検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

LOCKYランサムウェアが NUCLEAR EXPLOIT KIT(NUCLEAR EK)によりインストールされる

Brad Duncan 3 22, 2016 at 03:00 午後

※本記事は2016年3月21日に米国で掲載されたブログ記事の抄訳を基にしています。

 2016年2月にUnit 42は、 Lockyランサムウェアに関して行った詳細な分析結果を公開しました。このマルウェアに気付いたのは弊社だけでないことは確かであり、これまで他の多くの人たちが報告をしています。その時から、この比較的新しい類のランサムウェアを拡散することを目的として、マルウェアを添付したスパムを利用した様々な攻撃が行われており、その攻撃でLockyが頻繁に確認されています。

 弊社が初めてLockyに関する報告をしたとき、攻撃者はMicrosoft Office文書を利用してマルウェアを配布しており、このMicrosoft Office文書にはランサムウェアをダウンロードして実行する悪意のあるマクロが含まれていました。同じ目的を達成するため、攻撃者は、悪意のあるJavascriptファイルを含んだzip形式ファイルを添付して電子メールを送る、という新たな手口をすかさず追加しました。その一方で、気軽な気分でWebブラウジングをしているユーザーをLockyに感染させるため、エクスプロイト キット(EK)も使われてきました。この活動から、実質上、マルウェアを添付したスパム    を介してLocky感染に至る経路とEKトラフィックを介してLocky感染に至る別の経路、という2つの経路があることがうかがえます。

図1: 2016年2月以降のLocky感染に至る2経路の例
 
 EK経路について言及されることはめったにありません。これまでのところ、EKトラフィックを介してLockyが蔓延しているという報告はほとんど入ってきていません。一部の情報源では Neutrino EKがこのマルウェアを送信するのに使われた  としていましたが、もはやこの話題に関して公式発表をしておりません。

 最近、弊社はLockyがNuclear EKを利用してシステムを感染させようとしていることに気が付きました。

詳細

 Neutrino EKがLockyを配信していることが初めて報告された2016年2月において、弊社は そのトラフィックのpcap を発見し、下記のパターンに気付きました。

図2: 2016年02月16日にNeutrino EKが送信したLockyを示すWiresharkの表示
 

 Proofpointが同様のトラフィックについて報告し、 Necursを拡散することで知られるNeutrino EKスレッドによって配布されたのがLockyであるとしています。今月、弊社は同じタイプのゲートを偶然見つけました。今回、ゲートを通った後のトラフィック パターンは弊社がNuclear EKに関して確認したものと似ていました。ペイロードはLockyか、さもなければ他のドメインからLockyを検索するダウンローダーのいずれかでした。

図3: 2016年03月15日にNeutrino EKが送信したLockyを示すWiresharkの表示
 

図4: 2016年03月16日のNeutrino EK (Lockyをダウンロードするペイロードを送信中)を示す
Wiresharkの表示
 

 これらのLockyの標本に感染したWindowsホストは、弊社が2016年2月にこのランサムウェアについて初めて報告した際にすでに感染していたホストと様子が似ています。

図5: 2016年03月16日のLockyに感染した後のWindows ホスト
 

結論

 弊社が以前 Lockyに関するブログ記事でお伝えした通り、PaloAltoNetworksのお客様は弊社の次世代セキュリティ プラットフォームによりLockyから保護されています。WildFireは引き続きLockyを検出し、AutoFocusはこの脅威をUnit 42の“Locky” タグにより識別します。

 引き続き弊社では該当する兆候に関してコミュニティに周知するためLockyおよびEKトラフィックを調査し、さらに弊社の脅威防御プラットフォームを強化します。

セキュリティ侵害の兆候

日時範囲: 2016-03-15および2016-03-16
ゲートIPアドレス: 91.195.12.177
ゲート ドメイン: sed.poudelkamal.com.np
Nuclear EK IPアドレス: 46.101.8.169
Nuclear EKドメイン: lotos.castrumtelcom.com.br , here.jninmobilaria.com.ar
追跡マルウェアIPアドレス: 46.148.20.32
追跡マルウェア ドメイン: js.cefora.com.ar
Lockyランサムウェアにより生じた感染後のトラフィックに由来するIPアドレス:

  • 51.254.181.122
  • 51.255.107.8
  • 78.40.108.39
  • 149.202.109.205

確認されたエクスプロイトおよびマルウェア:

  • 説明: 2016-03-15 Nuclear EK Flashエクスプロイト
  • SHA256ハッシュ: 94bd74514cc9e579edf55dd1bac653ceca1837d930d109c6e701afe309b23310
  • 説明: 2016-03-16 Nuclear EK Flashエクスプロイト
  • SHA256ハッシュ: 4228036684f4f519704a102cd9322ac9edb1bfb5b20558a7a6873818f0e6a7b4
  • 説明: 2016-03-15 Nuclear EKペイロード – Lockyランサムウェア
  • SHA256ハッシュ: faf4f689683f3347738ef0a8370a78d504b513d44f3a70f833c50de3d138c3b2
  • 説明: 2016-03-16 Nuclear EKペイロード – Lockyランサムウェアをダウンロードしたファイル
  • SHA256ハッシュ: a9dac0a0389c463b063cb30f647b3d1610e6052570efe2dfb1fca749d8f039fc
  • 説明: Nuclear EKペイロードがダウンロードしたLockyランサムウェア(soft.exe)

SHA256ハッシュ: cc2355cc6d265cd90b71282980abcf0a7f3dcb3a608a5c98e7697598696481af    


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.