AhnLab Security Emergency response Center (ASEC)では最近、不適切に管理されている MS-SQL サーバーを対象に、BAT ファイル拡張子の Mallox ランサムウェアが配布されていることを確認した。不適切に管理されている MS-SQL サーバーを対象に配布されるファイル形式が、EXE ファイル拡張子に加えて Fileless 形式の BAT ファイル拡張子も使用されている。現在までに確認されている BAT ファイル拡張子の配布ファイルは、Remcos RAT と Mallox ランサムウェアがある。
BAT ファイル拡張子の配布は powershell と sqlps を使用した事例の2つが存在する。sqlps の配布は、過去の ASEC ブログを通じて取り上げたことがある。以下の[図1]は、当社 AhnLab Smart Defense(ASD)のログである。検知内容から、ダウンロードアドレスは Tst.bat ことが確認できる。[図2]は詳細ログの一部であり、BAT ファイル拡張子がどのようにダウンロードされたのかを確認できる。これに基づいて当社 EDR 製品を通じて再現を行い、ランサムウェアの振る舞いを解析していく。
図1. ASD 検知ログ
図2. ASD 検知ログの詳細
図3. AhnLab EDR 製品の検知画面
[図3]は実際に使用されたコマンドを用いて Mallox ランサムウェアをダウンロードおよび実行した内容を、EDR 製品で検知した図である。ダイアグラムの図からは、簡略に描かれた主な振る舞いについて確認することができる。左画面のプロセスをクリックすると、検知理由と実行した振る舞いに関するログが表示される。攻撃者と同様、CMD を利用して PowerShell プロセスでマルウェアをダウンロードするコマンドの実行が確認できる。攻撃者の配布元アドレスと保存先が詳細に表記されている。
図4. 実行ファイルの生成と実行
PowerShell コマンドによりダウンロードされた BAT ファイルは、CMD で実行される。BAT ファイル名と同じ実行ファイルを、同じパス上に生成する。bat.exe というファイル名の生成された実行ファイルは、Windows の正常なファイルの PowerShell である。
図5. killerrr.bat ファイルの生成およびファイル実行の振る舞い
[図4]で生成した任意のファイル名を持つ正常な PowerShell のファイルを、任意のエンコードされたスクリプトコマンドとともに実行したのが[図5]の内容である。Mallox ランサムウェアの本体であるデータを、Windows の正常なプロセスである MSbuild.exe に対し、インジェクション手法の一つである Process Hollowing を実行する。また、同じパス上に killerr.bat ファイルを生成して実行する。
図6. killerrr.bat ファイル実行の振る舞い
[図6]は killerr.bat の実行の痕跡である。killerr.bat はファイル名から推測できるように、複数のプロセスを終了、および複数のサービスを終了、削除する機能を実行する。実行されたコマンドとその振る舞いを一目で確認することができる。
図7. インジェクションされた MSBuild.exe のランサムウェア行為 1
図8. インジェクションされた MSBuild.exe のランサムウェア行為 2
[図7]はインジェクション手法である Process Hollowing によって実行された MSBuild.exe のランサムウェア行為に関する検知画面である。デコイ(おとり)ファイルが暗号化された内容を確認することができ、ボリュームシャドウコピーを削除するコマンドを実行した履歴も残されている。暗号化されたドキュメントファイルに関する内容もすべて記録されている。[図8]は Windows の機能を利用した復旧を遮断するために実行するコマンドであり、すべて記録されていることが確認できる。
最近、不適切に管理されている MS-SQL データベースサーバーを対象にインストールされるマルウェアには実行ファイルも存在するが、Fileless 方式の非実行ファイル(NON-PE)も発見されるようになってきている。MS-SQL データベースサーバーを対象とする攻撃には、代表的なものにアカウント情報を不適切に管理しているシステムに対する総当たり攻撃(Brute Forcing)と、辞書攻撃(Dictionary Attack)がある。攻撃対象となる MS-SQL サーバーは、データベースサーバーとして直接構築するケースもあるが、ERP および業務用ソリューションをインストールする過程で一緒にインストールされるケースも多々ある。
そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護しなければならず、セキュリティパッチを最新にして脆弱性攻撃を防止しなければならない。また、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、攻撃者からのアクセスを統制しなければならない。あらゆる予防策を講じていても生じる侵害事例に対し、AhnLab EDR 製品による事例の調査と解析を通じて原因把握を行い、再発防止策を講じることが可能である。
[IOC]
- ビヘイビア検知
Connection/EDR.Behavior.M2650
Ransom/EDR.Decoy.M2470
SystemManipulation/EDR.Event.M2486
Execution/MDP.Powershell.M4602
Execution/MDP.Powershell.M4604
Execution/MDP.Powershell.M4624 - ファイル検知
Ransomware/BAT.MALLOX.SC189737 (2023.06.13.02) - MD5
dcf060e00547cfe641eff3f836ec08c8 - URL & C2
hxxp://80.66.75[.]116/tst.bat
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知