Posted By Hansoyoung , 2022年 May 20日

マルウェア感染時、単純な駆除にとどめてはいけない理由

2022年1月、韓国国内の製造業分野で有数の企業において、内部システムの多数が Darkside ランサムウェアに感染する被害が発生した。

AD グループポリシーを利用して Darkside ランサムウェアが配布されたことが確認されたため、DC サーバーにフォレンジックを試みたものの、仮想環境で運用中であった DC サーバーの仮想環境運用システム自体が破損しており、DC サーバーを確保することができなかった。代わりに、Darkside ランサムウェアに感染した後、過去のバックアップを活用して復旧されたシステムのうち WebLogic サーバー2台が同時期に WebShell に感染していることが確認された。したがって Darkside ランサムウェアの感染原因が WebShell かどうかを把握するため、フォレンジックを行った。

過去のスナップショットにより復旧した WAS1、WAS2 サーバーを分析した結果、発見された WebShell と Darkside ランサムウェアにおける関連性は確認されなかった。しかし、2019年4月頃から Miner への感染が始まり、2022年2月頃までに(分析当時)様々なマルウェアに感染した履歴と侵害の痕跡が発見された。

このようなマルウェアの感染に対し、被害を受けた企業は認知していたものの、それらのマルウェアがどのように流入したか原因を把握せずに、マルウェアの治療により対応してきたものと見られる。

感染したマルウェアが深刻だとは思われない種類のマルウェアであっても、このようにして流出した制御権および内部システムの情報が攻撃者間で取引される恐れがあり、以後深刻な被害をもたらす攻撃に利用される可能性がある。したがって、マルウェアを検知した場合、単純な治療や削除にとどめるべきではない。感染システムの詳細な解析によってマルウェアの感染および侵害原因を特定し、把握した問題点を解決することで、侵害の再発および類似した手法による攻撃を防ぐことができる。

侵害内容

被害を受けた企業の WAS1 と WAS2 で確認された侵害の痕跡は、以下の通りである。

WAS1 は2019年度に CoinMiner に感染しており、その後 Cobalt Strike、WebShell、情報流出型マルウェアなど様々なタイプのマルウェアに感染していた。様々な攻撃者により、ここ2～3年間で侵害が持続的に行われていたものと見られる。WAS2 では北朝鮮のハッカーにより製作されたものと推定されるマルウェアが発見され、WAS2 も APT 攻撃が行われていたと推定できる。それ以外にも2021年4月22日に様々な侵害の痕跡が発見されたが、被害を受けた企業は当時、ペネトレーションテストを受けたと回答した。

最初のアクセス

WAS1 は2019年4月30日に CoinMiner に感染した。CoinMiner は146.196.83.217からダウンロードされたが、Tencent Security ブログ(中国語で提供)によれば、この IP は RunMiner と命名された Miner と関連する IP であり、この Miner は WebLog Deserialization 脆弱性である CVE-2017-10271 を利用して配布されていることが確認された。

WAS2 の最初の侵害の痕跡は2020年4月29日であり、WebShell の流入を試みた痕跡が確認された。WAS1 と WAS2 は WebLogic 12.1.3 バージョンであり、上記で取り上げた CVE-2017-10271 脆弱性が存在するバージョンである。WAS1 と WAS2 の WebLogic 脆弱性により最初に侵害を受けた可能性が高い。

アカウントの獲得

WAS1 システムでは2020年10月22日、共有フォルダーにおいて辞書攻撃(Dictionary Attack)機能が含まれたハッキングツールと lsass.exe プロセスのダンプファイルである lsass.dmp ファイルが 1.rar ファイルに圧縮された状態で発見された。攻撃者は辞書攻撃の実行および lsass.exe プロセスのダンプによりパスワードを窃取したものと見られる。

攻撃者が確保した lsass.dmp により、以下のように drmftp、Administrator アカウントの平文パスワードと NTLM Hash 等を取得することができる。

図2. 攻撃者が窃取した lsass.dmp から抽出したアカウント情報(ID、平文 PW、NTLM Hash)

さらに、被害を受けた企業の管理者アカウント(Administrator)は以下のように脆弱な状況で管理されていた。

Administrator アカウントのパスワードは、生成後一度も変更されていなかった。
Administrator アカウントは類推しやすいパスワードを使用していた。
WAS1 と WAS2 の Administrator アカウントのパスワードは同じであると見られ、ほとんどのサーバーの管理者アカウントを同じように設定して使用している可能性がある。

Reverse RDP 接続

攻撃者は管理者級のアカウントを確保した後、組織内部のシステムに Lcx.exe を利用して Reverse RDP 方式で接続し、直接制御することもあった。

Lcx.exe はオープンソースプログラムで、ファイアウォールを回避して外部の攻撃者と内部のシステムをつなぐ時に使用するトンネリングツールである。Lcx.exe の RDP 通信プロセスは以下の通りである。

WAS1 で Lcx.exe が生成された痕跡および実行された履歴と、イベントログ(Event ID：4624)に接続する IP が 127.0.0.1 と記録されていることが確認された。トンネリングの資格証明に使用されたアカウントはローカル Administrator と test アカウントであり、どちらも管理者アカウントである。test アカウントの場合はイベント発生直前に新しく生成されたアカウントで、攻撃者が任意で生成したものと推定される。残念ながら、リモートアクセスに使用された外部攻撃者の IP は確認できなかった。