ランサムウェア対策 · 2019-01-25 ·...
TRANSCRIPT
Solution Brief
TrapX Security CryptoTrap によるMarsJoke、Cerber、Xpan ランサムウェア対策
Solution Brief
1 はじめに ランサムウェアによる攻撃は世界中で急速に増加しており、多様な産業および政府のITシステムに膨大な被害をもたらしています。 2016年後半の6ヶ月間にフォーカスしても倍増したとのデータが出ています。 またアメリカでは全体の88%が医療関連機関へのサイバー攻撃というデータも存在しています。 これは何を意味しているのでしょうか。読み解いて行くと近年のサイバー攻撃があからさまに 金銭の搾取を目的として攻撃を仕掛けているという背景が浮かび上がってきます。 つまり社会に対して深刻な被害を与えられるシステムを手中に収めれば要求した金銭を払う と考えミッションクリティカルなシステムをピンポイントに狙ってきているのです。 もちろん一過性の流行という見方もありますが自然に考えると次の標的を既に模索しているとも考えられます。 確実に言えるのは以前と比べると業種、業界を問わずターゲットとなる企業が広がりつつ あるという事です。 これを裏付けるのが新たなランサムウェアの亜種が日々見つかっているという事実です。 日本ではマスメディアに取り上げられた事もあり「Wanna Cry」がランサムウェアの代名詞となっています。 IT関連で他に人々の記憶に残っている物としては監視カメラを踏み台にして侵入した 「Mirai」くらいでしょうか。 ただ攻撃者側はセキュリティシステムをくぐり抜けるために日々、ランサムウェアに手を加えています。 また、アメリカではMarsJoke、Cerber、Xpanと言った新たなランサムウェアが流行の兆し を見せています。 本稿はこのような新種のランサムウェアに対しTrapX Security社のレポートおよびラボでの検証結果、TrapX Security社が提供するTrapXCryptoTrapモジュールの有効性について紹介をしています。
2 Marsjoke MarsJokeは2016年8月下旬に最初に発見されましたが、9月中旬までは実際の活動が観測されていませんでした。 最近の活動としてはスパムメールによる配布が報告されておりバイナリ実行可能ファイル “file_6.exe”へのリンクを含む形が一般的です。 主なターゲットとして政府機関、医療、保険業界、電気通信業界に配布がされているようです。 スパムメールにはエンドユーザーにクリックを誘導するようなページが添付されています。 (図1参照) MarsJokeはAdvanced Encryption Standard(AES)256暗号化アルゴリズムを使用しますが、 これはSHA256ハッシュ値を使用して生成されます。 file_6.exeが実行されるとMarsJokeがシステムにインストールされます。ファイルを暗号化するプロセスを開始します。 この段階でマルウェアは様々なフォルダに移動します。 感染したデスクトップの背景は 黒色に変わり、警告メッセージを表示します。(図2参照)
Solution Brief
図1 スパムメールの表示例
Solution Brief
図2 端末への侵入およびデータの暗号化が成功した場合の警告画面
ユーザーには96時間以内に0.7ビットコイン(2017年8月時点のレートでおおよそ27万円) の身代金を払う旨の要求が課されます。払った場合にはファイルが削除されないようにします。 またMarsJokeは攻撃者のコマンド・アンド・コントロール・サーバーに接続して継続的にステータスを取得しており、侵入したシステムにマルウェアコンポーネントを追加、更新、ダウンロードすることができます。 この支払い要求に従わない場合、データが永久に失われます。
3 Cerber – Christmas Version Cerberはクリスマスの時期を集中的に狙うために新バージョンがリリースされました。 新しいバージョンは、より機能が拡張され暗号化されたファイルや侵入した端末のデスクトップ壁紙はクリスマスをモチーフにした物になります。 Cerberは、スパムメールや悪意のあるWebリンクを介して配布されることがあります。 またソーシャルメディアを介しての配布も一般的です。 ただし、主にRIG-Vエクスプロイトキットを介して配布されます。 Cerberがターゲットシステムにダウンロードされ正常に実行された場合、ローカルドライブ と接続されているネットワーク共有上のファイルを暗号化し、それが終わるとデスクトップ の壁紙を変更します。 (図3参照)
Solution Brief
図3 Cerberに感染しデータが暗号化された場合の警告画面
次に復号鍵入手のためユーザーに金銭の支払いを指示するページのリンクが含まれた readmeファイルを作成しディレクトリに配置します。(図4参照) Cerberの新しいバージョンでは、AES-256とRSA暗号の組み合わせが使用されています。 10文字を使用してランダムなファイル名を作成し、更にランダムな4桁の数字を追加します。 Webページにはユーザーが復号鍵を取得するために支払う必要がある身代金額が表示されます。 鍵の価格は5日以内で1.3BTC(約50万円)です。
Solution Brief
図4 CerberランサムウェアWebサイト
4 Xpan Xpanは企業や病院を標的とするブラジルのグループ「TeamXRat」によって開発されました。 ブルートフォースアタックを駆使してRDPアクセスを取得し侵入したサーバーにXpanを手動でインストールします。 Xpanがサーバー上で実行を開始すると、Xpanはデータベースサービスを停止しようとします。 また同時にローカルシステムを使用してデータベースファイルを暗号化し、さらにダメージを与えます。 次に、ファイルの暗号化を開始します。それと同時に一連の動作をアクティビティをコンソールに記録します。 終了すると感染端末の壁紙が変更されます。(図5参照) ランサムウェアはポルトガル語で、ユーザーに対して指定のアドレスに電子メールを送信 するよう指示します。 他のランサムウェアとは異なり警告には支払いに関する詳細が含まれていません。 XpanはAES-256アルゴリズムを使用しファイルを暗号化します。 ユーザーが暗号化されたファイルを開こうとする度に警告メッセージがポップアップします。 逆に要求金額が明示されていない分、リスクが限定されないためより危険と想定すべきです。
Solution Brief
図5 ポルトガル語による警告画面
5 クローズ環境でのランサムウェアのテスト 実験ではSMBトークン(偽のネットワーク情報を付与した撒き餌)を配置した感染端末 想定の仮想マシンを作成しました。 同環境はトークンに従い移動したランサムウェアに対してトラップ(CryptoTrap)へリダイレクトするように設計されています。 その後、仮想マシンを前述した3つのransomwareの亜種に感染させ暗号化までの一連の挙動について観察をしました。 TrapXのSMBトークンはランサムウェアに対して偽のアクセス情報を提供する事によりransomwareのバイナリを欺きました。これにより、一時的なファイルとreadmeファイル の作成、暗号化のプロセスやファイル名の変更といった一連の活動を攻撃の早い段階で防ぐ事ができました。また、この対策は前述した3種類のランサムウェア全てに対して有効である事が確認されました。
Solution Brief
図6 Cerberによるreadmeファイルの作成、ファイル暗号化、ファイル名変更
6 ランサムウェア検出実験 CryptoTrapは、前述のランサムウェアに関してすべてのアクティビティを正常に検出し数秒以内に応答する事が確認できました。
図7 CryptoTrapによるCerberの検知
Solution Brief
7 検知時の通知 CryptoTrapは侵入元のコンピュータをネットワークから切断し管理者にsyslogアラート と通知メールを送信します。
8 CryptoTrapのアーキテクチャ CryptoTrapはランサムウェアに対して攻撃を誘引する価値のある偽のデータをエミュレートの形で見せる事により欺きます。このトラップには大量のデコイファイルとディレクトリ が含まれます。 管理者はより実環境に近づけるために独自のデコイデータを追加することも可能です。 またより効果的な対策を行うためにエンドポイントに対してルアー(疑似餌、撒き餌) を配置する事でネットワークベースのランサムウェアが偽データにアクセスする確率 を高めユーザーの実端末が攻撃されるのを防ぎます。 これによりランサムウェアが実行されると、ターゲットシステムから偽のネットワーク共有にアクセスする事になり偽デコイデータの暗号化を開始します。CryptoTrapはこの一連のアクティビティを検出し同時に追加の偽デコイデータを提供し、ランサムウェアが実際のシステムを攻撃するのを妨げます。またランサムウェアが暗号化を実行するのを検知した段階でCryptoTrapは影響を受けたホストをネットワークから切断します。 ネットワークインターフェイスを無効にすることによりランサムウェアがネットワーク 全体に広がるのを防ぎユーザーのネットワークが保護されます。 攻撃が検知されると同時に管理者はアラートを受信します。アラートには実際にランサムウェアが活動している場所や攻撃の詳細情報が含まれます。 一連の機能によりユーザーはランサムウェアの脅威からシステムを守る事が可能です。 図9はCryptoTrapのワークフローを図示しています。
図7 リアルタイムで送信されるCryptoTrapの自動アラートと通知
図8 CryptoTrapによる感染端末のネットワーク切断
Solution Brief
図9 CryptoTrapによるランサムウェア検出
9 CryptoTrapのメリット ■迅速なランサムウェアの検出および無効化による重要なデータの保護 ■感染拡大の防止 ■データ暗号化による財政的リスクの最小化 ■シグネチャレスベースの検出手法を採用する事で亜種のランサムウェアにも対応
10 まとめ CryptoTrapモジュールは、DeceptionGridの基本コンセプトから誕生した新しいセキュリティ 対策です。 構築の負担を軽減する各種機能によりユーザー環境のセキュリティを強化すると共にユーザー 実環境個別の偽情報を配置する事で、一層効果的な対策を実現できる攻めのセキュリティソリューションとなります。 またアプリケーションレベルまで模擬するデコイを併用する事で攻撃者に対してよりリアルな偽環境を見せる事も可能です。TrapX Securityから提供される各種コンポーネントはサイバー攻撃に晒されている最前線で効果を発揮する次世代テクノロジーです。
Solution Brief
新宿:〒163-1034 東京都新宿区西新宿3-7-1 新宿パークタワー S34階
Tel:03-5908-1990 Fax:03-5908-1991
大阪:〒540-6033 大阪府大阪市中央区城見1-2-27 クリスタルタワー33階
Tel:06-4792-1908 Fax:06-6945-8581
名古屋:〒451-0045 愛知県名古屋市西区名駅2-27-8 名古屋プライムセントラルタワー8階
Tel:052-562-0826 Fax:052-561-5382
つくば:〒305-0033 茨城県つくば市東新井15-4 関友つくばビル7階
Tel:029-848-6030 Fax:029-848-6035
CNカンパニー http://cn.teldevice.co.jp
※会社名及び商品名は、それぞれの会社の商標あるいは登録商標です。
Copyright © Tokyo Electron Device LTD. All Rights Reserved.