ブログ(脅威調査)

フェイント:破壊的なランサムウェア攻撃への対処

FireEyeは過去数か月間、金銭的利益を目的とする攻撃グループが、被害者の環境全体にランサムウェアを大量に展開することによって、ビジネス・プロセスを中断させる戦術を採用していることを確認しました。ビジネス・プロセスが正常に行われることが不可欠であるという理解の下、これらのランサムウェア・キャンペーンでは数百万ドル単位の身代金が要求されていました。このブログ記事では、2018年4月に最初にレポートした技法を応用した、最近のキャンペーンを1つ検討します。

2019年5月から9月にかけて、FireEyeは、Webインフラの侵害によって被害者の環境に最初の足掛かりを確立した、金銭的利益を目的とした攻撃グループによる複数のインシデントに対応しました。この活動は、2018年4月に最初に特定された偽ブラウザー・アップデート・キャンペーンとの一致が見られ、FireEyeはFakeUpdatesとして追跡しています。今回のキャンペーンでは、侵害されたシステムからDridexやNetSupportなどのマルウェアや、侵入拡大用のフレームワークを展開しました。いくつかのケースにおける攻撃グループの最終的な目標は、BitPaymerまたはDoppelPaymerランサムウェアを使用して、多くのシステムから身代金を要求することでした(図1参照)。


図1:最近のFakeUpdates感染チェーン

キャンペーンが拡散されたため、FireEyeは、Managed Defenseのお客様とMandiantによるインシデントレスポンス調査の両方でこの活動に対応しました。Managed Defenseネットワークとホスト・モニタリング、およびMandiantのインシデントレスポンス結果を通じて、FireEyeは、攻撃グループが取った経路、侵害の範囲と、さまざまなツールキットを観察しました。

ランサムウェアなんてわが社にはいりません!

過去数年間、ランサムウェアは単なる目障りなマルウェアから、被害者のネットワークからかなりの金額の身代金を奪うために使われるになるまで成長しました。さらに、攻撃グループはランサムウェアと他のツールキットやマルウェアを多数組み合わせて、より強力な足掛かりを得ようとしています。このブログの記事だけでも、被害者組織を人質に取るために、攻撃者が複数の手動および自動ツールを活用するのを目の当たりにしました。

ランサムウェアはまた、企業内のどこからでも甚大な影響を及ぼすことができるので、準備ができていない組織のリスクを高めます。攻撃グループが社内で最も機密性の高い部分にアクセスする必要はありません。ビジネス・プロセスを妨害できる部分にアクセスできれば良いのです。これにより、攻撃に晒される範囲が広がりますが、それにつれて検知と対応の機会もまた増加します。Mandiantは最近、ランサムウェア・イベントのリスクを軽減するのに役立つ、ランサムウェアの防御と封じ込め戦略に関する詳細なホワイトペーパーを発表しました。

インジケーター

以下のインジケーターは、複数の侵害事案の調査中に識別された痕跡を収集したものです。

Type

Indicator(s)

FakeUpdates Files

0e470395b2de61f6d975c92dea899b4f

7503da20d1f83ec2ef2382ac13e238a8

102ae3b46ddcb3d1d947d4f56c9bf88c

aaca5e8e163503ff5fadb764433f8abb

2c444002be9847e38ec0da861f3a702b

62eaef72d9492a8c8d6112f250c7c4f2

175dcf0bd1674478fb7d82887a373174
10eefc485a42fac3b928f960a98dc451
a2ac7b9c0a049ceecc1f17022f16fdc6

FakeUpdates Domains & IP Addresses

<8-Characters>.green.mattingsolutions[.]co
<8-Characters>.www2.haciendarealhoa[.]com
<8-Characters>.user3.altcoinfan[.]com
93.95.100[.]178
130.0.233[.]178
185.243.115[.]84

gnf6.ruscacademy[.]in

backup.awarfaregaming[.]com

click.clickanalytics208[.]com

track.amishbrand[.]com

track.positiverefreshment[.]org

link.easycounter210[.]com

nircmdc.exe

8136d84d47cb62b4a4fe1f48eb64166e

Dridex

7239da273d3a3bfd8d169119670bb745

72fe19810a9089cd1ec3ac5ddda22d3f
07b0ce2dd0370392eedb0fc161c99dc7
c8bb08283e55aed151417a9ad1bc7ad9

6e05e84c7a993880409d7a0324c10e74

63d4834f453ffd63336f0851a9d4c632

0ef5c94779cd7861b5e872cd5e922311

Empire C2

185.122.59[.]78

109.94.110[.]136

技法の検出

FireEyeのプラットフォームは、Dridex、Empire、BitPaymer、DoppelPaymerランサムウェアの名前付き検知を含め、この活動を検出します。これらの調査を受けて、FireEyeでは、エンドポイント・セキュリティおよびネットワーク・セキュリティ・アプライアンスにインジケーターとシグネチャを新たに導入しました。以下の表に、この活動が発生する前から公開されていた関連する検知名の一部を示します。

Platform

Signature Name

 

Endpoint Security

 

HX Exploit Detection
Empire RAT (BACKDOOR)
EVENTVWR PARENT PROCESS (METHODOLOGY)
Dridex (BACKDOOR)
Dridex A (BACKDOOR)
POWERSHELL SSL VERIFICATION DISABLE (METHODOLOGY)
SUSPICIOUS POWERSHELL USAGE (METHODOLOGY)
FAKEUPDATES SCREENSHOT CAPTURE (METHODOLOGY)

Network Security

Backdoor.FAKEUPDATES
Trojan.Downloader.FakeUpdate
Exploit.Kit.FakeUpdate
Trojan.SSLCert.SocGholish

MITRE ATT&CK Technique Mapping

ATT&CK

Techniques

Initial Access

Drive-by Compromise (T1189), Exploit Public-Facing Application (T1190)

Execution

PowerShell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)

Persistence

DLL Search Order Hijacking (T1038)

Privilege Escalation

Bypass User Account Control (T1088), DLL Search Order Hijacking (T1038)

Defense Evasion

Bypass User Account Control (T1088), Disabling Security Tools (T1089), DLL Search Order Hijacking (T1038), File Deletion (T1107), Masquerading (T1036), NTFS File Attributes (T1096), Obfuscated Files or Information (T1027), Scripting (T1064), Virtualization/Sandbox Evasion (T1497)

Credential Access

Credential Dumping (T1003)

Discovery

Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Share Discovery (T1135), Process Discovery (T1057), Remote System Discovery (T1018), Security Software Discovery (T1063), System Information Discovery (T1082), System Network Configuration Discovery (T1016), Virtualization/Sandbox Evasion (T1497)

Lateral Movement

Remote Desktop Protocol (T1076),  Remote File Copy (T1105)

Collection

Data from Local System (T1005), Screen Capture (T1113)

Command And Control

Commonly Used Port (T1436), Custom Command and Control Protocol (T1094) ,Data Encoding (T1132), Data Obfuscation (T1001), Remote Access Tools (T1219), Remote File Copy (T1105), Standard Application Layer Protocol (T1071)

Exfiltration

Automated Exfiltration (T1020), Exfiltration Over Command and Control Channel (T1041)

Impact

Data Encrypted for Impact (T1486), Inhibit System Recovery (T1490), Service Stop (T1489)

 

本ブログは、米FireEyeが公開した「Head Fake: Tackling Disruptive Ransomware Attacks」の要約版です。技術詳細を含むブログ全文は、英文記事をご参照ください。

日本語版:Reviewed by Takahiro Sajima