【温故知新シリーズ】 脅威のスポットライト:Encryptor RaaSの最新情報

By Jim Walter

温故知新シリーズブログでは、新たな知見を広げるために過去に米国でリリースされたブログを翻訳しています。
本ブログ記事は、2016年3月24日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

インターネットの出現によって、「手軽に大金を手に入れる」ための無数の怪しげな計画が生まれてきました。しかし、近年のダークウェブで見られる、最も興味深く、かつ厄介とも言える傾向として、「Ransomware as a Service」(略称:RaaS)として知られる、すぐに使用可能なランサムウェアキットの人気の上昇があります。

サービスとしてのランサムウェアは、私にとって身近で重大な問題です。私は以前、かなり熱心にランサムウェアを追いかけたことがありました。[1]そして、現在も追い続けています。RaaSマルウェアキットは、基本的にはインターネットに接続できる人なら誰でもサインアップして数ステップの手順を実行するだけで、独自のランサムウェアをビルドして展開できるようにするものです。身代金を回収するためのビットコインなどのアカウントを設定する以外は、技術的な知識は必要ありません。

ほとんどの場合、RaaSサイトの所有者は、身代金のうち一定の割合を報酬として徴収するか、初期設定サービスに対して少額の手数料を請求します。Toxや他の多くのRaaSは登場してすぐに消えてしまいましたが、ステルス性がなく動作モデルが「明らか」であるにもかかわらず、いまだに活動を続けているものもあります。

Encryptor RaaSは、2015年中頃に出現して、すでに1年近くが経過しています。このランサムウェアは、TORネットワークの.onionドメインでのみ提供されています。作成者は、ランサムウェアに感染してビットコインで身代金を支払った被害者1人につき20%の手数料を請求します。

Encryptor RasSに関する最新のデータを次に示します。

被害者総数 = 1818
身代金を払った被害者の総数 = 8(感染した全被害者のうち0.44%)

Encryptor_RaaS_1.png

図1:Encryptor RaaSの実際の画面(2016年3月)

全体的に見て、CryptoWallのように活動開始後5ヶ月で625,000台を超えるマシンに感染したものと比べると、これらの数字は印象に残るほどのものでも、成功したと言えるほどのものでもありません。しかし、いまだにEncryptorサイトが稼働していて、そのモデルが機能し続けていることは、注目に値します。

従来のアンチウイルス(AV)ベンダーによるEncryptor RaaSの検出率(NoDistributeによるテストの結果)が日々更新されているという事実を考慮すると、これは非常に懸念すべきことです。Encryptor RaaSの検出率は現在、NoDistributeでのさまざまなスキャナを使用したテストにおいて0/35および1/35という値を示しています。

Encryptor_RaaS_2.png Encryptor_RaaS_3.png

図2:NoDistributesでのEncryptor RaaSのテスト結果

現在のFAQとChanges.txtには、いくつかの興味深い情報が書き込まれています。特に興味を引くのは次の書き込みです。

2016年2月17日:他のランサムウェアファミリーの開発者たちは自分が提供している無料ファイル署名サービスを使っていることに気付いたが、儲けもないし、寄付さえもらえない。

2016年3月9日:証明書がないので、追って通知するまでコード署名は無効。寄付や証明書の提供は歓迎する。
2016年3月18日:窃取したAuthenticode証明書が2つ手に入った。一番高い値を付けた人に売ろうと思う。入札はどちらか1つだけでもOKで、オークションの締切は未定(詳細情報:SHA1とSHA256。どちらも2018年後半まで有効で、同じ名前に対して発行されたものではない。有効期間がこれほど長くなければ自分のサービスで使おうと思っていたもの)。

さらに、Changes.txtに次の書き込みがありました。

  • 2016年3月4日:Bitdefenderエンジン、Avast、AVG、ESETによる検出を回避。
  • 2016年3月5日:ESETによる検出を回避。
  • 2016年3月6日:ESETとBitdefenderエンジンによる検出を回避。
  • 2016年3月9日:AvastとESETによる検出を回避。追って通知するまでコード署名は無効。
  • 2016年3月10日:AVG、Dr. Web、ESET、Bitdefenderエンジン、MSEによる検出を回避。
  • 2016年3月11日:AvastとESETによる検出を回避。ESETはむかつく。まったくイライラする。
  • 2016年3月11日:AvastとESETによる検出を回避。ESETはむかつく。まったくイライラする。
  • 2016年3月17日:AVG、ESET、Bitdefenderエンジンによる検出を回避。

入手可能な情報を調査したところ、普及率も成功率も非常に低いにもかかわらず、この実験/マルウェアの開発は現在も盛んに進められていることがわかります。ほぼ毎日、手を変え品を変え、従来のAV製品やAVテクノロジーを回避しようと試みています。

技術的な詳細:

Encryptor RaaSは、RSA-2018とRC6(スケーラブル)を組み合わせて、各ファイルを固有の鍵で暗号化します。暗号化するファイル拡張子のリストを次に示します。

0     -0     000     001     002     003     004     005     006     007     008     009     1     -1     10     -10     11     -11     12     -12     13     -13     14     -14     15     -15     16     -16     17     -17     18     -18     19     -19     2     -2     2fs     3     -3     3dm     3ds     3g2     3gp     4     -4     5     -5     6     -6     7     -7     7z     8     -8     9     -9     aac     abbu     abw     accdb     adr     ahk     ai     aif     alt     ape     apk     arc     arv     as     asc     asf     ashdisc     asm     asmx     asp     aspx     asx     aup     avi     ba0     backup     bak     bas     bbb     bc     bc!     bcmx     bdb     bde     bdf     bdg     bdi     bdk     bdl     bdm     bdmv     bdsproj     bdw     bdx     bee     ben     bes     bex     bexpk     bf     bf2     bfa     bfb     bfe     bff     bgz     bhx     bib     bibtex     bik     bkf     bkp     bks     bkup     bmp     bpl     bpn     bson     btd     bz2     c     c++     cad     cadp     caf     cbu     cc     cda     cdf     cdi     cdr     cdx     cer     cert     cfc     cfg     cfm     cgi     chk     chr     class     cnt     cod     conf     cpio     cpp     crd     crt     crypt7     cs     csproj     csr     csv     cue     d64     data     db3     dbf     dbt     dbx     dcp     dds     ddz     del     dem     deviceids     df     dfd     dfproj     dia     dir     diz     dlc     dmg     doc     docm     docx     dot     dqy     dsb     dsn     dta     dtr     dtv     dwg     dxf     ebk     eddx     edoc     elfo     eml     emlx     enc     eps     epub     es     es~     ex4     exp     fdb     fdf     ff1     ffa     ffl     ffo     ffs_db     fft     ffu     ffx     fh10     fh11     fi2     fig     fil     flac     flg     flp     flv     fmd     fpt     ftp     gam     gar     gbc     gcode     gho     ghs     gid     gif     gla     gpg     gpx     gz     h     h++     hbk     hdd     hds     hex     hpp     hst     htc     hwp     hwp     ico     ics     idml     idx     if     iff     imb     img     imh     iml     imm     in0     indd     ini2     int     ipd     iso     isz     iwa     j2k     jad     jar     java     jdb     jks     jmf     jp2     jpeg     jpf     jpg     jpm     jpx     json     jsp     jspa     jspx     jst     k1f     kb1     kcf     kch     kcl     kdb     kdbx     key     keynote     kml     kmz     knt     kpr     lbl     ld     ldif     lib     lic     lis     lpd     ls     ltx     lwp     lyc     lyt     lzma     m3u     m4a     m4v     mab     mar     max     mb     mbox     mcs     md2     mdb     mdbackup     mddata     mde     mdf     mdi     mdinfo     mds     mdw     mdx     mid     mke     mkv     mmf     mnu     mobileprovision     mod     mon     mov     mozeml     mp3     mp4     mpa     mpb     mpeg     mpg     mpj     mpp     mq4     mqh     ms     msf     msg     mso     mta     mts     mus     myd     myf     myi     nam     nap     nba     nbf     nbi     nbu     nbz     nco     nes     net     new     nfo     nick     nng     note     nr     nrg     nri     nru     ns     nzb     oa4     oac     odb     odc     ods     odt     ogg     old     ops     opt     or4     org     otm     ott     ova     ovf     ovpn     oxps     p     p12     p2i     p65     p7     pages     pbi     pct     pdf     pdfx     pehape     pem     pfq     pfx     pgp     php     php3     php4     php5     phps     phpx     phpxx     phtm     phtml     pid     pins     pip     pk     pl     plist     pmd     pmk     pmx     pnf     png     ppdf     pps     ppsm     ppsx     ppt     pptm     pptx     pref     prn     prt     ps     ps1     psd     pspimage     pst     ptn     ptn2     pub     pvm     pwd     pwi     px     py     pym     qbquery     qcn     qcow     qcow2     qt     qxp     r0     ra     rar     raw     rdp     recipients     recipientsbackup0     recipientsbackup1     recipientsbackup2     recipientsbackup3     recipientsbackup4     recipientsbackup5     recipientsbackup6     recipientsbackup7     recipientsbackup8     recipientsbackup9     rm     rpb     rtf     s     sam     sav     sb     sbf     scv     sdc     sdi     sds     sdx     sdy     secure     seed     sel     seq     set     sfs     sfv     shlb     shs     skb     skd     skp     slf     sln     slt     sme     smk     smm     smp     smr     sms     spb     spi     spro     sql     sqlite     sqlitedb     srp     srt     srv     ssc     ssi     sss     stf     stg     stl     stw     sub     suo     svg     swf     sxw     symbolmap     syncdb     tag     tar     tav     tb3     tc     tdl     tex     tga     thm     tib     tif     tiff     tlx     toast     torrent     tpl     ts     tv     tvc     txt     ucd     ufo     user     val     vbk     vcard     vcd     vcf     vcs     vdi     vfs4     vhd     vhdx     vir     vmc     vmdk     vmx     vob     vsd     vsv     wab     wallet     war     wav     wbk     wbverify     wc     wdseml     webarchive     webm     whtt     wim     win     wlt     wma     wmb     wmv     workflow     wpb     wps     wsb     xdw     xed     xg0     xg1     xg2     xlg     xlk     xlr     xls     xlsb     xlsm     xlsx     xlt     xlw     xoml     xsn     xz     yg0     yg1     yg2     yuv     z     zip     zipx

現在のEncryptor RaaSでは、「窃取」したAuthenticode証明書を使用して、生成したコードに署名することもできます。この機能に関する最新情報も、サイトに書き込まれています。

Encryptor_RaaS_4.png Encryptor_RaaS_5.png

図3:窃取したAuthenticode証明書を第三者のWebサイトで販売することの告知

設定手順:

Encryptor RaaSの基本的な設定方法は、当初から変更されていません。

  • 1.支払用のBTCアドレスを入力します。これは、Encryptor RaaSシステムにおける固有のIDとして使用されます。
  • 2.支払期限前の身代金の金額を入力します。
  • 3.支払期限後の身代金の金額を入力します。
  • 4.支払期限を入力します。
  • 5.無料で復号できるファイルの数を入力します。
  • 6.カスタムファイル名を入力します。
  • 7.コード署名を切り替えます(現在は無効)。
  • 8.UACの挙動/レベルを切り替えます。

Encryptor_RaaS_7.png

図4:Encryptor RaaSの設定の入力フィールド

出力:

生成時に、指定した名前のW32 EXEファイルが提供されます。

Encryptor_RaaS_8.png

図5:Encryptor RaaSアプリケーションの最終出力

実行時に、ユーザーの%TEMP%ディレクトリのreadme_liesmich_encryptor_raas.txtファイルに復号の手順が書き込まれます(「liesmich」は「read me」を意味するドイツ語)。次に、被害者のマシンにWebページが表示されますが、その際に、デフォルトのブラウザウィンドウが開いて、関連する復号/メッセージ表示用のサイトがonion.link URL経由で表示されます。

Encryptor_RaaS_9.png

図6:Encryptor RaaSの被害者に表示される身代金要求メッセージの画面

最近出現している他の多くのランサムウェアファミリー(Lockyなど)と同様、Encryptor RaaSは次のコマンドを使用して、被害者のマシンのボリュームシャドウコピー(VSS:Volume Shadow Copies)を直接狙って削除します。

            cmd.exe /c vssadmin Delete Shadows /Quiet /All

さらに、ローカルプロキシ設定の変更を試みるほか、分析を回避するためにさまざまな仮想環境を検出しているようにも思われます。

復号用サイトも目に付きやすいように表示します。

Encryptor_RaaS_10.png

図7:デモの復号用サイト

Encryptor_RaaS_11.png

 

図8:実際の復号用サイト

CylancePROTECT® vs. Encryptor RaaS

拡散されるEncryptor RaaSのサンプルは、このサービスの性質上、一つとして同じものはありません。これは、従来のエンドポイントAVテクノロジーにとっては不利なことです。サービスユーザーが設定したパラメータに応じて、それぞれ異なったEncryptor RaaSソフトウェアが作成されるので、AVベンダーは正確な検出機能を構築できないからです。汎用的な検出機能も、誤検出が生じる可能性について慎重に検討する必要があることを考えると、問題がないわけではありません。

Encryptor RaaSの作成者が提供している、NoDistributeによる最新の検出率を見てみましょう。

Encryptor_RaaS_12.png

図9:NoDistributeによるEncryptor RaaSの検出結果

35種類のさまざまなAV製品をEncryptor RaaS .exeファイルに対して実行しましたが、検出した製品は1つだけでした(その1つはヒューリスティック検出によるものでした)。考えてみてください。紛れもない悪意のあるマルウェアが1年近く無料で提供されていて、誰でも分析して対策を講じることができたというのに、たった1つの製品でしか検出されなかったのです(この脅威について取り上げたのはこのブログが初めてというわけでもありません)。

結論としては、現在のAV/エンドポイントテクノロジーであれば、このマルウェアを見つけらないはずはないということです。比較のために、手元のEncryptor RaaSのコピーをNoDistributeにアップロードして、マルウェア作成者が毎日テストしている結果と違いがあるかどうかを確認してみました。

思ったとおり、まったく同じ[2] 結果が得られました。

Encryptor_RaaS_13.png

図10:NoDistributeによるEncryptor RaaSの検出結果

一方、CylancePROTECTは、このマルウェアの作成前に開発されたモデルを使用したにもかかわらず、Encryptor RaaSによって生成されるコードをすべて検出しています。

CylancePROTECTで1回検出スキャンを実行した結果を次に示します。CylancePROTECTは、今回使用したバージョンのEncryptorをこれまで一度も「見た」ことがなかったにもかかわらず、Encryptor RaaSの検出とブロックの両方に成功しました。

Encryptor_RaaS_14.png

図11: CylancePROTECTによるEncryptor RaaSの検出結果

すばらしい数字です!

  

[1] https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us/
[2] これとは別の「主流」のサービスでスキャンした場合も、検出率は5/54でした。

Tags: