※本記事は2017年1月27日に米国で掲載されたブログ記事の抄訳を基にしています。

 

最近の悪意のあるMicrosoft Word文書を分析中に、この文書がランサムウェア亜種の“SAGE 2.0”(Sage Locker)をダウンロードしました。この亜種はCryLockerから派生したものです。このランサムウェアは、最近、ゆっくりと順に巡っています。つまり、最も目を引いている理由は、数多くあるこれらの攻撃活動が同じダウンロード場所からSageとCerberという2つのランサムウェア ファミリを配信し、1日中、定期的にこの2つをときどき切り替えている様子が確認されているということです。

このブログ記事の中で、私はランサムウェアの配信インフラストラクチャを分析し、検知・防御用に導入することのできるインジケータを列挙して行きます。しかし、インフラストラクチャの分析に入る前に、どのようにしてこの配信が発生するのか手短に解説する必要があります。

私がこのことを発見したのは、ランサムウェアそれ自体が理由ではなく、Microsoft Word文書がランサムウェアの実行可能ファイルをダウンロードする方法が原因でした。具体的には、これらのMicrosoft Word文書は、この種のランサムウェア攻撃活動で普通に行われているように電子メールによって配信され、PowerShellプロセスを起動して、私がモニタリングした回避手法を用いて実際のランサムウェアをダウンロードします。回避手法の背後にある発想は、プロセス起動を阻止するパターン マッチングまたは文字列マッチングを回避するというものです。回避するには、Windowsのコマンドラインのカラット('^')エスケープ文字を通常の文字と文字の間に入れて、例えば“powershell”や“executionpolicy”といったコマンドを分割します。この例を以下に示します。

例えば“powershell”をブロックしようとしても、カラットがこの単語を分割しているためブロックできないでしょう。しかし、Microsoft Windowsが実際に処理するのに何の影響もありません。Microsoft Word文書には、このコマンドを組み立てて実行するマクロが難読化した形で含まれており、コマンドが実行されるとランサムウェアのファイルがダウンロードされ実行されます。何も難解ではありませんが、この文書は検出と防御を回避しようとするものの、実際のところ他よりも目立つためリバース エンジニアリングが効果的にできます。

URL内の“read.php?f=0.dat”というこのパスから割り出すと、私はPalo Alto NetworksのAutoFocusを使って2016年12月15日以降の9,107個の一意的なMicrosoft Word文書を直ちに特定することができました。これらの文書は動的処理活動においてこのパターンとマッチしました。そこから、私はこの攻撃活動で使用されているダウンロード場所を、特定したサンプルの中からすべて抽出することができました。

登録者のレベルで内在する 相関関係が何かないか判断するため、特定したこれらのドメインすべてに関してWHOISを抜き出したところ、やはり新たなパターンが浮かび上がってきました。


図1 配信ドメイン同士の関係

図1には、5つのドメイン群が示されています。薄緑色はドメインを登録した人物の名前を表し、濃い灰色はその人物の電子メールを表しています。「人物」ごとに、そのアイデンティティ(ID)に関連付けられた複数のドメインがあります。

手にしたこの情報を基に、電子メールを使用して、引き続きピボット検索を行い、これらのIDによって登録されたすべてのドメインを見つけ出しました。驚いたことに、合計574のドメインが存在し、9つのドメインのみを持つ“dns at unit.org[.]hk”アドレスを除き、IDごとに125~160のドメインがありました。

ここで、これらのドメインの一部をざっと見てみると、フィッシングまたは回避のいずれかを目的として、他の会社として成りすましている大量のドメインから全般的に悪意のある本質を感じ取れます。

この新しいドメインのリストを使用して、AutoFocusに戻り、さらに12,422件のサンプルを列挙することができました。すべて、以前の文書と同様の活動を示していました。

以下は、ダウンロード コマンドと一意のURLパスの各バリエーションの例です。

“search.php”

“read.php?f=1.dat”

“read.php?f=404”

“admin.php?f=0.dat”

“admin.php?f=1.jpg”

この次のものは、SageやCerberではなく、Lockyを使用していたため特に興味が惹かれました。この最初のインスタンスは、この記事で説明したSageおよびCerber攻撃活動の6日前、12月9日に開始されました。

注意すべきもう1つの点は、それが異なるPowerShellコマンドを使用しているが、その背後にいる攻撃者はダウンロード時に引き続き“read.php?f=X.dat”形式を使用していたことです。

“read.php?f=3.dat”

大事なことを言い忘れていましたが、ランサムウェアをダウンロードするためにさらに別のバージョンを使用した、2016年8月6日に開始されたサンプルがありました。これは、PowerShellではなくBITSを使用してファイルを転送し、より新しいバージョンで見られる実行可能ファイルの“exe”拡張子の代わりにスクリーンセーバーの拡張子“scr”を付けてファイルをドロップします。

“admin.php?f=1.exe”

動的分析レポートでファイルとスクレイピングされたデータを綿密に調べた後、この攻撃活動の背後にいる攻撃者が好んで1つのパターンに従っていることが明らかになりました。ランサムウェアの亜種に関係なく、これらの小さな痕跡によって、より大規模なインフラストラクチャを解明し、現在および考えられる将来の脅威に関するより実用的なデータを生成することができます。

Palo Alto Networksのお客様は、次の方法で脅威から保護されています。

このマルウェアを配信するために使用されたドメインと、関連する攻撃で使用されたドメインは、脅威防御を通じてブロックされます。

WildFireは、これらの手法を使用しているファイルを悪意のあるものとして識別します。

AutoFocusユーザーは、PowerShellCaretObfuscationおよびCerberSage_Distributionを使用して、関連する活動を識別できます。

以下は、検出と防御に使用できる痕跡の要約です。

列挙されたパス:

直接的なランサムウェア ダウンロードURL:

列挙されたドメイン:

 


 関連コンテンツ

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 0
  • 591

4月28日(金)製品導入・運用支援トレーニング

『次世代ファイアウォール製品導入・運用支援トレーニング』を下記の日程にて開催いたします。本トレーニングは、パロアルトネットワークス製品であ るPAシリーズのハンズオンを通して、導入ならびに運用を行うための基本技術知識を習得頂くことに主眼をおいています。この機会に是非皆様の参加をご検討 いただけますよう心よりお待ち申しています。 【日  時】 2017年4月28日(金) 13:30~17:00(受付13:00~) ※終了時刻は多少前後します。  【会  場】 パロアルトネットワークス 3F 【講  師】 パロアルトネットワークス SE 【内  容】 製品の導入・運用の流れ 設定マイグレーション 可視化ツール ログ管理 セキュリティ調査 Unknown通信や誤検知への対応 シグネチャアップデート アップグレード 【持  物】 PCは弊社でご用意しております。 ご自身のMACノートブックをお持込みになりたい場合は次の準備をお願い致します。 Ethernetアダプタ(LANポートがないモデルの場合) マイクロソフト Remote Desktop Connectionクライアントソフトウェア 次のURLよりソフトウェアのダウンロードが可能です http://www.microsoft.com/japan/mac/download 【人  数】 8名(定員になり次第締め切ります)  ※ご登録後にキャンセルをされる場合は、必ずイベント事務局までご連絡をお願いいたします。 【対  象】  PAシリーズを既に導入・運用を行っているシステムエンジニア(エンドユーザー様) ※参加条件として製品実感トレーニングを修了済みである必要があります。 ※導入ユーザ企業様を優先とさせていただきます。 【費  用】 無料  ※お申し込み後に登録確認メールが送付されます。届かない場合は、メールアドレスの誤入力等の可能性がございますので、イベント事務局 paloalto@mlrev.co.jp までお問い合わせください。 ※開催3日前の時点でお申し込みが5名に達しない場合は、イベント開催をキャンセルさせていただきますので予めご了承ください。 ◆個人情報の取り扱いについて◆ パロアルトネットワークスは、当社が出展または主催する展示会・セミナーのご案内、当社が提供する商品・サービスに関するご案内など各種情報のご提供、及び当社営業部門または販売代理店、マーケティングサービス会社からのご連絡などを目的として、取得した個人情報を利用させていただくことがあります。当社は、ご提供いただいた個人情報を、法令に基づく命令などを除いて、あらかじめお客様の同意を得ずに第三者に提供することはありません。ただし、上記利用目的の範囲においてお客様の個人情報を弊社販売代理店および弊社と個人情報取扱いについて契約のある委託業者が閲覧する事がございます。 ※上記利用目的にご同意いただける場合にのみ、本セミナーにご応募いただきますようお願いします。 ※以前より情報をご提供いただいている場合、今回ご提供いただいた情報を最新の情報としてデータを上書きさせていただきます。 ※「個人情報保護基本方針」および「『個人情報の保護に関する法律』に関する公表事項」は、下記URLよりご覧いただけます。 https://www.paloaltonetworks.jp/legal/privacy.html

イベント
千代田区
  • 0
  • 355

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 0
  • 318

Tsunamiの亜種である新しい IoT/Linux マルウェアがデジタルビデオレコーダーを標的に

パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、新しい IoT/Linux ボットネット「Tsunami」の亜種である「Amnesia」を発見しました。Amnesia ボットネットによる攻撃は、TVT Digital 社ならびに TVT Digital 社から供給を受けた世界 70 以上のベンダーブランドによる DVR (デジタル ビデオ レコーダー) 機器に存在する、パッチを適用されていないリモートコード実行に関する脆弱性を狙います。

  • 0
  • 284

製品概要スペックシート

  • 0
  • 261

日本の学術研究者と 組織を狙った新たな攻撃

パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、2016年の9月から11月にかけて、「menuPass」として知られる攻撃グループによるAPT攻撃(持続型の標的型攻撃)が、日本の学術研究者および製薬企業、米国に子会社を置く製造業を対象にしていたことを確認しました。この攻撃では、トランプ氏の選挙での勝利に便乗した件名などを使用した、スピアフィッシング攻撃が用いられています。

  • 0
  • 249