムウェア「Hello」、SharePoint脆弱性からWebシェル使用の手口を解説

  • 投稿日:2021年7月19日
  • 脅威カテゴリ:不正プログラム, 脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

2021年1月、トレンドマイクロは暗号化したファイルに拡張子「HELLO」を付加する新種のランサムウェアを発見しました。この新たなランサムウェアファミリは、「HELLO RANSOMWARE」(別名:「WICKRME」)と呼ばれ、別名はサイバー犯罪者との連絡に使用されたチャットアプリケーション「WickrMe」から命名されました。Helloランサムウェアのこれまでの亜種は .heming や .strike などの拡張子を付加することが確認されていますが、サイバー犯罪者が使用するWickrMeのユーザ名は含まれていませんでした。.Helloの拡張子がついた新しいバージョンの身代金要求文書(図2)には、WickrMeの連絡先が記載されるようになりました。このランサムウェア攻撃の侵入経路としては、Microsoft SharePoint serverの脆弱性(CVE-2019-0604)を利用する攻撃が考えられます。

図1:以前の身代金要求文書(ランサムノート)WickrMeの連絡先や明確な要求金額が記載されていない
図1:以前の身代金要求文書(ランサムノート)
WickrMeの連絡先や明確な要求金額が記載されていない

 

図2:現在のランサムノート。WickrMeのユーザ名や明確な要求金額の記載がある
図2:現在のランサムノート。WickrMeのユーザ名や明確な要求金額の記載がある

Helloランサムウェアは、Microsoft SharePointが持つ脆弱性CVE-2019-0604を経由して標的であるシステムに到達します。そして商用のペネトレーションテストツール「Cobalt Strike Beacon」を悪用してペイロードであるランサムウェアを起動します。

2021年1月に出現したHelloランサムウェアの亜種を弊社で監視した結果、Webシェル「China Chopper(以降、Chopper)」が更新されていることを確認しました。これは既知の検体を検知するシグネチャベースの検出ルールを回避するための試みであると推測されます。

■ CVE-2019-0604およびChopper

BruCERTの報告によれば、CVE-2019-0604はシステムへの初期アクセス時に悪用されます。トレンドマイクロの解析では、この脆弱性が侵入時に悪用された後、PowerShellコマンドを実行するためにChopperが展開され、結果として、Cobalt Strike Beaconがダウンロードされることも明らかとなりました。これにより、標的となるシステムにランサムウェアのペイロードが感染します。
※トレンドマイクロではBackdoor.ASP.WEBSHELL.SMYAAIASとして検出します。

トレンドマイクロでは以前にも、CVE-2019-0604がChopperの展開につながる事例を確認しています。Helloランサムウェアの背後にいる攻撃者は、2019年に用いられたこの手法を再利用し、Chopperから任意のコード実行を利用してCobalt Strikeを展開することで最終的にランサムウェアに感染させることを試みています。

トレンドマイクロはアンダーグラウンドサイトやダークウェブの闇市場などを監視する中で、あるフォーラムにおいて無料で利用できる脆弱性攻撃ツール(エクスプロイトキット)を発見しました。つまり、この脆弱性を利用する攻撃ツールは誰でも入手可能な状態であると言えるため、サイバー犯罪グループを特定するための証拠にはならないことを意味します。

■ Helloランサムウェアの不正活動

図3:Helloランサムウェア攻撃の感染チェーン
図3:Helloランサムウェア攻撃の感染チェーン

この攻撃は、引数「{マルウェアのファイルパス}\{マルウェアの名前}.exe e {UUID}{BTC}」において特定の条件が満たされない場合、実行を停止します。

  • 引数内のeはハードコードされた検査機能であり、第一引数として必要になります
  • UUIDは、システム内に存在するXML形式のRSA公開鍵を持つファイルである必要があります。そうでない場合、Helloランサムウェアは意図した暗号化活動を実行しません
  • BTCは、身代金要求文書内に表示される要求総額です
図4:現在のユーザが管理者権限を持っているかどうかを確認するための不正コード
図4:現在のユーザが管理者権限を持っているかどうかを確認するための不正コード
(管理者権限を持っていない場合、この不正活動は自身を終了させる)
図5:感染システム内でフォーマットされたRSA公開鍵を見つけるための不正コード
図5:感染システム内でフォーマットされたRSA公開鍵を見つけるための不正コード

権限昇格のプロセスは、主に実行ファイルの保護に使用される正規ソフトウェア「Enigma 3.90」を用いて保護されています。この不正活動に使用されているバージョンは、図6で確認できる日付とは異なり、実際にはほぼ10年前の古いバージョンになっていることに注意が必要です。サイバー犯罪者が正規版を使用したのか、クラックを使用したのかは定かではありませんが、解析やリバースエンジニアリングから、これはプロセスを保護するソフトウェアであることがわかりました。

図6:管理者権限昇格のプロセスは正規ソフトウェアの古いバージョンで保護されている
図6:管理者権限昇格のプロセスは正規ソフトウェアの古いバージョンで保護されている

Helloランサムウェアは、検査結果から現在のユーザが管理者権限を持っていることを確認すると、特定の拡張子を持つファイルやフォルダを検索して暗号化するファイルを収集します。さらにHelloランサムウェアは、暗号化を回避するために許可リストに登録されているディレクトリを検索します。

図7:暗号化するファイルを検索するための不正コード
図7:暗号化するファイルを検索するための不正コード
図8:許可リストに登録されているディレクトリの暗号化を回避するための不正コード
図8:許可リストに登録されているディレクトリの暗号化を回避するための不正コード

検索後、HelloランサムウェアはAES(Advanced Encryption Standard)を用いてOfficeドキュメントなどのファイルの暗号化を開始します。なお、AES鍵はRSA暗号を用いて暗号化されます。具体的には、以下の拡張子を持つファイルを暗号化します。(図7)

  • *.txt
  • *.doc?
  • *.xls?
  • *.ppt?
  • *.pdf
  • *.csv
  • *.zip?
  • *.rar?
  • *.7z?
  • *.gz?
  • *.sql
  • *.mdf
  • *.myd
  • *.ibd
  • *_fsm
  • *_vm
  • *.db?
  • *.rpt
図9:AES鍵の作成およびファイルの暗号化(AES方式も用いられる)
図9:AES鍵の作成およびファイルの暗号化(AES方式も用いられる)
図10:AESの初期化関数
図10:AESの初期化関数

Helloランサムウェアは、システムやマルウェア自身の実行へ影響を与えることを避けるために、以下のフォルダに保存されたファイルの暗号化を回避していました。

  • %Windows%\
  • %All Users Profile%\
  • %System Root%\$recycle bin\
  • %System Root%\Common Files\
  • %System Root%\windowspowershell\

Helloランサムウェアは、暗号化したファイルに拡張子「.hello」を付加し、以下のような身代金要求文書(図12)を作成します。

  • %public%\Desktop\Readme!!!.txt
  • %Desktop%\Readme!!!.txt
図11:暗号化したファイルに拡張子「.hello」を付加するための不正コード
図11:暗号化したファイルに拡張子「.hello」を付加するための不正コード
図12:感染システム内に身代金要求文書を作成するための不正コード
図12:感染システム内に身代金要求文書を作成するための不正コード

Helloランサムウェアの背後にいるサイバー犯罪者は、バックアップドライブやシャドウコピーを削除することで、ファイルの復元を確実に阻止します。またこの不正活動には、以下のコマンド実行が含まれていることも確認しました。

  • シャドウコピーの削除:”%System%\vssadmin.exe” delete shadows /all –
  • 仮想ドライブのマウント解除:”powershell.exe” Dismount-DiskImage “{見つかったVHDファイルのパス}”
図13:シャドウコピーの削除および仮想ドライブのマウント解除を実行するための不正コード
図13:シャドウコピーの削除および仮想ドライブのマウント解除を実行するための不正コード

またHelloランサムウェアは、仮想ドライブ内でバックアップファイルに使用されるファイル拡張子*.bak、*.bk、*.vbk、*.vbm、*.vhdを持つファイルのほか、ファイル名に*backup*の文字列を持つファイルを削除します。

図14:バックアップファイルを削除するための不正コード
図14:バックアップファイルを削除するための不正コード

さらにHelloランサムウェアは特定のバックアップやデータベースのプロセスを発見した場合、それらのバックアップも確実に暗号化するために検索中にサービスを終了させます。データベース・アプリケーションがまだ稼働中の場合、これらのデータベース・ファイルは「in use(使用中)」となり、暗号化するためにアクセスできなくなります。

  • mssql
  • sql
  • postgresql
  • oracle
  • mysql
  • veeam
  • backup
図15:サービスを終了させるための不正コード
図15:サービスを終了させるための不正コード

また、システム内に既に身代金要求文書が存在する場合、ランサムウェアが暗号化活動を実行しないことに気づきました。これは、不適切な実行、あるいはコンポーネントが不足していることが原因と考えられます。

■ 更新されたChopper

さらに、弊社が以前に確認したChopperの検体とサイバー犯罪者が今回の攻撃で新たに使用した検体との間には、1つのわずかな違い(図16)があることに気が付きました。

図16:前回の攻撃で使用されたChina Chopper Webシェルスクリプト版(上)と新たに確認された更新版(下)の比較
図16:前回の攻撃で使用されたChina Chopper Webシェルスクリプト版(上)と新たに確認された更新版(下)の比較

トレンドマイクロは、この更新版は現在検知されるChopperの検出ルールを回避するための試みではないかと考えています。スクリプトの形式は変更されている可能性がありますが、攻撃者が感染システム上で任意のシェルコマンドを実行できるようにするという利用用途は同じです。

■ まとめ

マイクロソフトは2019年にCVE-2019-0604に関するアドバイザリを公開し、セキュリティ上の欠陥に対処するための修正プログラム(パッチ)を供給しました。2020年に最初の悪用手口や顕著な攻撃活動が確認されて以来、CVE-2019-0604を悪用した被害事例の報道が後を絶ちません。実際に、本記事で解説したエクスプロイトキットとChopperの両方を利用したさまざまな攻撃活動が確認されています。この2つのツールの組み合わせは、これらを利用するサイバー犯罪者の間で一定レベルのアクセス権が得られていることを示しているのか、それともより多くの関係者がいて、複数の人物から感染システムへのアクセス権を購入することができるのか、という疑問が浮かびます。また、パッチが供給されてから2年が経過してもCVE-2019-0604が悪用され続けている事実は、膨大な数の企業が未だにパッチを適用していないことを強く示唆しています。

さらに、オンラインスキャンを実施した結果、同じ内容の身代金要求文書を表示する検体が増えているとともに、使用されている電子メールアドレスが異なることが明らかとなりました。また、初期感染が始まってから、被害者がサイバー犯罪者にメールを送るまでの時間が長くなるほど、要求される身代金も高額になります。我々は調査の一環でサイバー犯罪者にメールを送りましたが、サイバー犯罪者からの返答は得られませんでした。

現在のランサムウェアは急速な変化を遂げており、2021年も昨年に続き標的型のアプローチを採用していることが分かります。法人組織がこれらのランサムウェア攻撃に対抗するには、ランサムウェアの進化の経緯や最新の傾向を理解して対策に活かす必要があります。

トレンドマイクロでは、昨今のランサムウェア攻撃動向とそれに対抗するために取るべき一般的な対策をまとめたリサーチペーパーを公開しています。最新のランサムウェア攻撃のトレンドを理解し、組織のセキュリティ対策に活かしてください。

ランサムウェアウェア最新動向 2021年版表紙
ランサムウェアウェア最新動向 2021年版
リサーチペーパーのダウンロードはこちら

■ トレンドマイクロの対策

トレンドマイクロのセキュリティソリューションの中でもランサムウェアへの対策として推奨される例を以下に示します。

法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によるウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。

また「Trend Micro Apex One™」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。

「Trend Micro XDR」は高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。

■ 侵入の痕跡(Indicators of Compromise、IoC)

今回の記事に関する侵入の痕跡は、こちらを参照してください。

参考記事:

  • 「Hello Ransomware Uses Updated China Chopper Web Shell, SharePoint Vulnerability」
    by Janus Agcaoili, Trend Micro

記事構成:岡本 勝之(セキュリティエバンジェリスト)

高橋 哲朗(スレットマーケティンググループ)

翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)

Related posts:

  1. 暗号化型ランサムウェアの侵入方法およびその対策について
  2. 脆弱性「ProxyLogon」を悪用する攻撃:コインマイナー、ランサムウェア、ボットネットを新たに確認
  3. 「ファイルレス」と「ルートキット」を利用するダウンローダ「Purple Fox」の検出回避手法
  4. Windows標準機能WMIを利用するファイルレス仮想通貨発掘マルウェア「GhostMiner」
Tags: ランサムウェアChina ChopperCVE-2019-0604HelloWebシェル


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.