ランサムウェア
コード署名が施された新種のランサムウェア「Yanluowang」の攻撃手口を解説
トレンドマイクロは、最近発見された新種のランサムウェアファミリ「Yanluowang」の検体を分析しました。これらの検体が持つ興味深い側面の1つは、窃取された / 不正に署名された有効なデジタル署名を使用してファイルにコード署名が施されていることです。
トレンドマイクロは、最近発見された新種のランサムウェアファミリ「Yanluowang」の検体を分析しました。これらの検体が持つ興味深い側面の1つは、窃取された / 不正に署名された有効なデジタル署名を使用してファイルにコード署名が施されていることです。さらにこれらの検体は、データベースやバックアップの管理に関連する「Veeam」や「SQL」を含む様々なプロセスを強制的に終了させます。
当該記事公開の数週間前に発見されたとみられるYanluowangランサムウェア(中国の神「Yanluo Wang」から命名される)は、その後キャンペーンに関連付けられているほか、このランサムウェアのオペレータが少なくとも2021年8月から米国企業に対して標的型攻撃を仕掛けていると言及されています。
■ ランサムウェア「Yanluowang」の初期分析
トレンドマイクロが分析したYanluowangランサムウェアの検体は、本稿執筆時点ではまだわずかな検出しかありませんでした。また、検出されたファイルそのものを調査しただけでは、これらの検体がユーザのシステムに到達した場所や方法についてはほとんどわかりませんでした。しかし、これらの検体を適切に実行するには特定の引数が必要であることから、これらの検体を実行するための最も可能性の高いシナリオは、リモートデスクトップ(RDP)ツールを使用することだと考えられます。
さらに今回分析したファイルは、ランサムウェアのオペレータがユーザのシステムを侵害した後に使用するツールキットの一部に過ぎないとトレンドマイクロは推測しています。
トレンドマイクロが行った初期分析から、このランサムウェアは、暗号化するディレクトリを指定するために主に使用される以下の引数を確認します。
- -h/–help
- -p/-path/–path(図1)
- -pass(図2)
図1:引数(path)を確認している様子
図2:引数(pass)を確認している様子
次に、このランサムウェアは、引数に指定されたファイルパスからファイルを暗号化し、拡張子(.yanluowang)を付加して(図3)から、身代金要求メッセージ(ランサムノート)「README.txt」を作成します(図4)。
図3:Yanluowangランサムウェアが暗号化したファイルに拡張子(.yanluowang)を付加した様子
図4:Yanluowangランサムウェアのランサムノート(README.txt)
■ 検体で確認されたデジタル署名と不正活動
ここで重要な点は、今回入手した検体には有効なデジタル署名(図5)を使用したコード署名が施されているほか、ランサムノートにも有効なデジタル署名が施されていることです(当該調査時)。このデジタル署名が、企業から窃取されたものなのか、それとも不正に署名されたものなのかという疑問は残ります。
コード署名は、ソフトウェアの真正性を検証するために行われます。したがって、コード署名が施されたマルウェアは、正当かつ悪意のないものと判断されることがあるため、特定のセキュリティ対策を回避する可能性があります。
図5:Yanluowangランサムウェアの検体で見つかったデジタル署名
実行時に、このランサムウェアは、Windows APIを介して、データベースやバックアップの管理に関連する以下のプロセスも強制終了させます。
- Veeam
- SQL
データベース関連のプロセスが強制終了されると、バックアップファイルへのアクセスが潜在的に失われる可能性があります。これによりランサムウェアの被害者は、ファイルを取り戻すために身代金を支払うよう、さらなる圧力を受けることになります。
図6~7:プロセス(Veeam、SQL)を強制終了している様子
さらにこのランサムウェアは、以下の文字列と一致する場合、コマンドプロンプトを通じてさらにいくつかのプロセスを強制終了させようと試みます。
- mysql*
- dsa*
- veeam*
- chrome*
- iexplore*
- firefox*
- outlook*
- excel*
- taskmgr*
- tasklist*
- Ntrtscan*
- ds_monitor*
- Notifier*
- putty*
- ssh*
- TmListen*
- iVPAgent*
- CNTAoSMgr*
- IBM*
- bes10*
- black*
- robo*
- copy*
- sql
- store.exe
- sql*
- vee*
- wrsa*
- wrsa.exe
- postg*
- sage*
プロセス以外にも、このランサムウェアは、net stopコマンドラインを通じて以下のサービスを強制的に停止させます。
- MSSQLServerADHelper100
- MSSQL$ISARS
- MSSQL$MSFW
- SQLAgent$ISARS
- SQLAgent$MSFW
- SQLBrowser
- ReportServer$ISARS
- SQLWriter
- WinDefend
- mr2kserv
- MSExchangeADTopology
- MSExchangeFBA
- MSExchangeIS
- MSExchangeSA
- ShadowProtectSvc
- SPAdminV4
- SPTimerV4
- SPTraceV4
- SPUserCodeV4
- SPWriterV4
- SPSearch4
- IISADMIN
- firebirdguardiandefaultinstance
- ibmiasrw
- QBCFMonitorService
- QBVSS
- QBPOSDBServiceV12
- \”IBM Domino Server (CProgramFilesIBMDominodata)\”
- \”IBM Domino Diagnostics (CProgramFilesIBMDomino)\”
- \”Simply Accounting Database Connection Manager\”
- QuickBooksDB1
- QuickBooksDB2
- QuickBooksDB3
- QuickBooksDB4
- QuickBooksDB5
- QuickBooksDB6
- QuickBooksDB7
- QuickBooksDB8
- QuickBooksDB9
- QuickBooksDB10
- QuickBooksDB11
- QuickBooksDB12
- QuickBooksDB13
- QuickBooksDB14
- QuickBooksDB15
- QuickBooksDB16
- QuickBooksDB17
- QuickBooksDB18
- QuickBooksDB19
- QuickBooksDB20
- QuickBooksDB21
- QuickBooksDB22
- QuickBooksDB23
- QuickBooksDB24
- QuickBooksDB25
最後にこのランサムウェアは、以下のコマンドラインを通じて、稼働中の仮想マシン(VM)を強制終了させます。
- powershell -command \”Get-VM | Stop-VM -Force\”
図8:サービスを強制終了している様子
トレンドマイクロは、Yanluowangランサムウェアに関連するイベントを引き続き監視し、更新情報があれば共有していきます。
■ 被害に遭わないためには
新種のランサムウェアファミリが出現し続ける中、トレンドマイクロは、ランサムウェアのオペレータがより高度化させた新たな恐喝手口を使用してくると2022年セキュリティ脅威予測で予見しました。企業は今後、予防措置を講じる上で特別な注意を払う必要があります。
また、ランサムウェアの防御に役立つフレームワークを確立することも、企業にとって有益なことです。本記事では、米国の非営利団体「Center of Internet Security(CIS)」および「米国立標準技術研究所(NIST)」が策定したフレームワークを参考にしたベストプラクティスを紹介します。
- 設定および監視:
ハードウェアやソフトウェアの設定を意図的に管理し、本当に必要な場合にのみ特定の担当者に管理者権限やアクセス権を付与すること。ネットワークのポート、プロトコル、およびサービスの使用状況を監視すること。ファイアウォールやルータなどのネットワークインフラ機器にセキュリティ設定を実施し、悪意のあるアプリケーションの実行を防ぐためにソフトウェアの許可リストを作成すること。 - 最新のパッチおよびアップデートの適用:
定期的に脆弱性評価を実行し、OSやアプリケーションに対して最新のパッチまたは仮想パッチを適用すること。インストールされているソフトウェアやアプリケーションがすべて最新版に更新されていることを確認すること。 - システムおよび復旧データの保護:
データ保護、バックアップ、リカバリの実施方法を管理すること。使用するすべてのPC端末やプラットフォームに多要素認証(MFA)を導入すること。 - セキュリティ層の保護および防御:
サンドボックス分析を行い、悪質な電子メールを調査してブロックすること。電子メール、エンドポイント、ウェブ、ネットワークなど、システムの全レイヤーに最新のセキュリティソリューションを導入すること。システム内の不審なツールの存在など、攻撃の初期兆候を発見し、人工知能(AI)や機械学習を搭載したものなど、高度な検知技術を有効化すること。 - トレーニングやテストの実施:
セキュリティスキルの評価と全担当者へのトレーニングを定期的に行い、レッドチームによる演習やペネトレーションテストを実施すること。
■ トレンドマイクロの対策
「Trend Micro Vision One™」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤーにまたがる情報を収集し、自動的に相関させる深く幅広いXDR機能を提供する「Trend Micro Vision One™」は、自動化された防御機能によって攻撃の大半を防ぐことが可能となります。
法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によるウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。
また「Trend Micro Apex One™」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。
「Trend Micro Hybrid Cloud Security」として提供されるセキュリティソリューションは、クラウドネイティブシステムとその多様なレイヤーを保護するのに役立ちます。ソリューションとして提供される製品群は継続的インテグレーションおよび継続的デリバリー(CI / CD)パイプラインとアプリケーションの自動保護を提供するクラウドビルダー向けのセキュリティサービスプラットフォーム「Trend Micro Cloud One™」を利用しています。また、セキュリティの問題をいち早く特定して解決し、DevOpsチームの問題解決速度を改善するのにも役立ちます。Trend Micro Cloud One™には、以下が含まれています。
- 「Trend Micro Cloud One™ Workload Security」:データセンター、クラウド、 コンテナを保護する多層防御・脆弱性対策を提供するクラウド型セキュリティ
- 「Trend Micro Cloud One™ Container Security」:コンテナイメージのスキャン、アドミッションコントロール、コンテナの実行時保護をまとめて実現
- 「Trend Micro Cloud One™ File Storage Security」:クラウドファイル/オブジェクトストレージのためのセキュリティ
- 「Trend Micro Cloud One™ Network Security」:マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
- 「Trend Micro Cloud One™ Application Security」:コンテナ、サーバレスなどに構築された最新のアプリケーションおよびAPI向けセキュリティ
- 「Trend Micro Cloud One™ Conformity」:クラウドインフラストラクチャの継続的なセキュリティ、コンプライアンス対応状況の確認および可視化
スパムメールへの対策は、法人向けメールセキュリティ製品/サービスである「Trend Micro Email Security™」、「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などにより不審なメールやその添付ファイルをブロックすることができます。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「New Yanluowang Ransomware Found to be Code-Signed, Terminates Database-Related Processes」
by Don Ovid Ladores