MBSD Blog (吉川 孝志, Takashi Yoshikawa)

2020.06.16, 2020.06.23

• SNAKE(EKANS)ランサムウェアの内部構造を紐解く

ここ数日ホンダがサイバー攻撃を受けたというニュースが世界各国で報じられています。
本記事では、一部で関連性が指摘されているVirusTotalにアップロードされたSNAKEランサムウェアの検体(※)について解析を行い、現時点までに判明した内容を簡単ですが共有します。海外ではすでにいくらか情報は出ているものの、日本語での解析記事はあまりないと思われるため何かの参考になれば幸いです。

• Understanding internal structure of the SNAKE(EKANS) ransomware

The news has been running around the world that Honda has been suffered by cyber attacks in the past few days.
In this article, we analyze the sample of SNAKE ransomware that was uploaded to VirusTotal, and would like to share the information we found through our analysis. Although some information has already been published outside Japan, it seems that there are little information available in Japanese, so I would appreciate it if you could use it as a reference.

2020.04.03

• 新型コロナに便乗するCoronaVirusランサムウェアとKpot情報窃取マルウェア

新型コロナウイルスの世界的拡大が止まらない中、マルウェアの世界にもそれに便乗する様々な脅威が早い段階から出現しています。 今回は新型コロナに便乗するそれらマルウェアの一つであるCoronaVirusランサムウェアの事例を取り上げて解説します。 様々な認証情報を盗み取るKpotと呼ばれるマルウェアに感染させた後でランサムウェアに感染させる流れから、証拠隠滅の目的が推測されます。 KpotはVPNやRDPを含むPCの中の認証情報を盗むため、新型コロナウイルスの拡大に合わせてリモートワークや在宅が急増する中、 そうした認証情報を窃取されることは非常に大きな脅威となります。 本記事ではCoronaVirusランサムウェアを中心にKpotを含めた脅威の全体像とその詳細を解説していきます。

2020.02.18

• 情報窃取マルウェア「Ryuk Stealer」の内部構造を紐解く

前回の記事ではEmotetの先に見え隠れする「Ryuk」というランサムウェアについて述べましたが、今回はそのランサムウェア「Ryuk」に関連している可能性のある「Ryuk Stealer」というマルウェアに焦点を当てます。
Ryuk Stealerは、感染端末の中にある重要なファイルを収集/窃取するマルウェアであり、Ryukに関連した特徴を持つことから、ランサムウェア「Ryuk」と何らかの繋がりがあるとされています。
現時点でRyuk StealerがRyukの攻撃で使用されたことを示す明確な証拠は確認されていませんが、調査後の結論として、このマルウェアはRyukの攻撃に合わせて開発されているマルウェアである可能性が十分高いと考えられます。

2019.12.11

• 標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く

2019年末現在、Emotetによる被害が国内で収まる気配がありませんが、昨年のブログ記事でも言及したように、Emotetはメール情報を窃取するだけでなく、他のマルウェアを呼び寄せるダウンローダーの性質を持つことが特徴の一つです。海外ではすでに以前よりEmotetからTrickBot等、他のマルウェアがダウンロードされているケースが報告されていますが、最近になり、Emotetから最終的に「Ryuk」という標的型攻撃ランサムウェアの感染に繋がるという事例が海外で複数確認されています。つまり、場合によっては日本国内でもいずれRyukの感染被害が明るみに出てくる可能性が今後想定出来なくはありません。

2019.11.13

• 標的型攻撃ランサムウェア「MegaCortex」の内部構造を紐解く

MegaCortexは2019年５月に発見された比較的新しい標的型攻撃ランサムウェアであり、一部ではEmotet、Qakbot(Qbot)に感染した端末からMegaCortexの感染がみられるケースもあると報告されています。最近再び活発になっているEmotetは元々ダウンローダーの性質もあるため、Emotetの感染後にMegaCortexなどのランサムウェアがダウンロードされ多重感染する可能性は十分有り得ます。また、最近のMegaCortex感染事例ではハッキングで侵入した攻撃者のPsExecを用いたリモート実行による感染とみられるケースもあるようです。

2019.08.27

• LockerGogaの内部構造を紐解く

LockerGogaは比較的新しいランサムウェアですが、世界では限定的ないくつかの大企業に対する標的型攻撃で使用され、一回限りの攻撃のために毎回カスタマイズされていると考えられており、攻撃の数に合わせて複数の亜種が確認されています。
LockerGogaが大きく注目を集めることになったのは、2019年初頭のフランスの事件が始まりですが、その事件に関与しているとされる検体はルーマニアからVirusTotalにアップロードされていました。それと関連するLockerGogaの興味深い話として、ランサムウェアの名前の「Goga」がルーマニア人における姓として使われているケースがあることや、この検体の最初のアップロード国も加味すると、「LockerGoga」というランサムウェア自体がルーマニアに由来するものであるとみる見解も一部あるようです。

2018.12.25

• 流行マルウェア「EMOTET」の内部構造を紐解く

EMOTETというマルウェアは2014年にはじめて確認されて以来、様々な変化を遂げてきました。当初はオンライン銀行の認証情報窃取を主な目的としたオンラインバンキングマルウェアとして認知されていましたが、その後、様々な変更が加えられ、現在においては2014年出現当時とは全く異なる挙動や目的を持ったマルウェアとなっています。
2018年末現在、EMOTETは世界中で積極的に拡散され被害拡大が懸念されており、日本国内も例外ではなく、様々な企業へEMOTETの感染を狙った不正メールが届いている状況にあります。

2018.09.14

• 隠された（見えない）デスクトップに潜む脅威とその仕組み

普段我々がWindows PCを操作するときに必ず目にする領域、いわゆる、ファイルやフォルダのアイコンが並んでいる「デスクトップ」という領域があります。実はそのデスクトップの裏側に、通常では見ることのできない「隠されたデスクトップ」が存在し悪用されている可能性があります。本記事では、その脅威と仕組みを掘り下げて解説します。

2018.06.07

• オンラインバンキングマルウェア「DreamBot(Ursnif/Gozi)」の今

今年もはや6月になりましたが、年始から毎月絶えず、警視庁・警察庁からマルウェア添付不審メールに対する注意喚起がSNSなどを通して日々行われています。
今回我々は、それら注意喚起されている不審メールのうち、今年4月から5月中頃に全国的に広く配布された不審メールを一つ選定し、今一度どのような感染が行われるのか調査しました。
調査対象とした不審メールを経由してユーザーが最終的に感染するのは「DreamBot（Ursnif/Gozi）」(ドリームボットまたはアースニフ／本記事では以降DreamBotで統一記載)と呼ばれるマルウェアであり、長年オンラインバンキングに関する認証情報を狙ったマルウェアとしてその名を轟かせてきたメジャーなマルウェアの一つです。

2018.02.15

• Olympic Destroyerの内部構造を紐解く

2月8日から韓国で開催されている平昌オリンピックが日々世間を賑わせているさなか、平昌オリンピックを狙ったサイバー攻撃に関する情報が水面下で流れています。
2月9日頃から平昌オリンピック組織委員会の内部でシステムトラブルが発生していた問題で、2月11日になり平昌オリンピック組織委員会から一連の障害はサイバー攻撃によるものと明らかにされました。
また、CiscoのTalosはこの攻撃に用いられたとみられるマルウェア「Olympic Destroyer」（オリンピック・デストロイヤー）に関する情報を公開しました。

2017.12.14

• 不正メールで拡散される高度なテクニックを組み合わせたダウンローダーの脅威

10月中旬、弊社に一通の不審メールが送られてきました。
不審メールにはWordファイルが添付されており、簡易調査の結果、世界的な規模でメール拡散されたものであり、最終的にランサムウェア「Locky」を感染させる不正ファイルが添付されたメールであることがわかりました。
一般的に、複数のマルウェアが組み合わされた一連の攻撃では最終的に感染する目立ったマルウェアに注目が集まりがちであり、10月に全世界で確認された今回の不正メールまたは関連する攻撃キャンペーンによるメール拡散と思われるケースにおいても、最終的にダウンロードされる「Locky」と呼ばれるランサムウェアのみに注目する記事が多く確認されました。

2017.11.02

• Bad Rabbit のワーム活動における脆弱性利用について

Bad Rabbit の横展開に関わるワーム活動において、セキュリティベンダー各社とも当初は脆弱性を利用しないものと想定していましたが、10/26になりTalos(Cisco)からEternalRomanceを利用しているという情報（※１）が発信されました。
我々は、実際の挙動として脆弱性が利用されていることを確認する為、十分強固なユーザー名及びパスワードの設定、かつ、パスワードダンプツールによって盗み取られる認証情報ではログインできない環境を作成し横展開に関する実検証を行ったところ、該当環境においてもネットワークを介しBad Rabbit に感染する状況を確認しました。さらに同一環境に対しMS17-010の更新プログラムを適用した後に再度検証を実施した結果、横展開による感染が行われなくなったことも併せて確認しました。

2017.10.27

• ランサムウェア「Bad Rabbit」の内部構造を紐解く

2017年10月24日頃からウクライナやロシアを中心に「Bad Rabbit」と呼ばれている新たなMBR破壊型かつワーム型ランサムウェアの脅威が拡大しています。
結論から述べると、「Bad Rabbit」はNotPetyaのように横展開を行うワーム挙動を持ち、ファイルの暗号化の他、ディスクも暗号化対象に含むランサムウェアとなります。この、ディスクの暗号化や、認証情報／パスワードを利用して横展開するワーム活動を行う挙動を持つ点等はNotPetyaと同じであり、NotPetyaと同様の注意や対策が必要です。

2017.10.18

• 暗号化しないランサムウェア「ShinigamiLocker」と、スクリーンロッカー／偽ランサムウェアの脅威

「ランサムウェア」という言葉はWannaCryの事件以降、一般にもそれなりに広く浸透したものと思われますが、「スクリーンロッカー（Screen Locker）／偽ランサムウェア」（※）という言葉はあまり知られていないのではないでしょうか。
世の中には「ランサムウェア」と関係・類似していながら「ファイルを暗号化しない」という共通点を持つ脅威が存在します。さらに、ランサムウェアそのものであっても（攻撃者の意図は別として）「ファイルを暗号化しない」種類が存在します。

2017.10.12

• UAC回避機能を複数搭載したランサムウェア「HkCrypt」

弊社マルウェア解析チームでは日々多くのランサムウェアを収集・分析していますが、今年9月上旬に確認された「HkCrypt」と呼ばれるランサムウェアが複数のUAC回避テクニックを使用し権限昇格を実現していることを確認しました。

2017.07.11

• MBR破壊型ランサムウェアの特徴比較

 6月末にウクライナを中心とし海外で被害を拡大させた「Petya」「GoldenEye」「NotPetya」などと呼ばれるMBR破壊型ワームランサムウェアですが、攻撃発覚後しばらく経過してもこうしてランサムウェアの名前が未だに統一されないのは、複数のランサムウェアやマルウェアに類似する特徴やコードがあるものの、それらが微妙に異なっており、同種と言いきれないような状態にある点がその要因の一つと考えられます。
 弊社マルウェア解析チームでは、継続した調査を実施した結果、このMBR破壊型ワームランサムウェアにさまざまな工夫や独自性があることを確認しており、作成者像としては、近年のマルウェアやランサムウェアの有効な機能をうまく取り入れ効果的に組み合わせられる高度な技術を持った者（または組織)であると想定しています。

2017.06.30

• 話題のMBR破壊型ワームランサムウェアの内部構造を紐解く

現在、ウクライナを中心に「GoldenEye」「Petya」「PEtrwrap」と呼ばれている新たなMBR破壊型かつワーム型ランサムウェアの脅威が拡大しています。
この記事では弊社マルウェア解析チームが現時点までに調査した調査内容を掲載します。
はじめに脅威の全体像を簡潔に記載した上で、後半ではより細かい分析結果を中心に解説していきます。

2017.06.29

• WannaCry 2.0（＋亜種)におけるワーム活動の詳細と残存するDoublePulsarについて

 WannaCry 2.0の騒動が発生してから一ヶ月半程が経過しました。騒動の発生時からWannaCry 2.0が利用する「EternalBlue」および「DoublePulsar」について繰り返し報道されてきたこともあり、これら２つのキーワードはかなり認知され耳に残る単語になったのではないかと思います。
 他方で、この２つがどのように機能しWannaCry 2.0のワーム活動が構成されているか、すなわちEternalBlueとDoublePulsarの役割や境界線について、詳細な情報はありつつも断片的なものが多く、整理し終えないまま話題として収束しつつあるように感じています。
 本記事では検証と解析を通じて事実を整理するとともに、ワーム活動におけるフローに焦点を当てつつ、WannaCryによって設置されるDoublePulsarが持つリスクについて言及します。

2017.06.07

• WannaCryのキルスイッチに見えた2次攻撃者の影

弊社では、前回のブログ記事において、一連のWannaCry攻撃の中で利用されたワーム型マルウェアのリソースファイルを改変した亜種の出現可能性について注意喚起を行っていましたが、今回、それに該当する亜種を確認しました。
（WannaCryは前回のブログで言及した通り、ワーム機能とランサムウェアの機能が分離していることから、ワーム機能を持つバイナリをドロッパー①、ランサムウェアの機能を持つバイナリをドロッパー②として以降記載します）

2017.05.18

• 「WannaCry 2.0」の内部構造を紐解く

ここ連日ランサムウェア「WannaCry」が世間を騒がせています。
弊社では3月時点で「WannaCry 1.0」の検体を入手しており、ランサムウェアとしての「WannaCry」は以前からDropbox等で一般のランサムウェアと同様に拡散されていたことを把握しています。
本記事では、今回の一連の攻撃で利用された「WannaCry 2.0」を構成する複数のファイルおよびその関係性、そして「WannaCry 1.0」との比較分析により見えた「WannaCry 2.0」の特徴について解説します。

2017.04.06

• 「Cerber」分析で見えたサーバサイドポリモーフィズム

世界で多くのランサムウェアが日々出現している中、他のランサムウェアと比較すると突出して洗練されている印象を受けるのが「Cerber」と呼ばれるランサムウェアです。「Cerber」は2016年初頭に出現して以来、音声による脅迫や不正広告を介した拡散など、常に新しい技術を挑戦的に取り入れてきたことで知られています。
今回弊社が調査した最新の「Cerber」では、過去に「Gumblar(ガンブラー)」や「Downadup（ダウンアド）/Conficker（コンフィッカー）」等世界的に感染を拡大させたマルウェアなども利用していた「サーバサイドポリモーフィズム」の手法を利用していることを確認しました。

2017.03.31

• 「AngleWare」の出現とオープンソースランサムウェア「Hidden Tear」の比較検証

ランサムウェアの新種の出現はもちろんですが、亜種の出現に関しても日々絶えることはありません。ここ最近では、国外で「AngleWare」と呼ばれるランサムウェアが発見されたという情報が流れています。
 弊社のマルウェア解析チームにて「AngleWare」の検体を入手し解析を行った結果、過去にオープンソースとしてgithubに公開されたことで有名な「Hidden Tear」のコードと酷似する点が複数あることを確認しました。

2017.03.24

• 増え続けるランサムウェアへの対応 「LLTP ransomware」検証とランサムウェアの開発傾向について

 ランサムウェアの脅威は収まる気配なく、日々新たなランサムウェアが増え続けています。
 弊社では、昨年度にランサムウェアの検知および防御に関する国内初の特許を取得しており、その特許技術を搭載したランサムウェア対策専用ソフトウェア「MBSD Ransomware Defender(仮)」を現在開発しており、日々新たに出てくるランサムウェアに対応できていることを確認済みです。