MS-SQL サーバーを攻撃中の Trigona ランサムウェア

AhnLab Security Emergency response Center (ASEC)では最近、不適切に管理されている MS-SQL サーバーを対象に Trigona ランサムウェアがインストールされていることを確認した。Trigona は、相対的に最近と言える2022年10月に初めて確認されたランサムウェアであり、最近 Unit 42 でも CryLock ランサムウェアとの類似性を基にしたレポートを公開したことがある。[1]

1.不適切に管理されている MS-SQL サーバー

不適切に管理されている MS-SQL サーバーとは、主に外部に露出しており、アカウント情報を単純に設定し、総当たり攻撃や辞書攻撃に脆弱な環境のことを指す。もし攻撃者がログインに成功すると、システムについての制御権が攻撃者に渡り、マルウェアをインストールしたり不正なコマンドを実行することがある。

MS-SQL は Windows サーバーにのみインストールされるものではなく、デスクトップ環境にもインストールされる。例えば、特定の ERP および業務用ソリューションをインストールする場合に一緒にインストールされるケースもあるため、MS-SQL サーバーへの攻撃は、Windows サーバーだけでなく、Windows デスクトップ環境も対象になることが特徴としてあげられる。

ASEC では不適切に管理されている MS-SQL サーバーを対象にしている攻撃をモニタリングしており、ASEC Report でも攻撃数および攻撃に使用されたマルウェアのような情報を、期間別に統計を通して公開している。[2] 攻撃には Trojan、Backdoor、CoinMiner、Ransomware など、大半のマルウェアタイプが使用される。その中でもランサムウェアを基準にすると Mallox、GlobeImposter ランサムウェアが大半を占めている。[3]

2. CLR Shell

現在の解析対象のシステムは、外部に露出した MS-SQL サーバーがインストールされた環境であり、不適切なアカウント情報をもっていると推定される。すなわち、様々な攻撃者はすでにアカウント情報を獲得しており、これによって Remcos RAT やコインマイナーのような多様なマルウェアの検知ログが確認できる。

攻撃者は Trigona ランサムウェアをインストールする前に CLR Shell マルウェアをインストールすると推定される。多数のマルウェアログも確認されているが、ランサムウェアの攻撃時点との時間的類似性や Trigona ランサムウェア攻撃が行われたシステムの大半で確認されるという点がその根拠である。その他にも、この CLR Shell マルウェアからは権限昇格の脆弱性を悪用するルーティンも確認されるが、これはサービスとして動作する Trigona ランサムウェアが高い権限を必要とするためであると見られる。

MS-SQL 環境では xp_cmdshell コマンドの他にも OS コマンドを実行できる様々な手法が存在するが、その中には CLR 拡張プロシージャを利用する方法がある。この機能は本来 SQL サーバーで拡張された機能を提供するために使用される。しかし、攻撃者はこれを悪用し、悪意のある機能を含ませて使用している。CLR Shell は CLR アセンブリ形式のマルウェアのうち、Web サーバーの Web Shell のように攻撃者からコマンドを渡されて不正な振る舞いを実行できる機能を提供する形態のマルウェアである。

このような CLR Shell を使用するマルウェアには LemonDuck があげられる。LemonDuck はラテラルムーブメント のために MS-SQL サーバーもその対象としており、スキャニングおよび辞書攻撃を通じて sa アカウントにログインしてから不正な振る舞いを実行する。不正な振る舞いには xp_cmdshell コマンドが使用されることもあるが、追加のペイロードをダウンロードする振る舞いにはこの CLR Shell、すなわち「evilclr.dll」の ExecCommand() メソッドが使用される。

Trigona ランサムウェアの攻撃時点で確認される CLR Shell にコマンド実行ルーティンは存在しないが、権限昇格(MS16-032)脆弱性と情報収集、ユーザーアカウント設定のような機能をサポートしている。攻撃者はこれを利用し、高い権限を持った状態で様々な不正な振る舞いを実行できる。

MS16-032 脆弱性を利用した攻撃に使用されるルーティンは公開されたコードとほぼ同じであり、昇格された権限で内部に含まれているバイナリを実行する。

CLR Shell を通じて生成および実行される「nt.exe」は以下のように単純な機能を持っているが、これは SQL 関連サービスのアカウントを LocalSystem に変更するため、レジストリを変更してから再起動させる機能である。

すなわち、現在「NT Service\MSSQL$SQLEXPRESS」権限で実行中の MS-SQL プロセスである sqlservr.exe は、レジストリの変更および再起動後には LocalSystem 権限で実行される。その後、攻撃者は昇格された権限を持つ MS-SQL プロセスを利用して不正な振る舞いを実行することができる。

3. Trigona ランサムウェア

感染ログによると、CLR Shell マルウェアがインストールされた後に Trigona ランサムウェアがインストールされる。以下は当社の ASD ログであり、MS-SQL プロセスである sqlservr.exe が svcservice.exe という名前で Trigona をインストールしたログが確認できる。

svcservice.exe は Dropper マルウェアで、サービスとして動作することが特徴である。サービスとして実行されると、実際の Trigona ランサムウェアである svchost.exe を同じパスに生成し、これを実行させる機能を担当する Batch ファイルの svchost.bat を生成して実行する。svchost.bat はまず Trigona バイナリを Run キーに登録し、再起動後にも実行されるようにする。その後、ボリュームシャドーの削除およびシステム復元機能を無効化することでランサムウェア感染後の復旧を不可能にする。

その後、svchost.exe、すなわち Trigona ランサムウェアを実行した後、登録したサービスの svcservice を削除する。Trigona 実行時には C:\ ドライブから Z:\ ドライブまで、それぞれドライブ別に各々を引数として渡して実行させる。

Trigona ランサムウェアは Delphi で開発されたランサムウェアであり、ファイルの暗号化時に拡張子を区分せずに暗号化し、暗号化が完了したファイルには「._locked」拡張子が加えられる。

それぞれのフォルダには「how_to_decrypt.hta」という名前のランサムノートが生成される。攻撃者は、ユーザーのデータが安全な AES アルゴリズムで暗号化されており、復旧するためには Tor ブラウザをインストールして指定したアドレスに連絡することをガイドする。

• 攻撃者の Onion アドレス : hxxp://3x55o3u2b7cjs54eifja5m3ottxntlubhjzt6k6htp5nrocjmsxxh7ad[.]onion/

ファイル検知
– Ransomware/Win.Generic.C5384838 (2023.02.20.00)
– Trojan/BAT.Runner.SC187699 (2023.04.08.00)
– Trojan/Win.Generic.C5148943 (2022.05.30.00)
– Trojan.Win.SqlShell.C5310259 (2022.11.21.03)
– Unwanted.Win.Agent.C5406884 (2023.04.08.00)

ビヘイビア検知
– Ransom/MDP.Command.M2255
– Ransom/MDP.Event.M1946

IOC
MD5
– 1cece45e368656d322b68467ad1b8c02 – Trigona Dropper (svcservice.exe)
– 530967fb3b7d9427552e4ac181a37b9a – Trigona Ransomware (svchost.exe)
– 1e71a0bb69803a2ca902397e08269302 – Batch Runner (svchost.bat)
– 46b639d59fea86c21e5c4b05b3e29617 – CLR Shell
– 5db23a2c723cbceabec8d5e545302dc4 – nt.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。