FortiGuard Labs 脅威リサーチ
お気づきですか? 新たなLockBit攻撃
FortiGuard Labsは、昨年12月から1月にかけて、新たなLockBitランサムウェア攻撃が、アンチウイルスおよびEDRソリューションに対して有効なテクニックを組み合わせて使用しているのを確認しました。LockBitは、2019年以降に活動している、危険度が増したランサムウェアの1つで、重要なインフラを含むさまざまな産業に対して攻撃を成功させたランサムウェアの一部でした。
このブログでは、感染の連鎖と戦術、手法、手順(TTP)の詳細についてご紹介します。
概要
攻撃の説明は、以下の図1に概説されている段階のようになっています。この攻撃には、.imgコンテナ(1)から始まり、マウントされると1つのファイルを表示し、残りのファイルをユーザーから隠すというソーシャルエンジニアリングの手法が用いられています。また、マルウェアのアナリストがサンプルを手動で調査している際に、ペイロードを見逃してしまう可能性もあります。
図1:攻撃の実行段階
そして、ユーザーは、1つだけ表示されるショートカット(2)ファイルを開くよう促されます。
図2:隠しファイルを含む.imgファイルの内容
今回確認したケースでは、公式のPython組み込みパッケージを使用したPythonスクリプトが実行されます(2.1)。このスクリプトの唯一の目的は、後続のBATスクリプトを実行することです。一部の亜種は、正規のfodhelper.exe(3.1)を悪用する既知のUACバイパス手法を使用していました。これにより、攻撃者のBATファイルが、ユーザーの承認なしに新しい上位のプロセスで実行されるようになります。
図3:UACバイパスの実装
BATスクリプト(4)は以下のように複数のことを実行します。
1. ログインユーザーのパスワードを変更する。
2. ファイルをC:\ProgramDataにコピーする。
3. システムが再起動した後、ユーザーの操作なしでログインするようにする(SysInternals Autologonを使用)。
4. 以下を試行する。
a. bcdedit.exeを使用して、次回の再起動をセーフモードに設定する。
b. sc.exeを使用してVBSスクリプト(4.1)を実行する新しいサービスを登録する。
c. reg.exeを使用して、サービスがセーフモードでも実行されるように設定する。
5. 失敗した場合、Winlogonで別のUIシェルとしてログオン時に実行されるBATファイル(4.2)をレジストリに設定する。
6. マシンを再起動する。
図4:BATファイルの永続(4.2)
ランサムウェアの実行ファイルは、パスワードで保護されたアーカイブ内に存在します。ブート後に実行されるスクリプトは、別のBATスクリプト(4.3)を実行して、ランサムウェアのペイロードを抽出します。7-zipアーカイバを使用し、悪意のある実行ファイルが自身を解凍するのに必要な「-pass」引数を指定して実行します。
図5:BATスクリプト内のコマンド(4.3)によるランサムウェアの復号化と実行
最終的なペイロードはLockBitです。TrendMicroのアナリストが、このランサムウェアの分析結果を発表しています。
ターゲットとして焦点が当たっているのはスペイン語圏の被害者です。すべてのサンプルは、主にコンサルティングや法律分野のメキシコまたはスペインの企業をターゲットにしています。
ランサムウェアのメモ:
あなたのデータが盗まれ、暗号化されます
身代金を支払わないと、データはTORサイトに公開されます
私たちに連絡すると、このTORサイトで1つのファイルを無料で復号化できます
(最初にTORブラウザをダウンロードし、インストールする必要があります https://torproject.org)
http://<onion address>
ログインのための会社ID:<固有のID>
スパイ活動に必要な回避のノウハウ
VirusTotalにおけるサンプルの検知率は最小の1桁で、中には完全に検知されないものもあり、この攻撃の手法が防御の回避に有効であることを示唆しています。
図6:.imgファイルの1つをVirusTotalで検知したもの
.imgコンテナによる配信は、Mark of The Web(MOTW)保護メカニズムを回避します。パスワードで保護された実行ファイルを抽出するマルチステージスクリプトは、一意のパスワードで実行した場合にのみ展開され、従来の署名ベースの検知を回避できます。
マルウェアの作成者は、Windows Explorerによる.imgファイルのマウント、署名付きインタプリタによるPython実行、7-zipによる暗号化されたアーカイブの解凍、SysinternalsのAutologonを使用した自動ログインなど、署名付きの合法的な実行ファイルを創造的かつ広範に使用する手法を示しています。これにより、カスタムコードへの依存を最小限に抑え、開発コストを削減し、EDRの監視に引っかからないようにできます。
結論
この攻撃が非常に回避的であることから、攻撃者が検知を回避するためにますます不明瞭な手法を活用し続けている傾向があることがわかります。このユニークな実行ファイルの組み合わせは、これまでのLockBit攻撃では見られませんでした。
これらのペイロードは、2022年後半のLockBitビルダーの流出に関連している可能性があります。したがって、LockBitの背後にいる元のグループ、またはその関連会社を確定的に特定することは難しいかもしれません。他のサイバー犯罪者は、LockBitによる過去の行為によってすでに蓄積された抑止力を利用したいと考えているはずです。
フォーティネットのソリューション
FortiEDRは、予備知識や特別な設定なしに、これらの脅威をすぐに検知しブロックします。これは、マルウェア実行後の保護機能エンジンを使用して、図のような悪意のあるアクティビティを識別するために行われます。
図7:FortiEDRがランサムウェアをブロックしている
すべてのネットワークIOC(Indicators of Compromise:侵害指標)は、FortiGuard Webフィルタリングのブロックリストに追加されています。
FortiGuardアンチウイルスは、以下のようにカバレッジを設定しています。
W32/Lockbit.K!tr.ransom
FortiGuardアンチウイルスサービスエンジンは、FortinetのFortiGate、FortiMail、FortiClient、FortiEDRソリューションに含まれています。
さらに、この脅威の詳細は、お客様の保護の強化を目的として、フォーティネットが参加するCyber Threat Allianceの他の参加メンバーにリアルタイムで共有されました。
詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / インテリジェンス部門、およびAIを活用したFortiGuardセキュリティサービスのポートフォリオを参照してください。この問題やその他のサイバーセキュリティの脅威が組織に影響を与えていると思われる場合、フォーティネットのグローバルFortiGuard インシデントレスポンスチームにお問い合わせください。
付録A:MITRE ATT&CKの戦術と手法
戦術 / テクニックID |
説明 |
TA0002 |
実行 |
T1059.003 |
コマンドとスクリプト言語インタプリタ:Windowsコマンドシェル |
T1059.005 |
コマンドとスクリプト言語インタプリタ:Visual Basic |
T1059.006 |
コマンドとスクリプト言語インタプリタ:Python |
T1204.002 |
ユーザーによる操作:不正ファイル |
TA0003 |
長期間存続させるための手法 |
T1547.004 |
ブートまたはログオン自動開始を実行する:WinlogonヘルパーDLL |
T1053.005 |
スケジュールされたタスク / ジョブ:スケジュールされたタスク |
T1543.003 |
システムプロセスを作成または変更する:Windowsサービス |
TA0005 |
防御の回避 |
T1553.005 |
信頼性の制御を逸脱させる:Mark-of-the-Webバイパス |
T1548.002 |
昇格制御メカニズムの悪用ユーザーアカウント制御を回避する |
T1027.002 |
曖昧化されたファイルまたは情報:ソフトウェアパッキング |
T1562.009 |
防御を妨害する:セーフモード起動 |
TA0040 |
影響 |
T1486 |
データを暗号化して身代金を要求する |
T1529 |
システムのシャットダウン / 再起動 |
付録B:IOC(Indicators of Compromise:侵害指標)
IMG SHA256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ランサムウェアの実行ファイル
SHA256 |
名前 |
cb049c6e59106bbdfd804a9d02bb31ea09a3918018cbb97fb12d2bcf9e475465 |
documentos.exe |
334148a7434f4fd27dcc6600edc2f29e4f11ada0be9f71f807cbd4154abd74be |
documentos.exe |
fd3577ff36496320485ffa05681ffa516a56fc4818c3fc89774aa4bb20e2c17f |
documentos.exe |
8465c979990e75262d15e93453287d6107f008035d6d6a05bd3a92c2e3fe1d40 |
HacAK.exe |
40828437094a02ab467a0c0343d08c110d3b0c2972b609bcdd355667614209f |
EMJgp.exe |
50f49ac742a127085e0a824bcae7e25326ea0ef0741f0abe34ce494f2c4ef4d2 |
byhHI.exe |
cc58dcd32a440e7f95d19b653a55c1e2c383efc2bd19443238dd3008c1cbe147 |
bOpDX.exe |
6eb6431dcfb1e7105fb05e2d8b01e231f6d4b82a1df3639499d0adacd00757cc |
gVozH.exe |
ドメイン
poliovocalist[.]com
IP
198.244.187[.]248
150.129.218[.]231
LockBitポータルのURL
hxxp://lockbit3jx6je7tm6hhm6zzafgy6hpil3ur6jmc2a4ugan7xzztv6oqd[.]onion
hxxp://lockbitdvbpfczc3yrs37kpp6avnrgr7yygi2f45qxvef2yqi36lpxyd[.]onion
hxxp://lockbit3hc6syym13ki2ag5jskr6q5qa3spspjpmtfhh6fufut737zid[.]onion
hxxp://lockbitov3afmxgknfhk2o5d4uqrhygd7ty3xqm56qd6zjlu6u43pgyd[.]onion
