MBSD® MBSD®

暗号化したファイルを悪用して脅迫文を表示するAstro Locker

はじめに

先日Contiランサムウェアに関するかなりボリュームの多い記事を出したばかりでもあるので、それと比べて今回は非常に簡易的な記事で恐縮ではありますが、比較的新しい「アストロチーム」(以降、Astro Locker Teamと記載) という攻撃グループが用いるランサムウェアであるAstro Lockerの挙動について簡単に触れておきましょう。

Astro Locker TeamはMount Lockerというランサムウェアを用いる旧来の攻撃グループと繋がりがあり、新しいブランドイメージに一新する目的等で新たに作成されたランサムウェア攻撃グループのブランドであるという見解が一部で見られています。最近のランサムウェアと同じく、ファイルを暗号化して身代金を要求し、応じない場合はあらかじめ盗み取っておいたデータをリークサイトで公開すると脅す2重脅迫の手口で使用されるランサムウェアです。

Astro LockerとMount Lockerのランサムウェアは挙動が類似しており、旧来のMount Lockerの攻撃においては侵害された資格情報によるRDPへの不正アクセスによりターゲット環境へ侵入する手口などが過去に確認されています。

なお、Astro Locker Teamでは攻撃した被害企業に対し、以下のようなメールを送り付け攻撃した事実に気づかせようとする手口も確認されています。

astro-locker_fig001.png図 1 Astro Locker Teamが被害組織に送信したメールの例

上記のメール本文の簡易翻訳は以下です。

我々はあなたのネットワークに侵入し、1ヶ月以上にわたってコントロールし、あなたのドキュメントを調べ、機密情報をダウンロードし、あなたのコンピュータを暗号化しました。
さもなければ、あなたの機密情報は、私たちのニュースサイトやパートナーのウェブサイトに掲載された後、公開されてしまいます。
********.onionにTorブラウザ経由でアクセスし、すべてのコンピュータのReadManualファイルに掲載されているクライアントIDを入力して、安全な交渉を開始してください。パスワードは最初から必要ありませんので、空欄にしておいてください。チャットは完全に安全でセキュアです。パスワードを設定することで、公開された交渉を保護できます。
万が一、72時間以内にご連絡いただけない場合は、お客様の情報を特別なサイトで公開させていただきます。
良い一日をお過ごしください。

上記のメール本文に72時間の猶予について記載されていますが、実際に攻撃を表明してから3日程経過した後に、リークサイトで公開が始まるケースが確認されています。

以降では、Astro Lockerの挙動について簡易的に概要を記載していきます。

ファイル構造

Astro Lockerは64bitで開発されたDLLの形式で存在することが確認されており、攻撃者の手動操作によりRundll32の引数として渡されることで実行されます。ファイルの構造としても特に凝ったことはしておらず一般的な構成となっています(下図)。

astro-locker_fig002.png図 2 Astro Lockerのファイル構造

暗号化の前処理

Astro Lockerは、実行時に以下のコマンドライン引数を任意で使用できるように開発されています。これらを見ると手動での操作に特化したコマンドライン引数が多く含まれていることがわかります。つまり攻撃者がランサムウェアを暗号化のための手動ツールという側面で捉えていることが伺い知れます。

astro-locker_fig003.png図 3 コマンドライン引数

Astro Lockerは実行されると、多重感染防止のためにミューテックスを作成します。ミューテックス文字列は、端末のボリュームシリアル番号を基にして生成します。ミューテックスが既に存在する場合、Astro Lockerは何も行わずに動作を終了します。

astro-locker_fig004.png図 4 Astro Lockerが作成するミューテックス

また、Astro Lockerには常にカレントフォルダに実行ログを作成する挙動があります。つまり攻撃者がライブ(実況)で手動実行し暗号化状況を随時チェックする前提である作りであることがここからもわかります。

astro-locker_fig005.png図 5 作成された実行ログファイル

astro-locker_fig006.png図 6 Astro Lockerの実行ログの中身

実行されたAstro Lockerは以下のプロセスおよびサービスを強制終了します。
これらには主にデータベースのアプリケーションが多く含まれています。


astro-locker_fig007.jpg図 7 強制終了リスト1

astro-locker_fig008.png図 8 強制終了リスト2

ファイル暗号化

暗号化処理では以下のファイルを対象から除外します。
これらは脅迫文章とシステムの起動に重要なファイルが該当します。

astro-locker_fig009.png図 9 暗号化の除外ファイル

加えて、以下のフォルダおよび拡張子についてもファイルの暗号化から除外します。これらはシステムの動作に必要なファイルが含まれるフォルダや、攻撃者とのコンタクトに必要なブラウザのフォルダなどが該当します。

astro-locker_fig010.png図 10 暗号化の除外フォルダおよび除外拡張子

その後、ファイルの暗号化の処理に入りますが、ファイルの暗号化にはオープンソースのChaCha20が使用されています。

astro-locker_fig011.png図 11 Astro Lockerの内部で確認されるChaCha20の文字列

ChaCha暗号にはラウンドと呼ばれる処理の回数により複数の方式が存在しますが、以下の通り20ラウンドの暗号化処理が確認できます。

astro-locker_fig012.png図 12 暗号化鍵の暗号化に使用される公開鍵

ChaCha20に使用するChaCha暗号鍵はランダムに生成し、Astro Lockerの内部に埋め込まれたRSA公開鍵を使用して暗号化した上、暗号化したファイルの末尾に付加します。

astro-locker_fig013.jpg図 13 暗号化鍵の暗号化に使用される公開鍵


なお、Contiランサムウェアなどと異なり、ランダムに生成された暗号化鍵はファイルごとではなく全てのファイルで共通したものを使用します。そのため、メモリから抽出できた場合は復号するための暗号鍵を得られる可能性も残りますが、後述の通り暗号化が完了するとランサムウェアのプロセスが終了するため、一般的な被害状況下ではメモリからの暗号鍵の抽出はほぼ不可能と言えます。

脅迫文の提示

Astro Lockerに特徴的な挙動として、暗号化済みファイルに付けるランダムな拡張子を、レジストリ設定によって脅迫文(HTMLファイル)に関連付けます。
この挙動により、暗号化済みファイルをユーザーがダブルクリックすると、脅迫文(HTMLファイル)が常に開くようになります。

簡単な仕組みではありますが、被害ユーザーに脅迫文を提示する効果的な手法と言えるでしょう。

astro-locker_fig014.png図 14 レジストリを設定する挙動

以下はAstro Lockerにより作成されたレジストリキーですが、「.61D0A30C」という拡張子(Astro Lockerが暗号化したファイルにつけるランダムな拡張子)を持つファイルがダブルクリックされた場合、Explorer.exeにより「RecoveryManual.html」を開くように設定されていることがわかります。

astro-locker_fig015.png図 15 作成されたレジストリ設定

これにより、以下のように暗号化された全てのファイルのアイコンがエクスプローラのアイコンに変化します。こうした状況があれば、被害ユーザーがこれらのファイルをまずはダブルクリックで開こうとすることは想像に難くありません。
(以下の画像は検証用に用意したサンプルファイルとなります)

astro-locker_fig016.png図 16 暗号化されたファイルの様子

ユーザーがいずれかの暗号化済みファイルをダブルクリックなどで開くと、以下のような脅迫文が表示されます。

astro-locker_fig017.png図 17 Astro Lockerの脅迫文

上記脅迫文の簡易翻訳は以下です。

あなたのClientIdは****です。
あなたのネットワークはハッキングされました。
あなたの重要なファイルはすべて暗号化されています。ファイルは暗号化されているだけで安全です!
サードパーティ製ソフトウェアでファイルを復元しようとするとファイルは永久に破壊されます。暗号化されたファイルを変更しないでください。暗号化されたファイルの名前を変更しないでください。
インターネットで入手可能ないかなるソフトウェアもあなたを助けることはできません。私たちはあなたの問題を解決できる唯一の存在であり、問題を解決することができます。

2〜3個のファイルを送っていただければ、無料で復号します。私たちがあなたのファイルを元に戻すことができることを証明しましょう。
また、お客様のネットワークから機密性の高い個人情報を収集しました。これらのデータは、現在、プライベートサーバーに保存されています。このサーバーは、あなたの支払い後、直ちに消去されます。
もしお客様がお支払いいただけない場合は、お客様のデータを一般市民やリセラーに公開します。したがって、近い将来、あなたのデータが公開されたり、不適切に使用されたりすることが想定されます。この場合、お客様は漏洩によるすべての法的および評判上の影響を受けることになります。
私たちは身代金を得ることだけを目的としており、お客様の評判を落としたり、ビジネスを破壊することは目的としていません。

次のステップについては、当社にご相談ください。

http://*******
* このサーバーは、Torブラウザのみで利用可能であることに注意してください

指示に従ってリンクを開いてください。
1. インターネットブラウザにアドレス「https://www.torproject.org」を入力する。Torのサイトが開きます。
2. 「Download Tor」をクリックし、「Download Tor Browser Bundle」をクリックしてインストールし、実行してください。
3. Torブラウザで以下を開いてください。
"http://********** ".
4.チャットを開始し、その後の指示に従ってください。

ご注意:サポートが離席している場合がありますが、すぐに返信いたします。お手数ですが、できるだけ早くご連絡ください。

終了処理

Astro Lockerは全ての暗号化が終了すると、一時フォルダ(%temp%)に自身を削除する自殺バッチを作成し、自身(Astro Locker)のプログラムファイルを削除して終了します。

astro-locker_fig018.png図 18 自身を削除するバッチを作成する処理

astro-locker_fig019.png図 19 作成された自身を削除するバッチ

リークサイト

Astro Locker Teamは冒頭で述べたとおり二重の脅迫を行うため、予め盗み取っておいたデータを公開する専用のリークサイトをダークウェブ上に用意しています。

astro-locker_fig020.jpg図 20 Astro Locker Teamのリークサイト

まとめ

暗号化したファイルをエクスプローラーのアイコンに見せかけた上、脅迫文に紐付けることで、確実に脅迫文を提示しようとする挙動は多少斬新ではありますが、ランサムウェアの構造や挙動としては非常に単純で、先日解説したContiランサムウェアなどとは大きく異なり、あまり洗練されていない開発者像が垣間見えます。ただし、ランサムウェアの作りと侵入に際した攻撃者のテクニックは異なる可能性が高く、そうした観点では他のランサムウェアと変わらぬ脅威と言えるでしょう。

ハッシュ値:
2c44444d207a78da7477ae1af195d4265134e895bebb476f7b2c003f1467a033

コンサルティングサービス事業本部
サイバーインテリジェンスグループ

吉川孝志, 菅原圭

シェアする ツイートする