SNAKEまたはEKANSと呼ばれる新たな標的型ランサムウェアが1月初旬に発見されました。このマルウェアはGo言語で記述され、高度に難読化されており、ICS環境を標的とします。SNAKEランサムウェアは、特に企業ネットワークを標的とした集中的なキャンペーンを通じて拡散されているようです。暗号化にはAESとRSAが用いられます。感染すると、関連ファイルは暗号化されたデータで上書きされます。改ざんされたファイルにはそれぞれ、「Ekansファイルの末尾に「」を追加します。
マルウェア ハードコードされた内部システム名とパブリックIPアドレスのチェックが含まれます。このケースでは、Honda社に関連するものです。Honda社に属する内部ドメインへのDNSクエリが解決されない場合、直ちに終了します。
テクニカル分析:
このファイルは MS Windows 用の PE32 実行可能ファイルで、インポートが少ない「.symtab」セクションがあり、ファイルが Go 言語で記述およびコンパイルされていることを示しています。
バイナリがGo言語でコンパイルされていることを確認するための様々な文字列が見つかりました。以下はGoビルドIDです。
マルウェアは「MDS.HONDA.COM」のDNS解決を要求し始めます。ホンダは最近、 ランサムウェアによるサイバー攻撃 技術システムに影響を及ぼしています。つまり、このサンプルがホンダのサイトへの侵入に使用されたものと思われます。
マルウェアは「MDS.HONDA.COM” に関連付けられたIPアドレスに加えて、米国のIPアドレスへの参照も含まれています 170.108.71.15は、'unspec170108.amerhonda.com' ホスト名。DNS 解決に失敗した場合、マルウェアは実行を中止します。
マルウェアはドメイン名が解決されたことを確認すると、netsh.exe(ネットワークツール)にコマンドを送信してファイアウォールの設定を変更します。送信されるコマンドは以下のとおりです。
「Netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound」。
このコマンドは、Windows ファイアウォール機能を使用して、入出力ルールに一致しないすべてのプロファイルのすべての着信接続と発信接続をブロックします。
マルウェアは、以下のアルゴリズムを使用して、マルウェアの実行中に使用されるすべての文字列を復号化しますが、暗号化されたデータごとに異なる XOR キーが使用されます。
以下の復号化ループは、ファイルの暗号化に使用される各 AES キーを暗号化するために使用される RSA 公開キーを復号化します。
アルゴリズムの逆コンパイルされたコードを以下に示します。
マルウェアは「EKANS」というミューテックスの存在を確認します。存在する場合、ランサムウェアは実行を停止し、システムへの感染は行いません。存在しない場合、ミューテックスが作成され、感染が進行します。
マルウェアには、ハードコードされたプロセスとサービスのリストが含まれており、これらは暗号化された文字列として存在します。被害者のシステムでこれらのサービスが実行中の場合、ランサムウェアはそれらのサービスを停止します。また、システムで実行中のプロセスがある場合は、TerminateProcess()関数を使用してそれらのプロセスを強制終了します。プロセス名の一部を以下に示します。
マルウェアは、システム上で見つかったすべてのボリュームシャドウコピーバックアップを削除します。マルウェアは、ファイルの一部の拡張子を暗号化から除外します。その一部を以下に示します。
.sys .mui .tmp .lnk .config .tlb .olb .blf .ico .manifest .bat .cmd .ps1 など
以下に記載されている拡張子の一部は、暗号化時には使用されませんが、マルウェアによって復号化されます。
Snakeの暗号化プロセスは、AES-256とRSA-2048を含む対称暗号と非対称暗号を組み合わせたものです。ファイルの暗号化と復号には対称鍵が必要です。この対称鍵は攻撃者の公開鍵で暗号化されます。復号は攻撃者の秘密鍵でのみ可能です。そのため、セキュリティベンダーにとって復号は困難、あるいは不可能になります。
マルウェアは、0x20バイトのランダムキーと0x10バイトのランダムIVを用いて、AES CTRモードでファイルを暗号化します。RSA公開鍵はファイルにハードコードされています。暗号化後、マルウェアは末尾に「EKANS」マーカーを追加します。EKANSはSNAKEの逆です。
マルウェアはすべてのファイルを暗号化した後、暗号化された各ファイルの名前を変更します。ファイルの拡張子にランダムな5文字の文字列を追加します。拡張子は身代金目的であるため、拡張子からランサムウェアを特定することは困難です。以下は、Snakeランサムウェアによるファイル名の変更を示す画像です。
結論
ランサムウェアは、個人ユーザーだけでなく企業にとっても永続的な脅威となっています。一度ファイルを暗号化してしまうと、データの復号は非常に困難です。ランサムウェアがデータに及ぼす被害の規模を考慮すると、以下に挙げる推奨セキュリティ対策を必ず実施してください。
- リアルタイムの脅威を阻止できる多層ウイルス対策を使用してください。
- ウイルス対策ソフトを最新の状態に保ってください。
- 重要なパッチが毎日リリースされるため、オペレーティング システムを定期的に更新してください。
- ソフトウェアを最新の状態に保ってください。
- リモート システムをインターネットに直接接続しないでください。
- 不明なソースから受信した電子メール内のリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。
- 定期的にデータのバックアップを取り、安全な場所に保管してください。
- ゲートウェイ システムを監査し、構成ミスがないか確認します。
セクライト 製品には、IDS/IPS、DNAスキャン、メールスキャン、BDS、Web保護、特許取得済みのランサムウェア対策といった多層的な検出技術が搭載されています。この多層的なセキュリティアプローチにより、ランサムウェアをはじめとする既知および未知の脅威からお客様を効果的に保護することができます。
侵害の兆候
d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
