Lockis ランサムウェアと共に使用されたハッキングツール

AhnLab A-FIRST は、11月頃 Lockis ランサムウェアに感染して被害を受けたシステムを対象にフォレンジックを行った。

Lockis ランサムウェアはロシアの攻撃グループである TA505 が使用する GlobeImposter ランサムウェアの変種で、9月16日に初めて登場した。GlobeImposter ランサムウェアは2017年2月に初めて登場して以来変種が増加し続け、現在までに合計192個の変種が発見されている。攻撃者はランサムウェア感染のために不正なスパムメールの送信、エクスプロイト攻撃、RDP 接続等の攻撃手法を使用することで知られている。

現在 Lockis ランサムウェアは「lockisdog.exe」というファイル名で出回っており、ファイルを暗号化して拡張子を「.lockis」に変更している。 

[図] GlobeImposter 変化の推移

今回の事例で、攻撃者は管理者アカウントを利用して RDP で被害対象システムに接続したあと、Lockis ランサムウェアである lockisdog.exe を実行したが、この時にいくつかのユーティリティをハッキングに利用したことが確認された。

  • ProcessHacker.exe 48755f2d10f7ff1050fbd081f630aaa3
  • Netscan.Chs.exe 230c143d283842061b14967d4df972d0
  • dControl.exe 0a50081a6cd37aea0945c91de91c5d97

ProcessHacker.exe

ProcessHacker.exe はプロセス制御プログラムであり、プロセスのモニタリング、プロセスの終了、システム権限によりプロセスを実行する等の様々な機能を提供する。攻撃者はこのツールを、セキュリティ製品を回避するための目的で使用することができる。今回の Lockis ランサムウェアの被害を受けたシステムでは、ロシアバージョンの ProcessHacker.exe が発見された。

[図] ProcessHacker.exe の実行の様子
[図] ProcessHacker.exe のプロパティ

Netscan.Chs.exe

Netscan は SoftPerfect 社の商用ネットワークスキャナプログラムである。指定されたアカウント情報を利用してネットワーク上の様々なプロトコルのスキャンが可能であり、攻撃者はネットワークの構成を把握して攻撃対象を物色するための用途で使用することができる。Lockis ランサムウェアの被害を受けたシステムでは、中国語バージョンの Netscan が発見された。

[図] Netscan.Chs.exe の実行の様子
[図] Netscan.Chs.exe のプロパティ

dControl.exe

dControl.exe は Sordum 社の Windows Defender 制御ユーティリティであり、手軽に Windows Defender を ON/OFF にする機能を提供する。

[図] dControl.exe の実行の様子
[図] dControl.exe のプロパティ

以下のようなツールはシステムおよびネットワーク管理を目的とするユーティリティだが、攻撃者がイントラネットのシステムをハッキングして成功すると、セキュリティ製品の回避およびラテラルムーブメント等の攻撃にも利用される恐れがある。AhnLab では、このようなタイプのツールを HackTool で検知している。このように HackTool の検知履歴が確認された場合、内部職員が業務上使用しないツールである場合は侵害を疑い、調査を試みる必要がある。

[ファイル検知]

  • HackTool/Win.ProcHack
  • HackTool/Win.NetScan
  • HackTool/Win.Disabler

[IOC 情報]

  • 48755f2d10f7ff1050fbd081f630aaa3
  • 230c143d283842061b14967d4df972d0
  • 0a50081a6cd37aea0945c91de91c5d97

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments