This post is also available in: English (英語)

概要

先週、Microsoftが「攻撃者が4つのゼロデイ脆弱性使用してExchange Mail Serversを侵害した」と報告しました。同社は修正プログラムを公開しましたが、悪意のあるツールやマルウェアによる攻撃者による脆弱なバージョンのMicrosoft Exchange Serverへの攻撃は続いており、これがデータ漏えいにつながるおそれがあります。さらに同社が確認したところでは、これらの脆弱性を利用するランサムウェアの亜種が存在しており、これは「DearCry」と呼ばれています。これとは無関係なべつの悪名高いランサムウェアファミリとして「WannaCry」があります。こちらは組織化された攻撃キャンペーンのペイロードに使用され、Microsoftの既知の脆弱性を利用して被害端末を一斉に感染させているものです。この名称からして、同ランサムウェアの作者がWannaCryに敬意を表して「DearCry」という名をつけたと考えるのがまず妥当でしょう。

悪意のあるアクティビティの急増を受け、脅威全容の把握のため、本脅威評価を作成しました。観測されたテクニックやそれに対応してとるべき行動方針全体 (CoA) を視覚化した内容についてはUnit 42のATOMビューアからご確認ください。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、infojapan@paloaltonetworks.com まで電子メールにてご連絡ください (ご相談は弊社製品のお客様には限定されません)。

DearCryランサムウェアの概要

DearCryは、Microsoft Exchange ServerのProxyLogonの脆弱性を初期アクセスに悪用していることが確認されている新たなランサムウェア亜種です。セキュリティリサーチャーのMichael Gillespie氏によれば、ProxyLogon脆弱性を利用した関連Microsoft Exchange Serverの侵害をともなうDearCry身代金メモ出現の初期報告が2021年3月9日に表面化し始めており、その被害対象は米国、カナダ、オーストラリアとされています。

実行されるとDearCryランサムウェアはAES-256とRSA-2048を使用して被害端末のファイルを暗号化し、ファイルヘッダを変更して「DEARCRY!」という文字列を含めます(図1参照)。

ここにしめすように、実行されると、DearCryランサムウェアはAES-256とRSA-2048を使用して被害端末のファイルを暗号化し、ファイルヘッダを変更して「DEARCRY!」という文字列を含めます。
図1 DearCryのファイルヘッダ

多くのランサムウェア亜種同様、DearCryも被害者のデスクトップに身代金メモを残します。ただしDearCryのメモには固定額の身代金要求をするビットコインウォレットアドレスを含める代わりに、被害者が連絡するように求められる2つの電子メールアドレスと、提供されたハッシュを送信するようにという要求が含まれています(図2参照)。

DearCryの身代金メモ内容「貴殿のファイルは暗号化された。復号したければ以下に問い合わせよ。」その下に2つのメールアドレスと提供されたハッシュへの要求が記載されています。
図2 DearCryの身代金メモ

実行中、DearCryはWindowsオペレーティングシステムネイティブではない「msupdate」という名前のサービスも実行します。このサービスはランサムウェアが暗号化プロセスを終了すると後で削除されます。さらに被害システム上ではCD-ROMドライブを除くWindowsオペレーティングシステム上のすべての論理ドライブが列挙され、それによりランサムウェアがRSA公開鍵を使ってファイルの暗号化を開始できるようになります。
2021年3月時点でDearCryランサムウェアは以下のファイル拡張子を持つファイルを標的にしていることが確認されています。
.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT, .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP, .BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB, .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS本稿執筆時点では、本脅威に帰属することが確認されているサンプルにはすべて、感染ファイルの拡張子として.CRYPTが使われています。

このスクリーンショットが示すように、DearCry暗号化ファイルは.CRYPT拡張子を利用します。
図3 DearCryの暗号化ファイル

行動方針

このセクションでは、DearCryのアクティビティに関連する戦術と手法を文書化し、それらを弊社製品・サービスに直接マッピングします。また、お客様にてデバイスの構成が正しく行われているかどうかを確認する方法についてもご説明します。

製品/サービス 行動方針

初期アクセス

Exploit Public-Facing Application [T1190]
(インターネットに公開されたアプリケーションの悪用 [T1190])

NGFW untrustゾーンからより信頼できるtrustゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーでサービスに「any」が設定されているものがないことを確認します
信頼された脅威インテリジェンスソースのIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
脅威防御 脆弱性防御プロファイルが重大度「Critical(重大)」および「High(高)」の脆弱性に対する攻撃が「Block(ブロック)」に設定されていること、重大度「Medium(中)」、「Low(低)」、「Informational(情報)」の脆弱性が「Default(デフォルト)」に設定されていることを確認します
トラフィックを許可するすべてのセキュリティルールにセキュアな脆弱性防御プロファイルが適用されていることを確認します
Content Pack 8380をデプロイし、これら4つのゼロデイ脆弱性を検出します
WildFire WildFireファイルサイズのアップロード制限が最大化されていることを確認します
WildFireファイルブロックプロファイルのすべてのアプリケーション、ファイルタイプについて、転送が有効になっていることを確認します
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します
復号したコンテンツのWildFireへの転送が有効になっていることを確認します
すべてのWildFireセッション情報設定が有効になっていることを確認します
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します
Cortex XSOAR XSOAR のプレイブックをデプロイ – Isolate Endpoint

防衛回避、探索、影響

Disable or Modify Tools [T1562.001](ツールの無効化ないし変更),
File and Directory Discovery [T1083](ファイルとディレクトリの探索),
Data Encrypted for Impact [T1486](影響を狙ったデータ暗号化),
Service Stop [T1489](サービスの停止)

Cortex XDR アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
アクティビティ検出のために次のBIOCアラートを探します*:

Cortex XDR Agent – Behavioral Threat Detected

Cortex XDR Analytics – Multiple Discovery Commands

Cortex XSOAR XSOARのプレイブックをデプロイ - Ransomware Manual

表1 DearCryの行動方針

†これらの機能は、NGFWセキュリティサブスクリプションサービスの一部です
* これらの分析検出器は、Cortex XDR Proのお客様に対し自動的にトリガーされます

結論

DearCryはMicrosoft Exchange ServerのProxyLogon脆弱性を利用する新たなランサムウェアです。またこのランサムウェアは、新たに開示された脆弱性を手っ取り早く使って利益を上げることにより、脅威アクターが脅威の概況にどのような影響を与えることができるかを示した格好の例といえます。弊社は、すべてのMicrosoft Exchange Serverを、Microsoftがリリースした最新の修正を適用したバージョンにただちに更新することを強く推奨します。

パロアルトネットワークスのお客様は、製品エコシステム全体で保護されており、次の製品とサブスクリプションに対策を展開済みです。

パロアルトネットワークス製品が保護に最適な方法で構成されていることを確認するためのベストプラクティスがお客様環境で採用されているかどうかについてもぜひご確認ください。

この脅威評価に関連する指標は、GitHub、Unit 42 TAXIIフィード、ATOMビューアからご確認ください。

上記一連のアクションに加え、AutoFocusのお客様は、次のタグを使用して追加のアクティビティを確認できます: DearCry

追加資料

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org

Enlarged Image