ASEC 分析チームは過去に何度も紹介した Lockbit 2.0 ランサムウェアが、以前紹介した方法の NSIS 形態ではなく MalPE 形態で拡散していることを確認した。MalPE 形態は、実際のマルウェアの解析を妨害するパック方式の一部であり、内部のシェルコードを通して PE ファイルを復号化して実行する。
ランサムウェアのモニタリングを通じて、1月に入ってからの LockBit ランサムウェアの配布が増加したことが確認された。LockBit ランサムウェアは以前紹介したようにエントリーシートを詐称したファイル名で拡散している。過去のファイル名を含め、新たに確認されたファイル名は以下の通りである。
- _履歴書_220926(経歴も記載してありますよろしくお願いします).exe
- #履歴書_221116(経歴も記載してありますよろしくお願いします).exe
- (履歴書_221112(キレよく一生懸命働きます).exe
- 221208_履歴書(一生懸命頑張りますよろしくお願いします).exe
- ~履歴書_230116.exe
- $履歴書_230108.exe
- 履_歴_書[230124経歴も記載してありますよろしくお願いします].exe
- [履_歴_書] 230130経歴も記載してありますよろしくお願いします.exe
「履_歴_書[230124経歴も記載してありますよろしくお願いします].exe」のファイル名で配布された LockBit 2.0 ランサムウェアは MalPE 形態で[図1]のようなリソース領域に特定の文字列を含んでいる。一般的に MalPE 形態のマルウェアのようなアイコンの形で拡散する特徴があるが、Lockbit 2.0 ランサムウェアの場合、履歴書を詐称した特徴を反映して、アレアハングルのアイコンに変更して配布されている。
このマルウェアは典型的な MalPE パック方式のようなシェルコードおよび PE データをデコードして実行する。
実行されたランサムウェアは、過去に紹介したブログのようにボリュームシャドーコピーの削除、レジストリ Run キーの登録、ファイルの感染および解析回避のためのサービスとプロセスの終了が行われるが、このランサムウェアでは以前紹介しなかったイベントログ削除の振る舞いも実行される。
| bcdedit /set {default} bootstatuspolicy ignoreallfailures bcdedit /set {default} recoveryenabled no vssadmin delete shadows /all /quiet wmic shadowcopy delete wevutil cl application wevutil cl system |
その後ユーザーシステムのファイルを暗号化し、暗号化されたファイルは .lockbit の拡張子と特定のアイコンを持つ。また、感染パスに Restore-My-Files.txt ファイル名のランサムノートを生成し、デスクトップを変更する。
MalPE 形態で拡散しているマルウェアは、最近履歴書に偽装したメールの内容で、企業をターゲットにしており、LockBit ランサムウェアだけでなく、様々なマルウェアで配布されている。それぞれの企業ではアンチウイルスを最新にアップデートするだけでなく、ユーザー自身が特に注意する必要がある。このマルウェアについて、当社 V3 では以下の通り検知している。
[ファイル検知]
- Trojan/Win.Generic.R553808 (2023.01.25.03)
- Ransomware/Win.LockBit.R487041 (2022.04.22.01)
[ビヘイビア検知]
- Ransomware/MDP.Command.M1751
[IOC 情報]
- 6a98b2b6e37c7c92368548e902e9a139
- cfbc3e71c945dd9918f0013acb652cbd
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報