5月14日更新:Mandiantは、DARKSIDE RaaS運営者がアフィリエイトに共有したと思われる5月13日の発表を複数の攻撃者が引用しているのを確認しました。この発表では、DARKSIDEがブログ、決済、CDNサーバーなどのインフラへのアクセスを失い、サービスを停止するとしています。また、身代金の支払いに応じていない企業に対しても、恐らくアフィリエイトを通じて復号キーを提供するとしています。発表によると、この決定の理由として、法執行機関からの圧力と米国からの圧力を挙げています。私たちはこれらの主張を独自に検証しておらず、出口詐欺である可能性もあるという推測もあります。
背景
2020年8月に初めて登場して以来、DARKSIDEランサムウェアの作成者とその関連組織は、15カ国以上の国や、複数業種に影響を与える世界的な犯罪の展開を開始しました。類似の攻撃同様、この攻撃者はデータ窃取と暗号化によるさまざまな強迫行為を行っており、窃取したデータのロック解除や流出させないかわりに身代金を要求するため、被害者はさらにプレッシャーにさらされることになります。
これらのインシデントの起源は画一的ではありません。DARKSIDEランサムウェアは、組織へのアクセスを提供しランサムウェアを展開する所有者とパートナー、または関連組織間で利益が共有されるransomware-as-a-service (RaaS)として動作しています。Mandiantは現在、このランサムウェアを展開した多数の脅威クラスタを追跡しており、それらにはDARKSIDEを使用する多数の関連組織も含まれています。これらのクラスタは、侵入全体を通して、さまざまなレベルで高度な技術を実証しました。攻撃グループは一般に、オペレーションのさまざまな段階を簡素化するために、一般的に流通している正規ツールに依存していましたが、少なくとも1つの脅威クラスタは、現在パッチが適用されているゼロデイ脆弱性も採用していました。
このブログ投稿の前に、DARKSIDEに関するレポートが、当社の脅威インテリジェンス・プラットフォームの無償版であるMandiant Advantage Freeのユーザーに公開されています。
ターゲティング
Mandiantは、当社のインシデントレスポンス・エンゲージメントおよびDARKSIDEブログのレポートを通じて、複数のDARKSIDE被害者を特定しました。被害者組織のほとんどは、米国に拠点を置いており、金融サービス、法務、製造、プロフェッショナル・サービス、小売、テクノロジーなど、複数の分野にまたがっていました。2020年8月以降、DARKSIDEブログが公表している被害者数は増加していますが、2021年1月に示された被害者数は大幅に減少しています (図1) 。1月の減少は、DARKSIDEを使用した攻撃グループがホリデー・シーズンに活動を休止したことが原因である可能性があります。被害者数の全体的な増加は、複数の関連組織によるDARKSIDEランサムウェア使用の増加を示しています。
図1:既知のDARKSIDE被害者(2020年8月~2021年4月)
DARKSIDEランサムウェア・サービス
2020年11月から、ロシア語の攻撃者「darksupp」は、ロシア語のフォーラムexploit.inとxss.isでDARKSIDE RaaSを宣伝し、2021年4月には「Darkside2.0」RaaSのアップデートを公開しました。このアップデートには、いくつかの新機能と、現在彼らが探しているパートナーやサービスのタイプの説明が含まれています(表1) 。関連組織は、各被害者からの身代金のうち一定割合を享受します。フォーラム広告によると、この割合は50万USドル未満の身代金では25%から、500万USドルを超える身代金では10%に減少します。
このサービスのオペレーターはDARKSIDEランサムウェアの構築を提供するだけでなく、TOR経由でアクセス可能なブログも維持しています。攻撃者は、このサイトを使用して被害者を公開し、これらの組織に対し盗んだデータを公開しない条件での支払いを求めます。アンダーグラウンド・フォーラム広告の最新のアップデートでは、攻撃者が被害者組織にDDoSを試みる可能性があることも示されています。攻撃者darksuppは、関連組織が病院、学校、大学、非営利組織、および公共セクターのエンティティをターゲットにすることは禁止されていると述べています。これは、法施行措置を抑止するための攻撃者による取り組みである可能性があります。これらの分野を標的にすることは、さらなる監視を引き起こしかねないからです。関連組織は、CIS(Commonwealth of Independent States)諸国の組織を標的にすることも禁止されています。
公開日・バージョン |
機能/更新 |
関連レポート |
Nov. 10, 2020 (V1)
|
管理パネル内からWindows環境とLinux環境の両方の構築を生成する機能 |
|
Salsa20暗号化とRSA-1024公開鍵を使用してファイルを暗号化 |
||
クライアントがDarksideの構築、支払い、ブログの記事、被害者とのコミュニケーションを管理するために使用できるTORを介した管理パネルへのアクセス |
||
見せしめにすることで被害者に身代金の支払いを強制するために、クライアントが被害者の情報やアナウンスをDarkside Webサイトに公開できるブログ・セクションを含む管理パネル |
||
April 14, 2021 (V2.0)
|
テストの自動復号化。暗号化から金の回収までが自動化され、サポートに依存しないプロセス |
|
標的に対し有効なDDoS(Layer 3、Layer 7) |
||
パートナーにネットワーク・アクセスを提供し、脆弱性診断スキルを持つ人やチームに提供する要求 |
表1:DARKSIDE広告スレッドに記載されている注目すべき機能と更新
DARKSIDE関連組織
DARKSIDE RaaSの関連組織に加入するには、面接に合格する必要があります。合格すると、管理パネルへのアクセス権が付与されます(図2)。このパネル内で、関連組織はランサムウェア・ビルドの作成、DARKSIDEブログのコンテンツの指定、被害者の管理、サポートへの連絡など、さまざまなアクションを実行できます。Mandiantは現在まで、DARKSIDEの関連組織であったロシア語を話す攻撃者を少なくとも5組特定しています。これらの攻撃グループの一部の関連広告は、すでに入手しているアクセス権にランサムウェアを配備できる初期アクセス・プロバイダーもしくは攻撃者のどちらかを見つけることを目的としています。DARKSIDEの利用を主張する関係者の中には、BABUKやSODINOKIBI(別名REvil)など、他のRaaS系列プログラムとも提携していると主張する者もいます。これらの攻撃グループの詳細については、Mandiant Advantageを参照してください。
図2:DARKSIDE関連パネル
攻撃ライフサイクル
Mandiantは現在、DARKSIDEの展開に関与した脅威活動の5つのクラスタを追跡しています。未分類の脅威の詳細については、ブログ記事「DebUNCing Attribution: Mandiant による未分類の攻撃者の追跡方法」を参照してください。これらのクラスタは、DARKSIDE RaaSプラットフォームの異なる関連組織である可能性があります。観測されたインシデントを通して、攻撃グループは、悪用後のランサムウェア攻撃における攻撃ライフサイクルのさまざまな段階を簡素化するために、一般に使用される入手可能な正規ツールの数々に依存していました(図表3)。追加のUNCグループのうち3つの詳細は、以下に記載されています。
図3:DARKSIDEランサムウェア・エンゲージメント全体で見られるTTP
UNC2628
UNC2628は、少なくとも2021年2月から活動しています。通常ランサムウェアを2~3日間で展開する攻撃グループであり、その侵入は比較的早く進行します。UNC2628がSODINOKIBI(REvil)やNETWALKERなど、他のRaaSと提携していることを示唆する証拠がいくつかあります。
- 複数のケースで、インタラクティブな侵入操作が開始される直前に、企業VPNインフラストラクチャに対する疑わしい認証の試みが観察されました。認証パターンは、利用可能なフォレンジック証拠では、UNC2628を前身となる活動に明確に帰属させるには不十分でしたが、パスワード・スプレー攻撃との一貫性がありました。
- 証拠が残っていたケースにおいて、攻撃グループは正規の認証情報を使用して企業のVPNインフラストラクチャを介し、初期アクセス権を取得していたと思われます。
- UNC2628は、さまざまな正規アカウントを使用して被害者環境とやり取りしてきましたが、複数のケースで、ユーザー名が'spservice'のドメイン・アカウントも作成、使用しています。UNC2628は、すべての既知の侵入に対して、Cobalt StrikeフレームワークとBEACONペイロードを多用しています。この攻撃者に起因するBEACONコマンド&コントロール(C2) インフラストラクチャには、次のものが含まれています。
- hxxps://104.193.252[.]197:443/
- hxxps://162.244.81[.]253:443/
- hxxps://185.180.197[.]86:443/
- hxxps://athaliaoriginals[.]com/
- hxxps://lagrom[.]com:443/font.html
- hxxps://lagrom[.]com:443/night.html
- hxxps://lagrom[.]com:443/online.html
- hxxps://lagrom[.]com:443/send.html
- hxxps://lagrom[.]com/find.html?key=id#-
- 少なくともいくつかのケースでは、この攻撃者が認証情報窃取と権限昇格のためにMimikatzを採用したことを示唆する証拠があります。
- 攻撃グループは、「net」や「ping」などの組み込みコマンドを使って社内ネットワークの基本的な探査を行っているように見えましたが、BEACONを介して追加的な探査が行われており、利用可能なログ・ソースには表示されていない可能性があります。
- UNC2628は、正規資格情報とCobalt Strike BEACONペイロードを用い、RDPを介してほぼ排他的な環境内で水平展開を行いました。この脅威クラスタは、HTTPS BEACONペイロードとSMB BEACONの両方を使用します。後者は、ほとんどが「\\.\pipe\UIA_PIPE_」で始まる名前付きのパイプを使用します。
- この脅威クラスタに起因する侵入は、侵入からデータ窃取やランサムウェアの展開へと急速に進み、影響を受ける環境で永続的な足がかりを維持することには重点を置いていませんでした。それにもかかわらず、UNC2628は、正規資格情報の収集、攻撃者制御のドメイン・アカウント(spservice)の作成、およびBEACONを起動することを意図したWindowsサービスの作成を通じてアクセスを維持してきました。特に、UNC2628は'CitrixInit'という名前のサービスでBEACONを繰り返しロードしています。
- UNC2628は、F-Secure Labsのカスタム・コマンド&コントロール(C3)フレームワークも採用しており、Slack APIを介してプロキシC2コミュニケーションに設定されたリレーを展開しています。この攻撃者の他のTTPに基づいて、Cobalt Strike BEACONトラフィックを難読化するためにC3を使用する可能性がありました。
- 攻撃グループは、クラウド・ホスティング環境のシステムへのRcloneを使用して、SFTP上でデータを排除しました。Rcloneは、クラウド・ストレージ・アプリケーション用のファイルを管理するためのコマンド・ライン・ユーティリティです。特に、データ除外に使用されるインフラストラクチャは、複数の侵入にわたって再利用されています。あるケースでは、侵入が開始されたその日にデータ除外が実行されました。
- UNC2628は、PsExecを使用してDARKSIDEランサムウェア暗号化装置を、複数のテキスト・ファイルに含まれるホストのリストに配備します。
- 攻撃グループは、次のディレクトリを使用し、バックドアのコピー、ランサムウェア・バイナリー、PsExecのコピー、被害者ホストの一覧をその中に配置しました。
- C:\run\
- C:\home\
- C:\tara\
- C:\Users\[username]\Music\
- C:\Users\Public
UNC2659
UNC2659は、少なくとも2021年1月から活動しています。私たちは、10日間にわたって攻撃ライフサイクル全体を通して攻撃グループの動きを観察しました。UNC2659は、すでにパッチが適用されているSonicWall SMA100SSL VPN製品のエクスプロイトを使用したことで注目されています。攻撃グループは、攻撃ライフサイクルのさまざまなフェーズに使用されるいくつかのツールを、それらのツールの正規の公開Webサイトから直接ダウンロードしているようでした。
- 攻撃グループは、SonicWallによってパッチが適用されたSonicWall SMA100SSL VPN製品のエクスプロイトであるCVE-2021-20016を利用して、被害者への初期アクセスに成功しました。攻撃グループがSonicWall VPNで多要素認証オプションを無効にするための脆弱性を使用した可能性があるかもしれませんが、これは確認されていません。
- 攻撃グループはTeamViewer(TeamViewer_Setup.exe)を活用して、被害者の環境内で持続性を確立しました。利用可能な証拠が示しているのは、攻撃グループが次のURLからTeamViewerを直接ダウンロードし、AnyDeskユーティリティをダウンロードできる場所を参照したということです。
- hxxps://dl.teamviewer[.]com/download/version_15x/TeamViewer_Setup.exe
- 攻撃グループはファイル”rclone.exe”をrclone[.]org-hxxps://downloads.rclone[.]org/v1.54.0/rclone-v1.54.0-windows-amd64.zipから直接ダウンロードしているようでした。この攻撃グループは、rcloneを使用して、pCloudクラウドベースのホスティングおよびストレージ・サービスに、数百ギガバイトのデータをSMBプロトコル経由で抽出していたことが確認されています。
- 攻撃グループは、ファイル”power_encryptor.exe”を被害者環境に配備し、ファイルを暗号化し、SMBプロトコル経由でランサム・ノートを作成しました。
- Mandiantは、攻撃グループがESXi管理インターフェイスに移動し、ランサムウェア暗号化装置を導入する前にスナップショット機能を無効にしました。これは、いくつかの仮想マシンイメージに影響を与えました。
UNC2465
UNC2465の活動開始日は少なくとも2019年4月にまでさかのぼります。被害者環境にPowerShellベースの.NETバックドアSMOKEDHAMを配布するために、類似したTTPを使用することが特徴です。DARKSIDEが導入されたあるケースでは、数か月単位のギャップがあり、ランサムウェア配備のための初期侵入期間に断続的な活動のみが発生しました。場合によっては、初期アクセスが別の攻撃者によって提供されたことを示している可能性があります。
- UNC2465は、フィッシングEメールと正規サービスを使用して、SMOKEDHAMバックドアをもたらしました。SMOKEDHAMは、キーロギング、スクリーンショットの取得、任意の.NETコマンドををサポートする.NETバックドアです。1つのインシデントの間、攻撃グループは被害者とのコミュニケーション・ラインを確立する前に、LNKダウンローダーを含むアーカイブを届ける、悪意のあるGoogle Drive リンクを送信しているようでした。より最近のUNC2465は、悪意のあるLNKファイルを含むZIPアーカイブとDropboxリンクを使用しており、実行すると最終的にSMOKEDHAMがシステムにダウンロードされることになります。
- UNC2465は、被害者環境内での内部調査や水平展開活動に、Advanced IP Scanner、BLOODHOUND、RDPを使用しています。
- 攻撃グループは、クレデンシャル・ハーベスティングにMimikatzを使用して、被害者ネットワーク内の権限を昇格させました。
- UNC2465は、公開されているNGROKユーティリティを使用してファイアウォールをバイパスし、RDPやWinRMなどのリモート・デスクトップ・サービス・ポートをオープン・インターネットに公開します。
- Mandiantは、DARKSIDEランサムウェアを配備するためにPsExecおよびcronジョブを使用する攻撃グループを確認しました。
- UNC2465は、被害者のカスタマー・サポートに電話をかけ、データが盗まれたことを伝え、ランサム・ノートのリンクに従うように指示しました。
予想される結果
攻撃グループは、多面的な拡張オペレーションの実施に精通してきており、その成果が、ここ数年間の影響力のあるランサムウェア・インシデントの急速な増大に直接的に貢献したと我々は考えています。ランサムウェアのオペレーターは、被害者が身代金の支払いに黙従する可能性を高めるために設計された追加の拡張戦略を組み込んでいます。たとえば、2021年4月末に、DARKSIDEのオペレーターは、NASDAQや他の株式市場に掲載されている組織を対象としているというプレス・リリースを発表しました。彼らは、発表された侵害の後、株価の低下による潜在的な利益を可能にするために、今後のリークに関する情報を株取引業者に提供する意思があることを示しました。別の注目すべき事例として、攻撃者は被害者のサイバー保険ポリシーを取得し、ポリシーの限界を考慮して身代金の金額を引き下げることを拒否するランサム・ネゴシエーション・プロセス中に、この情報を利用することができました。これにより、ランサムウェア・インシデントの悪用後の段階で、攻撃グループは内部的な調査に関与し、ネゴシエーション能力を高めるためのデータを取得できるようになりました。攻撃グループが被害者にプレッシャーをかけるために使用する恐喝戦術が、2021年を通して進化し続けることが予想されます。
DARKSIDEランサムウェアが複数の攻撃者によって配布されるという証拠に基づき、このランサムウェアに関連するインシデント全体で使用されるTTPは、やや変化し続けることが予想されます。ランサムウェアに対処するためのより包括的な推奨事項については、私たちのブログの記事「ランサムウェアの防御と封じ込め戦略 : エンドポイント保護、セキュリティ強化、封じ込めのための実践的なアドバイス」とホワイト・ペーパーを参照してください。
謝辞
このレポートに著者として掲載されている数名に加え、何百人ものコンサルタント、アナリスト、リバース・エンジニアが、突発的なネック領域への侵入に対処するために必要な業務に徹しながらも、信じられないほど高い分析基準を維持しています。この大きなグループが、私たちのすべての仕事の基礎となっていますが、このレポートの作成に直接貢献したのはより小規模なグループであり、ここに名前を掲載することで感謝を示したいと思います。弊社のAdvanced PracticesチームのBryce AbdoとMatthew Dunwoody、FLAREのJay Smithに特に感謝したいと思います。彼らは分析的な支援と技術的なレビューを提供してくれました。Ioana Teaca、Muhammadumer Khan、Matt Williamsからも素晴らしいサポートをいただきました。
付録A:DARKSIDEランサムウェア分析
DARKSIDEは、Cで書かれたランサムウェアで、固定ディスクとリムーバブル・ディスク、およびネットワーク共有上のファイルを暗号化するように設定できます。DARKSIDE RaaS関連組織は、特定の被害者の構築を作成する管理パネルにアクセスできます。このパネルでは、暗号化モードの選択や、ローカル・ディスクとネットワーク共有を暗号化するかどうかなど、ランサムウェア・ビルドごとにある程度のカスタマイズを行うことができます(図4) 。以下のマルウェア解析は、ファイルMD5: 1a700f845849e573ab3148daef1a3b0bに基づいています。より最近解析されたDARKSIDEサンプルには、以下の大きな違いがあります。
- C2サーバーへのビーコン・オプションが無効になり、C2サーバーが含まれていた構成エントリが削除されました。
- マルウェアがサービスとして自分自身を作成して起動する持続的メカニズムが含まれていました。
- ローカル・ユーザーとしてログオンを試みるために使用された、ハードコードされた被害者の認証情報のセットが含まれていました。盗まれた情報に基づいて取得されたユーザー・トークンが管理トークンで、ドメイン管理者グループの一部である場合、ネットワーク列挙とファイル権限アクセスに使用されます。
図4:管理パネルに表示されるDARKSIDEビルド設定オプション
ホストベースのインジケーター
持続的メカニズム
初期バーションのマルウェアには持続的メカニズムが含まれていませんでした。攻撃者が持続性を求める場合は、外部ツールまたはインストーラーが必要でした。2021年5月に観測されたDARKSIDEバージョンは、マルウェアが自身を作成し起動する持続的メカニズムを、8つの疑似乱数的に定義された小文字16進数 (例:.e98fc8f7) を使って名前を付けたサービス名と詳細を持つサービスとして実装されています。これらは、マルウェアによって作成された他のさまざまな痕跡にも付加されます。この文字列は<ransom_ext>として参照されます。
Service Name: <ransom_ext>
Description: <ransom_ext>
ファイルシステム痕跡
作成ファイル
%CD%\LOG<ransom_ext>.TXT
README<ransom_ext>.TXT
<original_filename_plus_ext><ransom_ext>
May version: %PROGRAMDATA%\<ransom_ext>.ico
レジストリ痕跡
5月に観察されたDARKSIDEバージョンは、以下のレジストリキーを設定します。
HKCR\<ransom_ext>\DefaultIcon\<ransom_ext>\DefaultIcon=%PROGRAMDATA%\<ransom_ext>.ico
詳細
構成
マルウェアは、文字列と設定データの復号化に使用される0x100バイトのキー・ストリームを初期化します。文字列は必要に応じて復号化され、使用後はNULLバイトで上書きされます。マルウェアの設定サイズは0xBE9バイトです。復号化された構成の一部を図5に示します。
| 00000000 01 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000040 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000050 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000060 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000070 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000080 95 AA A8 7C 2B 6A D5 12 0E 73 B3 7D BD 16 25 62 •ª¨|+jÕ..s³}½.%b 00000090 A4 A8 BF 19 73 F7 E0 BC DF 02 A8 94 32 CF 0C C0 ¤¨¿.s÷à¼ß.¨"2Ï.À 000000A0 C5 83 0F 14 66 02 87 EE FD 29 96 DF 02 05 C1 12 Ń..f.‡îý)–ß..Á. 000000B0 3E 43 A7 59 E1 F0 C4 5D AE E1 20 2E 77 D9 CA 3C >C§YáðÄ]®á .wÙÊ< 000000C0 AD C6 BC 84 75 1C E7 0B F0 30 2A 51 13 7A B2 66 .Ƽ„u.ç.ð0*Q.z²f 000000D0 44 73 79 E1 E4 69 C3 CA 1B C1 76 63 65 95 EA CA DsyáäiÃÊ.Ávce•êÊ 000000E0 F6 10 68 0D CE 36 61 F9 57 B9 19 50 31 D4 E1 70 ö.h.Î6aùW¹.P1Ôáp 000000F0 EC 7B 33 1E 4F 17 E1 80 1D BC CF 8C D8 C5 66 41 ì{3.O.á€.¼ÏŒØÅfA 00000100 E5 0A 00 00 02 6E 01 02 15 03 43 01 8E 24 0E 72 å....n....C.Ž$.r <cut> |
図5:部分的に復号化された構成
サンプルの0x80バイトRSA公開鍵blobはオフセット0x80から始まります。オフセット0x100のDWORD値は64倍され、結果と同等量のメモリが割り当てられます。オフセット0x104から始まる残りのバイトは、PLibで解凍されて割り当てられたバッファに格納されます。解凍されたバイトには、ランサム・ノートと、次のように記述されたマルウェア構成のその他の要素(例:終了プロセス、無視するファイル)が含まれます。解凍された構成の最初の0x60バイトを図6に示します。
| 00000000 02 01 01 01 00 01 01 00 01 01 01 01 01 01 01 01 ................ 00000010 01 01 01 01 01 01 24 00 72 00 65 00 63 00 79 00 ......$.r.e.c.y. 00000020 63 00 6C 00 65 00 2E 00 62 00 69 00 6E 00 00 00 c.l.e...b.i.n... 00000030 63 00 6F 00 6E 00 66 00 69 00 67 00 2E 00 6D 00 c.o.n.f.i.g...m. 00000040 73 00 69 00 00 00 24 00 77 00 69 00 6E 00 64 00 s.i...$.w.i.n.d. 00000050 6F 00 77 00 73 00 2E 00 7E 00 62 00 74 00 00 00 o.w.s...~.b.t... <cut> |
図6:部分的に解凍された構成
図6の最初のバイトは、暗号化モードを示しています。このサンプルは、FASTモードを使用して暗号化するように設定されています。サポートされる値は、次のとおりです。
- 1: FULL
- 2: FAST
- Other values: AUTO
図6のオフセット0x02からオフセット0x15までの個々のバイトは、マルウェアの行動を指示するBoolean値です。マルウェアは、これらの値に基づいて表2に示すアクションを実行します。また、表2に、現在のサンプルで有効または無効になっている機能を示します。
オフセット |
有効/無効 |
説明 |
0x01 |
有 |
不明 |
0x02 |
有 |
ローカルディスクの暗号化 |
0x03 |
有 |
ネットワーク共有の暗号化 |
0x04 |
無 |
言語チェック実施 |
0x05 |
有 |
ボリューム・シャドウ・コピーの削除 |
0x06 |
有 |
ごみ箱を空にする |
0x07 |
無 |
セルフ削除 |
0x08 |
有 |
必要に応じてUACバイパスを実行 |
0x09 |
有 |
トークン権限の調整 |
0x0A |
有 |
ロギング |
0x0B |
有 |
機能は使用されず、次の文字列を復号化
|
0x0C |
有 |
特定のフォルダを無視 |
0x0D |
有 |
特定のフォルダを無視 |
0x0E |
有 |
特定のファイル拡張子を無視 |
0x0F |
有 |
使用されていない機能。以下の文字列に関連 |
0x10 |
有 |
使用されていない機能。以下の文字列に関連 |
0x11 |
有 |
プロセスの終了 |
0x12 |
有 |
サービスの停止 |
0x13 |
有 |
使用されない機能。繰り返される文字列"blah"を含むバッファに関連 |
0x14 |
有 |
ランサム・ノートのドロップ |
0x15 |
有 |
ミューテックス生成 |
表2:構成ビット
UACバイパス
マルウェアに昇格された権限がない場合、オペレーティング・システム(OS)のバージョンに基づいて、2つのユーザー・アカウント制御(UAC)のいずれかのバイパスを実行しようとします。OSがWindows10より古い場合、マルウェアはドキュメント化されたslui.exeファイル・ハンドラー・ハイジャック技術を使用します。これには、レジストリ値HKCU\Software\Classes\exe file\shell\open\command\Defaultをマルウェアパスに設定し、-Verb runasを使用して slui.exeを実行します。
OSバージョンがWindows10以降の場合、マルウェアはCMSTPLUA COMインターフェイスを使用するUACバイパスを試みます。この技術の実行には、図7に示す復号化された文字列が使用されます。
Elevation:Administrator!new: |
図7:復号化されたUACバイパス文字列
暗号化設定
マルウェアは、システム上のMACアドレスに基づいて疑似乱数ファイル拡張子を生成します。2021年5月に観測されたDARKSIDEバージョンでは、MACアドレスではなくシードとしてMachineGuidレジストリ値を使用してファイル拡張子が生成されました。ファイル拡張子は、8つの小文字の16進文字(.e98fc8f7など)で構成され、<ransom_ext>と呼ばれます。ファイル拡張子生成アルゴリズムがPythonで再作成されました。ロギングが有効な場合、マルウェアは現在のディレクトリ内にログ・ファイルLOG<ransom_ext>.TXTを作成します。
マルウェアはコマンド・ライン引数"-path"をサポートしています。これにより、攻撃者は暗号化の対象となるディレクトリを指定できます。
このレポートで分析されたサンプルは、システム言語チェックを実行するように設定されていません。この機能が有効でチェックが成功した場合、「This is a Russian-Speaking System,Exit」という文字列がログ・ファイルに書き込まれ、マルウェアが終了します。
アンチ回復技術
マルウェアは、システム上のごみ箱を検索して空にします。プロセスがWOW64で実行されている場合は、CreateProcessを使用して図8のPowerShellコマンドを実行し、ボリューム・シャドウ・コピーを削除します。
powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F7763 |
図8:エンコードされたPowerShellコマンド
図4のデコードされたコマンドは、”Get-WmiObject Win32_Shadowcopy|ForEach-Object{$_.Delete();}.” です。マルウェアがWOW64で実行されていない場合、COMオブジェクトとWMIコマンドを使用してボリューム・シャドウ・コピーを削除します。図9の復号化された文字列は、このプロセスを容易にするために使用されます。
root/cimv2 |
図9:シャドウ・コピーの削除に関連する復号化された文字列
システム操作
図10にリストされている文字列のいずれかを含むサービスの名前はすべて停止され、削除されます。
vss |
図10:サービス関連の文字列
2021年5月に観測されたバージョンは、図11にリストされた文字列を含むサービスを停止および削除するように追加で設定されています。
GxVss |
図11:5月バージョンの追加のサービス関連文字列
図12にリストされている文字列のいずれかを含むプロセス名は終了します。
sql |
図12にリストされている文字列のいずれかを含むプロセス名は終了します。
ファイル暗号化
マルウェアは、その設定に基づいて、固定ディスクとリムーバブル・ディスク、およびネットワーク共有をターゲットにします。プロセスによっては、関連付けられたファイルが正常に暗号化されるように終了する場合があります。ただし、マルウェアは図13に示すプロセスを終了しません。
vmcompute.exe |
図13:終了対象外のプロセス
マルウェアは、図14にリストされている文字列を使用して、暗号化プロセス中に特定のディレクトリを無視します。
windows |
図14:ディレクトリを無視するために使用される文字列
図15にリストされているファイルは無視されます。
$recycle.bin |
図15:無視されるファイル
2021年5月に観測されたバージョンは、図16にリストされたファイルを無視するように追加で設定されています。
autorun.inf |
図16:追加の無視されるファイル(5月版)
追加のファイルは、図17にリストされている拡張子に基づいて無視されます。
.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .icl, .icns, .ico, .ics, .idx, .ldf, .lnk, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx, .lock, .key, .hta, .msi, .pdb |
図17:無視されるファイル拡張子
追加のファイルは、図17にリストされている拡張子に基づいて無視されます。
ランサム・ノート
このマルウェアは、図18に示すランサム・ノートを、通過したディレクトリに書かれたREADME<ransom_ext>.TXTファイルに書き込みます。
----------- [ Welcome to Dark ] -------------> What happend? Data leak Example of data: Your personal leak page: http://darksidedxcftmqa.onion/blog/article/id/6/<REDACTED> We are ready: What guarantees? How to get access on website? When you open our website, put the following data in the input form: !!! DANGER !!! |
図18:ランサム・ノート
復号文字列
Global\XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX |
図19:復号化された文字列
付録B:検知とハンティングのインジケーター
Yara検知
以下のYARAルールは、適切なパフォーマンスを確保し、誤検出のリスクを制限するために、組織独自の内部テスト・プロセスを通じて最初に検証されることなく、生産システムで使用したり、ブロック・ルールに通知したりすることを目的とはしていません。これらのルールは、関連する活動を特定するためのハンティングの出発点として機能することを目的としていますが、マルウェア・ファミリーが変更された場合は、経時的な修正が必要になることがあります。
| rule Ransomware_Win_DARKSIDE_v1__1 { meta: author = “FireEye” date_created = “2021-03-22” description = “Detection for early versions of DARKSIDE ransomware samples based on the encryption mode configuration values.” md5 = “1a700f845849e573ab3148daef1a3b0b” strings: $consts = { 80 3D [4] 01 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] 00 00 04 00 [1-10] 00 00 00 00 [1-30] 80 3D [4] 02 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] FF FF FF FF [1-10] FF FF FF FF [1-30] 03 00 00 00 [1-10] 03 00 00 00 } condition: (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and $consts } |
図21:DARKSIDE Dropper YARAルール
| rule Dropper_Win_Darkside_1 { meta: author = "FireEye" date_created = "2021-05-11" description = "Detection for on the binary that was used as the dropper leading to DARKSIDE." strings: $CommonDLLs1 = "KERNEL32.dll" fullword $CommonDLLs2 = "USER32.dll" fullword $CommonDLLs3 = "ADVAPI32.dll" fullword $CommonDLLs4 = "ole32.dll" fullword $KeyString1 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 57 69 6E 64 6F 77 73 2E 43 6F 6D 6D 6F 6E 2D 43 6F 6E 74 72 6F 6C 73 22 20 76 65 72 73 69 6F 6E 3D 22 36 2E 30 2E 30 2E 30 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 36 35 39 35 62 36 34 31 34 34 63 63 66 31 64 66 22 } $KeyString2 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 56 43 39 30 2E 4D 46 43 22 20 76 65 72 73 69 6F 6E 3D 22 39 2E 30 2E 32 31 30 32 32 2E 38 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 31 66 63 38 62 33 62 39 61 31 65 31 38 65 33 62 22 } $Slashes = { 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C } condition: filesize < 2MB and filesize > 500KB and uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and (all of ($CommonDLLs*)) and (all of ($KeyString*)) and $Slashes } |
図21:DARKSIDE Dropper YARAルール
| rule Backdoor_Win_C3_1 { meta: author = “FireEye” date_created = "2021-05-11" description = "Detection to identify the Custom Command and Control (C3) binaries." md5 = "7cdac4b82a7573ae825e5edb48f80be5" strings: $dropboxAPI = "Dropbox-API-Arg" $knownDLLs1 = "WINHTTP.dll" fullword $knownDLLs2 = "SHLWAPI.dll" fullword $knownDLLs3 = "NETAPI32.dll" fullword $knownDLLs4 = "ODBC32.dll" fullword $tokenString1 = { 5B 78 5D 20 65 72 72 6F 72 20 73 65 74 74 69 6E 67 20 74 6F 6B 65 6E } $tokenString2 = { 5B 78 5D 20 65 72 72 6F 72 20 63 72 65 61 74 69 6E 67 20 54 6F 6B 65 6E } $tokenString3 = { 5B 78 5D 20 65 72 72 6F 72 20 64 75 70 6C 69 63 61 74 69 6E 67 20 74 6F 6B 65 6E } condition: filesize < 5MB and uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and (((all of ($knownDLLs*)) and ($dropboxAPI or (1 of ($tokenString*)))) or (all of ($tokenString*))) |
図22:カスタム・コマンドとコントロール(C3)YARAルール
技術検知
FireEye製品は、攻撃ライフサイクルのさまざまな段階でこの活動を検知します。次の表には、これらの侵入で検出されたマルウェアや手法を特定して防止するための具体的な検知が含まれています。簡潔にするため、このリストには、FireEyeがこのキャンペーン、または広範な侵入オペレーションで観測した、BEACON、BloodHound/SharpHound、および他の一般的なツールやマルウェアに関する検知は含まれていません。
プラットフォーム |
シグネチャ名称 |
Network Security |
|
Endpoint Security |
Real-Time (IOC)
Malware Protection(AV/MG)
UAC Protect
|
Helix |
|
関連インジケーター
UNC2628
インジケーター |
説明 |
104.193.252[.]197:443 |
BEACON C2 |
162.244.81[.]253:443 |
BEACON C2 |
185.180.197[.]86:443 |
BEACON C2 |
athaliaoriginals[.]com |
BEACON C2 |
lagrom[.]com |
BEACON C2 |
ctxinit.azureedge[.]net |
BEACON C2 |
45.77.64[.]111 |
Login Source |
181ab725468cc1a8f28883a95034e17d |
BEACON Sample |
UNC2659
インジケーター |
説明 |
173.234.155[.]208 |
Login Source |
UNC2465
インジケーター |
説明 |
81.91.177[.]54 :7234 |
Remote Access |
koliz[.]xyz |
File Hosting |
los-web[.]xyz |
EMPIRE C2 |
sol-doc[.]xyz |
Malicious Infrastructure |
hxxp://sol-doc[.]xyz/sol/ID-482875588 |
Downloader URL |
6c9cda97d945ffb1b63fd6aabcb6e1a8 |
Downloader LNK |
7c8553c74c135d6e91736291c8558ea8 |
VBS Launcher |
27dc9d3bcffc80ff8f1776f39db5f0a4 |
Ngrok Utility |
DARKSIDEランサムウェア暗号化装置
DARKSIDE サンプル MD5 |
04fde4340cc79cd9e61340d4c1e8ddfb |
0e178c4808213ce50c2540468ce409d3 |
0ed51a595631e9b4d60896ab5573332f |
130220f4457b9795094a21482d5f104b |
1a700f845849e573ab3148daef1a3b0b |
1c33dc87c6fdb80725d732a5323341f9 |
222792d2e75782516d653d5cccfcf33b |
29bcd459f5ddeeefad26fc098304e786 |
3fd9b0117a0e79191859630148dcdc6d |
47a4420ad26f60bb6bba5645326fa963 |
4d419dc50e3e4824c096f298e0fa885a |
5ff75d33080bb97a8e6b54875c221777 |
66ddb290df3d510a6001365c3a694de2 |
68ada5f6aa8e3c3969061e905ceb204c |
69ec3d1368adbe75f3766fc88bc64afc |
6a7fdab1c7f6c5a5482749be5c4bf1a4 |
84c1567969b86089cc33dccf41562bcd |
885fc8fb590b899c1db7b42fe83dddc3 |
91e2807955c5004f13006ff795cb803c |
9d418ecc0f3bf45029263b0944236884 |
9e779da82d86bcd4cc43ab29f929f73f |
a3d964aaf642d626474f02ba3ae4f49b |
b0fd45162c2219e14bdccab76f33946e |
b278d7ec3681df16a541cf9e34d3b70a |
b9d04060842f71d1a8f3444316dc1843 |
c2764be55336f83a59aa0f63a0b36732 |
c4f1a1b73e4af0fbb63af8ee89a5a7fe |
c81dae5c67fb72a2c2f24b178aea50b7 |
c830512579b0e08f40bc1791fc10c582 |
cfcfb68901ffe513e9f0d76b17d02f96 |
d6634959e4f9b42dfc02b270324fa6d9 |
e44450150e8683a0addd5c686cd4d202 |
f75ba194742c978239da2892061ba1b4 |
f87a2e1c3d148a67eaeb696b1ab69133 |
f913d43ba0a9f921b1376b26cd30fa34 |
f9fc1a1a95d5723c140c2a8effc93722 |
本ブログは、米FireEyeが公開した May 11, 2021 「Shining a Light on DARKSIDE Ransomware Operations」(英語)の日本語抄訳版です。
日本語版:Reviewed by Noriko Yokokawa
