最近、韓国国内の企業をターゲットにした Gwisin ランサムウェアの被害が増加している。このランサムウェアは特定の企業をターゲットに製作、配布されており、Magniber と同じく MSI インストーラーの形式で動作する。不特定多数をターゲットに配布される Magniber とは異なり、Gwisin ランサムウェアはファイルの単独実行だけでは振る舞いが発現せず、特別な実行引数値が必要である。このような引数値は MSI 内部に含まれた DLL ファイルの動作に必要なキー情報として利用される。
この動作方式の特徴により、様々なサンドボックス環境のセキュリティ製品ではファイルの実行だけでランサムウェアの振る舞いが発生しないため、検知が困難な場合がある。また、内部 DLL ファイルは Windows の正常なプロセスにインジェクションして動作しており、対象となるプロセスは被害を受けた顧客によって異なる特徴を持っている。
以下は、現在までに把握された Gwisin ランサムウェアの動作方式の特徴である。
(1) MSI インストーラー形式で配布
(2) MSI 実行時に使用した引数値を通じて内部 DLL の動作に使用
(3) Windows システムプロセスにインジェクションしてランサムウェアの振る舞いを実行
(4) DLL 内部に感染対象となる企業情報が存在 (ランサムノートに表示)
(5) セーフモードでのファイル暗号化機能をサポート
MSI ファイルが実行されると、内部のランサムウェア DLL のエクスポート関数 update() を呼び出す。update() 関数では実行時の引数をチェックし、異常な値の場合は動作しない。

Gwisin ランサムウェアは、暗号化の時点で以下のような引数により実行されていた。(引数のうち一部はブラインド(*)処理)
> msiexec /qn /i C:\ProgramData\*****.msi SERIAL=463f********7ce7 LICENSE=7f21********5071 SMM=0 ORG=***
参考に、Gwisin ランサムウェアの実行に必要な引数のうち SMM は0または1の値を持つ場合がある。一般的なファイル暗号化の振る舞いは0の場合に実行されるルーティンであり、 SMM が1の場合はセーフモードで動作するようにランサムウェアをインストールする。まず、自身を ProgramData の特定パスにコピーしたあとサービスに登録する。その後、bcdedit を利用してブートオプションをセーフモードに設定する。最後に、5秒後に強制再起動してセーフモードで起動したあと、登録したサービスが動作してファイルの暗号化を実行する。
サービス名 | コマンド |
---|---|
a35f23725b5feab2 | msiexec /qn /i C:\ProgramData\*****.msi SERIAL=463f********7ce7 LICENSE=7f21********5071 SMM=0 ORG=*** |
引数検証プロセスが終了すると引数を利用して内部に存在するシェルコードを復号化する。そして、正常なプログラムである「certreq.exe」を実行したあと、復号化したシェルコードをインジェクションする。インジェクションされたシェルコードは、最終的な Gwisin ランサムウェアを復号化しメモリ上で実行する機能を担う。(「certreq.exe」以外にも様々な Windows の正常なプロセスがランサムウェアの振る舞い主体として利用されている)

Gwisin ランサムウェアはファイルを暗号化したあと拡張子を変更するが、その拡張子はターゲット先企業の名称を利用していることが特徴である。

暗号化対象のフォルダーにはランサムノートを生成するが、ランサムノートのテキストファイルの名前も「!!!_HOW_TO_UNLOCK_******_FILES_!!!.TXT」のように、拡張子の文字列が含まれている。ランサムノート内には企業内から窃取した情報のリストと共に、連絡先が記載されている。


被害事例を見ると、ランサムウェアに感染する前に使用中のアンチウイルスプログラムが無力化されていることがわかる。V3 製品では、このような動作方式の Gwisin ランサムウェアをビヘイビアベースの検知によってインジェクション段階において事前に遮断しているため、「ビヘイビアベース検知の使用」オプションを有効にする必要がある。
また、Gwisin ランサムウェアの感染は事前に内部システムの掌握が完了した状態で多数のシステムに対するランサムウェアのインストールおよび実行が進められているため、どのように内部システムの掌握と伝播が実行されたのかを解析する作業が必須である。被害発生後にこのような作業によって原因の解析が行われなければ、さらなる別の種類のランサムウェアが登場し、同様の被害が再発するおそれがある。
[ファイル検知]
– Ransomware/Win.Gwisin.C5214965 (2022.07.27.03)
[ビヘイビア検知]
– Injection/MDP.Event.M4387 (2022.07.28.00)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] Gwisin ランサムウェアの詳しい動作方式の特徴は、ASEC ブログ「韓国国内の企業をターゲットとした Gwisin ランサムウェア」(https://asec.ahnlab.com/jp/37384/)で取り上げているため、参考にしてほしい。 […]