AhnLab Security Emergency response Center(ASEC)はモニタリング中に、svchost.exe に偽装した BlackBit ランサムウェアが配布されていることを確認した。ASEC 内部のインフラを通して確認した結果、BlackBit ランサムウェアは、昨年の9月頃から配布され、現在も拡散していることが確認された。
BlackBit ランサムウェアは、.NET Reactor を利用してコードを難読化しているが、このような形態は解析を妨害するためであると推定される。実際に動作するランサムウェアは LokiLocker ランサムウェアと類似した特徴を確認できる。
BlackBit ランサムウェアは暗号化の振る舞いを実行する前に、以下のように様々な事前タスクを実行する。
持続性
マルウェアの持続性維持のため、自身を winlogin.exe のファイル名でスタートアッププログラムパスと %AppData% パスにコピーしたあと、タスクスケジューラー登録を実行する。また、タスクマネージャーによるプロセスの終了を妨害するため、BAT ファイルを活用して関連のレジストリに登録する。
- “C:\Windows\System32\cmd.exe” /C schtasks /CREATE /SC ONLOGON /TN BlackBit /TR C:\Users\rapit\AppData\Roaming\winlogon.exe /RU SYSTEM /RL HIGHEST /F
- REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
復旧の防止
上記のような持続性維持のための機能が終了すると、ランサムウェアはファイルを暗号化以前の状態に復旧することを妨害するため、Recycle.bin に存在するファイルの削除およびボリュームシャドー削除のような振る舞いを実行する。
- vssadmin delete shadows /all /quiet
- wbadmin DELETE SYSTEMSTATEBACKUP
- wmic shadowcopy delete
- wbadmin delete catalog -quiet
- bcdedit /set {default} bootstatuspolicy ignoreallfailures
- bcdedit /set {default} recoveryenabled no
情報流出
また、ネットワーク設定の変更および Windows Defender を終了して、情報流出と検知を妨害するための振る舞いを実行する。
- netsh advfirewall set currentprofile state off
- netsh firewall set opmode mode=disable
- Set registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
- Set registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableOnAccessProtection
- Set registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScanOnRealtimeEnable
- Set registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware
プロセスの終了
BlackBit ランサムウェアは以下のようなプロセスを終了する特徴も確認できる。これは、VM 環境に対する検査および暗号化対象の範囲を拡張しようとする意図があるものと見られる。
- wxserverview
- qbcfmonitorservice
- qbidpservice
- fdlauncher
- zhudongfangyu
- vmware-usbarbitator64
- vmware-converter
- sqlbrowser
- mydesktopqos
- isqlplussvc
- xfssvccon
- mydesktopservice
- ocautoupds
- firefoxconfig
- tbirdconfig
- mysqld-nt
- mysqld-opt
- sqbcoreservice
- thunderbird
- culserver
- quickboooks.fcs
- zhundongfangyu
- mssqlserver
- mssql$contoso1
- sqlserveragent
上記プロセスがすべて行われると、ファイルの暗号化が実行される。その後、BlackBit ランサムウェアは各感染パスのフォルダーに Restore-My-Files.txt を作成し、以下のようなランサムノートを表示する。
AhnLab V3 製品ではファイル検知、振る舞いベースの検知等を含め、様々な検知ポイントにより BlackBit ランサムウェアを検知および対応している。ランサムウェア被害の予防のため、出どころが不明なファイルを実行する際は注意しなければならず、疑わしいファイルはセキュリティソフトによる検査を行い、アンチウイルスを最新版にアップデートしておく必要がある。このマルウェアについて、当社 V3 では以下の通り検知している。
[ファイル検知]
Trojan/Win.Avkiller.C5402891 (2023.03.30.01)
[ビヘイビア検知]
Malware/MDP.Behavior.M29
Ransomware/MDP.Delete.M2117
[IOC]
3a7c3e8a378cd7a4fd83910937c23b19
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報