CAPCOMを襲ったRagnar LockerはFBIも警戒する環境寄生型攻撃。対策が難しい現実。
CAPCOMを襲ったRagnar Lockerは環境寄生型攻撃に分類される。近年増えてきている攻撃手法であり、正規ツールを利用するためレガシーなマルウェア対策ツールでは検出が難しいとされている。FBIも警戒を呼びかけている。
■環境寄生型攻撃とは?
感染先の端末のOS等で標準的に提供されているコマンドやサービスを攻撃者が利用する攻撃手法。例えばWindowsで標準で実行可能なPowerShell等を用いる攻撃。
この手法を用いるメリットは主に3つある。
1つ目はマルウェア対策ツールに検出されることを回避する。危険なコードを実行させるのではなく、OS標準のコマンド等を利用するので、マルウェア対策ツールは「正規のプログラム」と認識するので検出することが難しい。
2つ目は監視チームに対する隠蔽。マルウェア対策ツールを迂回しても監視チームが気づくハズ。そう考える人も居るかもしれないが、標準ツールであるPowerShellが実行されていたとしても、それを不正な動作と判断するのは難しい。こうして監視チームにも気づかれることなく、長期間潜伏しその間に標的のネットワーク状況やサーバリソース等の情報を収集する。
3つ目は攻撃の成功率を高めること。標準ツールを利用して「マルウェア対策ツール」や「バックアップツール」等を予め停止し、更にバックアップイメージ等があれば削除し、「防御機能」を停止させてから、暗号化等の攻撃を仕掛けることで被害をより大きくし、復旧困難な状況を作り出す。
いずれも感染先の「環境に標準で備えられている機能」を利用するため、環境寄生型攻撃と呼ばれており、近年主流になりつつある攻撃の一つ。
■FBIも警戒を呼びかける「Ragnar Locker」
FBIはMU-000140-MWのフラッシュアラートで「Ragnar Locker」の攻撃増加を指摘し、警戒を呼びかけた。FBIによれば、Ragnar Lockerによる被害は、クラウドサービスプロバイダー、通信、建設、旅行、エンタープライズソフトウェア企業など、様々な業種で確認されており増加傾向にあるという。
■Ragnar Lockerの挙動
FBIの同レポートにあるRagnar Lockerの挙動を以下に記載する。
・Ragnar Lockerの攻撃者は、最初に被害者のネットワークへのアクセスを取得し、偵察活動を行い、データを盗み出すためのネットワークリソース、バックアップ、またはその他の機密ファイルを探し出す。 攻撃の最終段階では、攻撃者は手動でランサムウェアを展開し、被害者のデータを暗号化する。
・Ragnar Lockerは、検出と防止を回避するために難読化手法を頻繁に変更しており、解析防止のためVMProtect等を用いてパッキングされている。
・Ragnar Lockerの本体は、感染先端末内でWindows XP 仮想マシンを起動し、その仮想マシン内で自身を実行する。
・Windows API(CreateFileW、DeviceIoControl、GetLogicalDrives、およびSetVolumeMountPointA)を使用して、ドライブ文字が割り当てられているかどうかに関係なく、接続されているすべてのハードドライブを識別する。そして、自身の動作に影響のあるプログラムやフォルダを除く全てのファイルを暗号化する。
・暗号化されたファイルのユーザーによる復旧を防ぐため以下の2つのどちらかを利用して、シャドウコピーを削除しようとする。
- ">vssadmin delete shadows /all /quiet"
- ">wmic.exe.shadowcopy.delete"
・なお、Windows API GetLocaleInfoWを使用して、感染した端末の現在の地域情報を取得し、感染先端末の地理情報が「アゼルバイジャン」、「アルメニア語」、「ベラルーシ語」、「カザフ語」、「キルジス語」、「モルダビア語」、「タジク語」、「ロシア語」、「トルクメン語」、「ウズベク語」、「ウクライナ語」、「グルジア語」」であることが判明した場合はプロセスを終了する。
■ゲストOS内で動作するため、マルウェア対策ツールから検知出来ない
仮想化技術を利用することで、一台のパソコン上に複数の別のパソコンを動作させることが可能になる。この時、土台となるパソコンを「ホスト」、「ホスト」の中に作る「仮想マシン」のことを「ゲスト」と呼ぶ。
通常、「ホスト」と「ゲスト」は隔離されていて「ゲスト」は「ホスト」に干渉することは出来ない。これは、仮想マシンエスケープ攻撃と呼ばれる攻撃によって、マルウェア等の悪意あるプロセスがホストを攻撃することを防ぐための仕組みだ。
しかし、Ragnar Lockerはホスト上では「正規のプログラム」を利用し防御機能を解除することが可能だ。ホスト上のセキュリティソフトウェアの監視から逃れるためマルウェアを「ゲスト内」で実行することで、マルウェアを隠すことに成功し、防御機能を解除してから「ランサムウェア本体」を実行する。
このような挙動となるため、レガシーなマルウェア対策ツールでは、駆除どころか検出することすら難しいのが現実だ。
■FBIによる推奨緩和策
CAPCOMの被害を見て「CAPCOMのセキュリテイ対策が甘かったのでは?」というような意見も見かけるが、正直なところ「Ragnar Locker」の侵入を許してしまうと、完全に防ぎきることは難しいのではないか?というのが筆者の感想だ。
少しでも被害を軽減するためにFBIによる推奨緩和策を最後に記載する。
-重要なデータをオフラインでバックアップする。
-重要なデータのコピーがクラウドまたは外付けハードドライブまたはストレージデバイスにあることを確認する。
これらの資産には、侵害されたネットワークからアクセスできないようにする。
-バックアップを隔離し、データが存在するシステムから変更または削除するためにデータにアクセスできないようにする。
-すべてのホストにウイルス対策またはマルウェア対策ソフトウェアをインストールして定期的に更新する。
-安全なネットワークを使用し、パブリックWi-Fiネットワークの使用は避ける。VPNの使用を検討する。
-強力なパスワードで多要素認証を使用する。
-コンピューター、デバイス、およびアプリケーションにパッチを適用して最新の状態に保つ。
私は上記のFBIの緩和策に加えて、外部からの侵入を防止するに「ゼロトラスト・セキュリテイモデル」への移行を強く推奨する。
■関連記事