■二重脅迫型Netwalkerランサムウェア
「Netwalkerランサムウェア」は、別名MailToランサムウェアとも呼ばれ、新型コロナウイルスの感染拡大により、新たな働き方として定着しつつあるリモートワーク環境のセキュリティ対策が不十分な組織や企業を標的としています。中でも医療業界の組織や企業については、ネットワークがダウンすると患者の身が危険に晒されることから、絶好の標的となっています。
Netwalkerランサムウェアの攻撃手法は、攻撃対象システムに保存されたデータを暗号化することで被害者がデータを使用できない状態にし、身代金の支払いをもってデータを復号化するメッセージを通知します。更にデータを奪取し、データを暴露することを引き換えに身代金を要求するといった、二重脅迫型と言われる標的性の高い攻撃に進化しています。
国内では、大手自動車メーカーの外注先、大手ゲーム会社などがこのタイプの攻撃を受けたということで、新聞やニュースなどで世間を騒がせています。
ここでは、二重脅迫型のランサムウェアの対策に未だ対応しきれていない組織や企業を標的とするNetwalker攻撃について、その攻撃手法とManageEngine Log360による対策方法をご紹介します。
Netwalker攻撃の仕組み
Netwalkerランサムウェアは、電子メールの添付ファイルを介して拡散されます。また、悪意のあるペイロードも、フィッシングメールを介して、またはユーザーが有害なサイトからダウンロードを実行した際に配信されます。
では、Netwalkerが攻撃対象システムに侵入後、具体的にどのような手法で攻撃していくのか、手順を追って以下に詳しくご説明します。
Netwalkerランサムウェアの攻撃手順
手順1:感染
Netwalkerランサムウェアは、「namesz」項目で指定される文字数(この場合は8文字)で一意の名前を生成します。ペイロードは次の場所にインストールされます。
%Program Files%\{8 random characters}\{8 random characters}.exe.
上記%Program Files%ディレクトリへのインストールが失敗した場合、%Application Data%\{8 characters}\{8 characters}.exeにインストールされます。
手順2:通信
Netwalkerは、レジストリキーを使用して暗号化キーを保存し、標的のシステムにバックドアをしかけます。Netwalkerランサムウェアが実行されると、レジストリキーが次の場所に生成されます。
HKEY_LOCAL_MACHINE\SOFTWARE\{8 random characters}
{8 random characters} = "{hex values}"
HKEY_CURRENT_USER\SOFTWARE\{8 random characters}
{8 random characters} = "{hex values}"
Netwalkerランサムウェアは自身をインストールすることで、暗号化キーなどの構成を初期化し、バックドアをしかけます。システム再起動後も再び自身のランサムウェアを起動することができます。
手順3:ファイル検索
暗号化キーなどの構成を初期化後、Netwalkerランサムウェアは、新しい「explorer.exe」インスタンスを起動し、それに自身のコピーをインジェクションします。
この手順を経てNetwalkerは次の操作が実行可能となり、攻撃対象のシステムデータ窃取に最適な環境を構築します。
- ファイル暗号化を防御するファイル処理プロセスの強制終了
- ファイル暗号化を防御するサービスの強制終了
- スケジュールタスクの強制終了
手順4:暗号化
手順3のインスタンスを実行中、Netwalkerランサムウェアは「AdjustTokenPrivileges」へAPIコールを行い、自身へ「SeDebugPrivilege」と「SeImpersonatePrivilege」の付与を行います。その後、攻撃対象ファイルの暗号化を開始し、感染した各ユーザーに一意となるようなメールアドレスや拡張子で、ファイル名を変更します。 例えば、「abc.doc」という名前のファイルは、「abc.doc.netwalker @ [BLOCKED} k.li] .4gt31」のように変更します。
手順5:身代金の要求
攻撃対象ファイルの暗号化が完了すると、身代金メモを生成します。Netwalkerはテキストファイル「4gt31-Readme.txt」を保存し、攻撃したシステムのデスクトップ上に身代金支払いを要求するメッセージを表示します。
手順6:検出回避
身代金メモが表示されると、プロセス「%System%\ vssadmin.exe delete shadows / all / quiet」が実行されます。 本コマンドは、攻撃対象システムに保存されているボリュームシャドウコピーを削除するため、被害者はシステムを元の状態に復元できなくなります。
一方、Netwalkerは、自身の検出リスクを最小限にするために、ランサムウェア自身を削除しインポートを非表示にします。そして、ステルス技術でプロセスにインジェクションを行います。
■CoronaVirusランサムウェア
もうひとつ、ご紹介するランサムウェアの一つとして、新型コロナウィルス(COVID-19)のパンデミックの発生以降広がり始めた「CoronaVirus ランサムウェア」があります。
新型コロナウィルスのパンデミックが拡大するにつれて、多くの企業がリモートワークでの働き方を導入するようになりました。一方で、リモートモートワーク環境のセキュリティ対策も万全ではないままVPNを使用し、その使用量が大幅に増加しているのが現状です。CoronaVirusランサムウェアは、オンプレミスに展開されている従来のネットワークセキュリティを突破することなく、この無防備に使用されたVPNの企業ユーザー認証情報を容易に窃取できるのです。
以下に、CoronaVirus攻撃について、その攻撃手法とManageEngine Log360による対策方法をご紹介します。
CoronaVirusランサムウェアの脅威
CoronaVirusランサムウェアが社内ネットワークセキュリティに致命的なダメージを与える理由として、一回の攻撃で次の3つの侵害が可能となるためです。
- ファイルの暗号化
- 認証情報の窃取
- 感染したシステムドライブのマスターブートレコード(MBR)内容の上書き
さらに、偽のダウンロードサイト、悪意のある広告サイト(マルバタイジング)、フィッシングメール、海賊版ソフトウェアやメディアなどを通じてマルウェアを拡散してくるので、信頼できないサイトへのアクセスや普段使用していないソフトウェアのダウンロードは要注意です。
CoronaVirusランサムウェア攻撃の仕組み
CoronaVirusランサムウェア攻撃には、色々な拡散手法がありますが、主にフィッシングメールによる拡散が一般的です。偽の電子メールを送信し、ユーザーを「WiseCleaner」という正規アプリケーションを装った偽のWebサイトにリダイレクトさせ、そこから「WSHSetup.EXE」というファイルをダウンロードさせます。 このファイルはダウンローダーとして機能し、別のサイトから他のファイルをダウンロードさせます。その際、主なダウンロードファイルは、マルウェアが組み合わさったfile1.exeとfile2.exeです。
file1.exeはKPOTと呼ばれるトロイの木馬として機能し、感染したシステムに保存されているユーザー認証情報を窃取します。file2.exeはファイルを暗号化します。
では、CoronaVirusランサムウェアが攻撃対象システムに侵入後、具体的にどのような手法で攻撃していくのか、手順を追って以下に詳しくご説明します。
CoronaVirusランサムウェアの攻撃手順
手順1:認証情報の窃取
KPOTマルウェアであるfile1.exeは、Webブラウザー、メッセージングプログラム、VPN、ファイル転送プロトコル(FTP)、電子メールおよびゲームアカウントなどからCookieやログイン認証情報を盗みます。 また、システムのアクティブなデスクトップのスクリーンショットを取得し、窃取するビットコインウォレットをスキャンすることもあります。 盗まれた認証情報はすべて、攻撃者が管理している別のWebサイトに送信されます。
手順2:ファイルとMBRの暗号化
実際のファイル暗号化は、file2.exeによって行われます。 このファイルをダウンロードして実行すると、システム内にある次の拡張子を持つすべてのファイルの暗号化が試行されます。
.bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old
暗号化されたファイル名は攻撃者の電子メールアドレスに変更されますが、拡張子は変更されません。そのため、感染したファイルの名前は全て「coronaVi2022@protonmail.jpg」のように似通ったものとなり、検出が困難になります。
手順3:身代金の要求
ユーザーが感染したフォルダーを開こうとすると、身代金メモが表示されます。 攻撃者は、ハードコードされたビットコインアドレスbc1qkk6nwhsxvtp2akunhkke3tjcy2wv2zkk0xa3jに0.008ビットコイン(日本円にして約5200円)の身代金を要求します。
さらに、CoronaVirus ランサムウェアは、感染したコンピューターのWindowsレジストリ設定を変更して、再起動時にも身代金メモが表示されるようにします。
ロック画面は45分後に変化しますが、システムにアクセスすることはできません。
最終的にWindowsを再起動し、15分後にユーザーがログインすると、身代金メモが再び表示されます。
ランサムウェア対策に有用なSIEMソフト
ManageEngineLog360のご紹介
昨今の新型コロナウィルスのパンデミック状況を逆手にとり、組織や企業に強いられた新たなセキュリティ対策の隙をついて標的攻撃するランサムウェアの攻撃手法についてご理解いただけたと思います。組織や企業によっては、窃取されたデータが致命的なダメージとなる可能性もあるため、復旧のために身代金の要求に応じなければならないケースもあるでしょう。しかし、身代金を払ったとしても、データ復旧は保証されません。
そこで、ランサムウェア対策に有用なソリューションであるLog360をご紹介します。ManageEngineのSIEMソフト「Log360」は、低コストであらゆるログの収集/保管とActive Directory監査を実現できるソリューションです。疑わしいソフトウェアのインストールやファイルの変更など、ランサムウェア攻撃の兆候にあたるイベントを検出し、セキュリティ管理者にリアルタイムでアラート通知することで、感染拡大を阻止するための迅速な対応が可能になります
ランサムウェア対策のLog360製品活用事例など、Log360製品の詳しいご説明をご希望の場合、個別でデモやご説明ができる「オンライン相談」のお申込みを受け付けております。お気軽にご利用ください。
関連ページ:
