ASEC 分析チームは最近、内部モニタリングを通じて脆弱な MS-SQL サーバーをターゲットとする GlobeImposter ランサムウェアが拡散していることを確認した。
当社 TIP サービスの四半期別統計資料のうち、今年「2022年第1、第2四半期の MS-SQL を対象としたマルウェア統計レポート」でもこの GlobeImposter が取り上げられているが、第2四半期では MS-SQL をターゲットとしたランサムウェアのうち GlobeImposter が52.6%の割合を占めていた。間もなく公開される第3四半期の統計においても GlobeImposter ランサムウェアは依然として集計されることが確認されている。
このランサムウェアはエンコードされた内部のデータを[図1]のロジックによって実質的なランサムウェアの振る舞いを実行する[図2]の DLL ファイルにデコードする。


その後、生成された DLL ファイルの Method を Delegate 関数を利用して呼び出す。

この DLL ファイルは aspnet_compiler.exe プロセスを生成したあと、プロセスハロウイング手法によってランサムウェアを実行する。以下のようにファイルの復旧を妨げるためにボリュームシャドウを削除し、脆弱なデータベースサーバーを対象に配布されるランサムウェアであるだけに、データベースサービスを終了する。
- C:\Windows\system32\cmd.exe /c @echo off sc config browser sc config browser start=enabled vssadmin delete shadows /all /quiet sc stop vss sc config vss start=disabled sc stop MongoDB sc config MongoDB start=disabled sc stop SQLWriter sc config SQLWriter start=disabled sc stop MSSQLServerOLAPService sc config MSSQLServerOLAPService start=disabled sc stop MSSQLSERVER sc config MSSQLSERVER start=disabled sc stop MSSQL$SQLEXPRESS sc config MSSQL$SQLEXPRESS start=disabled sc stop ReportServer sc config ReportServer start=disabled sc stop OracleServiceORCL sc config OracleServiceORCL start=disabled sc stop OracleDBConsoleorcl sc config OracleDBConsoleorcl start=disabled sc stop OracleMTSRecoveryService sc config OracleMTSRecoveryService start=disabled sc stop OracleVssWriterORCL sc config OracleVssWriterORCL start=disabled sc stop MySQL sc config MySQL start=disabled

その後、感染の範囲を拡張させるために[図5]のようにドライブをチェックし、以下のような特定のフォルダーとファイル名、拡張子を除いて感染させる。
フォルダー | ファイル |
windows bootmgr boot PerfLogs | pagefile.sys ids.txt NTUSER.DAT .dll .lnk .ini .sys |

各ファイルは[既存のファイル名].Globeimposter-Alpha666qqz の拡張子で暗号化され、暗号化を行ったあとは HOW TO BACK YOUR FILES.txt というランサムノートを生成する。

データベースサーバー(MS-SQL、 MySQL サーバー)をターゲットとする攻撃の代表例としては、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)があり、これ以外にも脆弱性に対するパッチが適用されていないシステムに対する脆弱性攻撃がある。
MS-SQL サーバーの管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護しなければならず、セキュリティパッチを最新にして脆弱性攻撃を防止しなければならない。
AhnLab V3 製品では、当該タイプに対して以下の通り検知している。
[ファイル検知]
– Ransomware/Win.GlobeImposter.R523882
[ビヘイビア検知]
– Injecion/MDP.Event.M4455
[IOC]
MD5
– f21f99e976394bfcbd8b86be2bedce6e
Download
– hxxp://103.93.130[.]45:8080/Yoqjtgzrr.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報