2021年1月、トレンドマイクロは暗号化したファイルに拡張子「HELLO」を付加する新種のランサムウェアを発見しました。この新たなランサムウェアファミリは、「HELLO RANSOMWARE」(別名:「WICKRME」)と呼ばれ、別名はサイバー犯罪者との連絡に使用されたチャットアプリケーション「WickrMe」から命名されました。Helloランサムウェアのこれまでの亜種は .heming や .strike などの拡張子を付加することが確認されていますが、サイバー犯罪者が使用するWickrMeのユーザ名は含まれていませんでした。.Helloの拡張子がついた新しいバージョンの身代金要求文書(図2)には、WickrMeの連絡先が記載されるようになりました。このランサムウェア攻撃の侵入経路としては、Microsoft SharePoint serverの脆弱性(CVE-2019-0604)を利用する攻撃が考えられます。
WickrMeの連絡先や明確な要求金額が記載されていない.png)
WickrMeの連絡先や明確な要求金額が記載されていない
Helloランサムウェアは、Microsoft SharePointが持つ脆弱性CVE-2019-0604を経由して標的であるシステムに到達します。そして商用のペネトレーションテストツール「Cobalt Strike Beacon」を悪用してペイロードであるランサムウェアを起動します。
2021年1月に出現したHelloランサムウェアの亜種を弊社で監視した結果、Webシェル「China Chopper(以降、Chopper)」が更新されていることを確認しました。これは既知の検体を検知するシグネチャベースの検出ルールを回避するための試みであると推測されます。
■ CVE-2019-0604およびChopper
BruCERTの報告によれば、CVE-2019-0604はシステムへの初期アクセス時に悪用されます。トレンドマイクロの解析では、この脆弱性が侵入時に悪用された後、PowerShellコマンドを実行するためにChopperが展開され、結果として、Cobalt Strike Beaconがダウンロードされることも明らかとなりました。これにより、標的となるシステムにランサムウェアのペイロードが感染します。
※トレンドマイクロではBackdoor.ASP.WEBSHELL.SMYAAIASとして検出します。
トレンドマイクロでは以前にも、CVE-2019-0604がChopperの展開につながる事例を確認しています。Helloランサムウェアの背後にいる攻撃者は、2019年に用いられたこの手法を再利用し、Chopperから任意のコード実行を利用してCobalt Strikeを展開することで最終的にランサムウェアに感染させることを試みています。
トレンドマイクロはアンダーグラウンドサイトやダークウェブの闇市場などを監視する中で、あるフォーラムにおいて無料で利用できる脆弱性攻撃ツール(エクスプロイトキット)を発見しました。つまり、この脆弱性を利用する攻撃ツールは誰でも入手可能な状態であると言えるため、サイバー犯罪グループを特定するための証拠にはならないことを意味します。
■ Helloランサムウェアの不正活動
この攻撃は、引数「{マルウェアのファイルパス}\{マルウェアの名前}.exe e {UUID}{BTC}」において特定の条件が満たされない場合、実行を停止します。
- 引数内のeはハードコードされた検査機能であり、第一引数として必要になります
- UUIDは、システム内に存在するXML形式のRSA公開鍵を持つファイルである必要があります。そうでない場合、Helloランサムウェアは意図した暗号化活動を実行しません
- BTCは、身代金要求文書内に表示される要求総額です
(管理者権限を持っていない場合、この不正活動は自身を終了させる)
権限昇格のプロセスは、主に実行ファイルの保護に使用される正規ソフトウェア「Enigma 3.90」を用いて保護されています。この不正活動に使用されているバージョンは、図6で確認できる日付とは異なり、実際にはほぼ10年前の古いバージョンになっていることに注意が必要です。サイバー犯罪者が正規版を使用したのか、クラックを使用したのかは定かではありませんが、解析やリバースエンジニアリングから、これはプロセスを保護するソフトウェアであることがわかりました。
Helloランサムウェアは、検査結果から現在のユーザが管理者権限を持っていることを確認すると、特定の拡張子を持つファイルやフォルダを検索して暗号化するファイルを収集します。さらにHelloランサムウェアは、暗号化を回避するために許可リストに登録されているディレクトリを検索します。
検索後、HelloランサムウェアはAES(Advanced Encryption Standard)を用いてOfficeドキュメントなどのファイルの暗号化を開始します。なお、AES鍵はRSA暗号を用いて暗号化されます。具体的には、以下の拡張子を持つファイルを暗号化します。(図7)
- *.txt
- *.doc?
- *.xls?
- *.ppt?
- *.csv
- *.zip?
- *.rar?
- *.7z?
- *.gz?
- *.sql
- *.mdf
- *.myd
- *.ibd
- *_fsm
- *_vm
- *.db?
- *.rpt
Helloランサムウェアは、システムやマルウェア自身の実行へ影響を与えることを避けるために、以下のフォルダに保存されたファイルの暗号化を回避していました。
- %Windows%\
- %All Users Profile%\
- %System Root%\$recycle bin\
- %System Root%\Common Files\
- %System Root%\windowspowershell\
Helloランサムウェアは、暗号化したファイルに拡張子「.hello」を付加し、以下のような身代金要求文書(図12)を作成します。
- %public%\Desktop\Readme!!!.txt
- %Desktop%\Readme!!!.txt
Helloランサムウェアの背後にいるサイバー犯罪者は、バックアップドライブやシャドウコピーを削除することで、ファイルの復元を確実に阻止します。またこの不正活動には、以下のコマンド実行が含まれていることも確認しました。
- シャドウコピーの削除:”%System%\vssadmin.exe” delete shadows /all –
- 仮想ドライブのマウント解除:”powershell.exe” Dismount-DiskImage “{見つかったVHDファイルのパス}”
またHelloランサムウェアは、仮想ドライブ内でバックアップファイルに使用されるファイル拡張子*.bak、*.bk、*.vbk、*.vbm、*.vhdを持つファイルのほか、ファイル名に*backup*の文字列を持つファイルを削除します。
さらにHelloランサムウェアは特定のバックアップやデータベースのプロセスを発見した場合、それらのバックアップも確実に暗号化するために検索中にサービスを終了させます。データベース・アプリケーションがまだ稼働中の場合、これらのデータベース・ファイルは「in use(使用中)」となり、暗号化するためにアクセスできなくなります。
- mssql
- sql
- postgresql
- oracle
- mysql
- veeam
- backup
また、システム内に既に身代金要求文書が存在する場合、ランサムウェアが暗号化活動を実行しないことに気づきました。これは、不適切な実行、あるいはコンポーネントが不足していることが原因と考えられます。
■ 更新されたChopper
さらに、弊社が以前に確認したChopperの検体とサイバー犯罪者が今回の攻撃で新たに使用した検体との間には、1つのわずかな違い(図16)があることに気が付きました。
と新たに確認された更新版(下)の比較.png)
トレンドマイクロは、この更新版は現在検知されるChopperの検出ルールを回避するための試みではないかと考えています。スクリプトの形式は変更されている可能性がありますが、攻撃者が感染システム上で任意のシェルコマンドを実行できるようにするという利用用途は同じです。
■ まとめ
マイクロソフトは2019年にCVE-2019-0604に関するアドバイザリを公開し、セキュリティ上の欠陥に対処するための修正プログラム(パッチ)を供給しました。2020年に最初の悪用手口や顕著な攻撃活動が確認されて以来、CVE-2019-0604を悪用した被害事例の報道が後を絶ちません。実際に、本記事で解説したエクスプロイトキットとChopperの両方を利用したさまざまな攻撃活動が確認されています。この2つのツールの組み合わせは、これらを利用するサイバー犯罪者の間で一定レベルのアクセス権が得られていることを示しているのか、それともより多くの関係者がいて、複数の人物から感染システムへのアクセス権を購入することができるのか、という疑問が浮かびます。また、パッチが供給されてから2年が経過してもCVE-2019-0604が悪用され続けている事実は、膨大な数の企業が未だにパッチを適用していないことを強く示唆しています。
さらに、オンラインスキャンを実施した結果、同じ内容の身代金要求文書を表示する検体が増えているとともに、使用されている電子メールアドレスが異なることが明らかとなりました。また、初期感染が始まってから、被害者がサイバー犯罪者にメールを送るまでの時間が長くなるほど、要求される身代金も高額になります。我々は調査の一環でサイバー犯罪者にメールを送りましたが、サイバー犯罪者からの返答は得られませんでした。
現在のランサムウェアは急速な変化を遂げており、2021年も昨年に続き標的型のアプローチを採用していることが分かります。法人組織がこれらのランサムウェア攻撃に対抗するには、ランサムウェアの進化の経緯や最新の傾向を理解して対策に活かす必要があります。
トレンドマイクロでは、昨今のランサムウェア攻撃動向とそれに対抗するために取るべき一般的な対策をまとめたリサーチペーパーを公開しています。最新のランサムウェア攻撃のトレンドを理解し、組織のセキュリティ対策に活かしてください。
■ トレンドマイクロの対策
トレンドマイクロのセキュリティソリューションの中でもランサムウェアへの対策として推奨される例を以下に示します。
法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によるウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。
また「Trend Micro Apex One™」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。
「Trend Micro XDR」は高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Hello Ransomware Uses Updated China Chopper Web Shell, SharePoint Vulnerability」
by Janus Agcaoili, Trend Micro
記事構成:岡本 勝之(セキュリティエバンジェリスト)
高橋 哲朗(スレットマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)
