ASEC 分析チームは、過去に Magniber ランサムウェアの変化に関する記事を公開した。現在も活発に拡散している Magniber ランサムウェアは、アンチウイルスの検知を回避するために様々な変化を加えられてきた。そのうち、Microsoft が提供するファイルの配布元を確認する Mark of the Web(MOTW)を回避したことが確認された2022.09.08~2022.09.29期間のスクリプトの形態について紹介する。
| 日付 | 拡張子 | 実行 プロセス | 暗号化 プロセス | 復旧環境 無効化 プロセス | 復旧環境の無効化 (UAC 回避) |
|---|---|---|---|---|---|
| 2022-05-07 | msi | msiexec.exe | msiexec.exe | regsvr32.exe | fodhelper.exe 実行時、参照レジストリの操作 (HKCU:\Software\Classes\ms-settings\shell\open\command) |
| 2022-06-14 | msi | msiexec.exe | 実行中の プロセス | regsvr32.exe | fodhelper.exe 実行時、参照レジストリの操作 (HKCU:\Software\Classes\(custom progID)\shell\open\command) |
| 2022-07-20 | cpl | rundll32.exe | rundll32.exe | X | X |
| 2022-08-08 | cpl | rundll32.exe | 実行中の プロセス | wscript.exe | fodhelper.exe 実行時、参照レジストリの操作 (HKCU:\Software\Classes\(custom progID)\shell\open\command) |
| 2022-09-08 | jse | wscript.exe | 実行中の プロセス | wscript.exe | fodhelper.exe 実行時、参照レジストリの操作 (HKCU:\Software\Classes\(custom progID)\shell\open\command) |
| 2022-09-16 | js | wscript.exe | 実行中の プロセス | wscript.exe | fodhelper.exe 実行時、参照レジストリの操作 (HKCU:\Software\Classes\(custom progID)\shell\open\command) |
| 2022-09-28 | wsf | wscript.exe | 実行中の プロセス | wscript.exe | fodhelper.exe 実行時、参照レジストリの操作 (HKCU:\Software\Classes\(custom progID)\shell\open\command) |
| 2022-09-30 | msi | msiexec.exe | 実行中の プロセス | wscript.exe | fodhelper.exe 実行時、参照レジストリの操作 (HKCU:\Software\Classes\(custom progID)\shell\open\command) |
[表1]は Magniber ランサムウェアの変化についてまとめた ASEC ブログの内容である。そのうち、2022.09.08~2022.09.29に攻撃者は配布方式でスクリプトを利用した。ユーザーのタイプミスを悪用したタイポスクワッティング(Typosquatting)手法により、誤入力したドメインに接続すると[図1]のように Magniber ランサムウェアがダウンロードされた。
このようにしてダウンロードされたファイルは Windows の Mark of the Web(MOTW)機能により外部からダウンロードしたファイルとして識別される[2]。Mark of the Web(MOTW)は NTFS のファイルシステムにおいて動作する。ダウンロード URL は NTFS ファイルシステムの Windows において Stream に記録される[3]。URL が保存される Stream は「ファイル名:Zone.Identifier:$DATA」の形式でファイルのパスに生成され、notepad で簡単に確認することができる。MOTW 機能により識別されたダウンロードファイルは、実行すると警告メッセージが表示される。
このような Mark of the Web(MOTW)による実行の遮断を回避するために、Magniber ランサムウェアは2022.09.08~2022.09.29の期間において[図3]のようなスクリプト下段のデジタル署名を使用していた。スクリプトのデジタル署名[4]はスクリプトを作成したあと、署名によってスクリプトが変更されていないことを保証し、作成者を確認するための方法を提供している。bleepingcomputer に作成された記事[1]によれば、Magniber ランサムウェアのスクリプト下段に含まれたデジタル署名は MOTW を回避するための内容であることが確認できる。
現在、Magniber ランサムウェアはスクリプト形式で配布されておらず、MSI 拡張子で配布されている。しかし、検知回避のために頻繁に手法を変えるため、ユーザーは特に注意が必要である。また、信頼できないサイトからダウンロードしたファイルは実行する際に注意が必要である。
現在 AhnLab では Magniber ランサムウェアに対して、ファイル検知だけでなく、様々な検知方法により対応を行っている。したがって、ユーザーは[V3 環境設定] – [スキャン設定]でプロセスメモリ検知機能および悪意のあるスクリプト検知(AMSI)機能を有効にすることを推奨する。
[IOC]
b8e94ffbfc560d56e28c10073b911d50
ba7a32f15227c5d30b648ba407e73c80
2da51943a0ea7699b01436eaa01f7a59
スクリプトファイルの検知
Ransomware/JS.Magniber (2022.09.08.02)
Ransomware/WSF.Magniber (2022.09.28.02)
プロセスのメモリ検知
Ransomware/Win.Magniber.XM153 (2022.09.15.03)
AMSI 検知(.NET DLL)
Ransomware/Win.Magniber.R519329 (2022.09.15.02)
参考(英語外部サイト)
[1]Exploited Windows zero-day lets JavaScript files bypass security warnings
[2]Macros from the internet will be blocked by default in Office
[3]5.1 NTFS Streams
[4]Digitally Signing Scripts
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/41855/ […]