Endpoint Protection

 View Only

BadRabbit が登場: ロシアとウクライナを襲った新種のランサムウェア 

Oct 26, 2017 02:23 AM

2017 年 10 月 24 日、BadRabbit という新種のランサムウェア(Ransom.BadRabbit)が拡散を始めました。感染の試みが確認されているのは、大半がロシア国内ですが、BadRabbit は自己拡散する機能をもち、企業ネットワークじゅうに拡散できるため、どの企業も警戒をゆるめるわけにはいきません。

シマンテック製品をお使いのお客様は、BadRabbit による攻撃から保護されています。

BadRabbit の拡散方法

最初の感染経路は、感染した Web サイトに仕掛けられたドライブバイダウンロードです。ダウンロードが実行されるのは 1dnscontrol[dot]com というドメインですが、訪問者はおそらく、感染した他の Web サイトからリダイレクトされたものと考えられます。BadRabbit は、Adobe Flash Player のアップデートに偽装しています。

被害者のコンピュータにインストールされると、BadRabbit は SMB(サーバーメッセージブロック)を介してネットワーク上に拡散しようとします。必要な資格情報を取得するために、BadRabbit には Mimikatz(Hacktool.Mimikatz)の一種が付属しています。アクセス権を変更したり、Windows のパスワードを平文で取り出したりする機能を備えたハッキングツールです。BadRabbit は、よく使われるデフォルトの資格情報も、ハードコードされたリストとして用意しており、それを利用してパスワードの推測を試みます。

自己拡散に脆弱性を悪用しているかどうか、今のところシマンテックでもその確証は、得られていません。

被害者

BadRabbit が拡散を開始したのは、協定世界時(UTC)の 10 月 24 日午前 10 時前後でした。シマンテックの遠隔測定によると、攻撃の大多数はその 2 時間後にロシアで発生しています。

図 1. 1 時間あたりに試みられた BadRabbit の攻撃件数。大部分が最初の 2 時間に集中している

少数ながら、他の国でも攻撃は記録されています。ウクライナのコンピュータ緊急対応チーム CERT-UA によると、同国でも BadRabbit の大規模な拡散が確認されたということです。CERT-UA が発表した速報では、オデッサ空港やキエフ地下鉄がサイバー攻撃を受けたとされていますが、BadRabbit との関連までは断定されませんでした。

図 2. BadRabbit による攻撃の国別の比率
図 3. BadRabbit による攻撃を受けた一般消費者ユーザーと企業ユーザーの比率

Petya との類似と相違

BadRabbit には、2017 年 6 月に発生したランサムウェア Petya(Ransom.Petya)と多くの共通点があります。身代金要求の文面が似ており、ともに自己拡散の機能をもっています。また、どちらのマルウェアファミリーにも、侵入先のコンピュータでマスターブートレコード(MBR)を標的にし、既存の MBR を上書きするコンポーネントがあります。

ただし、両者には相違点もあります。1 つ目が拡散手法です。Petya は SMB を悪用する従来型の拡散手法に加えて悪用コード EternalBlue も利用しますが、BadRabbit は EternalBlue を使わず、SMB のみを利用しています。2 つ目は両者の性質です。Petya は、復号鍵を取得する方法をもたず、技術的に言うとランサムウェアというよりワイパーに近いマルウェアでした。一方 BadRabbit は、まだ解析が完全に終わったわけではありませんが、今のところワイパーのように機能するという事実は確認されていません。

BadRabbit で最も目立つ特徴は、サードパーティ製のオープンソースツールを少なくとも 3 つは利用している点です。Mimikatz のほかに、BadRabbit はオープンソースの暗号化ツール DiskCryptor も利用して暗号化を実行します。また、Windows との互換性をもつオープンソースのオペレーティングシステム ReactOS のドライバも使われているため、感染したコンピュータ上で不審な動きが検出されにくくなっています。

[click_to_tweet:1]

暗号化

インストールされた BadRabbit は、以下の拡張子をもつファイルをすべて検索し、暗号化します。

.3ds  .7z  .accdb  .ai  .asm  .asp  .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der  .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods  .odt .ora .ost .ova .ovf .p12 .p7b .p7c  .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif  .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

一般的なランサムウェアに感染した場合と違って、暗号化されたファイルに特別な拡張子は付きません。そのかわり、暗号化が済んでいるかどうかを確認するために、BadRabbit は暗号化したファイルの末尾に特殊なマーカーを追加します。Unicode で「encrypted」という文字列です。

個々のファイルを暗号化し終わると、BadRabbit はディスク全体の暗号化も実行します。システムを再起動すると身代金要求の文面が表示され、身代金として 0.05 ビットコイン(約 280 米ドル相当)が要求されます。

図 4. BadRabbit の身代金要求の文面

警戒と準備を怠りなく

企業は特に、BadRabbit のような脅威に対して備えができていません。利用されている感染の仕組みのためです。ネットワーク上のコンピュータが 1 台でも感染すると、BadRabbit はネットワーク上の他のコンピュータへも自身を複製しようとします。そのため、セキュリティの弱いネットワークでは、致命的なダメージにもなりかねません。BadRabbit の攻撃は、今のところ大部分がロシアに限られていますが、各企業とも引き続き警戒は怠らず、万全な保護を改めて確認してください。

シマンテック製品による保護の詳細

シマンテックは、お客様をこの攻撃から守るために、以下の保護対策を実施しています。

ウイルス対策

SONAR の動作検出テクノロジ

高度な機械学習

  • Heur.AdvML.A

ネットワーク保護製品

  • Malware Analysis Appliance は、BadRabbit 関連の活動を検出します。
  • Webpulse 対応製品をお使いのお客様は、BadRabbit 関連の活動から保護されています。

【参考訳】

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.