Protect Against Russia-Ukraine Cyber Activity

脅威の評価:Matrixランサムウェア

A conceptual image designed to accompany the Unit 42 threat asessment of the Matrix ransomware family

This post is also available in: English (英語)

概要

Matrixは2016年に最初に公に特定されたランサムウェアファミリです。そのはじまりからずっとこのランサムウェアは主に中小規模の組織を対象としてきました。地理的分布としては、2019年時点では、米国、ベルギー、台湾、シンガポール、ドイツ、ブラジル、チリ、南アフリカ、カナダ、英国などで観測されてきました。当初はスパムメールキャンペーン、Windowsショートカットを介した感染拡大、配布用のRIGエクスプロイトキットなどの戦術を活用していましたが、2018年に、同ランサムウェアファミリの主要な攻撃ベクトルは、弱いリモートデスクトッププロトコル(RDP)資格情報に対するブルートフォース攻撃へと移行しました。この攻撃方法移行は、DharmaRyukBitPaymerなどと同様、標的型ランサムウェアファミリで繰り返しおこる傾向のようです。

Matrixランサムウェアの概要

Matrixランサムウェアファミリが生成する身代金要求メモのスクリーンショット。「All your valuable data has been encrypted!(すべての貴重なデータは暗号化された!)」で始まる。興味深く重要な段落は次のような内容。「We can prove that we can decrypt all your data.(私たちはデータをすべて解読できることを証明できます。)Please just send us 3-5 small encrypted files which are randomly stored on your server.(サーバーにランダムに保存されている3〜5個の小さな暗号化ファイルを送信してください。)We will decrypt these files and send them to you as proof.(それらのファイルを復号し、証拠としてお送りします。)Please note that files for free test decryption should not contain valuable information.(無料のテスト復号ファイルに貴重な情報を含めないようご注意ください。)」この段落はMatrixの比較的特徴的な手法を示している。
図1 Matrix身代金メモのスクリーンショット

実行されると、Matrixは、ユーザーファイルとネットワーク共有を暗号化し、ボリュームシャドウコピーを削除し、影響を受けたデバイスの回復オプションを無効にします。他の多くのランサムウェアの亜種同様、Matrixが配信する身代金要求メモはビットコインでの支払いを求めてきます。過去のMatrix感染は組織全体に広がるよりも標的を絞るタイプだったようです。

Matrixでは、背後にいる脅威アクターが、一定の身代金を要求する従来の身代金要求メモを配信するのではなく、被害者に直接連絡をとらせ、3〜5個のファイルを復号用の小さいサンプルとして提出させる点がユニークです。こうすることで、攻撃者が被害者のファイル価値を値踏みし、その時点のビットコインのドル換算価値などの要因を勘案したうえで、身代金を変動させることができます。

2020年時点でMatrixランサムウェアは次の拡張子をファイルに追加することが確認されています。
.MTXLOCK、.CORE、.ANN、.FOX、.KOK8、.KOK08、.NEWRAR、.FASTBOB、.FASTB、.EMAN、.THDA、.RAD、.EMAN50、.GMPF、.ATOM、.NOBAD、.TRU8、.FASTA、.JNSS、.FBK、.ITLOCK、.SPCT、.PRCP、.CHRB、.AL8G、.DEUS、.FG69、.JB88、.J91D、.S996、.[barboza40@yahoo.com]、.[Linersmik@naver.com][Jinnyg@tutanota.com]、.[poluz@tutanota.com]、.[Yourencrypt@tutanota.com]、.[Files4463@tuta.io]、.[RestorFile@tutanota.com]、.[RestoreFile@qq.com]、.[oken@tutanota.com]、.[Vfemacry@mail-on.us]、.[d3336666@tutanota.com]、 .[Bitmine8@tutanota.com]

さらにMatrixには「Fox Ransomware」と呼ばれるものを含む亜種が存在しており、これらは暗号化されたファイルの拡張子に「.FOX」を追加します。

著名なランサムウェアファミリの詳細については、2021 Unit 42 ランサムウェア脅威レポートを参照してください。

行動方針

このセクションでは、Matrixのアクティビティに関連する戦術と手法を文書化し、それらを弊社製品・サービスに直接マッピングします。また、お客様にてデバイスの構成が正しく行われているかどうかを確認する方法についてもご説明します。

製品/サービス 行動方針

初期アクセス、永続性、ラテラルムーブメント(横展開、水平展開)

以下の一連のアクションは、次のテクニックを緩和します。
Spearphishing Attachment [T1566.001](添付ファイル型スピアフィッシング)、
Valid Accounts [T1078](正当なアカウント)、
Replication Through Removable Media [T1091](リムーバブルメディア経由の複製)、
Remote Desktop Protocol [T1021.001](リモートデスクトッププロトコル)

NGFW ファイルブロックを設定します
User-IDエージェントのトラフィックがuntrustゾーンに入るのをセキュリティポリシーで制限していることを確認します
untrustゾーンからより信頼できるtrustゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーでサービスに「any」が設定されているものがないことを確認します
信頼された脅威インテリジェンスソースのIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
User-IDが内部の信頼できるインターフェースに対してのみ有効になっていることを確認します
User-IDが有効になっている場合は「許可/除外ネットワーク」が使用されていることを確認します
User-IDが有効になっている場合はUser-IDエージェントに最小限の権限を設定していることを確認します
User-IDサービスアカウントに対話型ログオン権限がないことを確認します
User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します
脅威防御 imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します
すべてのゾーンに、偵察行為防御設定をすべて有効化し、調整し、適切な処理を設定したゾーンプロテクションプロファイルがあることを確認します
WildFire WildFireファイルサイズのアップロード制限が最大化されていることを確認します
WildFireファイルブロックプロファイルのすべてのアプリケーション、ファイルタイプについて、転送が有効になっていることを確認します
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します
復号したコンテンツのWildFireへの転送が有効になっていることを確認します
すべてのWildFireセッション情報設定が有効になっていることを確認します
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します
Cortex XDR ホスト ファイアウォール プロファイルを構成する
マルウェア セキュリティ プロファイルを構成する
デバイス制御を有効にする
Cortex XSOAR XSOARのプレイブックをデプロイ – Block Account Generic
XSOARのプレイブックをデプロイ – Access Investigation Playbook
XSOARのプレイブックをデプロイ – Impossible Traveler
XSOAR プレイブックデプロイ - Phishing Investigation - Generic V2
XSOAR プレイブックデプロイ - Endpoint Malware Investigation
資格情報へのアクセス
以下の一連のアクションは、次のテクニックを緩和します。
Brute Force [T1110](ブルートフォース)
NGFW ブルートフォースシグネチャのアクションとトリガー条件をカスタマイズします
Cortex XSOAR XSOARのプレイブックをデプロイ – Brute Force Investigation Playbook
防衛回避、永続性、 特権昇格、影響
以下の一連のアクションは、次のテクニックを緩和します。
Windows Command Shell [T1059.003](Windowsコマンドシェル)、
Match Legitimate Name or Location [T1036.005](正当な名前または場所との一致)、
Services File Permissions Weakness [T1574.010](弱いサービスファイルパーミッション)、
Disable or Modify Tools [T1562.001](ツールの無効化ないし変更)、
Service Stop [T1489](サービスの停止)、
Modify Registry [T1112](レジストリの変更)、
Data Encrypted for Impact [T1486](影響を与えるためのデータ暗号化)、
Inhibit System Recovery [T1490](システムの復元禁止)
Cortex XDR アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
Restrictionセキュリティプロファイルを構成します
マルウェアセキュリティプロファイルでBehavioral Threat Protection(BTP)を設定します
Cortex XSOAR XSOARのプレイブックをデプロイ – Ransomware Manual for incident response
XSOARのプレイブックをデプロイ - Palo Alto Networks Endpoint Malware Investigation

表 1. Matrixランサムウェアの行動方針
†これらの機能は次世代ファイアウォールのサブスクリプションサービスの一部として提供されている

結論

標的型のランサムウェア攻撃はいまにはじまったことではありませんが、「脅威アクターがどのように既存ランサムウェアの仲間に加わり、楽な相手を狙っててっとり早く利益を上げるのか」を見るうえで、Matrixは格好の材料といえます。とくに今日の暗号通貨価値の不安定さを考えれば、Matrixの脅威アクターが使うこうした身代金交渉戦術のような攻撃が被害者にもたらしうる危険な影響は大きくなります。他のランサムウェアグループでも見られた戦術の変化にならい、このマルウェアファミリがRDPの悪用へと戦術を移行したことも、企業が現在のランサムウェアの傾向に注意を払う必要性を強調しているといえます。

パロアルトネットワークスはMatrixを次の方法で検出/防止します。

  • WildFire: 既知のサンプルはすべてマルウェアとして識別されます。
  • Cortex XDR:
    • Matrixのインジケータを含みます。
    • ランサムウェア対策モジュールでMatrixの暗号化の振る舞いを検出します。
    • ローカル分析・検出機能によりMatrixバイナリを検出します。
  • 次世代ファイアウォール: DNSシグネチャが既知のコマンド&コントロール(C2)ドメインを検出し、URLフィルタリングで同ドメインをマルウェアとして分類します。
  • AutoFocus: 関連アクティビティをMatrixRansomwareタグで追跡します。

Matrixに関連するIoCはこちらのGitHubから利用可能です。Unit 42のTAXIIフィードにも公開済みです。

追加資料