検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

CryptoBit: 新たなランサムウェア ファミリが更新される

Brad Duncan 7 08, 2016 at 04:00 午後

※本記事は2016年7月7日に米国で掲載されたブログ記事の抄訳を基にしています。

2016年4月、Panda Securityがエクスプロイト キット(EK)トラフィックを介して拡散するCryptoBitという名のさらに新たなランサムウェアのファミリを公表しました。2016年6月、私たちはCryptoBitランサムウェアの更新版がRig EKによって送信されたことに気付きました。

6月23日および6月24日に、この攻撃活動ではドメイン名realstatistics[.]infoの付いたゲートが利用されましたが、このドメイン名はRig EKを指していました。脆弱性のあるWindowsホストがこのトラフィックに遭遇した場合、Rig EKがCryptoBitランサムウェアを配信してそのコンピューターを感染させました。別の情報源ではこのランサムウェアに対して違う表現を使っており、一部ではCryptobitではなく「CriptoBit」または「Mobef」と呼んでいます。

図1: このEKによるCryptoBit感染のフローチャート
 

感染トラフィック

6月23日(木)、私たちは図2に見られる感染トラフィックを発生させました。

図2: Rig EKを介したCryptoBit感染を目的とするトラフィック(2016年6月23日)
 

さらに6月24日に類似の感染を発生させました。セキュリティ侵害の痕跡(IOC)は以下のとおりです。

  • 85.25.95[.]39 – realstatistics[.]info – Rig EKを指すゲート
  • 5.61.37[.]139 – kjyrxilohcowy.dyndns[.]org – Rig EK (2016年6月23日)
  • 5.61.32[.]163 – smobutdobesy.dyndns.org[.]org – Rig EK (2016年6月24日)
  • 58.64.142[.]89 – laoismacau[.]com – 感染後にCryptoBitから生じたトラフィック

ゲートはスクリーンの解像度とタイムゾーンを確認してから、Rig EKへの誘導用iframeを伴うjavascriptを返しました。

図3: ゲート ドメインに対する最初のHTTP要求
 

図4: ゲート ドメインに対する2番目のHTTP要求
 

Rig EKトラフィックには2015年5月以降それほど大きな変更はありません。2015年5月において、Rig EKトラフィックはペイロード難読化からペイロード バイナリのASCII文字列によるXOR演算処理へと切り替わりました。この感染において、Windowsホストには古いFlashプラグインに起因する脆弱性がありました。

図5: Flashエクスプロイトを送信中のRig EK
 

図6: マルウェア ペイロードを送信中のRig EK
 

CryptoBitに関する感染後のトラフィックには偽のuser-agentがHTTPヘッダーに含まれていますが、コールバック活動を正規のWebトラフィックに見せかけるための偽のreferrer行も含まれています。

図7: CryptoBitランサムウェアにより発生した感染後のトラフィック
 

感染したWindowsデスクトップ

感染後、図8で示すように、感染したホストのデスクトップ上にウィンドウが突然現れました。

図8: CryptoBit感染直後のWindowsホストのデスクトップ
 

図9: CryptoBitの復号化に関する指示(拡大画像)
 

このウィンドウを動かすことはできませんでした。ホストを再起動するとこのポップアップ ウィンドウは消えましたが、復号化に関する同じ指示を内容とするテキスト ファイルがデスクトップ上に残りました。キー ファイルについてもお伝えします。今までのところ、私たちはHITLERSNASTYLITTLECRYPTEROMGWTFHELP.KEY23およびHITLERSNASTYLITTLECRYPTEROMGWTFHELPOHNOES.KEY24のような名前のキー ファイルを確認しております。

図10: 再起動後のWindowsデスクトップ(2016年6月23日以降)
 

図11: 別の感染後のWindowsデスクトップ(2016年6月24日)
 

復号化に関する指示にあった電子メール アドレスは以下のとおりでした。

  • epiclesis[at]protonmail.ch
  • kyklos[at]lelantos.org
  • kyklos[at]scryptmail.com
  • malakia[at]anoninbox.net
  • malakia[at]openmailbox.org
  • sycophant[at]sigaint.org

復号化に関する指示にあったbitmessage.orgのアドレスは次のとおりでした。

  • BM-NAxZ29ouecw2Y7ibaXKus1vxDRDfheW6

結論

6月27日現在、この攻撃活動は別のマルウェアの配信を開始しています。しかし、6月17日から6月27日までの間、私たちはこの最新版CryptoBit亜種に関して少なくとも8個のサンプルが58.64.142[.]89上のlaoismacau[.]comと通信していることに気付きました。これらのサンプルに関するSHA256ハッシュは以下のとおりです。

  • 2477db8c1a6882212921ce396d85964d182f9993a0786fb7ccc497b0af78fd3b
  • 4eb75511b34cc276251dff1007328477836da59458e1f89c607c2590fe2ebdaf
  • 5351c106e578453993d20b10bd71301c831a2a0cea3aa45d911fde7a94b9247a
  • 642a3067a35348a833e82e7c08eb53c27f6d2bc68c61bc6e81f135e9927969c7
  • 6cb7ceca202fccbb8592728b030127eff7a5661b80131d2a40dc637b76d82fa8
  • 8fe6b7f52033794d97aa58605ba3eb306c537abeeaf6d14f45ba3204bf112f70
  • 90e1ea707f97105a99cd7e960fc26deb91aba68f50ec80e40bf915822c4e3998
  • bd7e11ecdf7308a4173bdaff82b38c2fba47939ac0356a1878a52fff203656ab

Palo Alto Networksのお客様は、次世代セキュリティ プラットフォームを通じて、Rig EKおよびCryptoBitランサムウェアから保護されています。WildFireがCryptoBitファイルを悪意のあるものとして検出しますので、AutoFocusのユーザー様はCryptoBitタグで識別することができます。


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2020 Palo Alto Networks, Inc. All rights reserved.