AhnLab SEcurity intelligence Center(ASEC)は、最近、韓国国内のユーザーを対象とした Makop ランサムウェアの攻撃事例を確認した。Makop ランサムウェアは数年前から韓国国内のユーザーを対象に履歴書や著作権関連のメールに偽装して拡散しており、最近では RDP を悪用して攻撃しているものと知られている。
1. RDP を利用したマルウェアのインストール
RDP、すなわちリモートデスクトップサービスを攻撃ベクトルとして利用する攻撃者は、一般的に外部からアクセスが可能なシステムを対象に RDP が有効になっているシステムをスキャンする。スキャンで見つけたシステムに対しては総当たり攻撃や辞書攻撃を実行する。もし、ユーザーが不適切なアカウント情報を使用している場合、攻撃者は容易にアカウント情報を取得することができる。
攻撃者が取得したアカウント情報でリモートデスクトップを利用しシステムにログインした場合、そのシステムの操作権限を取得できるため、その後様々な不正な振る舞いを実行することができる。RDP を攻撃するランサムウェアの攻撃者には、Phobos [1], GlobeImposter、MedusaLocker [2] 、Hakuna matata [3] 、Venus, Crysis [4] などがある。
2024年からは RDP を攻撃し Makop ランサムウェアをインストールする事例も報告された。[5] 直接的なログは確認されていないが、GUI 形式のランサムウェアを使用するという点やエクスプローラーのプロセスを通じてマルウェアを実行する点、そして RDP を攻撃ベクトルとして使用していた過去の Makop レポートと類似した形であるという点から、状況証拠として RDP を利用しランサムウェアをインストールしたものと推定される。
2. マルウェアのインストール
攻撃者は様々なマルウェアを感染システムにインストールした。インストールされるツールはスキャナーおよびアカウント情報の窃取機能を担うツールであり、大半が NirSoft 社製のものであることが特徴である。これにより感染システム以外に、そのシステムが含まれたネットワークも攻撃対象となる可能性があるという点を推定することができる。
参考に、初期浸透過程で RDP を悪用するという点や NirSoft 社のいくつかのツールおよび Mimikatz をインストールし、インストール経路が「mimik」である部分は、過去の Crysis ランサムウェアの攻撃者が Venus ランサムウェアをインストールした事例と同じである。これは、同じ攻撃者が Crysis ランサムウェアだけでなく Venus ランサムウェアを使用し、最近では Makop ランサムウェアを使用している可能性を示している。
| 種類 | パス名 |
|---|---|
| Makop Ransomware | %USERPROFILE%\documents\air_visual.exe |
| NetworkShare | %USERPROFILE%\documents\networkshare v.2.exe |
| Web Browser Pass View | %USERPROFILE%\documents\mimik\pass\webbrowserpassview.exe |
| RouterPassView | %USERPROFILE%\documents\mimik\pass\routerpassview.exe |
| Remote Desktop PassView | %USERPROFILE%\documents\mimik\pass\rdpv.exe |
| MessenPass | %USERPROFILE%\documents\mimik\pass\mspass.exe |
| Mail PassView | %USERPROFILE%\documents\mimik\pass\mailpv.exe |
| Dialupass | %USERPROFILE%\documents\mimik\pass\dialupass.exe |
| VNCPassView | %USERPROFILE%\documents\mimik\pass\vncpassview.exe |
| Wireless Key View | %USERPROFILE%\documents\mimik\pass\wirelesskeyview64.exe |
| Network Password Recovery | %USERPROFILE%\documents\mimik\pass\netpass64.exe |
| BulletsPassView | %USERPROFILE%\documents\mimik\pass\bulletspassview64.exe |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x64\mimik.exe |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x64\mimidrv.sys |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x64\mimilib.dll |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x32\mimilove.exe |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x32\mimik.exe |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x32\mimilib.dll |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x32\mimidrv.sys |
Table 1. インストールされたマルウェア
攻撃者は RDP でシステムを掌握したあと、上記のツールを利用してネットワークをスキャンし、感染システムが特定のネットワークに含まれているかどうかを確認する。もし、特定のネットワークに含まれている場合は、そのネットワークに存在する他のシステムも暗号化するため、内部偵察やアカウント情報の収集、そしてラテラルムーブメントのプロセスを進めることがある。以下は、自社 AhnLab Smart Defense (ASD) インフラで確認されたログであり、攻撃者が攻撃に使用した Mimikatz コマンドで様々な資格情報を抽出した。
図1. Mimikatz 実行ログ
> .\Mimik\x64\mimik.exe “privilege::debug” “sekurlsa::bootkey” “token::elevate” “event::clear” “log .\!logs\Result.txt” “sekurlsa::logonPasswords” “vault::cred” “lsadump::secrets” “lsadump::cache” “lsadump::sam” exit”
3. Makop ランサムウェア
| 概要 | 説明 |
|---|---|
| 拡張子 | .[固有文字列].[xueyuanjie@onionmail.org].AIR |
| ランサムノート | +README-WARNING+.txt |
| 暗号化アルゴリズム | AES-256, RSA-1024 |
| 暗号化除外ファイル | “boot.ini”, “bootfont.bin”, “ntldr”, “ntdetect.com”, “io.sys”, “+README-WARNING+.txt”, “desktop.ini” |
| 暗号化除外パス | “windows”, “winnt”, “C:\Windows”, “C:\ProgramData\microsoft\windows\caches”, “C:\Users\All Users\Microsoft\Windows\Caches”, “C:\Users\Public” |
| 暗号化除外拡張子 | “.exe”, “.dll”, “.AIR” |
| その他 | プロセスの終了。ボリュームシャドウおよびバックアップカタログの削除 |
Table 2. Makop ランサムウェア
Makop は以下のように GUI 形式で基本的に全システムを対象に暗号化を実行するが、直接暗号化対象のパスを指定することができる。
図2. Makop ランサムウェアの GUI 画面
暗号化を開始すると、まず以下のようなコマンドでボリュームシャドウとバックアップカタログを削除する。
> vssadmin delete shadows /all /quiet
> wbadmin delete catalog -quiet
> wmic shadowcopy delete
このほかにもさらなるファイルを暗号化するため、以下のようなプロセスを終了させる。
|
プロセス一覧 |
|---|
| “sqlbrowser.exe”, “sqlwriter.exe”, “sqlservr.exe”, “msmdsrv.exe”, “MsDtsSrvr.exe”, “sqlceip.exe”, “fdlauncher.exe”, “Ssms.exe”, “sqlagent.exe”, “fdhost.exe”, “ReportingServicesService.exe”, “msftesql.exe”, “pg_ctl.exe”, “postgres.exe”, “UniFi.exe”, “armsvc.exe”, “IntelCpHDCPSvc.exe”, “OfficeClickToRun.exe”, “DellOSDService.exe”, “DymoPnpService.exe”, “Agent.exe”, “FJTWMKSV.exe”, “IPROSetMonitor.exe”, “IRMTService.exe”, “MBCloudEA.exe”, “QBCFMonitorService.exe”, “QBIDPService.exe”, “RstMwService.exe”, “TeamViewer_Service.exe”, “dasHost.exe”, “IntelCpHeciSvc.exe”, “RAVBg64.exe”, “vds.exe”, “unsecapp.exe”, “TodoBackupService.exe”, “MediaButtons.exe”, “IAStorDataMgrSvc.exe”, “jhi_service.exe”, “LMS.exe”, “DDVDataCollector.exe”, “DDVCollectorSvcApi.exe”, “TeamViewer.exe”, “tv_w32.exe”, “tv_x64.exe”, “Microsoft.Photos.exe”, “MicrosoftEdge.exe”, “ApplicationFrameHost.exe”, “browser_broker.exe”, “MicrosoftEdgeSH.exe”, “MicrosoftEdgeCP.exe”, “RtkNGUI64.exe”, “WavesSvc64.exe”, “OneDrive.exe”, “DYMO.DLS.Printing.Host.exe”, “FtLnSOP.exe”, “FjtwMkup.exe”, “FTPWREVT.exe”, “FTErGuid.exe”, “qbupdate.exe”, “QBWebConnector.exe”, “ShellExperienceHost.exe”, “RuntimeBroker.exe”, “IAStorIcon.exe”, “PrivacyIconClient.exe”, “SupportAssistAgent.exe”, “SecurityHealthService.exe”, “taskhostw.exe”, “taskhosta.exe”, “wijca.exe”, “ktfwswe.exe”, “HeciServer.exe”, “mdm.exe”, “ULCDRSvr.exe”, “WLIDSVC.exe”, “WLIDSVCM.exe”, “GoogleCrashHandler.exe”, “GoogleCrashHandler64.exe”, “RAVCpl64.exe”, “igfxtray.exe”, “hkcmd.exe”, “igfxpers.exe”, “PsiService_2.exe”, “UNS.exe”, “taskeng.exe”, “AdobeARM.exe”, “LenovoReg.exe”, “dwm.exe”, “wuauclt.exe”, “avp.exe”, “FBService.exe”, “LBAEvent.exe”, “PDFProFiltSrvPP.exe”, “avpsus.exe”, “klnagent.exe”, “vapm.exe”, “ScanToPCActivationApp.exe”, “BrStMonW.exe”, “BrCtrlCntr.exe”, “concentr.exe”, “redirector.exe”, “BrccMCtl.exe”, “BrYNSvc.exe”, “Receiver.exe”, “BrCcUxSys.exe”, “LSCNotify.exe”, “SelfServicePlugin.exe”, “wfcrun32.exe”, “HPNETW~1.exe”, “HPScan.exe”, “taskhost.exe”, “Teams.exe”, “AuthManSvr.exe”, “WLXPhotoGallery.exe”, “outlook.exe”, “prevhost.exe”, “excel.exe”, “chrome.exe”, “AcroRd32.exe”, “RdrCEF.exe”, “vssadmin.exe”, “WmiPrvSE.exe”, “oracle.exe”, “ocssd.exe”, “dbsnmp.exe”, “synctime.exe”, “agntsrvc.exe”, “mydesktopqos.exe”, “isqlplussvc.exe”, “xfssvccon.exe”, “mydesktopservice.exe”, “ocautoupds.exe”, “encsvc.exe”, “firefoxconfig.exe”, “tbirdconfig.exe”, “ocomm.exe”, “mysqld.exe”, “mysqld-nt.exe”, “mysqld-opt.exe”, “dbeng50.exe”, “sqbcoreservice.exe”, “infopath.exe”, “msaccess.exe”, “mspub.exe”, “onenote.exe”, “powerpnt.exe”, “steam.exe”, “thebat.exe”, “thebat64.exe”, “thunderbird.exe”, “visio.exe”, “winword.exe”, “wordpad.exe” |
Table 3. 終了対象プロセス
ファイルを暗号化する際に追加される拡張子は「.[固有文字列].[xueyuanjie@onionmail[.]org].AIR」のような形式であり、固有文字列はシステムの ProductId と Volume Serial Number を利用して組み合わせて生成した8つの16進数文字である。暗号化が完了したフォルダーには「+README-WARNING+.txt」という名前のランサムノートが作成される。ランサムノートには以下のようなメールアドレスが含まれている。
- xueyuanjie@onionmail[.]org
- xueyuanjie@mail2tor[.]com
- xueyuanjie@exploit[.]im
図3. ランサムノート
最後に、以下のようにデスクトップ画面を変更し、ユーザーが認知できるようにする。
図4. 変更されたデスクトップ画面
4. 結論
攻撃者は過去から初期侵入プロセスおよびラテラルムーブメントプロセスで RDP を使用し続けている。このような攻撃は主に不適切なアカウント情報を持つシステムに対する総当たり攻撃および辞書攻撃によって行われる。特に Makop の攻撃者以外にも多くのランサムウェアの攻撃者が RDP を代表的な初期攻撃ベクターとして使用している。
ユーザーは RDP を使用しない場合、無効にすることで攻撃の試行を減らすことができる。もし RDP サービスを使用しているのであれば、アカウントのパスワードを複雑な形式で設定し、定期的に変更することで総当たり攻撃および辞書攻撃を防がなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: Uncategorized