脅威のスポットライト:VSSDestroyランサムウェアの内部解説

By Tatsuya Hasegawa

本ブログ記事は、2018年11月6日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

はじめに

VSSDestroyはMatrix ランサムウェアの亜種であり、Windows端末をターゲットにします。 Matrixランサムウェアは2017年からRigエクスプロイトキットにて広まりました。この記事ではVSSDestroyの詳細な振る舞いを解説します。

技術的解説

実行後の振る舞い

このマルウェアを実行すると、ランサムウェアは自身のコピーを同じディレクトリにコピーします。その際、ファイル名にこのような特徴があります。(正規表現)

  • NW[0-9a-zA-Z]{6}.exe

そのコピーはオリジナルと違って ”-n”のコマンドライン引数で実行されます。 (NW[0-9a-zA-Z]{6}.exe -n )

暗号化:

VSSDestroy は、拡張子 .newrarでファイルを暗号化しリネームします。これらは VSSDestroyが暗号化するファイルの一覧です。(図1)  


図 1: VSSDestroyによって暗号化されるファイルタイプ一覧

このランサムウェアはREADME文書を残し、暗号化後に被害者に読ませようとします。また暗号化されたファイル名は接頭辞に[newrar@tuta.io]がついています。(図2)


図 2: 暗号化されたファイルとそのREADME文書

その文書は被害者に newrar(at)tuta[.]io もしくは newrar(at)cock[.]lu のメールアドレスに復号キーを入手するための連絡をするように促します。メールで連絡が取れない時の代替手段として、bitmsgサービス(hxxps://bitmsg[.]me/)が利用できることも記載されています。(図3)


図 3: #NEWRAR_README#.rtfの内容

VSSDestroyはデスクトップ背景を変更します。このランサムウェアは図4のビットマップファイル ([0-9a-zA-Z]{8}.bmp) をドロップし、壁紙に設定します。壁紙を変更するために、以下のシステムレジストリを修正します。

  • HKCU\Control Panel\Desktop\Wallpaper
  • HKCU\Control Panel\Desktop\WallpaperStyle
  • HKCU\Control Panel\Desktop\TileWallpaper


図 4: ランサムウェア脅迫文の壁紙画像

Windows OSが再起動した後にこの壁紙がデスクトップ背景に表示されます。

このマルウェアはWindows Sysinternalsツールの一つである“Handle viewer v4.11”を微修正した実行可能ファイルをドロップします。このツールを使って実行中のプロセスが取得しているファイルハンドルをすべてクローズしようとします。つまりランサムウェアは、通常であれば書き込みアクセスできないはずの利用中ファイルも暗号化することができるようになります。(図5)


図 5: Handle viewer [gLxNMqwr.exe]

オリジナルHandle Viewer 4.11はパッキングという圧縮・難読化手法が施されていないのですが、その微修正されたバージョンはUPXという著名なパッカーでパッキングされていました。

UPXをアンパックしてオリジナルとの差分を比較したところ、ほとんど違いがありませんでした。こちらはssdeepを使った2つのファイルのファジーハッシュ比較結果です。(図6)


図 6: Handle viewer 4.11 ssdeepの比較

ファイル暗号化の間に、マルウェアは感染したコンピューターのコンピューター名とユーザー名を攻撃者のC2サーバーに送信します。(図7)

  • hxxp://no7654324wesdfghgfds[.]000webhostapp[.]com/addrecord[.]php


図 7: HTTP トラフィック

またVSSDestroyはNetShareEnum APIを利用して感染端末が属するネットワークレンジの連続したIPごとにARPスキャンを実行します。もしアクティブな端末が発見されたらそのリモートリソース上のファイルも暗号化の対象になります。


図 8: ARP スキャン

VSSの消去とスタートアップ修復の無効化

このマルウェアは5分毎に実行されるbatファイルをスケジュールタスクにDSHCAというタスク名で登録します。このプロセスはWindowsのボリュームシャドウコピー(VSS)をすべて削除し、再起動後のスタートアップ修復オプションを無効化します。


図 9: 5分毎に実行されるFcHN8mhB.batを スケジュールタスクに登録するVBスクリプト


図 10: ボリュームシャドウコピーの全削除とスタートアップ修復を無効化するbatファイルの内容

防御

CylancePROTECTをご利用中のお客様は、このランサムウェアと悪意のあるスクリプトからすでに防御されています。

IOCs

SHA256 ハッシュ値

  • 075f86e2db93138f3f3291bc8f362e5f54dfdeeb98b63026697b266fbebddb00
  • 193697be39290126d24363482627ff49ad7ff76ad12bbac43f53c0a3a614db5d
  • d0c7b512610a1a206dbf4b4d8c352a26a26978abe8b5d0d3255f0b02196482a1
  • 91d07adbf35edb6bb96e7b210f17b9b868ed858802727d6f69c1e5a2d37a9c53
  • 0cfdbfb9c4a2a80794462f06cf0da43c5977aa61bd3bbe834002703fe44ef0b4 
    (dropped executable file)

ファイル名

マルウェア本体が実行されたディレクトリ

  • NW[0-9a-zA-Z]{6}.exe
  • [0-9a-zA-Z]{8}.bat
  • [0-9a-zA-Z]{8}.txt
  • bad_[0-9a-zA-Z]{16}.txt
  • elog_[0-9a-zA-Z]{16}.txt
  • LFIN_[0-9a-zA-Z]{16}.txt
  • [YOUR_GLOBAL_IPADDRESS]_log.txt
  • [0-9a-zA-Z]{8}.exe
  • PROCEXP152.SYS

%AppData%直下

  • [0-9a-zA-Z]{8}.bmp
  • [0-9a-zA-Z]{8}.vbs
  • [0-9a-zA-Z]{8}.bat

暗号化対象ファイルが置かれている全ディレクトリ

  • #NEWRAR_README#.rtf
  • [newrar@tuta.io].[0-9a-z]{8}-[0-9a-z]{8}.newrar

C2 URL/IPアドレス

  • http://no7654324wesdfghgfds[.]000webhostapp[.]com/addrecord[.]php
            o   145.14.144.16
            o   145.14.144.143
            o   145.14.145.178
            o   145.14.144.182
                      ■動的にセグメント内で割り当てられていることが確認できました
  • http://myexternalip.com/raw
            o   78.47.139.102
  • ミューテックス

        o   MutexNEWRAR
        o   MutexNEWRARDONW

  • 特徴的な文字列とコマンド

            o   NW[0-9a-zA-Z]{6}.exe -n
            o   powershell "$webClient = New-Object -TypeName System.Net.WebClient;$webClient.DownloadString('hxxp://myexternalip[.]com/raw')" >"[same directory of itself]\[0-9a-zA-Z]{8}.txt"
            o   reg add "HKCU\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "%AppData%\[0-9a-zA-Z]{8}.bmp" /f & reg add "HKCU\Control Panel\Desktop" /v WallpaperStyle /t REG_SZ /d "0" /f & reg add "HKCU\Control Panel\Desktop" /v TileWallpaper /t REG_SZ /d "0" /f
            o   "UseBackQ Tokens=3,6 delims=: "

著者について

Tags: