ASEC (AhnLab Security Emergency response Center)は最近、Phobos ランサムウェアが活発に拡散されていることを確認した。Phobos ランサムウェアは Dharma、CrySis ランサムウェアと技術および運用上の類似点を共有する変種として認知されているランサムウェアである。これらは一般的に外部に公開されたセキュリティが脆弱な RDP サービスを攻撃ベクトルとして配布される特徴があり、このようにセキュリティが脆弱な RDP を Initial Access として活用するランサムウェアの配布はかなり頻繁に発生するため、管理者は特に注意が必要である。[1] [2] [3]
1. Phobos ランサムウェアの概要
Phobos ランサムウェアはファイル感染時、原本の拡張子の後ろに以下のように「感染 PC の VSN(Volume Serial Number)」、「攻撃者のメールアドレス」のような情報が追加される特徴を持つランサムウェアである。
<原本ファイル名>.<原本拡張子>.id[<VSN>-<固定の数字4桁>].[<攻撃者のメールアドレス>].<ランサムウェア拡張子>
感染時に生成されるランサムノートは以下のように「info.txt」、「info.hta」のファイル形式で生成され、ランサムノート内には支払いのための攻撃者のメール情報が記載されている。
このランサムウェアのランサムノート生成方式は、ローカルおよびネットワークドライブの暗号化プロセスがすべて終了した後に実行され、暗号化が実行された各ディレクトリおよび以下のパスにランサムノートをそれぞれ生成する特徴がある。
- %USERPROFILE%\Desktop\info.hta
- %USERPROFILE%\Desktop\info.txt
- %public%\Desktop\info.hta
- %public%\Desktop\info.txt
- <drive_roots>\info.hta
- <drive_roots>\info.txt
2. Phobos ランサムウェアの主な機能
持続性の維持
このランサムウェアが実行されると、持続性維持のためにマルウェアを %LOCALAPPDATA% のパスにコピーして以下の Run キーに登録する。これにより、ランサムウェアが再起動後も再実行されるようにする。
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
暗号化対象と例外条件
Phobos ランサムウェアは以下の例外パス、例外拡張子、例外ファイル名を除く、システムに存在するすべてのファイルを暗号化する。Phobos ランサムウェアの暗号化除外拡張子において phobos、eking 等のような Phobos ランサムウェア変種の拡張子以外にも makop 等の Phobos 系列ではないランサムウェアの拡張子が確認できる。これは、他のランサムウェアに感染されている場合、感染対象から除外する目的と見られる。さらに、例外対象の「ファイル名」、「拡張子」、「パス情報」はマルウェアファイル内の AES で暗号化された形式で存在し、マルウェアの実行中に復号化して使用する。
| 概要 | 内容 |
|---|---|
| 暗号化除外パス | %SystemRoot%, %ProgramData%\microsoft\windows\caches |
| 暗号化除外拡張子 | Faust(対象ランサムウェアのサンプル拡張子), actin, dike, acton, actor, acuff, file, acuna, fullz, mmxxii, kmrox, 6y8dghklp, shtorm, nurri, ghost, ff6om6, blue, nx, backjohn, own, fs23, 2qz3, top, blackrock, chcrbo, g-stars, faust, unknown, steel, worry, win, duck, fopra, unique, acute, adage, make, adair, mlf, magic, adame, banhu, banjo, banks, banta, barak, caleb, cales, caley, calix, calle, calum, calvo, deuce, dever, devil, devoe, devon, devos, dewar, eight, eject, eking, elbie, elbow, elder, phobos, help, blend, bqux, com, mamba, karlos, ddos, phoenix, plut, karma, bbc, capital, wallet, lks, tech, s1g2n3a4l, murk, makop, ebaka, jook, logan, fiasko, gucci, decrypt, ooh, non, grt, lizard, flscrypt, sdk, 2023, vhdv |
| 暗号化除外ファイル名 | info.hta, info.txt, boot.ini, bootfont.bin, ntldr, ntdetect.com, io.sys, wang, [マルウェア名].exe |
さらに、このランサムウェアは感染対象のシステムのロケール情報を取得し、特定の言語環境の場合は感染させずに終了する機能が存在し、これは config の設定値によって実行するかどうかが異なる。
終了対象プロセス
phobos ランサムウェアは感染時に以下のようなドキュメント、電子メールクライアント、データベースプログラム等を強制終了させる。これは、ファイル暗号化のプロセスでファイルのハンドル占有等の理由でファイルの暗号化が正常に行われないケースを防止し、より多くのファイルを暗号化するためである。終了対象プロセスの文字列は以下のようにマルウェアファイル内の AES で暗号化された形式で存在し、実行中に復号化して使用する。
| 終了対象プロセスリスト |
|---|
| msftesql.exe sqlagent.exe sqlbrowser.exe sqlservr.exe sqlwriter.exe oracle.exe ocssd.exe dbsnmp.exe synctime.exe agntsvc.exe mydesktopqos.exe isqlplussvc.exe xfssvccon.exe mydesktopservice.exe ocautoupds.exe agntsvc.exe agntsvc.exe agntsvc.exe encsvc.exe firefoxconfig.exe tbirdconfig.exe ocomm.exe mysqld.exe mysqld-nt.exe mysqld-opt.exe dbeng50.exe sqbcoreservice.exe excel.exe infopath.exe msaccess.exe mspub.exe onenote.exe outlook.exe powerpnt.exe steam.exe thebat.exe thebat64.exe thunderbird.exe visio.exe winword.exe wordpad.exe |
ファイアウォールの無効化およびボリュームシャドウコピーの削除
Phobos ランサムウェアは AES で暗号化されたコマンド文字列をデコードしたあと「cmd.exe」プロセスの引数として実行する方式で、ファイアウォールの無効化およびボリュームシャドウコピーを削除する。
| 概要 | 内容 |
|---|---|
| ファイアウォールの無効化 | netsh advfirewall set currentprofile state off netsh firewall set opmode mode=disable |
| 復旧防止 | vssadmin delete shadows /all /quiet wmic shadowcopy delete bcdedit /set {default} bootstatuspolicy ignoreallfailures bcdedit /set {default} recoveryenabled no |
ローカルおよびネットワーク共有フォルダーの暗号化
Phobos ランサムウェアは AES-CBC モードによるローカルおよびネットワークリソースの暗号化機能を提供する。
このうち、ローカルドライブの暗号化プロセスにおいて GetLogicalDrives() API を通じて現在使用可能なドライブを識別する。識別されたドライブに対してビットマスクを検索する方式で暗号化対象のドライブを選択したあと、対象ドライブの暗号化を実行する。
Phobos ランサムウェアはネットワーク共有フォルダーの暗号化機能をサポートする代表的なランサムウェアである。このために、WNetOpenEnumW() API の dwScope 引数で RESOURCE_CONNECTED、RESOURCE_RECENT、RESOURCE_CONTEXT、RESOURCE_REMEMBERED、RESOURCE_GLOBALNET をそれぞれ指定し、多数を呼び出す方式で既存または現在接続されているネットワーク共有リソースをリストアップする。その後、選択された各ネットワークリソースに対して暗号化スレッドを呼び出す方式で暗号化を実行する。
3. 結論
外部に公開されているセキュリティが脆弱な RDP サービスは、多数の攻撃者により初期侵入およびラテラルムーブメントのプロセスで頻繁に活用されている攻撃ベクトルである。このような RDP サービスへの攻撃は、一般的に不適切なアカウント情報を持っているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)によって行われる。Crysis ランサムウェアから派生した Dharma、Phobos 変種ランサムウェアの攻撃者を始めとして、多数のランサムウェア攻撃者はセキュリティが脆弱な RDP サービスを主な初期攻撃のベクトルとして使用している。
ユーザーは RDP を使用しない場合は無効化することで攻撃の試みを減らすことができる。もし RDP を使用している場合は、アカウントのパスワードを複雑にして、周期的に変更することで総当たり攻撃および辞書攻撃を防がなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Ransomware/Win.Phobos.R363595 (2023.08.24.00)
振る舞い検知
– Ransom/MDP.Decoy.M1171
– Ransom/MDP.Command.M2255
IOC
MD5
– d221b0a793cd10b00b0c1f943f6c1b63
– c6936c5cf4307a8bb793dbc7a9dcb9f1
– 5cfee29eae9f476e8b32491f4ef8ae2f
– 6cfa3d34a929cabcc54229b6e100a633
– bd7756138f48dc4ec8088e23ef6a4c80
– 0ef558c14d9894b6a011c9473c0f17c3
– 38bc0f4ac3bb83c5b7a041746b014910
– f2e4746363ba1c940fa315f737dd8a46
– 5b672f45d525b56eb0c4c146214f267e
– 9043580b1766661d8fde0d3e88026de1
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報