Gwisin ランサムウェアの攻撃者は、外部に公開されている被害企業のサーバーに侵入したあと、そのサーバーを拠点として内部インフラにランサムウェアを配布する方式を使用する。内部インフラにランサムウェアを配布するため SFTP、WMI、統合管理ソリューション、IIS Web サービス等の様々な方法を使用することで知られているが、今回確認された事例では IIS Web サービスを通じて配布したものと確認された。
攻撃者はどのような方法でサーバーに侵入するのか?
スピアフィッシングや Watering Hole 攻撃などの方法を通じてユーザーの PC を掌握したあと、管理者権限を取得して企業の内部ネットワークのシステムにランサムウェアを伝播・実行させる最近のマルウェア感染手法とは異なり、Gwisin ランサムウェアは Web サーバーをターゲットとして Web ハッキング攻撃を直接実行し、侵入を試みる方式を用いる。そのため、Web ハッキング攻撃に対応するために Web の脆弱性をチェックし、連動している DB セキュリティを強化しなければならない。
攻撃者はランサムウェアを配布する前、外部に公開されている Web サーバーをターゲットにスキャンおよび SQL Injection 攻撃を通じてシステムアカウント情報の窃取を試みるものと見られる。
攻撃の痕跡の中には MS SQL Server を標的に作成された SQL Injection 攻撃コードが Linux サーバーで発見されたケースもあることからして、攻撃者は自動化された攻撃ツールを利用して無差別攻撃を行っているものと推定される。
攻撃者は Web サーバー攻撃に成功したあと WebShell を使用することが確認された。Web アプリケーションサーバーに存在する既存の PHP ファイルに WebShell を挿入したケースもあり、独立した WebShell ファイルを生成したケースも存在する。しかし、どのような方法で WebShell コードを既存のファイルに挿入およびアップロードしたのかは、まだ確認されていない。
また、攻撃者はリバース接続を確立するために Python で作成された Reverse Shell コードを利用する。攻撃者は、システムに元から存在する init 類の Linux シェルスクリプトに Reverse Shell の役割を実行する service_issue() 関数を追加することが把握された。この関数によって TCP ソケットを生成し、攻撃者サーバー(158.247.221.23:80)に接続したあと sh を実行して攻撃者に Linux シェルを提供する。
攻撃者は侵入後、どのような振る舞いをするのか?
攻撃者は Linux システムを掌握後、RPM を利用して NMAP をインストールしたあと、内部システムをターゲットにポートスキャンを復数回実行し、さらなる攻撃のターゲットを識別する。
攻撃者の内部移動方法は?
攻撃者は内部ネットワークの Windows システムを掌握したあと、さらなるクレデンシャルを取得するために lsass.exe プロセスのメモリを Full Memory Dumping するサービスを登録し、これによって lsass.exe プロセスのメモリダンプを確保する。
このようにして確保されたクレデンシャルを利用して、別のシステムにリバース接続コマンドを伝達する。リバース接続コマンドを受け取った被害システムは、インターネットが可能なシステムの場合は攻撃者の C2 サーバーに接続され、攻撃者は外部から直接内部のシステムを制御できるようになる。
その後、攻撃者は Gwisin ランサムウェアの MSI ファイルを C2 サーバーからダウンロードする。
攻撃者はどのようにランサムウェアを配布するのか?
攻撃者は被害組織の内部システムにランサムウェアを伝播させるため、最初に掌握したシステムに IIS Web サービスをインストールして利用する。IIS Web サービスをインストールしたあと、Web ルートディレクトリ(C:\inetpub\wwwroot)にランサムウェアファイルを生成してから配布する。
- Windows用ランサムウェア : x64_install.msi
- Linux用ランサムウェア : x64_nix, x86_nix
内部システムに IIS Web サービスを使用する場合、攻撃者は AD ポリシーや WMI コマンドを通じてドメインに接続されている多数のシステムを対象にランサムウェアを容易に拡散させることができる。また、インターネット上に位置する攻撃者のマルウェア配布サーバーに直接アクセスする必要がないため、外部インターネットへのアクセスが不可能な内部システムに対してもランサムウェアを安定的に配布することが可能になる。
攻撃者がランサムウェアをダウンロードして実行するコマンドは、以下の通りである。
上記コマンドが実行されると IIS Web ルートパスに存在するランサムウェアファイル「x64_install.msi」がダウンロードされて実行される。
Gwisin ランサムウェアはどのような特徴を持っているか?
Gwisin ランサムウェアを実行するためには、引数を正確に入力しなければならない。
各引数が意味するものは、以下の通りである。
- LICENSE: エンコードされたランサムウェアを復号化するキー (SERIAL と組み合わせて復号化キーを生成)
- SERIAL: エンコードされたランサムウェアを復号化するキー (LICENSE と組み合わせて復号化キーを生成)
- SMM (詳細内容は不正なファイル解析結果を参考)
- 0: ファイル暗号化モード
- 1: セーフモード起動モード
ランサムウェアによりファイルが暗号化されると、それらのファイルに被害企業の名前と類似した拡張子が追加される。また、同じパスに拡張子の末尾に「0」が付いたファイルも追加で生成されるが、このファイルはオリジナルのファイル復旧時に必要な情報を含んでいる。
ファイルが暗号化されると、ランサムノートが生成される。ランサムノートのファイル名と本文には被害企業を識別できる文字列が含まれる。ランサムノートには攻撃者との連絡が可能な URL アドレスと、当該サイトにログインするためのアカウントとパスワードが含まれている。
Gwisin ランサムウェアはファイルを暗号化したあと、システムのイベントログとランサムウェアファイルを削除する。
Gwisin ランサムウェアの詳しい動作方式の特徴は、ASEC ブログ「韓国国内の企業をターゲットとした Gwisin ランサムウェア」(https://asec.ahnlab.com/jp/37384/)で取り上げているため、参考にしてほしい。
攻撃者が使用したマルウェア
MD5 | ファイル名 | 解析結果 |
13eef02d5e5f5543 e83ad8c8a8c8ff9a | MSI****.tmp | Gwisin ランサムウェアの Windows 用ファイルで、install_x64.msi の DLL ファイル [ランサムウェアの振る舞い詳細] SMM=1 の引数で実行される場合 1. 自己複製 ㆍまず自身を以下のパスにコピー ㆍC:\ProgramData\a35f23725b5feab2.msi 2. ランサムウェアサービス生成 ㆍサービス名: ****************(16桁の HEX) ㆍイメージのパス: msiexec /qn /i C:\ProgramData\****************.msi SERIAL=**************** LICENSE=**************** SMM=0 ORG=*** 3. bcdedit.exe コピーおよびブート設定 ㆍbcdedit.exe を ProgramData フォルダーに dxdiag.exe の名前でコピー ㆍデフォルトのブートモードをセーフモードに変更 4. セーフモードで動作するようにサービスを登録 ㆍHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal ㆍHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network 5. 再起動 ㆍ5秒後、セーフモードで再起動 6. ランサムウェアの動作 |
95237d0c6e6b1822 cecca34994c0d273 | x86_nix | Gwisin ランサムウェア Linux x86 バージョンファイル |
[ファイル検知]
- Ransomware/Win.Gwisin (2022.07.27.03)
- Trojan/Linux.Agent (2022.08.05)
[ファイル MD5]
- 13EEF02D5E5F5543E83AD8C8A8C8FF9A
- 95237D0C6E6B1822CECCA34994C0D273
[IP/URL]
- 158.247.221[.]23
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報