ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、2018年4月にASEC のブログを通して復旧ツールを配布した後、暗号化方式の変化によって2018年6月から現在までに登場しているすべての形式において、復旧が不可能な形態で拡散している。現在も国内での被害事例が多い状況であり、IEの脆弱性(CVE-2018-8174)を利用して拡散しているため、IEユーザーの場合はセキュリティパッチの適用が必須とされている。
AhnLab ASEC 分析チームでは、Magniber ランサムウェアの拡散場所を継続的に監視しており、1)11月11日以降、動作方式の変化を確認した。どのような動作方式の変化があったのかを説明し、V3 Lite 4.0 製品に新しく適用された「プロセスのメモリ診断」検出機能による2)暗号化ブロックのプロセスを紹介する。
Magniber ランサムウェアは、IEブラウザの脆弱性を利用した感染により(別途ファイル生成を行わずに)ファイルレス形式で動作し、ランサムウェア行為を実行する主体は、感染システムの多数の正常なプロセスである。すなわち、一度感染すると治療が非常に難ししランサムウェアであると言うことができる。
以下の [図1] は、11月11日以前の Magniber ランサムウェアの動作プロセスを示している。(1)番~(6)番のプロセスによって動作し、黄色のマークが表示されたプロセス(実行中のユーザープロセス、wuapp.exe)がランサムウェア行為を実行するプロセスであり、すべて正常なプロセスであることがわかる。すなわち、ランサムウェア行為を実行する別のマルウェアがファイル形式で生成/実行される構造ではなく、インジェクション(Injection)を用いたファイルレス形式で動作する。
11月11日以降の変化は(4)番のプロセスが削除されたものであり、現在は iexplorer.exe プロセスが自身に Injector DLL をインジェクションする部分が削除された。このような行為上の変化は、順序的に最初に実行される段階を V3 での行為基盤エンジンによる検出/ブロックを回避するためのものと推定され、現在は(5)番、(6)番の段階での行為検出が可能な状況である。また、ダウンロードするファイルが Magniber ランサムウェアではなく、これを含む Injector DLL 形式(3番の段階)だったが、この部分も変更されている。
現在、拡散している Magniberも最終段階の wuapp.exe へのインジェクションに失敗した場合に限り、iexplorer.exe 自身にランサムウェアをインジェクションするコードが存在するが、これは実際の感染環境では発生しにくい構造であり、上図では除外している。
V3 Lite 4.0 製品には、これらの行為検出機能以外にも「プロセスのメモリ診断」機能が新たに追加されており、リアルタイムでプロセスメモリ領域のうち不正な部分を検出して治療する機能を実行できる。すなわち、(5)番と(6)番の段階においてランサムウェアによって実行される、正常なプロセスに対する悪意のあるコードのインジェクションプロセスをリアルタイムで診断/治療し、ランサムウェアへの感染をブロックできる。
V3 Lite 4.0 製品に適用されたリアルタイムの「プロセスのメモリ診断」を有効にすると、以下のようにファイルレス形式の Magniber ランサムウェアがブロックされる。
プロセスのメモリ診断以外にも、従来の行為検出機能を利用したブロックが可能である。
[V3診断名]
- (行為検出)Malware/MDP.Behavior.M2578
- (プロセスのメモリ診断)Win-Trojan/Magniber.mexp
- (スクリプトファイルの診断)HTML/Magnitude.S6
Categories:マルウェアの情報