セキュリティ ニュース

ランサムウェア「BadRabbit」空港、地下鉄システムを主たるターゲットに海外で猛威

Threat Intelligence Team, 2017年10月26日

NotPetyaランサムウェアコードをベースにした「BadRabbit」と名付けられた新しい暗号型ランサムウェアの拡散が発生しています。

10月24日、新型の暗号型ランサムウェア、BadRabbitの拡散が確認されました。今回、サイバー犯罪者たちは、ロシアのニュースサイトを利用してBadRabbitを拡散させました。NotPetyaランサムウェアに使われたコードを再利用しているという点はあるものの、BadRabbit自体の拡散は「WannaCry」や「NotPetya」ほどではないとみられています。しかしながら、ウクライナのインフラ省、オデッサ空港、キエフ地下鉄に加え、二つのロシアメディアグループにその感染の影響が出ているといわれています。

 

BadRabbitはいちど感染してしまうと、0.5ビットコインもしくはおよそ276米ドル(約31,000円)の身代金要求をおこないます。

アバスト脅威研究所によると、これまで15か国のユーザーが攻撃のターゲットにされたとのことです。そのほとんどがロシアで発生していて、全体の71パーセントの検知がロシア内で確認されています。次に大きな攻撃を受けたのがウクライナで、割合は14パーセント、そしてブルガリア(8パーセント)と続きます。

一方、アメリカ合衆国に加え、ポーランド、ルーマニアなど中央もしくは東ヨーロッパにおいてもBadRabbitによる影響は認められるものの、その割合はロシアにくらべるとはるかに低く、本レポートの発行時点は上述の3か国以外での脅威検知率は、それぞれ1パーセントもしくは1パーセント未満とのことです。

 

攻撃分布マップ:BadRabbitランサムウェア

 

BadRabbit_Avast_Map_25102017.png

 

 BadRabbitはどのように拡散するのか

サイバー犯罪犯罪者は、まずロシアのInterfax、Fontankaなど人気ニュースサイトへの攻撃をおこない、この新型ランサムウェアBadRabittへの感染をさせたうえで、そのサイトに訪れた人々のコンピューターに対し水飲み場型攻撃により感染を広めようとしたことがわかっています。ランサムウェアが目的とすることは、その名の通り、感染を受けたコンピューターの所有者から身代金を回収することですが、同時に感染を受けた企業、団体など組織の運営を止めてしまうこともその目的のひとつと言えます。今年発生した、「WannaCry」や「NotPetya」においてもこの点は証明されており、大企業がランサムウェアに感染をした結果、工場などの操業が一時的に停止に追いやられるという被害もありました。今回、この悪質なプログラムに感染したウェブサイトは、サイトへのビジターに対し、Adobe Flash の最新版を装ったインストーラーのダウンロードするように勧め、ダウンロードが完了するとBadRabittがビジターのパソコン内で活動を開始するという仕組みがとられています。

BadRabittがいったん端末への感染をおこなうと、次にその端末がつながっているローカルネットワーク内の別の端末に対して感染を拡大しようと試みます。BadRabittにはデフォルトで対となるIDとパスワードが仕掛けられており、これがローカルネットワーク内で水平方向に移動し感染被害を起こすことに使われます。加えて、BadRabittはその後Minikatz攻撃によって感染を受けたユーザーの端末からその他のIDとパスワードを抽出します。この手法はNotPetyaランサムウェアで使われたものと同じです。また水平方向への移動はSMBプロトコルを介しておこなわれますが、WannaCry、NotPetyaとは異なり今回エクスプロイトは使われていません。ローカルネットワーク内での拡散は、抽出されたパスワード、もしくは辞書攻撃によるログインの試みのみに依存し、あるいはオープン・ネットワーク内での試みとなります。

MinikatzはWindows に備わる様々な認証プロセスに使われるハッシュやパスワードなどを補完するLSASS(Local Security Authority Subsystem Service)を利用します。例えば、ほかの端末に保存された共有フォルダにアクセスをする際に、このLSASSが使われています。共有フォルダや、ネットワーク内のほかの端末にアクセスを行うには、ユーザー名およびパスワードが必要となりますが、LSASSがあるおかげで、ユーザーはクレデンシャル情報を共有フォルダやネットワーク内の他の端末にアクセスをするたびに入力する必要がなくなります。

BadRabittランサムウェアは、このLSASSのメモリをスキャンすることにより、クレデンシャル情報を見つけ出します。サイバー犯罪者は見つけ出したクレデンシャル情報をもとにリモートに置かれた共有フォルダやネットワーク内の端末へのアクセス権を手に入れ、身代金要求をおこなうためにデータの暗号化をおこないます。

Windows システム8.1以降では、Mimikatz攻撃を防ぐためにLSASSをプロテクトモードで起動することも可能ですが、残念ながら、このオプションはデフォルトではオンになっていません。

暗号化のプロセス

BadRabittランサムウェアは必ずしも新種とは言えません。NotPetyaに使われたいくつかのパーツコードを再利用し、その中のバグを修正することで、新たな仕様に適応させています。

BadRabittランサムウェアは、感染されたユーザー端末のハードディスクとファイルに対して暗号化をおこないます。まず各種ファイルが暗号化され、その手法にはWindows Cryptography(Crypto-API)が用いられます。同時に、ハードディスクを暗号化するソフト、DiskcyptをPCにインストール、再起動、その後ハードディスクレベルでの暗号化がおこなわれます。BadRabittランサムウェアは、正規のDiskcyptソフトを使っており、このソフト自体は3年以上も前に開発されたものです。

Diskcryptorのインストールプロセスにおいて、BadRabittランサムウェアは「cscc」と呼ばれる新サービスを作り出します。また、もしcsccの創出過程で何らかのエラーが発生した場合は、Windowsにすでに実装されている”cdfs”(CS-ROM File System)をユーザー端末のハイジャックに使います。

加えて、BadRabittランサムウェアはシステム内の各種ファイルの暗号化もおこないます。ファイルが既存のロケーション内で暗号化された場合、解読キーなしにファイルを取り戻すことは非常に難しくなりますが、時としてランサムウェアは暗号化されたファイルを新しいフォルダに書き込み、その後、元ファイルを削除するという方法を取ることもわかっています。その場合、たとえ元のファイルが削除されたとしても、端末内のどこかに元ファイルを見つけることも可能であり、その場合、ファイルの復元も可能となります。

BadRabittランサムウェアはAES-128を用いてファイルの暗号化をおこないます。これはたとえ総当たり攻撃によっても破壊できないほどの強さを持ち、感染を受けた全ファイルに同じ暗号化キーを使うこともできません。また暗号化の行われたファイルは、そのファイルプログラムの最後に “encrypted”という文字列が挿入されます。

暗号化キーの生成には、非常に高度な乱数生成器、CryptGenRandomが用いられ、33-バイトのランダムキーが使われます。このランダムキーは32文字列からなるテキストパスワードに変換され、その後MD5ハッシュに送られます。その結果、MD5ハッシにより生成された値がAES-128暗号化のキーとなり、それがファイルの暗号化キーとなるのです。

AES-128キーは、コンピューターの名前、ドメイン名、タイムゾーン、そしてランダムに生成されたソルト(Salt)値と共にまとめられた後、バイナリーにハードコーディングされたRSA公開鍵によって暗号化されます。その結果は、X:\readme.txt file(Xはシステム内任意の固定ドライブ)に“user-ID”として保存され、起動画面上に表示されることになります。

今年7月に世界を襲ったNotPetyaランサムウェアと違い、今回暗号化キーの生成は正しく行われています。これが意味するところは、BadRabittランサムウェアにより暗号化されたファイルは破損していない状態であるといえます。

これは悪者による善人への挑戦とも言える

アンチウイルスシステムによる検知を回避するため、このランサムウェアはcommand line parsers  を避けるもしくは欺くために、テレビドラマシリーズ「Game of Thrones」から名称を使った複雑なコマンドラインを使っています。例えば、C:\Windows\system32\cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "C:\Windows\system32\cmd.exe /C Start \"\" \"C:\Windows\dispci.exe\" -id 4294681185 && exit" と記述されたものは、実際にはC:\Windows\dispci.exe -id 4294681185の意味となります。

もしサイバー犯罪者が後述された実際のコマンドラインを使ったとすれば、ディスク暗号化ソフトは即座にアンチウイルスソフトに削除されていたことでしょう。

AvastAVGBadRabbit Win32:Malware-genとして削除しており、AvastAVGユーザをBadRabbitから保護しています。

BadRabbit ランサムウェアからの感染を防ぐには

BadRabbit ランサムウェアがコンピューターに感染を引き起こすことを防ぐ、いわゆるワクチンファイルとでもいえるものがあります。もしそのワクチンファイルがあればですが。もしあなたが、管理者としてシステムを運用しており、"C:\Windows\cscc.dat"というネームのファイルがあれば、マルウェアは作動しません。このファイルはテキストファイルを作成し、”:cscc.dat”とファイル名を書き換え、”C:\Windows\”に保存することを作ることができます。

もしあなたのPCがすでにBadRabbit ランサムウェアに感染してしまっていたとしたら「身代金」を支払うことはしないでください。身代金を受け取とることで、サイバー犯罪者たちの拡散行動をさらに助長する結果となってしまいます。

BadRabbit ランサムウェアのようなランサムウェアからあなたを守る方法は以下の通りです。

  • スマートフォンを含め、あらゆるデバイスにアンチウイルスソフトをインストールしてください。アンチウイルスソフトはあなたの手元のデバイスが万が一ランサムウェアに遭遇したとしても、端末を守る役割を果たします。
  • 手元のデバイスにインストールされたソフトを常に最新の状態に保ってください。アップデートをおこなうことで、ランサムウェアがソフトウェアに存在する脆弱性を狙って攻撃をしかけてくることを避けることができます。しかしながら、今回BadRabbit ランサムウェアはニュースサイトなどを使い、サイトへの訪問者に対しAdobe Flashをアップデートしろというアプローチで感染を拡大させました。この点は非常に重要になりますが、ソフトウェアのアップデートは公式の配信元からおこなう必要があることをご留意ください。
  • 常に警戒をしているということが、ランサムウェアなどの被害から自分を守ることにつながります。今回、正規のウェブサイトが感染の被害にあいましたが、一般的にはあやしいと思われるサイトは訪れない、またそのようなサイトからファイルやプログラムをダウンロードしないという点にお気を付けください。また、怪しい送信元、あるいは知らない送信元から届いたファイルやリンクはぜったいに開かないという点にもご留意ください。比較的多くの人々が、メールなどに添付されている一般的なワードやエクセルファイルには害がないと思いがちです。だからこそ、サイバー犯罪者の多くはそうしたファイルを攻撃に使います。ワードやエクセルファイルが悪意を持って送られ、ユーザーがクリックした場合、マクロを有効にするか聞かれます。ユーザーがひとたびマクロを有効にすると、添付ファイルはランサムウェアなどのマルウェアのダウンロードを開始してしまうのです。
  • 最後に、万が一の時のために、パソコンに保存されたデータのバックアップを定期的にとることをお勧めいたします。外付けのハードディスクなどのネット環境に繋がっていない場所に、ご自身の大切なデータを保管しておくことで、万が一のときのデータ喪失のリスクを大きく減らすことが可能です。

アバストでは、引き続きBadRabbit ランサムウェアに関するモニタリングと解析を続けてまいります。最新の情報がわかり次第、再びアップデートを行わせていただきます。