ランサムウェア攻撃は、一般的にエクスプロイト、迷惑メール(マルスパム)、または悪意のあるMicrosoft Officeドキュメントを通じて実行されます。攻撃者は、何も知らないユーザーを騙してマクロなどを有効にさせます。こうした一般的な攻撃手法に加え、Anydeskソフトウェアの偽ウェブサイトを利用してBabukランサムウェアを拡散するという新たな手法も発見しました。Anydeskは、ホストアプリケーションを実行しているリモートコンピューターやその他のデバイスにユーザーがアクセスできるようにするリモートコントロールツールです。
Babukランサムウェアは最近非常に活発に活動しています。暗号化の手法は他のランサムウェアファミリーとほとんど変わりません。時間の経過とともに、ランサムウェアは新たな亜種をリリースし、新たな標的を狙うために攻撃メカニズムを改良しています。
ユーザーが未知の疑わしいリンクからAnydeskソフトウェアをダウンロードしようとすると、偽のウェブサイトが表示され、そこからAnydeskソフトウェアをダウンロードできます。この偽のウェブサイトは、オリジナルのAnydeskウェブサイトに似ています。ユーザーがAnydeskソフトウェアのダウンロードをクリックすると、ランサムウェアもダウンロードされます。ランサムウェアは自己解凍型アーカイブ形式でAnydeskソフトウェアにバンドルされており(この場合、セットアップファイルは含まれていません)、これはランサムウェアの検出を回避するためのものです。
たとえば:
MicrosoftまたはBingでAnydeskを検索すると、以下の結果が表示されます。最初のウェブサイトはAnydesk公式アプリケーションとは無関係で、setelogウェブサイトをクリックすると、ads.htmがランサムウェアをダウンロードする悪意のあるウェブサイトにリダイレクトされます。
同様に、Anydesk アプリケーションに関して、以下に示すもう 1 つの疑わしいリンクも見つかりました。
URL:
https[:]//Anydesk1[.]websiteseguro[.]com/downloads/windows/?_ga=2.165501695.1936674747.1628634255-780551265.1627305233
ダウンロードしたファイル名: Setup_Anydesk.exe
ダウンロードしたアーカイブを分析したところ、Babuk ダウンローダー、RAT ファイル、REG ファイルとともに、クリーンな Anydesk セットアップが含まれていることがわかりました。
感染プロセスを理解する
Anydeskソフトウェアアプリケーションを装ったダウンロードされたアーカイブをユーザーがクリックすると、バンドル内の他のファイルがサイレントにドロップされます。上の画像では、Allakore Ratクライアント「bthudtaskt.exe」、Babukダウンローダー「mdnsFULLHD.exe」、そしてレジストリファイル「Anydesk.reg」が、ユーザーの操作なしにスタートアップフォルダにドロップされています。クリーンなAnydeskアプリケーションがデスクトップにドロップされ、インストールされます。スタートアップフォルダにドロップされたファイルはすべてPowerShellを介して実行され、バックグラウンドで動作します。
Anydesk.Reg:
Anydesk.reg ファイルは、EnableLUA の値を 0 に設定することで、ユーザー アカウント制御を無効にします。また、DisableAntiSpyware の値を 1 に設定することで、Windows Defender も無効にします。マルウェアも、値を 1 に設定することで、リアルタイム保護を無効にします。
Allakore RAT クライアント:
AllaKore Rat は、Delphi で書かれたオープンソースのシンプルなリモート アクセス ツールであり、GitHub にあるコードと非常によく似ています。
Babuk Downloader は Allakore Rat を起動し、以下に示すように TCP 要求を行います。
Babuk ダウンローダー:
「mdnsFULLHD.exe」ファイルは、MS Windows用のPE32実行ファイルで、Delphiでコンパイルされています。防御を無効化するコードのほとんどが含まれているため、ファイルサイズは非常に大きく(約12MB)、PowerShellコマンドレットSet-MpPreferenceを使用してAllakore Ratを起動し、上図に示すようにTCPリクエストを送信します。
PowerShell コマンドレット Set-MpPreference を通じて、Windows Defender モジュールの除外に以下のパスを追加し、すべてのマルウェア コンポーネントを Windows Defender から隠します。
たとえば:
cmd.exe /c PowerShell -コマンド Add-MpPreference -ExclusionPath “C:\Users\XXX\Contacts”
cmd.exe /c PowerShell -Command Add-MpPreference -ExclusionPath “C:\Users\XXX\Links” など
cmd.exe を実行すると、上記は除外されます。マルウェアは以下のドライブも除外します。
以下に示すように AV のリストがあり、システムにウイルス対策製品がインストールされているかどうかを確認します。
システム上でウイルス対策プロセスが実行中の場合、以下のプロンプトが表示され、ユーザーに介入して製品をアンインストールするよう求められます。ユーザーが「次へ」ボタンをクリックすると、ソフトウェアをアンインストールするためのコントロールパネルが開き、マルウェアはバックグラウンドでアンインストールされているかどうかを確認します。
このマルウェアはタスク マネージャーを無効にし、Windows Defender のすべてのモジュールを弱体化させます。
ファイルをさらに詳しく調べたところ、マルウェアがbatファイルと.exeファイルをダウンロードするためにHTTPリクエストを送信していたことが判明しました。使用されたドメインは次のとおりです。
「hxxp://suporte01928492.redirectme.net/Update7/Update.bat.rar」
「hxxp://suporte01928492.redirectme.net/Update7/Update.exe.rar」
ダウンロードされたファイルは、次の場所に保存されます。
「C:\Users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup」フォルダ。マルウェアはユーザー名に基づいてこれらのファイルと名前を作成し、PowerShellを使用して両方のファイルをサイレントに実行します。
作成されるファイル:.exe および .bat
たとえば、ユーザー名が ABC の場合、上記のフォルダー内のファイル名は ABC.exe と ABC.bat になります。
アップデート.bat
- PowerShell を通じて実行される次の設定が含まれており、マルウェアの回避に役立ちます。
- ユーザーごとのトグル通知を非表示にする
- システムトレイアイコンでWindows Defenderの通知を非表示にする
- ダイアログプロンプトを無効にします。
- カスケード標高。
Update.exe: BABUK ペイロード
ダウンロードされたUpdate.exeファイルは、Babukランサムウェアのペイロードです。UPX圧縮ファイルで、サイズは約25KBと小型です。マルウェアはC/C++でコンパイルされています。
実行後、vssadmin.exeプロセスを起動し、「vssadmin.exe delete shadows /all /quiet」コマンドを使用してすべてのシャドウコピーを削除します。また、システム内に「DoYouWantToHaveSexWithChuongDong」という名前のミューテックスを作成します。
マルウェアはリストされているすべてのプロセスを終了し、ファイルの暗号化を阻止します。また、関数SHEmptyRecycleBinA()を呼び出してごみ箱を空にし、システムフォルダとドライブを列挙して各フォルダに身代金要求のメモを作成します。
すべてのファイルを拡張子「.doydo」で暗号化します。拡張子はダウンロードされたペイロードの亜種によって異なる場合があります。
マルウェアは、すべての暗号化されたファイルの暗号化されたコンテンツの末尾に「Choung dong looks like a hot dog!!」という文字列を追加します。
攻撃が成功した後、被害者が要求通りに身代金を支払わない場合、マルウェア作成者は暗号化されたデータを公開するか、アンダーグラウンドフォーラムで販売します。
まとめ:
このユースケースは特定の脅威アクターに限定されるものではありません。しかし、この種の感染は幅広いAnydeskユーザーに影響を与えていると考えられます。Anydeskなどのツールやその他の管理ツールを使用することで、マルウェア作成者は被害者のコンピュータの管理者権限を容易に取得し、システム内で悪意のあるアクティビティを実行できます。
最後に、ソフトウェアのダウンロードに使用されるリンクや、メール、メッセージ、WhatsAppで受信したリンクをクリックする際には、細心の注意を払っていただくようお願いいたします。ウェブサイトが公式かつ安全かどうかを必ずご確認ください。
ここでは、攻撃対象領域と IT インフラストラクチャへの損害の可能性を最小限に抑えるのに役立つ追加のガイドラインをいくつか紹介します。
- 信頼できないP2Pサイトやトレントサイトからソフトウェアをダウンロードするのは避けましょう。多くの場合、悪質なソフトウェアが潜んでいます。そのような場合は、 https://Anydesk.com/en/downloads Anydesk ソフトウェアをダウンロードします。
- マルウェアの新種からコンピュータを保護するために、セキュリティ ソフトウェア (ウイルス対策ソフトウェア、ファイアウォールなど) を常に最新の状態に保ってください。
- クラックされたソフトウェアや海賊版ソフトウェアをダウンロードしないでください。マルウェアがコンピューターにバックドアで侵入する危険性があります。
- 「ローカル/ドメイン ユーザー」を監査し、不要なユーザーを削除/無効にします。
- ユーザーに管理者権限を割り当てないでください。
- 可能な限り、多要素認証を有効にして、すべてのログインが正当であることを確認します。
- 絶対に必要な場合を除き、管理者としてログインしたままにしないでください。
- 管理者としてログインしている間は、閲覧、ドキュメントのオープン、その他の通常の作業アクティビティを避けてください。
- シグネチャベースの保護だけでは、高度な攻撃を検出して防止するには不十分ですが、 ransomware攻撃 従来の保護を回避するように設計されており、包括的なセキュリティ体制の重要なコンポーネントです。
- 行動ベースの検知システムやランサムウェア対策システムによって発せられるアラートには、慎重かつ賢明に対応してください。これらのシステムによって検出された未知のアプリケーションは、ブロック/拒否することをお勧めします。
- RDPアクセスを監査し、不要な場合は無効にします。そうでない場合は、特定のホストからのアクセスのみを許可する適切なルールを設定します。
- ほとんどの場合、攻撃者はPowerShellスクリプトを使用して脆弱性を悪用するため、ネットワーク内でPowerShellを無効にしてください。社内でPowerShellを使用する場合は、PowerShell.exeがパブリックアクセスに接続するのをブロックしてください。
- すべてのファイルのオンライン バックアップとオフライン バックアップを常に組み合わせて使用してください。
Quick Heal がユーザーを保護する方法:
Quick Heal製品には、IDS/IPS、EDR、DNAスキャン、メールスキャン、NGAV、Web保護、特許取得済みのランサムウェア対策といった多層的な検出技術が搭載されています。 多層セキュリティ このアプローチにより、Babuk ランサムウェアやその他の既知および未知の脅威からお客様を効率的に保護できます。
妥協の指標
Anydesk Innosetup ファイル:
- a64beabdb0c9ae6b5dca97b64bbd0358
- d7751f57dca53de35be58c45e623ba54
- b70fb92fadc90efca375850ed503af4d
- 225fcb613c1796a3f27a2b71aba77dc4
- 23c9916a932d3c3b03d9ebee5c2bd6eb
- d443a25c6a4f9c553724da404676dee4
- a0b78a347b3e8b1b17a3db6dda4079e3
- d0af75fc8c88a51b044dad9bfa2cbd17
- 33dd883776eda150f4bdfebe97f00790
- ea34fea96cbbc22091aab8c6a4225326
- 5763a24e3927c6053bb216b09d281c13
ドメイン:
- myftp.biz
- sytes.net
- リダイレクトミーネット
- sytes.net
- サーブアイアールシー
- ウェブサイトeguro.com/downloads/windows/?_ga=2.165501695.1936674747.1628634255-780551265.1627305233
Babuk ダウンローダー:
- 4935463e3f1f0e498f5928d579405725
- 4e376b65f35727c956782874d2777549
- 64c97cda282fdf8f5906f98d8b5e83d0
- 85deb376e4c3559ce010c8e9a4a6595c
- a5d17bf427f8630e207564b3888af127
- ad4461b7b14faa0dc2b77dbd95ab4330
- aeef6cefcf78c8990a09eee89d831c7f
- db4572ff504436ffb079ef5858176deb
- Ead98682c4b5da91fa6380f1858cf8c4
Allakore Ratクライアント:
- 1486cbb9b4ff1c5aceb67949eefa8cda
- 1bcbc44772aba8c5dd27b964e555a490
- 207ffd69134a589bbb5e24949664234a
- 2719bd7ab3de7b683041cd7c30f1041d
- 2f860f69a4090e9f6bf0833dc322ff77
- 304275544920ab64fc3d17e2c1a30fd7
- 3e45570f7b33f0f4c24bcc7b24b31d85
- 44c696374426167febbc290b8cd1b300
- 45d7c902614f094a846dea70b31bb846
- 4fc57386bfc22265a507adb818ef163e
- 65f7a1e438a33ec75adbc599d2362706
- 83020fda9cd8bc429a4141284ba41b21
- c4a047327be1a3a481083cecbcc1c54d
- d387a74efbb033c1d327a5e1c4a9e6ce
- e5313dd64ce118e49e1dfd461af26835
- F555a28a88f91ec639e5d86bc4c1c3c9
バブークペイロード:
- 0099963e7285aeafc09e4214a45a6a210253d514cbd0d4b0c3997647a0afe879
- 028facff67136de55fe200177a190da625c8e1713b4e7d95bf5fc5412a5afffc
- 0294114d5f411b6c47eb255d4ed6865df99d1c5252f4f585aabf44e6cbacaa59
- 02e9883501635da9b501e715bb827a0b9d0c265991f1263f073eb6c5d9b335c3
- 03110baa5aad9d01610293f2b8cd21b44cc7efa0a465e677d6b3f92510a4b1d7
- 0b93a024b5d6874d7bb69abd7f0e2d54a67c602584575a9b6d1212baae81442f
- 12c561ac827c3f79afff026b0b1d3ddec7c4b591946e2b794a4d00c423b1c8f8
- 15656e1825383c4749fadcc46f9825df6262ca2f1f98d895d64c840febe3d9d3
- 18e282e6806903ff00a78b91f6d0ad1bc3aae4b4846d6a5705c036a88138605f
- 1ab45a508da655ef755ad4394f869c664f664b3ac111875704a583e9485f2238
- 1d40f42fa328a9a6192d4fa8c6e5ce6f813ea9132774784521713b202d772994
- 1deb1efad2c469198aabbb618285e2229052273cf654ee5925c2540ded224402
- 1e24560100d010c27cc19c59f9fe1531e4286ecb21fe53763165f30c5f58dc90
- 63b6a51be736d253e26011f19bd16006d7093839b345363ef238eafcfe5e7e85
