ランサムウェア活動の活発化を受け、Ghostランサムウェアの詳細な分析を行うことにしました。このマルウェアの興味深い点は、複数のコンポーネントを使用してユーザーファイルを暗号化することです。
テクニカル分析:
マルウェアのメイン実行ファイル(Ghost.exe)は、DotNet Frameworkを使用してコンパイルされています。このランサムウェアの感染経路は未だ不明ですが、スパムメール、マルバタイジング、他のファイルへのバンドルなどを通じて被害者のマシンに侵入する可能性があります。スプレッドシートのアイコンを利用して、ユーザーに請求書や見積書などを受け取ったと思わせようとします。
Ghost.exe はまず「www.12312312eewfef231.com」をクエリします。このドメインは未登録ですが、もし登録されている場合は、図1に示すように、例外処理で悪意のあるアクティビティを実行するため、キルスイッチとして機能する可能性があります。
Ghost.exeは、被害者のマシンの「%appdata%\Ghost」に実行ファイルGhostService.exeをドロップします。また、Ghostフォルダにbatファイル(Ghost.bat)を作成し、実行します。Ghost.batは、表示名が「Ghost」、binpathが「%appdata%\Ghost\GhostService.exe」、起動モードが「auto」のサービスを作成します(図2参照)。autoモードのため、マルウェアサービスはシステム起動時に自動的に起動されます。
サービスが正常に登録されると、Ghost.exe は図 4 に示すように「Ghost」サービスを開始します。
GhostService.exeは、「C」ドライブのルートに「Do_Not_Delete_codeId.txt」という名前の.txtファイルを作成し、コードIDをファイルの内容として保存します。このコードIDは、図5に示すようにランダムに生成されます。
ここで、「startProcess」関数を呼び出して、「C」ドライブのルートにコンポーネントをドロップします。
図 6 に示すように、GhostService.exe は以下のコンポーネントをドロップします。
- GhostForm.exe – 身代金要求メッセージを表示し、ファイルを暗号化する
- GhostFile.dll – ファイルのリストを作成するための関数をエクスポートします
- GhostHammer.dll – AES_Encrypt関数をエクスポートする
図6: コンポーネントをドロップしてGhostForm.exeを起動する関数
コンポーネントをドロップした後、GhostForm.exe を実行します。その後、「Database」関数を呼び出してMSSQLSERVERサービスを停止し、「Microsoft SQL Server」フォルダ内のファイルを暗号化します。
図 9 に示すように、暗号化されるファイル拡張子のリストがあります。
また、「C」ドライブのルートにあるファイルのみを暗号化する関数「datosC」を呼び出します。
GhostService.exe は、120 秒ごとにこれらのタスクを繰り返すタイマーを維持します。
GhostForm.exe は身代金要求メッセージを表示します。また、タイマーも保持しており、120秒ごとに身代金要求メッセージを閉じます。
身代金要求メモ内のコード ID は、C:\Do_Not_Delete_codeId.txt に書き込まれたものと同じです。
図 12 に示すように、マルウェア作成者は 500 USD 相当の Bitcoin を次のアドレスに支払うよう要求しています: https://blockchain.info/payment_request?address=1N7AmqH12EN3yAkVMPB5rZoVX758jgLbzj&amount_local=500¤cy=USD&nosavecurrency=true&message=Pay%20me!
次に、「startEncrypt」関数を呼び出して、次のフォルダにあるファイルのリストを作成します。
- デスクトップ
- ドキュメント
- Picture
- 動画
- 音楽
上記のリストにあるように、マルウェアは特定の場所にあるファイルのみを暗号化します。ユーザーが通常ほとんどのデータを保存するデスクトップフォルダを標的としています。また、ドキュメント、ピクチャ、ビデオ、ミュージックは、Windows OSがそれぞれの種類のファイルを保存するために用意したフォルダです。
上記のフォルダーからファイルのリストを取得する関数は GhostFile.dll に存在します。
マルウェアは、図20に示すように、拡張子リストに含まれる拡張子に基づいてファイルリストを作成します。ファイルリストが完成すると、GhostHammer.dllから暗号化ルーチンが呼び出されます。ファイルはAESアルゴリズムを使用して暗号化され、暗号化されたファイルには「.Ghost」拡張子が追加されます。
2 つの拡張子リストの違いは、「.txt」ファイルは GhostService では暗号化されないのに対し、GhostForm.exe では暗号化される点です。
IOC:
3a2633cd5152a229d1f986073082ecd0
3d33f7f9f2e5fa3f4e7d2d6de5c9b7f1
464da6c4465816cba2d278634e2b9d3e
5db40b7c42376cc077383069a9c509eb
b93588bbb3f3f0addd5598586bbe2566
cd0f7f29e337f2ebe455ba4a85fb2b70
Quick Heal 製品は、以下の名前のマルウェアを検出します。
「ランサム・ゴースト・S*」
「ランサム・バット・ゴースト」
結論:
近年、ランサムウェアの件数が大幅に増加しています。マルウェア作成者は、ユーザーファイルを暗号化するために、様々な手法を用いるようになっています。
ランサムウェアから身を守るための一般的な推奨事項:
- 特に添付ファイルがある疑わしいメールは開かないでください。
- オペレーティングシステム(OS)を更新する
- ソフトウェアを更新してください。古いバージョンのソフトウェアには脆弱性があり、攻撃者はそれを悪用してシステムに感染させることがよくあります。
- 定期的にデータのバックアップを取り、安全な場所に保管してください。
- リアルタイムの脅威からシステムを守るために、多層防御のウイルス対策ソフトを導入しましょう。また、ウイルス対策ソフトを常に最新の状態に保ってください。
主題専門家:
ラヴィ・ギドワニ | クイックヒール・セキュリティ・ラボ
