ニュース

ランサムウェア「GoldenEye」、侵入後は脆弱性以外の手法で感染拡大、暗号化されたファイルの復号は不能?

 ランサムウェア「Petya」亜種の「GoldenEye」(別名:Petya、Petrwrap、Nyetya)について、Microsoftや複数のセキュリティベンダーが報告している。Microsoftによれば、GoldenEyeの感染はベルギー、ブラジル、ドイツ、ロシア、米国など64カ国で確認されているという。

ウクライナの会計ソフト「M.E.Doc」のアップデート機能が初期感染経路?

 MicrosoftやFireEye、Kaspersky Labでは、主にウクライナで広く使用されている会計ソフト「M.E.Doc」のソフトウェアアップデート機能が感染に悪用されたと指摘している。このことからSymantecでは、ウクライナ国内の組織が主な標的だったと推測している。

 Cylanceでは、このランサムウェアがメールに添付されたWordファイルまたはExcelファイルとして配布されたとしている。これによりダウンロードされるファイルは「perfc.dat」で、サイズは353.9KBとのこと。ただし、ファイル名とサイズは対策ソフトの検知を回避するため、時間の経過とともに変化する可能性が高いとしている。

被害拡大のため、さらなる拡散メカニズムを導入

 Symantecによれば、GoldenEyeは、ローカルネットワーク内の拡散先IPアドレスのリストを作成し、いくつかの手法により感染拡大を試みるという。

 Webrootによれば、Windowsのコマンドラインツール「WMI(Windows Management Instrumentation)」を利用してネットワーク内のほかのPCから資格情報を吸い上げるとのこと。この資格情報を悪用して、ネットワーク内で列挙したファイル共有ホストPCへのログインを試み、感染を広げるという。マルウェア本体の実行にはWMIのほか、Windows用のリモートアクセスユーティリティ「PsExec」も用いられる。

 トレンドマイクロによれば、PsExecとWMICを利用した拡散が成功しなかった場合に限り、Windows SMB v1の脆弱性「MS17-010」を悪用した拡散を行うとのことだ。

 こうした感染拡大の手法についてMcAfeeでは、「WannaCryの発生によって多くの人々が最新のWindowsパッチを適用するようになったことを受けて、Petyaは被害を拡大させるためにさらなる拡散メカニズムを導入している」としている。

暗号化はファイルの一部のみ、復号化の仕組みは搭載されず

 トレンドマイクロによれば、GoldenEyeは自身を実行するために、DLLファイル内の関数を実行するWindowsの正規プログラム「rundll32.exe」を利用して、Windowsフォルダー内にファイル「perfc.dat」を作成。これが暗号化を実行する。暗号化の対象となるのは、60種類の拡張子を持つファイルのみとなる。画像や動画ファイルは含まれず、企業で利用されるファイル形式が特に狙われているという。

 感染後には、1時間以内に再起動するようタスクスケジューラーに設定され、再起動時には「chkdsk」を模倣した画面が表示され、PCの暗号化を行う。なお、暗号化されたファイルの拡張子は変更されない。また、暗号化はファイルだけでなく、ファイルシステムのNTFSにおけるMFT(Master File Table)にも及ぶほか、暗号化を終えたあとには、MBRを上書きし、再起動後に暗号化メッセージを表示する。

 Webrootによれば、暗号化自体はファイル全体ではなく、データの先頭の1メビバイト(MiB:104万8576バイト)のみを暗号化するという。これだけでも復旧は困難な上、暗号化プロセスの時間が短縮される。

 Kasperskyによれば、暗号化の際には、すべてのファイルに対して1つのAES128暗号化キーが生成され、これが攻撃者のパブリックRSA-2048キーで暗号化されるという。暗号化されたAESキーはREADMEファイル内に保存される。暗号化後に表示される身代金メッセージに記載されたメールアドレスは現在、プロバイダーによって停止されているため、身代金の支払いを行っても、復号キーを得るための手続きができず、ファイルを復号できない可能性が高いとのことだ。

 また、GoldenEyeの暗号化ルーチンの分析結果として、身代金要求画面に表示されるIDは単なるランダムなデータで、暗号化されたディスクの復号化ができないとした上で、金銭的利益を目的とするランサムウェアになりすました“ワイパー”として設計されているとの見方も示している。

 AvastではGoldenEyeの特徴として、「ダークネット(darknet)」と呼ばれる非常に秘匿性の高いネットワーク上でアフィリエイトモデルによって提供されており、配信を行ったディストリビューターに、不正に入手した身代金のうち最大85%が支払われるという。残りの15%強は、マルウェアの作成と、その拡散に必要なC&Cサーバー、身代金の振替システムなど、すべてのインフラを提供した側が得る構造になっていると推測。こうした構造は、「RaaS(Ransomware As A Service)」と呼ばれているとしている。