一昨年(2018年)、AhnLab 分析チームが製作したマグニバー(Magniber)復旧ツールの配布以降、Magniber がファイルレス(Fileless)形式に変化したため、復旧が不可能になった。Fileless 形式で拡散している Magniber は、行為検出を回避してファイルの暗号化を成功させるために(感染システムの)権限がある不特定のプロセスに無差別なインジェクションを実行する形へと進化した。このような手法によって、ランサムウェア行為の主体が感染システム実行中の正常なプロセスとなり、そのプロセスを終了しても他のプロセスによってランサムウェア行為が再度実行される構造であるため、感染後はブロックすることが難しくなる。
Anti-Virus 製品が単純にランサムウェア行為(ファイルの暗号化)を実行するプロセスを検出して終了する場合、Windows システムのプロセスが終了すると、ブルースクリーンが発生するか、正常な使用が不可能になるため、ユーザーは再起動を行う必要がある。攻撃者は、Magniber を復旧が不可能な形式へと進化させ、検出を困難にするために Fileless 形式へと変更し、行為検出を回避するためにインジェクション対象を変更するなど、あらゆる方面で動作方法を変更してきた。しかし、最初に感染させるために利用する脆弱性は CVE-2018-8174 VBScript エンジンの脆弱性であり、2018年と同じものを維持している。(IE の脆弱性のため、Chrome ユーザーは感染対象から除外)
セキュリティが脆弱な Web ページにアクセスすると、マルバタイジング(malvertising)方式によってCVE-2018-8174の脆弱性があるページに接続され、セキュリティ更新プログラムが適用されていない環境では、Web ページにアクセスしただけでリモートコードが実行され、ランサムウェアによってファイルが暗号化される。
[図1] の動作画面において、最初の段階である CVE-2018-8174 リモートコード実行における脆弱性が発生しない最新のセキュリティ更新プログラムが適用された環境ならば、マグニバー(Magniber)DLLファイルはインジェクションが実行されず、ファイルの暗号化行為が実行できない。
セキュリティ更新プログラム情報(https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads)
しかし、AhnLab の ASD(Ahnlab Smart Defence) システムには、セキュリティパッチが実行されていないシステムの脆弱性実行ログが毎日数百件報告されている。AhnLab 分析チームでは、このような脆弱性を分析して行為ベースの検出をするための作業を行った。これらの分析作業をもとに、現在 V3 製品では CVE-2018-8174 の脆弱性の発生を行為ベースで検出し、不正な行為を実行する Internet Explore を終了する行為検出(Malware/MDP.Exploit.M2214)機能が適用された。
Web ページにアクセスする際、ブロック画面が表示されてインターネットブラウザ(Internet Explore)が終了する場合、セキュリティが脆弱なページと認識し、再アクセスは自制すべきである。
行為検出時の診断名 Malware/MDP.Exploit.M2214
Categories:マルウェアの情報