【号外】”BadRabbit”(ランサムウェア)がロシア、ウクライナを中心に感染拡大

f:id:nanashi0x:20171025150440p:plain

ランサムウェア"BadRabbitを使ったサイバー攻撃がロシアや他の国々を襲った。

今週火曜日(2017/10/24)の出来事だ。

そこでこの記事では、BadRabbitに関して分かっている情報を、英語のリソースを参考にまとめていきたい。

Bad Rabbitとは何か?

f:id:nanashi0x:20171025150750p:plain

(身代金を要求する画面のキャプチャ。Kasperskyより引用

 

BadRabbitはランサムウェアの一種である。

これまで拡散されたランサムウェアの亜種ではなく、新種であるとされている。

(2017/10/25 追記)

Malwarebytesの分析によれば、今年の6月頃に流行したPetya/Not Petyaに使われたコードと重なるコードが多いようだ。

その事から、Malwarebytes Labsは、Petya/Not Petyaと開発者が関わっていると分析している。

Petya/Not Petyaの際に使われた手法と比べて、機能の高い暗号化モジュールを用いており、正式なドライバーとしてダウンロードされる事から前回で不満だった点を潰して、再度攻撃を試みているのだろう。

Bad Rabbitはどのように拡散するのか?

Bad RabbitのDropperはドライブバイダウンロード攻撃を使って拡散する。

ターゲットが公式のウェブサイトを訪問しているのにも関わらず、Dropperが攻撃者のネットワークからダウンロードされる。エクスプロイトは使用されないため、ターゲットはDropperを自分でダウンロードしなければならない。この時、DropperはAdobe Flash Playerを装っている。

Kaspersky Labsの報告によると、

現段階では、数多くのウェブサイトが攻撃者によってCompromised(改ざんや感染)されており、その多くはニュースやメディアウェブサイトである。

Kaspersky Labs

Bad Rabbitのターゲットは誰か?

BadRabbitはウクライナ、トルコ、ドイツ等で確認され、およそ200の組織・団体がターゲットとなっている。

Bad Rabbitによって起きた被害は何か?

ロシアではInterfaxという通信社ウクライナではOdessa空港が被害に遭い、そこでは遅れの生じた飛行機の便まであったようだ。

ロシアでは重要インフラなどが停止する程の被害は出ていないものも、アメリカのDepartment of Homeland Security(アメリカ合衆国国土安全保障省)は、BadRabbitに関する注意喚起を促している。

Technical Analysis

ランサムウェアのDropperは

  • hxxp://1dnscontrol[.]com/flash_install.php

から拡散される。

f:id:nanashi0x:20171025150815p:plain

(Kasperskyより引用

 

ターゲットは、公式のニュースサイト等から、以上のURLが示すページにリダイレクトされる。

ダウンロードされるファイルの名前は、install_flash_player.exeで、ターゲットによって手動で起動されなくてはならない。

きちんと動作する為には、Administrator権限が必要なので、ターゲットがファイルを起動する際に、ポップアップが表示され、管理者権限で実行を許可する必要がある。

起動すると、悪意のあるコードを含んだDLLファイルをC:\Windows\infpub.datとして保存し、rundll32を使って起動する。

f:id:nanashi0x:20171025150844p:plain

(悪意のあるコードを含むDLLの疑似コード。Kasperskyより引用

 

infpub.datは、WindowsのNTLM認証のブルートフォース攻撃をする事ができる為、擬似乱数的なIPアドレスを持つWindows端末に対してログインが可能となる。

f:id:nanashi0x:20171025150900p:plain

(ハードコードされた認証情報。Kasperskyより引用

 

infpub.datは、悪意のあるコードを含むdispci.exeをC:\Windowsに保存。タスクを作成して起動する。

f:id:nanashi0x:20171025150923p:plain

(タスクを作成し、.exeファイルを起動するコマンドを含む疑似コード。Kasperskyのサイトより引用

 

更に、infpub.datは典型的なランサムウェアとして機能する。組み込まれた拡張子リストを読み込みながら被害者端末内にあるデータファイルを検索し、RSA-2048キーを使って暗号化を始める。

f:id:nanashi0x:20171025150937p:plain

(攻撃者の公開鍵と拡張子のリスト。Kasperskyより引用

 

攻撃者の公開鍵は以下となる。


Public-Key: (2048 bit)
Modulus:
00:e5:c9:43:b9:51:6b:e6:c4:31:67:e7:de:42:55:
6f:65:c1:0a:d2:4e:2e:09:21:79:4a:43:a4:17:d0:
37:b5:1e:8e:ff:10:2d:f3:df:cf:56:1a:30:be:ed:
93:7c:14:d1:b2:70:6c:f3:78:5c:14:7f:21:8c:6d:
95:e4:5e:43:c5:71:68:4b:1a:53:a9:5b:11:e2:53:
a6:e4:a0:76:4b:c6:a9:e1:38:a7:1b:f1:8d:fd:25:
4d:04:5c:25:96:94:61:57:fb:d1:58:d9:8a:80:a2:
1d:44:eb:e4:1f:1c:80:2e:e2:72:52:e0:99:94:8a:
1a:27:9b:41:d1:89:00:4c:41:c4:c9:1b:0b:72:7b:
59:62:c7:70:1f:53:fe:36:65:e2:36:0d:8c:1f:99:
59:f5:b1:0e:93:b6:13:31:fc:15:28:da:ad:1d:a5:
f4:2c:93:b2:02:4c:78:35:1d:03:3c:e1:4b:0d:03:
8d:5b:d3:8e:85:94:a4:47:1d:d5:ec:f0:b7:43:6f:
47:1e:1c:a2:29:50:8f:26:c3:96:d6:5d:66:36:dc:
0b:ec:a5:fe:ee:47:cd:7b:40:9e:7c:1c:84:59:f4:
81:b7:5b:5b:92:f8:dd:78:fd:b1:06:73:e3:6f:71:
84:d4:60:3f:a0:67:06:8e:b5:dc:eb:05:7c:58:ab:
1f:61
Exponent: 65537 (0x10001)

 

.exeファイルのdispci.exeは、DiskCryptorという公式ツールのコードを元に作成されていると思われる。

dispci.exeは、被害者端末のディスクを暗号化するモジュールとして機能し、ブートローダーの設定を変更し、通常の起動プロセスを禁止する。

面白いことに、このマルウェアを作成した攻撃者は、大人気TVシリーズの”Game of Thrones”のファンであることだ。

マルウェアの中で定義されている変数の名前が、同作品に登場するキャラクターの名前になっている。

f:id:nanashi0x:20171025150955p:plain

(”Game of Thrones”に登場するドラゴンの名前。Kasperskyより引用

 

f:id:nanashi0x:20171025151012p:plain

(”Game of Thrones”に登場する登場人物の名前。Kasperskyより引用

 

Kasperskyの公表する対処法としては、

  • エンドポイントセキュリティ等、全てのプロテクション・メカニズムを有効化する事。
  • アンチ・ウイルスのデータベースを直ちにアップデートする
  • アプリケーションの起動に関わる設定の中から、Default Denyを有功化し、見覚えのないファイルの実行を拒否する。

Kaspersky社のアンチウイルスソフトでは、以下のシグネチャによって検知される。

  • Trojan-Ransom.Win32.Gen.ftl
  • Multi.Generic
  • PDM:Trojan.Win32.Generic

IOCs:

  • http://1dnscontrol[.]com/
  • fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe
  • 1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat
  • b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe

 

更新履歴

2017/10/25 14時52分 初稿

2017/10/25 18時10分 Petya/Not Petyaの進化版である旨を追記

2017/10/27 17時43分 Referenceにニュース記事を追記