ランサムウェアの難問 - DarkSideを詳しく見る

2021年6月4日 | Bar Block

米国のミッションクリティカルな燃料パイプラインを停止させたコロニアル・パイプライン社のランサムウェア事件については、もうほとんどの方がご存知のことと思います。侵入とそれに伴うサービスの停止により、同社は数日間にわたってオフラインになり440万ドルの身代金 を支払いました。

ランサムウェアが米国のみならず世界中で注目を集めているのは、その攻撃が対象となる企業に深刻なビジネス上の影響を与えるだけでなく、その頻度や規模が拡大しているためです。

この記事では、DarkSide攻撃の背景について説明します。

注目されているDarkSide の Ransomware-as-a-Service (RaaS)

DarkSideは、20208月に初めて発見されて以来、これまでに15カ国以上で見つかっています。「Darksupp」というニックネームで販売されているDarkSideは、ランサムウェアがダークネットサイトで販売され拡大している Ransomware-as-a-ServiceRaaS)と呼ばれるトレンドの1つです。DarkSide自体も、ロシアのダークネットフォーラム exploit.in xss.is に掲載されていました。ここ数年、RaaSの勢いは増しており、「SATAN」をはじめとする世の中で多発しているランサムウェア攻撃のいくつかは、同様に同じところから生まれています。

このRaaSモデルでは、購入者である「アフィリエイター」にインターフェースが提供され、そこから独自のDarkSideバリアントのコスチュームを作成したり、被害者を管理したり、DarkSideブログのコンテンツを書いたりすることができます。アフィリエイトは、身代金支払いの際に、身代金の要求額に応じた割合で、マルウェアの作成者に出資します。

報告されている攻撃シナリオでは、アフィリエイターまたはDarkSideの作成者自身である可能性のある攻撃者が、組織のVPNの既知の脆弱性を利用したり、正規ユーザーの資格情報を使用したりするなど、さまざまな方法で組織に侵入します。一度侵入されると、DarkSideのペイロードがダウンロードされ、ローカルおよびネットワークドライブ上のさまざまな場所にコピーされます。被害者であるPatient Zeroが完全に感染すると、脅威の主体はネットワークの聖杯である Domain Controller (DC)を探し始めます。目的の場所に到着すると、攻撃者はさらに機密情報やファイルを収集します。また、 SAM レジストリハイブをダンプして、パスワードを抽出することも可能です。

侵入が完了した後、DCがマルウェアに感染するだけでなく、関連するネットワークにも感染します。攻撃者は、このマルウェアを利用して、ネットワーク内の他のターゲットを感染させることが可能になります。最後に、Windowsのスケジュールタスクなどの実行メカニズムによってランサムウェアのペイロードが実行されますが、これについては後ほど詳しく説明します。

被害者は、通常、デスクトップや感染したフォルダに置かれた身代金請求書によって攻撃の事実を知ることになります。被害を受けた企業が身代金の支払いを拒否した場合、データは暗号化されたままとなり、攻撃者は盗んだファイルや情報を一般に公開する可能性があります。

DarkSideを光に変える - コロニアル・パイプラインの攻撃とその結果

2021年5月7日、コロニアル・パイプライン社がDarkSideに攻撃されました。同社が運営するパイプライン(同名)は、米国東海岸への供給に使用される燃料の45%を運んでいるため、このパイプラインが寸断されると、必ず燃料やサプライチェーンの問題が発生します。攻撃の矛先は同社のデータシステムに向けられました。コロニアル・パイプライン社は、より大きな被害や混乱を避けるために、運用技術システムを無効にすることを選択しましたが、この決断が被害をより大きくする原因となりました。もしネットワークを分離するソリューションを導入していれば、ランサムウェアが業務システムまで被害を及ぼすような決断には至らなかったかもしれません。これにより、米国で最も人口の多い地域への燃料やガソリンの供給が脅かされただけでなく、ガソリンの不足、ガソリンスタンドの長蛇の列、パニック、価格の高騰などの事態が発生しました。

攻撃を受けた同日、民間企業であるコロニアル・パイプライン社は、身代金の支払いをするべきではないというFBIの指示(多額のランサムウェアの支払いは、さらなるランサムウェアの攻撃と多額のランサムウェアの支払いを誘発するだけだという論理です)には従わず、身代金約440万ドルをビットコインで支払うことを選択しました。

攻撃から5日後の5月12日、同社はパイプラインの復旧に成功し、その後、通常の活動を再開しました。

しかし、今回の攻撃の影響はもっと長く続くでしょう。

この攻撃がガスの供給、事業の運営、消費者の信頼、さらには相互につながっている大規模なサプライチェーンに連鎖的に影響を与えたことから、ランサムウェアは企業経営者や米国政府からも注目されています。攻撃を受けた数日後、DarkSideはバイデン米国大統領の標的となり、DarkSideのウェブサイトはすぐに閉鎖されました。さらなる反響と調査を恐れたDarkSideと、同月にワシントンD.C.警察を攻撃したBabukを含む他のランサムウェアグループは、その週の終わりに解散を発表しました。

DarkSideサンプルの分析

DarkSideのRaaSモデルは、アフィリエイトが独自のランサムウェアのビルドを作成し、独自の裁量で攻撃を指揮できるインフラを提供します。アフィリエイトは、このコンソールを使用して、暗号化モードの選択、被害者がCIS諸国の出身かどうかを判断するための言語チェックの実行の有無、ネットワークドライブの暗号化の無効化または有効化、シャドーコピーの削除など、自分のバリアントがどのように動作するかを決定することができます。

ここで言及されている分析済みサンプルは、特に指定のない限り、SHA256値が 6931b124d38d52bd7cdef48121fda457d407b63b59bb4e6ead4ce548f4bbb971 です。

この DarkSide 亜種が実行されると、実行元のディレクトリに LOG.victim_extension.TXT と呼ばれる、自分の行動を記録するファイルが作成されます。「victim_extension」は、DarkSideの亜種が生成する8文字の疑似乱数文字列で、感染したマシン上の暗号化ファイルの拡張子として使用されます。この文字列は、身代金ファイルとログファイルの名前にも使用されます。


図1:DarkSideのログファイル

上の画像に見られるように、暗号化を開始する前に、DarkSide は暗号化されたファイルがローカルのバックアップで置き換えられないようにいくつかの対策を取りました。バックアップサービスをアンインストールし、暗号化したいファイルのハンドルを持つ特定のプロセスを終了させ、ごみ箱を空にし、最後の仕上げとして以 下の PowerShell コマンドを使用してシャドウコピーを削除しました。

powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20
466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*
$_,2))};iex $s"

変数「s」には以下のものが含まれていました:

Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

次に、ファイルシステム上のすべてのファイルの暗号化を開始しました。ただし、"Windows"、"ProgramData"、"AppData"などの特定のディレクトリに存在し、"exe"、"bat"、"bin"などの特定の種類のファイルや、"thumbs.db"、"netuser.dat"などの無視できる名前のファイルは除きます。

ランサムウェアが訪れたすべてのディレクトリに、次のようなランサムノートが投下されました:


図2:DarkSideのランサムノート

前述のとおり、DarkSide のウェブサイトは停止していたため、自動的に生成された URL はどのページにもつながっておらず、実際にはデータは流出していませんでした。仮にサーバーがまだ稼働していたとしても、100GBのデータが盗まれることはありませんでした。なぜなら、使用されたファイルシステムにはこのような量のデータは含まれておらず、分析したところ、リモートサーバーへの接続を試みた形跡は見つからなかったからです。この数字は、少なくとも解析対象ごとに固定されたものであり(他の解析対象では、400GBなど異なる量のデータが盗まれたとされています)、盗まれたデータの量を推測する上ではあてにならないと考えてよいでしょう。

Deep Instinct vs DarkSide

Deep Instinctのエンドポイントソリューションは、DarkSideの亜種の実行を、当社の深層学習脳を介した静的なものと、行動分析メカニズムを介した動的なものの両方で防止します。このように、Deep Instinctは、既知および未知のすべてのランサムウェア攻撃に対して、世界で最も高度な防止策を提供します。


図3:DarkSideでの静的防止イベント


図4:シャドーコピーの削除に使用されたPowerShellコマンドが悪意のあるものと認識され、防止された


図5:DarkSideは、ファイルが暗号化される前に、特定されたランサムウェアの動作によって防止された

まとめ

RaaSを利用した攻撃はまだ終わっていません。単独のハッカーや大規模なシンジケートの技術や専門知識が洗練されていくにつれ、より多様で邪悪なランサムウェア攻撃が発生する可能性があります。そして、攻撃のターゲットとなる企業はより増大し、身代金に充てる膨大な資金がブランドに影響を与える可能性があります。

しかし、ランサムウェアには解決策があります。Deep Instinctを使ってランサムウェアを予測・予防し、システムや業務に影響を与える前に食い止めることができるのです。DarkSideはコロニアル・パイプライン社に大きな傷跡を残し、収益と評判に多大な損害を与えました。ランサムウェアを防ぐために、セキュリティ対策に投資し、ネットワーク防御をよりよく準備しましょう。

300万ドルの保証付きでマルウェアを阻止するための業界最先端のアプローチについて詳しく知りたい方は、当社の新しいeBook 「Ransomware: Why Prevention is better than the Cure  」をダウンロードしてください。