Sophos Cloud Optix
昨日、SophosLabs は近年増えている「自給自足型」攻撃の手法を用い、さらに発展させた巧妙なランサムウェアに関する詳細記事を発表しました。
この攻撃は、たった 49 KB の Ragnar Locker ランサムウェアを検知されることなく動作させるため、280 MB の Windows XP 仮想マシンを利用し、その仮想マシン内で自身を実行します。また、自身を実行するために Oracle VirtualBox のコピーも使用します。
冗談のような話ですが、本当のことです。
Ragnar Locker ランサムウェアを利用したサイバー犯罪者らは、企業のネットワークに侵入して管理者権限を取得し、偵察を行い、バックアップを削除し、手動でランサムウェアを配置した上で、数百万ドルもの身代金を企業に要求します。
「標的型」や「Big Game (大物狙い)」と呼ばれる攻撃を行っている多くのサイバー犯罪者と同様に、Ragnar Locker ランサムウェアを使うサイバー犯罪者は「自給自足型(あるいは環境寄生型)」と呼ばれる攻撃手法によりまったく検知されることなく被害者のネットワークに侵入しようと試みます。
自給自足型攻撃は、サイバー犯罪者が標的とするネットワーク上にすでに存在するソフトウェア管理ツールか、または一見したところ不審あるいは場違いには見えない正規のソフトウェア管理ツールを使用して行われます (特に PowerShell が多く利用されています)。
SophosLabs によれば、この自給自足型攻撃においてサイバー犯罪者は Windows GPO (グループポリシーオブジェクト) タスクを使用して Microsoft Installer を実行し、Ragnar Locker ランサムウェアが内部で実行可能な状態の VirtualBox のコピーならびに Windows XP 仮想マシンを含む複数のファイルで構成された MSI ファイルをダウンロードします。
VirtualBox は、ホストコンピューター内の 1 個または複数の仮想ゲストコンピューターを実行および管理できるハイパーバイザソフトウェアです。通常、ゲストはホストから隔離されており、ゲストコンピューター内で実行されているプロセスはホストのオペレーティングシステムに干渉することはできません。これは、仮想マシンエスケープ攻撃と呼ばれる攻撃により、マルウェアなどの悪意のあるプロセスがホストを攻撃したり、乗っ取ったりすることを防ぐための仕組みです。
ただし、ゲストをホストから分離する防御策は、友好的なホスト内に存在する敵意のあるゲストを想定しています。今回のケースでは攻撃者はゲストとホストの両方にアクセスできるため、この想定は当てはまりません。
事実、攻撃者の視点では通常とは反対の状態を創り出そうとしていることになります。つまり、敵対的なホストから保護されている攻撃者にとって友好的なゲストです。
攻撃者にとって、被害者のネットワークは敵意のある環境です。自給自足型攻撃は、ネットワークのセキュリティソフトウェアが警告を発することがないよう、可能な限り密かに作業できるように設計されています。マルウェアの実行を開始すると、隠れ蓑がなくなり、検出されるリスクが大幅に高まります。
今回の攻撃では、マルウェアを仮想マシン内で実行することで、ホスト上のセキュリティソフトウェアの監視からマルウェアを隠すことに成功しています。
そして、攻撃者はホストを制御することで、ホストとゲストの間の障壁を容易に緩和しています。
ホスト上のファイルをゲストと共有できる VirtualBox アドオンをインストールし、ホスト上のすべてのローカルディスク、リムーバブルストレージ、およびネットワークドライブをゲスト仮想マシンにアクセスできるようにすることで、この状況を実現しました。これらのドライブがゲストコンピューター内部に取り込まれることで、ランサムウェアは仮想マシンの内部からそれらのファイルを暗号化できるようになります。
一方、ホスト上のセキュリティソフトウェアに関する限りは、ローカルネットワーク上のデータは、正規のソフトウェアである VirtualBox の VboxHeadless.exe プロセスによって暗号化されていました。
したがって、ホストの視点からは攻撃者は身代金の要求をするまでまったく検知されることのないまま、正当なソフトウェアを使用して「自給自足」し続けたということです。
この攻撃に関する技術的詳細に関しては、関連サイトである Sophos News 上で Mark Loman が書いている Ragnar Locker ランサムウェアに関する記事を参照してください。