セーフモードで再起動後にデータを暗号化するランサムウェア「Snatch」

Windows PC を「セーフモード」で再起動した後にデータを暗号化する危険なランサムウェア攻撃について、ソフォスの Managed Threat Response (MTR) チームが警告しています。

ロシアが開発したランサムウェア「Snatch」(2000 年の映画『スナッチ』にちなんだ命名) で最近使用されたこの手法は、多くのエンドポイントセキュリティソフトウェアに対して効果的です。なぜなら、エンドポイントセキュリティソフトウェアの多くは、セーフモードが作動しているとロードされないからです。

実際の攻撃を MTR が分析したところ、Snatch 攻撃は、ビジネスネットワークを標的にしている他の多くのランサムウェアと同じように始まります。

攻撃者は、セキュリティが脆弱なリモートデスクトップ (RDP) ポートを探して Azure サーバーに侵入し、ここを足場にしてネットワーク内の Windows ドメインコントローラーに移動します。多くの場合、数週間かけて情報を収集します。

あるネットワーク攻撃は、複数の正規のツール (Process Hacker、IObit Uninstaller、PowerTool、PsExec、Advanced Port Scanner) と独自のツールを使用した後、C2 (C&C) を使用して約 200 台のマシンにランサムウェアをインストールしていました。

この攻撃で使用されていたものと同じソフトウェアが、脆弱な RDP を悪用した米国、カナダ、およびヨーロッパで実行された攻撃でも検出されています。

有効な攻撃手法

しかし、Snatch も他のランサムウェアと同様に「どうすればローカルのソフトウェア保護機能を突破できるのか」という問題を抱えています。

Snatch が取っているアプローチは、停止も一時停止もできない SuperBackupMan という Windows サービスをロードするというものです。これにより、レジストリキーが追加され、ターゲットは次回の再起動後にセーフモードで起動するようになります。

セーフモードで起動されたマシンでは、Windows のボリュームシャドウコピーを削除するルーチンが実行されます。ボリュームシャドウコピーが削除された後、ターゲット上で検出されたすべてのドキュメントが暗号化されます。

セーフモードを使用してセキュリティを迂回する攻撃方法には、長所と短所があります。長所は、この手法を想定していないセキュリティソフトウェアを簡単に迂回できるため、成功率が高い点です。

短所は、偽の Windows サービスを実行しなければならない点です。このサービスを実行するには、ドメインコントローラーに侵入して、ネットワーク内部からターゲットに感染する必要があります。

セーフモードで再起動しても、Windows ログインをパスできるわけではありません。つまり理論上、警告を受けたユーザーにとっては暗号化を阻止できるチャンスです。

しかし、この攻撃はこれまで何度も成功を収めています。Coveware 社は、7 月から 10 月にかけて 12 件のインシデントで企業に代わりランサムウェアの攻撃者との交渉を行い、2,000 ドルから 35,000 ドルに相当する身代金をビットコインで支払った、とソフォスに語っています。

Snatch が C2 の動作分析を回避する目的で MTR のあるリサーチャーの IP アドレスをリアルタイムでブラックリストに登録し、このことにリサーチャーが気付いたことから、攻撃者が手動で監視していることも分かっています。

対策

ソフォスユーザーの方々については、保護機能がすでに最新のエンドポイント保護バージョンに組み込まれていますが、Intercept X で CryptoGuard 機能を有効にすることが重要です。

ソフォスのセキュリティ製品は、Snatch のさまざまなコンポーネントを次のシグネチャで検出します。

Troj/Snatch-H
Mal/Generic-R
Troj/Agent-BCYI
Troj/Agent-BCYN
HPmal/GoRnSm-A
HPmal/RansMaz-A
検出された PUA: ‘PsExec’

なお、Snatch は暗号化の際に、公開鍵がハードコードされた OpenPGP を使用しますが、SophosLabs では防御側が IoC (攻撃の痕跡情報) として参照できるよう、これらの公開鍵をソフォスの GitHub ページで公開しています。

Snatch に対する防御

  • RDP を無効にするか、認証機能を使用して VPN で保護する必要があります。
  • VNC および TeamViewer も攻撃のエントリポイントになる可能性があります。また、攻撃者が近々 Web シェルの使用や SQL インジェクションを開始するという予測を裏付ける証拠があります。
  • すべての管理者アカウントは、多要素認証と強固なパスワードを使用して保護する必要があります。
  • 保護されていないデバイスは、攻撃の足掛かりとして格好の標的になり得ます。これを阻止するには、シャドウ IT の検出をはじめとして定期的な監査を実施する必要があります。
  • ランサムウェア攻撃を受けた場合に備えて、バックアップからの復元や攻撃を許してしまった脆弱性のフォレンジック分析/緩和策など、次善策を定めておく必要があります。
  • エンドポイント保護ツールはどれも同じではありません。現在お使いのツールは Snatch を検出したり、セーフモード攻撃に対抗したりできるでしょうか。今回紹介した攻撃手法は、2020 年には広まりそうです。