11月頃、AhnLab のとあるクライアントにおいて、多数のサーバーが Lockis ランサムウェアに感染した事例が発生した。被害を受けた企業はアンチウイルスプログラムの V3 を使用していたにもかかわらずランサムウェアに感染したため、感染原因を把握する目的で AhnLab A-FIRST が投入され、フォレンジックを実行した。
Lockis ランサムウェアは「ASEC ブログ:Lockis ランサムウェアと共に使用されたハッキングツール」の記事で述べた通り、GlobeImposter ランサムウェアの変種で、9月16日に初めて発見された。
AhnLab では2018年5月頃から GlobeImposter 類のランサムウェアを検知名 Trojan/Win32.FileCoder として検知しており、9月16日に登場した Lockis ランサムウェアも検知が可能な状況であった。
被害を受けたシステムにおいて確認された攻撃者の攻撃手順は以下の通りである。
- 1. RDP 接続 (ローカル Administrator アカウント)
- 2. アンチウイルスのアンインストール
- V3 Uninstall
- 3. ハッキングツールおよびランサムウェアのコピー
- ProcessHacker.exee
- Netscan.Chs.exe
- dControl.exe
- lockisdog.exe
- 4. ハッキングツールおよびランサムウェアの実行
- dControl.exe 実行
- Netscan.Chs.exe 実行
- ProcessHacker.exe 実行
- lockisdog.exe 実行 (ランサムウェア)
攻撃者はランサムウェアが OS のセキュリティ機能や、セキュリティ製品に検知されて遮断されるのを回避するために、ランサムウェアを実行する前に V3 アンチウイルスをアンインストールし、Windows Defender を無効化しており、障害となるプロセスを終了させるために ProcessHacker を使用した。
すなわち、ランサムウェアが安全(?)に実行されるように徹底的に準備を整えた後、ランサムウェアを実行させたのである。
このような方式の攻撃が可能な理由は、まず Administrator アカウントで RDP 接続を行い、管理者権限でシステムを GUI 制御できたことが1次的な要因であり、セキュリティ製品を任意に削除できたことが2次的な要因と言える。管理者権限を持つユーザーはシステム上においてほぼすべてのことを実行できる管理者であるため、当然ながらアンチウイルスソフトをアンインストールすることが可能である。
したがって、企業環境ではこのように IT インフラ部署でインストール、あるいは設定したセキュリティ機能が無力化されないように、セキュリティ製品のアンインストールあるいは設定等を、ユーザーが任意に変更できないようにしておかなければならない。
AhnLab の APC は V3 製品の削除や設定変更等を制限するために「ロック設定」機能を提供しているが、残念ながらこの企業ではロックポリシーを使用していなかった。
結論
- アンチウイルスソフトを使用しているにもかかわらず保護を受けられなかった理由は、アンチウイルスの「ロック設定」ポリシーが適用されていなかったためである。
- 企業のセキュリティ担当者は、自社で適用されているセキュリティ製品が任意に削除されたり、設定が変更されたりしないように、そのメーカーが提供するロック機能を必ず有効にしておく必要がある。
[ファイル検知]
- Trojan/Win32.FileCoder
- HackTool/Win.NetScan
- HackTool/Win.Disabler
- Trojan/BAT.Delete
[IOC 情報]
- 58c8c8c3038a5fbca2202248a1101da0
- 48755f2d10f7ff1050fbd081f630aaa3
- 230c143d283842061b14967d4df972d0
- 0a50081a6cd37aea0945c91de91c5d97
- 116e1e7a0c8d3ff9175b87927d188835
関連記事
https://asec.ahnlab.com/jp/29881/
https://asec.ahnlab.com/ja/30369/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報