ASEC 分析チームは最近、Lockis ランサムウェアへの感染被害を受けた企業の被害システムを解析した結果、攻撃者が被害を受けたシステムのローカル Administrator アカウントで RDP 接続後にランサムウェアを実行させていたことを確認した。
被害を受けたシステムのローカル Administrator 情報を調査した結果、1~2年間パスワードを変更しておらず、すべて同じパスワードが設定されていることが確認された。

さらに、その NTLM ハッシュを復号化した結果、Administrator アカウントの平文パスワードは「`1qazxcv」であることが確認された。

このパスワードの文字列はアルファベット、数字、特殊文字がすべて含まれており、複雑度の基準は満たしているパスワードだが、よく使われるパスワードのパターンであるため、推測しやすく安全ではないパスワードであった。

この企業は Microsoft ActiveDirectory を運用中であったが、被害を受けたシステムはすべてローカルの Administrator アカウントが有効になっており、攻撃者がローカル Administrator アカウントで RDP 接続が可能な状態であった。
残念ながらこの企業は侵害を受けたシステムを保管せずに、すぐフォーマットを実施して再使用したため、今回の事例では被害範囲、攻撃者の侵害経路、ローカル Administrator アカウントの獲得方法等を明確に把握することはできなかった。しかし、侵害の痕跡および状況から推測すると、攻撃者は内部システムのハッキングに成功した後でローカル Administrator アカウントを確保したものと思われ、Network Scanner ツールを利用して内部ネットワーク上でローカル Administrator アカウントで RDP 接続が可能なシステムをスキャンしたあと、RDP 接続後にランサムウェアを実行したものと推定される。
様々な侵害事例を解析してきた経験から鑑みると、この企業以外にも多くの組織が管理の利便性のために組織内で運用しているサーバーや、職員に配布される IT 機器のパスワードを使い回しており、これを変更せずに使用しているケースが多く見受けられる。今回の事例のような被害を減らすためには、管理者アカウントのパスワードを機器別にそれぞれ設定し、定期的にパスワードを変更することが必要である。また、管理者アカウントの認証履歴はモニタリングによって疑わしいアクセスがないかどうかを常に監視しておくことが重要である。
結論
- ローカル Administrator アカウントは、無効化しておくことが安全である。
- 各システムの管理者アカウントのパスワードは使い回さず、それぞれ個別に設定しなければならない。
- パスワードの最大使用期間を3ヶ月以下に設定し、複雑度の設定を強化しなければならない。
- 管理者権限のアカウントの認証履歴は、必ずモニタリングしなければならない。
- 侵害を受けたシステムのディスクおよびメモリは別途保管するか、フォーマット前にイメージファイル化しておかなければならない。
[ファイル検知]
- Trojan/Win32.FileCoder
- HackTool/Win.ProcHack
- HackTool/Win.NetScan
- HackTool/Win.Disabler
- Trojan/BAT.Delete
[関連 IOC 情報]
- 58c8c8c3038a5fbca2202248a1101da0
- 48755f2d10f7ff1050fbd081f630aaa3
- 230c143d283842061b14967d4df972d0
- 0a50081a6cd37aea0945c91de91c5d97
- 116e1e7a0c8d3ff9175b87927d188835
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] RDP を利用する事例は、特に APT 攻撃グループで頻繁に確認される。ASEC ブログ「同じパスワードが設定された Local Administrator アカウントを使用する企業のランサムウェア感染事例」では、攻撃者が被害を受けたシステムのローカル administrator 資格情報を取得したあと、RDP で接続し Lockis ランサムウェアをインストールした事例を取り上げた。[2] […]