ASEC 分析チームは、脆弱な MS-SQL サーバーをターゲットに拡散するマルウェアを継続的にモニタリングしている。最近、FARGO ランサムウェアが脆弱な MS-SQL サーバーをターゲットに拡散していることを確認した。FARGO ランサムウェアは GlobeImposter ランサムウェアと共に脆弱な MS-SQL サーバーをターゲットに拡散する代表的なランサムウェアであり、過去には .mallox という拡張子を使用していたことから Mallox ランサムウェアとも呼ばれている。
– [ASEC ブログ] 脆弱な MS-SQL サーバーをターゲットに拡散している CobaltStrike
– [ASEC ブログ] 脆弱な MS-SQL サーバーをターゲットに拡散している CobaltStrike (2)
– [ASEC ブログ] 脆弱な MS-SQL サーバーをターゲットに拡散している CoinMiner
– [ASEC ブログ] 脆弱な MySQL サーバーをターゲットに拡散している AsyncRAT マルウェア
[図1]のプロセスツリーのように MS-SQL プロセスにより cmd.exe および powershell.exe を経てダウンロードされたファイルは .NET でビルドされたファイルであり、[図2]のようにさらなるマルウェアを特定のアドレスから受け取りロードする。ロードされたマルウェアは特定のプロセスとサービスを終了させる機能を持つ BAT ファイルを %temp% パスに生成および実行する。
ランサムウェアの振る舞いは、Windows の正常なプログラムである AppLaunch.exe にインジェクションして実行される。[図5]の特定パスのレジストリキーの削除を試み、[図6]のように復旧を無効化するコマンドを実行して特定のプロセスを終了させる。終了対象は、図のように SQL プログラムである。
ランサムウェアがファイルを暗号化するとき、[表1]に記載されている拡張子は感染させない。Globeimposter 拡張子を感染させないことが確認でき、同じタイプの拡張子である .FARGO、.FARGO2、.FARGO3 だけでなく、ランサムウェアの今後のバージョンと推定される .FARGO4 が含まれていることが、特異な点と言える。
[図7]はランサムノートと、右上に感染ファイルをキャプチャーした図である。図のように暗号化されたファイルは[オリジナルファイル名].[拡張子].[FARGO3]の形式となっており、ランサムノートは「RECOVERY FILES.txt」として生成される。
データベースサーバー(MS-SQL、 MySQL サーバー)をターゲットとする攻撃の代表例としては、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)があり、これ以外にも脆弱性に対するパッチが適用されていないシステムに対する脆弱性攻撃がある。
MS-SQL サーバーの管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護しなければならず、セキュリティパッチを最新にして脆弱性攻撃を防止しなければならない。
AhnLab V3 製品では、当該タイプに対して以下の通り検知している。
[ファイル検知]
– Ransomware/Win.Ransom.C5153317(2022.06.02.01)
– Dropper/Win.DotNet.C5237010(2022.09.14.03)
– Downloader/Win.Agent.R519342(2022.09.15.03)
– Trojan/BAT.Disabler (2022.09.16.00)
[ビヘイビア検知]
– Malware/MDP.Download.M1197
[IOC]
MD5
– b4fde4fb829dd69940a0368f44fca285
– c54daefe372efa4ee4b205502141d360
– 4d54af1bbf7357964db5d5be67523a7c
–41bcad545aaf08d4617c7241fe36267c
Download
– hxxp://49.235.255[.]219:8080/Pruloh_Matsifkq.png
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報