検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

Afraidgate: 主要のエクスプロイト キット攻撃がLockyランサムウェアをCryptXXXに入れ替え

Ryan Olson 5 06, 2016 at 06:00 午後

※本記事は2016年4月28日に米国で掲載されたブログ記事の抄訳を基にしています。

 2016年4月中旬、Nuclearエクスプロイト キット(EK)を使ってLockyランサムウェアを配布していた攻撃は、Angler EKを使ってCryptXXXランサムウェアをインストールするように変わりました。この攻撃はafraid.orgのFreeDNSを介して登録されたゲートを利用しますので、Afraidgate攻撃と呼ぶことにします。Lockyが悪意のあるスパムを介して配布されていることは相変わらず確認されていますが、4月中旬以来、EKトラフィックに由来するLockyは見つかっていません。

進化する攻撃

 2016年3月、弊社はAfraidgate攻撃に由来するNuclear EKがLockyランサムウェアを拡散させていることに気付きました。感染の連鎖において一貫していたゲートのパターンが前月のNeutrino EKを利用する同一の攻撃を示唆していました。それが今ではこの攻撃はAngler EKを示唆しています。EKの変更とともに、マルウェアもLockyからCryptXXXへと切り替わりました。これらのマルウェア ファミリーは両者ともランサムウェアのビジネス モデルを採用しており、ユーザーのファイルを暗号化したうえで復号化キーと引き換えに身代金を要求します。下図は当該攻撃における変更を表したものです。
 

図1: Afraidgate攻撃に由来するEKおよびペイロードの変更
 

Angler/Bedep/CryptXXXの組み合せ

 2016年4月中旬、疑似Darkleech攻撃がAngler EKからBedepを介して CryptXXXの配布を開始しました。 同じAngler EK/Bedep/CryptXXXの組み合せがAfraidgate攻撃にまで及び、Lockyを配布するのに使われていたNuclear EKトラフィックを置き換えました。

 Angler EKはNuclear EKよりも若干進化しています。Anglerは新型エクスプロイトを使っていますが、通常、これらのエクスプロイトはNuclear EKになる間近のものです。Bedepを送る際、Anglerは2014年に最初に実装された「ファイルなし」感染手法を使います。Bedepはエクスプロイトのシェルコードによってメモリに直接ロードされるため、全くのファイル作成なしでインストールされます。

 Bedepはホストを別のマルウェアに感染させるファイル ダウンローダーであり、CryptXXXのほかにクリック詐欺マルウェアもインストールします。Bedepの最新のアップデートにより、仮想マシン(VM)を使ってこのマルウェアを調査することは一層困難になっています。BedepはVMを検出した場合に別の行動をします。CryptXXXをダウンロードしようとはせず、感染後のクリック詐欺トラフィックは通常の物理的なホストで見られるものとは異なっています。

図2: このようにVMの感染は他の例とは異なる感染後のトラフィックを示す
 

 Afraidgate攻撃に由来するAngler/Bedep/CryptXXX感染トラフィックの3つの例を下に示します。
 

図3: 185.118.164.42 上のゲートがAngler EK/Bedep/CryptXXXに誘導する(2016/04/22金曜日)
 

 

 

図4: 185.118.164.42 上の類似ゲートがさらにAngler EKトラフィックに誘導する(2016/04/25月曜日)

 

図5: 185.118.164.42 上の類似ゲートがさらにAngler EKトラフィックに誘導する(2016/04/26火曜日)
 

結論

 もはやCryptXXXは少なくとも2つの主要EK攻撃で採用されているデフォルトのランサムウェアであり、成長過程にあるサイバーセキュリティの脅威ととらえるべきでしょう。

 ドメイン、IPアドレスなど、Angler EK、Bedep、およびCryptXXXに関連する兆候になるものは絶えず変化しています。引き続き弊社では該当する兆候に関して、コミュニティに周知するためにこの活動を調査し、さらに弊社の脅威防御プラットフォームを強化します。

 WildFireは引き続きCryptXXXランサムウェアの.dllサンプルが投入されるのを検知し、AutoFocusはUnit 42のCryptXXXタグによりこの脅威を特定します。

セキュリティ侵害の兆候

 2016/04/26火曜日の時点で、この攻撃に関連する侵害の下記の兆候を確認しました。

この攻撃で使われたゲート:
·   185.118.164.42 port 80 - host.vivialvarez.com[.]ar - GET /widget.js
·   185.118.164.42 port 80 - kw.projetoraizes.com[.]br - GET /js/script.js
·   185.118.164.42 port 80 - net.jacquieleebrasil.com[.]br - GET /js/script.js

Angler EK:
·   85.25.160.124 port 80 - bintiye.helpthevets[.]org
·   85.25.160.124 port 80 - mcimaildmz.dinnerplate.co[.]uk
·   192.169.189.167 port 80 - candidulumbestuurlijk.newlandsierrarealestate[.]com
·   192.169.190.97 port 80 - frageboegen-plletyksin.breastcanceroutreach[.]com
·   192.169.190.97 port 80 - reikleivn-azarashi.orlandohomesbydevito[.]com
·   209.126.120.8 port 80 - litigators.esteroscreen[.]com

Bedep感染後のトラフィック:
·   104.193.252.241 port 80 - qrwzoxcjatynejejsz[.]com
·   95.211.205.228 port 80 - yfczmludodohkdqnij[.]com (VMを使用)

クリック詐欺のトラフィック:
·   5.199.141.203 port 80 - ranetardinghap[.]com
·   93.190.141.27 port 80 - cetinhechinhis[.]com
·   95.211.205.218 port 80 - tedgeroatref[.]com
·   104.193.252.236 port 80 - rerobloketbo[.]com
·   162.244.34.11 port 80 - tonthishessici[.]com
·   207.182.148.92 port 80 - allofuslikesforums[.]com
·   85.25.79.211 port 80 - oqpwldjc.mjobrkn3[.]eu (VMを使用)

CryptXXX感染後のトラフィック:
·   217.23.6.40 port 443 (独自のエンコーディング)

 


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

イベントへの限定招待、Unit 42の脅威アラート、サイバーセキュリティのヒントなどを配信します。

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2020 Palo Alto Networks, Inc. All rights reserved.