ランサムウェア

Lockyマルウェア ファミリを真似るPowerWareランサムウェア

Clock Icon 2 min read

This post is also available in: English (英語)

概要

Unit 42は最近PoshCoderとしても知られているPowerWareの新型亜種を発見しました。PowerWareは普及度の高いLockyランサムウェア ファミリを模倣するものです。PoshCoderは2014年以降PowerShellを使ってファイルを暗号化しており、PowerWareと名付けられた新型亜種は2016年3月に報告されました。このマルウェアは被害者のファイルを暗号化してBitcoin暗号通貨による身代金を要求することに関わっています。

暗号化されたファイルに対して".locky"というファイル拡張子を使うほかに、このPowerWare亜種はLockyマルウェア ファミリと同じ身代金要求文も使っています。PowerWareが別のマルウェア ファミリを模倣するのはこれが初めてのことではなく、以前のバージョンではCryptoWallの身代金要求文を使っていたことが分かっています。ランサムウェアの別のインスタンスもTeslaCryptのような他のランサムウェア ファミリからコードを借用していることが分かっています。

Unit 42は被害者のマシン上にある.lockyファイルを再帰的に探し出し元の状態に復元するPythonスクリプトを作成しました。この暗号解除プログラムはここにあります。

分析

PowerWareの最初の分析でこのサンプルが.NET実行形式ファイルであることが分かりました。そこでdnSpyという名前の.NET逆コンパイル プログラムを使ってこのマルウェアを慎重に調査したところ、Quest Softwareの"PowerGUI"という単語が目にとまりました。これにより、このマルウェアがPowerShellスクリプトをMicrosoftの実行形式ファイルに変換するPowerShellスクリプト エディターを使っていることが直ちに分かりました。

図1 逆コンパイルされたマルウェア亜種の中で参照されているPowerGUI
図1 逆コンパイルされたマルウェア亜種の中で参照されているPowerGUI
図2 逆コンパイルされたMain()関数
図2 逆コンパイルされたMain()関数

.NET実行形式ファイルをさらに詳しく調べ始めると、この実行形式ファイルがfixed.ps1という名前のPowerShellスクリプトを展開するのにScriptRunner.dllを使っていることがすぐに分かりました。展開されたファイルは次の場所にドロップされていました。

%USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

実のところ、この.NET実行形式ファイルの役目は埋め込まれているスクリプトを展開してからPowerShell.exeで実行することにすぎません。スクリプトはScripts.zipという名前のZIPファイルの中に存在し、このファイルは図3で示されるようなファイルのリソース セクションの中にあります。

図3 マルウェアのリソース セクションの中に埋め込まれているScripts.zip
図3 マルウェアのリソース セクションの中に埋め込まれているScripts.zip

Scripts.zipファイルは、難読化せずにマルウェアに埋め込まれているため、dnSpyを使用してこのZIPファイルを簡単に解凍できます。これによって、内部の圧縮されたPowerShellスクリプトを取得できます。

PowerShellスクリプトは、他のPoshCoder/PowerWare亜種に非常によく似ています。図4で示すように、このサンプルはAES-128暗号化とハードコードされた鍵を使用するため、被害者は支払うことなくファイルを復号化できます。一部の亜種には、鍵用にランダムに生成されたバイトの送信を試みるネットワーク ビーコンが含まれていることが知られていますが、これにはそのようなネットワークビーコンは含まれていません。

図4 PowerWare亜種の暗号化のセットアップ
図4 PowerWare亜種の暗号化のセットアップ
図5 PowerWareによって暗号化されるファイル拡張子のリスト
図5 PowerWareによって暗号化されるファイル拡張子のリスト

PowerShellスクリプトは自動的に、被害者のマシンで以下にリストされた拡張子を持つファイルをスキャンし、その後、それらの暗号化に進みます。

その後、PowerWareは、悪名高きLockyマルウェアと同様に、暗号化したファイルに.locky拡張子を付加します。また、‘_HELP_instructions.html’という名前でHTMLファイルを書き込みます。言い回しは、Lockyランサムウェア ファミリと同じです。この身代金要求文は暗号化されたファイルが含まれるフォルダにドロップされます。

図6 Lockyマルウェア ファミリを模倣するために使用されるPowerShellコード
図7 Lockyと同じ言い回しを使用したPowerWareの身代金要求文
図8 復号化のWebサイト
図8 復号化のWebサイト

ユーザーが身代金を支払う意思を示すと、以下のような用意されたWebサイトにナビゲートされます。サイトには、ビットコインをいくら購入するかについて指示が記載されており、ここでもLockyランサム ファミリを引用した部分が多数見られ、この亜種は明らかに模倣しています。

復号化

前述のとおり、マルウェアは静的鍵を使用しているため、被害者のファイルは復号化可能です。図9で見られるとおり、マルウェアは実際には、標的とするファイルの最初の2048バイトのみを暗号化します。

図9 PowerWare亜種で暗号化されたファイルの例
図9 PowerWare亜種で暗号化されたファイルの例

次のスクリーンショットは、感染したWindowsマシンで実行されているスクリプトの例を示しています。

図10 実行されている復号化スクリプト
図10 実行されている復号化スクリプト

私たちは、このスクリプトがPowerWareのこの亜種に感染した被害者の助けとなると考えています。

結論

このサンプルは新しいものに見えるかもしれませんが、実際には、以前に検出されたPowerWareマルウェア ファミリの亜種です。他の亜種と異なり、このサンプルはLockyマルウェア ファミリであるかのように偽装しています。

Palo Alto Networksのお客様は、次の方法で脅威から保護されています。

  • このマルウェアに関連するすべてのドメインとIPアドレスは、正しく悪意のあるものとしてフラグ付けされます。
  • この攻撃活動で遭遇したサンプルは、すべてWildFireにより悪意のあるものとして正しく識別されます。
  • このマルウェア ファミリを追跡および識別するためのAutoFocusタグがあります。

セキュリティ侵害の兆候

URL

hxxp://bobbavice[.]top/RY.exe
hxxp://p6y5jnjxpfiibsyx.tor2web[.]org
hxxp://p6y5jnjxpfiibsyx.onion[.]to
hxxp://p6y5jnjxpfiibsyx.onion[.]cab
hxxp://p6y5jnjxpfiibsyx.onion[.]link

SHA256ハッシュ

RY.exe – 7f1023a3d523ab15fe3cceb7fde8038199510703a65dd03d78b9548eb2596b51

ドロップされたPowerShell

fixed.ps1
cd7ca159f8e8dd057b0591abc2e773d5651a27718eb72e26623e64af859d2826
%USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

書き込まれたファイル

_HELP_instructions.html
.locky

Tags

目次

関連記事

関連項目 ランサムウェア リソース

category icon脅威リサーチ

ランサムウェア振り返り: 2024 年上半期
今すぐ読む Right arrow
Constellation image representing the constellation schema used by Palo Alto Networks Unit 42 to track nation-state and
category icon脅威アクター グループ

パロアルトネットワークス Unit 42 が追跡している脅威アクター グループの一覧
今すぐ読む Right arrow
A pictorial representation of RA World ransomware group. A digital graphic of a U.S. dollar bill disintegrating into pixels, symbolizing digital transformation or the concept of cryptocurrency against a backdrop of a dark, tech-inspired visual theme.
category icon脅威リサーチ

RA Group から RA World へ: ランサムウェア グループの進化
今すぐ読む Right arrow
category icon脅威リサーチ

2024 年 ランサムウェア振り返り: Unit 42 によるリーク サイト分析
今すぐ読む Right arrow
category icon主なサイバー脅威

脅威の評価:BianLian ランサムウェア
今すぐ読む Right arrow
A digital illustration of a glowing red padlock symbol superimposed over a detailed circuit board background, emphasizing themes of cybersecurity and data protection. The image features vibrant red and blue lights to highlight the technological context.
category icon脅威リサーチ

見た者のファイルを石に変える: Medusa ランサムウェア
今すぐ読む Right arrow
A digital illustration of a laptop with cybersecurity imagery including a padlock hologram, surrounded by stacks of coins and a credit card, emphasizing financial security. The setting is illuminated in blue, pink, and purple tones.
category icon脅威リサーチ

BlackCat に新たな戦術: VM と Alpine Linux の採用でセキュリティ対策を回避
今すぐ読む Right arrow
A digital illustration of a glowing red padlock symbol superimposed over a detailed circuit board background, emphasizing themes of cybersecurity and data protection. The image features vibrant red and blue lights to highlight the technological context.
category icon脅威リサーチ

CL0P^_- めざせシード マスター!
今すぐ読む Right arrow
A digital illustration of a laptop with cybersecurity imagery including a padlock hologram, surrounded by stacks of coins and a credit card, emphasizing financial security. The setting is illuminated in blue, pink, and purple tones.
category icon脅威リサーチ

ランサムウェア配布は URL が主流に: 主要なキャンペーンとその傾向
今すぐ読む Right arrow
A digital graphic of a U.S. dollar bill disintegrating into pixels, symbolizing digital transformation or the concept of cryptocurrency against a backdrop of a dark, tech-inspired visual theme.
category icon主なサイバー脅威

脅威グループの評価: Mallox ランサムウェア
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow