AhnLab A-FIRST は、11月頃 Lockis ランサムウェアに感染して被害を受けたシステムを対象にフォレンジックを行った。
Lockis ランサムウェアはロシアの攻撃グループである TA505 が使用する GlobeImposter ランサムウェアの変種で、9月16日に初めて登場した。GlobeImposter ランサムウェアは2017年2月に初めて登場して以来変種が増加し続け、現在までに合計192個の変種が発見されている。攻撃者はランサムウェア感染のために不正なスパムメールの送信、エクスプロイト攻撃、RDP 接続等の攻撃手法を使用することで知られている。
現在 Lockis ランサムウェアは「lockisdog.exe」というファイル名で出回っており、ファイルを暗号化して拡張子を「.lockis」に変更している。

今回の事例で、攻撃者は管理者アカウントを利用して RDP で被害対象システムに接続したあと、Lockis ランサムウェアである lockisdog.exe を実行したが、この時にいくつかのユーティリティをハッキングに利用したことが確認された。
- ProcessHacker.exe 48755f2d10f7ff1050fbd081f630aaa3
- Netscan.Chs.exe 230c143d283842061b14967d4df972d0
- dControl.exe 0a50081a6cd37aea0945c91de91c5d97
ProcessHacker.exe
ProcessHacker.exe はプロセス制御プログラムであり、プロセスのモニタリング、プロセスの終了、システム権限によりプロセスを実行する等の様々な機能を提供する。攻撃者はこのツールを、セキュリティ製品を回避するための目的で使用することができる。今回の Lockis ランサムウェアの被害を受けたシステムでは、ロシアバージョンの ProcessHacker.exe が発見された。
Netscan.Chs.exe
Netscan は SoftPerfect 社の商用ネットワークスキャナプログラムである。指定されたアカウント情報を利用してネットワーク上の様々なプロトコルのスキャンが可能であり、攻撃者はネットワークの構成を把握して攻撃対象を物色するための用途で使用することができる。Lockis ランサムウェアの被害を受けたシステムでは、中国語バージョンの Netscan が発見された。
dControl.exe
dControl.exe は Sordum 社の Windows Defender 制御ユーティリティであり、手軽に Windows Defender を ON/OFF にする機能を提供する。
以下のようなツールはシステムおよびネットワーク管理を目的とするユーティリティだが、攻撃者がイントラネットのシステムをハッキングして成功すると、セキュリティ製品の回避およびラテラルムーブメント等の攻撃にも利用される恐れがある。AhnLab では、このようなタイプのツールを HackTool で検知している。このように HackTool の検知履歴が確認された場合、内部職員が業務上使用しないツールである場合は侵害を疑い、調査を試みる必要がある。
[ファイル検知]
- HackTool/Win.ProcHack
- HackTool/Win.NetScan
- HackTool/Win.Disabler
[IOC 情報]
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報