Cybereasonでは過去数ヶ月にわたり、日本企業への標的型攻撃の中でランサムウェア「ONI(鬼)」が利用されていることを確認してきました。調査の結果、ランサムウェア「ONI(鬼)」は長期間の侵入の痕跡を消去する目的で利用されていたと疑っています。Cybereasonでは3〜9ヶ月間に渡る標的型攻撃の中で、最終的にはランサムウェア「ONI(鬼)」で同時に数百の端末の暗号化を試みる攻撃を確認してきました。

また調査の中で、ランサムウェア「ONI(鬼)」と同様の脅威アクターに利用されていると思われる、新種のブートキットのランサムウェア攻撃を確認しました。CybereasonではこのランサムウェアをMBR-ONIと呼んでいます。このブートキットのランサムウェアは最近確認されたBadRabbitランサムウェア同様、DiskCryptorと呼ばれる正規のディスク暗号化ユーティリティのコードを利用しています。

標的型攻撃の中でランサムウェア、痕跡を消去するワイパーの利用は世界的に増加していることや、過去に日本で確認されているランサムウェア「ONI(鬼)」が同じく標的型攻撃の際にも利用されていることが確認出来たことから、今回の調査内容の一部公開に至りました。

ONIとMBR-ONI

日本のセキュリティコミュニティでは過去にすでにランサムウェア「ONI(鬼)」についてブログ(Link1Link2)が投稿され、標的型攻撃との関連も示唆されていました。Cybereasonはランサムウェア「ONI(鬼)」が利用された攻撃の調査を行う中で、ランサムウェア「ONI(鬼)」が利用される状況をより詳しく確認することが出来ました。

また、調査の中でMBRを改変し、ディスクのパーティションを暗号化するブートキットのランサムウェア(以下、MBR-ONIと記載)を確認しました。CybereasonではONI、MBR-ONIは同じ標的型攻撃の中で併用され、身代金要求の連絡先に同じメールアドレスが利用されていることから、同じ脅威アクターに利用されていると考えています。

MBR-ONIの身代金要求画面のスクリーンショット

MBR-ONIの身代金要求画面のスクリーンショット

ONIの身代金要求画面のスクリーンショット

ONIの身代金要求画面のスクリーンショット

ONI/MBR-ONIを利用した標的型攻撃の詳細

CybereasonはONI/MBR-ONIランサムウェアを利用した攻撃を複数の業種の企業で確認しています。これらの攻撃には、以下の共通点がありました。

  1. 感染経路: スピアフィッシングのEメールに添付された悪質なオフィス文書が Ammyy Admin RAT(遠隔操作のためのツール)をドロップ。
  2. ネットワーク内の情報探索、認証情報の窃取、感染の拡大: Ammyy Admin RAT等のツールを利用し、ネットワーク内で探索と認証情報の窃取を繰り返し、最終的にドメインコントローラー(以下、DCと記載)を含めたクリティカルな端末を感染させ、ネットワークを掌握。
  3. グループポリシーによるログ消去、ONI/MBR-ONIランサムウェアの展開: 攻撃の最終段階で攻撃者により悪質なグループポリシーが生成され、ネットワーク内の端末に適用。グループポリシーによる自動実行を通して各端末はDCから以下のファイルをコピーして、実行:
    a.Windowsのイベントログを消去するスクリプト
    b.ONI/MBR-ONIランサムウェア
    CybereasonではONI/MBR-ONIは侵入の痕跡を消去し、攻撃者の意図を隠蔽するワイパーとして利用されたと考えています。

感染経路:スピアフィッシングのメールからAmmyy Admin RATへの感染

感染経路はスピアフィッシングのメールに添付されて送られてくる、悪質なオフィス文書をパスワードで保護したzipファイルでした。

zipファイルを解凍してドキュメントを開き、マクロを実行すると、VBScriptがAmmy Admin RATをダウンロードし、実行します。

Ammy Adminがインストールされると、“Time service”というサービスとして、SYSTEM権限で実行されます。

Ammyy AdminのバイナリはVirusTotalを始めとした脅威情報サイトには知られていませんでした。
(SHA-1:6abfb50b0657e87d8aec594ccc95f2e1b13f355e):

Cybereasonが調査した攻撃の中で、最も古いAmmy Adminのバイナリの作成時間は2016年の12月にまで遡りました。この環境では長くて2017年9月ごろまでAmmy Adminが実行されていたことから、攻撃者が少なくとも9ヶ月間ネットワークに侵入していたと思われます。

Ammyy Adminは正規のリモート管理ツールですが、過去にハッカーによりサイバー攻撃に悪用されてきました。前例の一つに、Carbanakグループに関連していると思われる脅威アクターによる、金融機関に対する攻撃が挙げられます。また、Ammyy Adminのウェブサイトのインストーラーが悪質なものにすり替えられるサプライチェーン攻撃にも利用されたこともあります。

感染拡大とDCの掌握

環境内にArmmyy Adminという足がかりを作ると、攻撃者はネットワークの共有ドライブ等を利用し、DCのほか、ファイルサーバー等に感染を拡大しました。

攻撃者によるデータの破損や、執拗なログ消去により確証を掴むには至っていないものの、横感染にはNSAから流出したEternalBlueが利用されたことを疑っています。確認した攻撃では、感染端末は該当のエクスプロイトの対策となるマイクロソフトのパッチMS17-010(2017年3月に公開)はインストールされておらず、環境内ではSMBv1が有効となっていました。

ONIは、GlobeImposterの亜種と共通のコードが多いことが知られています。GlobeImposterの亜種はEternalBlueを利用して横感染することはないものの、GlobeImposterを利用した標的型攻撃の中で、EternalBlueを始めとしたNSAから流出したエクスプロイトが利用されたケースが報告されています。

攻撃者は最終的にドメイン管理者の権限を窃取し、DCに侵入することにより、ネットワークを掌握します。

痕跡の隠蔽: グループポリシーによるログ消去とONI/MBR-ONIの展開

グループポリシーで配布されたスクリプトの自動実行設定

グループポリシーで配布されたスクリプトの自動実行設定

DCを掌握した攻撃者はGPOを利用し、ドメイン内の各端末で攻撃の痕跡を消去するスクリプトを実行します。このスクリプトはWindowsのイベントログを消去し、攻撃の最終段階としてランサムウェアを実行します。

レジストリキー Default Domain Policy
\\[REDACTED].local\sysvol\[REDACTED].local\Policies\{REDACTED}\Machine\Script\Startup\test.bat
目的 1.DCからのONI/MBR-ONIのコピー
2.DCからの“clean.bat” / “cleaner.bat”のコピー
3.上記のバッチファイルによるWindowsイベントログの消去
4.ONI/MBR-ONIの実行
GPOを利用して実行されたスクリプトtest.batの内容

GPOを利用して実行されたスクリプトtest.batの内容

“clean.bat”は、wevtutil コマンドの ”cl” フラグを利用し、460種以上のイベントログを消去していました。

DCからファイルをコピーするためのxcopy.exeの実行

DCからファイルをコピーするためのxcopy.exeの実行

ONI/MBR-ONI (“srvupd.exe”、 “oni.exe”などの名前が確認されています)のDCからのコピー

ONI/MBR-ONI (“srvupd.exe”、 “oni.exe”などの名前が確認されています)のDCからのコピー

ONI ランサムウェアの確認事項

ONIの名前は、暗号化した拡張子が”.oni”となることから与えられているようです。身代金要求の連絡先にも”ONI”というストリングが複数確認されており、一例として“Oninoy0ru” (鬼の夜)というアドレスが確認されています。

身代金の要求画面

身代金の要求画面

上述の通り、ONIは、GlobeImposterの亜種と共通のコードが多く、一部のルーティンは完全に一致しています。

ONIとGlobelmposterの亜種との比較:

ONI ランサムウェア GlobeImposter ランサムウェアの亜種
SHA-1 Hash b7d33751d118fab6aedabfdf6a4ddf627e6cab02 4a850136af93b9918fb4290a2bf665c4f28201d1
類似しているコードの一例

ONIは固定ドライブのほか、リムーバブルメディアやネットワークドライブのファイルも暗号化することが出来ます。

興味深いことに、ONIのバイナリのリソースセクションに、ロシア語の痕跡が確認されています。

このような情報は攻撃者が意図的に解析側の撹乱目的で残すこともあるものの、攻撃者やランサムウェアの作者がロシア語を話せることを示している可能性があります。

MBR-ONIの確認事項

それぞれの感染端末に独自のIDを割振るONIと違い、MBR-ONIの感染端末は身代金要求画面に全て同じIDを表示します。

感染端末のMBRを確認すると、MBR-ONIによりMBRが書き換えられていることが以下のコードのNOP-NOP-JMPの指示から確認できます。これらの指示はDiskCryptorに利用されるものであり、GitHubで確認することが可能です。

MBR-ONIの解析を続けたところ、利用されたのは正規のオープンソースツールである DiskCryptorを一部修正したものであることがわかりました。DiskCryptorの公式ウェブサイトでは製品を以下の通り説明しています:
“(DiskCryptor) is an open encryption solution that offers encryption of all disk partitions, including the system partition.”

MBR-ONIと正規ツールであるDiskCryptorのストリングを比較すると、類似点が多いことが分かります。

MBR-ONIのストリング

MBR-ONIのストリング

GitHub上のDiskCryptorのエラーコードのストリング:
https://github.com/legiar/diskcryptor/blob/master/boot/boot_load.c

ワイパーとして知られるNotPetyaと違い、MBR-ONIは攻撃者により鍵が提供されれば、暗号化されたディスクを復号化することが可能です。そのため、技術的な観点からはMBR-ONIはワイパーではなくランサムウェアであるといえます。一方、Cybereasonで確認してきた攻撃では、攻撃者は復号に必要な鍵を提供するつもりはなかったのではないかと考えております。

上述の正規ツールであるDiskCryptorは、最近Bad Rabbitの脅威アクターに悪用されています。また、他の標的型攻撃で使用された実績のあるMamba / HDDCryptor ランサムウェアも、DiskCryptorのオープンソースのコードを利用しています。MBR-ONIも含めたこれらの例からも分かる通り、正規のディスク暗号化ツールは、使用者の意図や状況によって、ブートキットのランサムウェアやワイパーになり得ます。

ランサムウェアかワイパーか?

ONI/MBR-ONIは両方ランサムウェアであるものの、Cybereasonで確認してきた攻撃でのその用途は幾つかの疑問を残します。今回のランサムウェア攻撃は、ファイルの暗号化と身代金要求を目的としたものではなく、環境内に侵入した痕跡、目的を隠蔽する手段として、攻撃者がランサムウェアの暗号化機能を使ってデータを「破壊」したのではないかと考えています。

確認してきたONI/MBR-ONIを利用した攻撃では、以下の点に注目しています。

  1. なぜ同じ攻撃で2種類のランサムウェアを利用したのか?
  2. なぜONIが端末ごとにIDを生成する一方、MBR-ONIは全ての感染端末に1つのIDを割り振ったのか。併用されているランサムウェアがこの点で違うのは不自然に感じています。この点から攻撃者が感染端末を判別する意図がなかったように思えることも、暗号化されたディスクを復号化するつもりがなかったと疑っています。
  3. 2種類のランサムウェアの他、攻撃者は460種類以上のWindowsイベントログを消去するバッチファイルを実行しました。この周到なログの消去も、同時に実行されたランサムウェアがそれまでの侵入の痕跡や目的の隠蔽に利用された疑念を強めています。
  4. ランサムウェアによる身代金要求を目的とするならば、なぜ(Cybereasonが確認出来た限りで)最大9ヶ月もの間、ネットワークに侵入していたのでしょうか。ランサムウェアの身代金が払われる保証がないにも拘らず、長期間ネットワークに侵入し、検知をかいくぐり続けるのはコスト、リスク共に高く、攻撃としては非効率的に思えます。

まとめ

このブログでは、過去に確認されたONI、新しく確認されたMBR-ONIが同じ脅威アクターにより利用されていると思われることや、両マルウェアが利用される攻撃の過程をご紹介しました。また、ONI、MBR-ONIは共にランサムウェアとしての特徴を持つものの、攻撃者はその暗号化機能をワイパーとして利用していた可能性についても言及しました。

Cybereasonでは両ランサムウェアを利用した攻撃が身代金目的であった可能性を捨て切ってはいないものの、攻撃の過程や被害を受けた企業の性質を考慮すると、他の目的があった可能性を想定するべきだと考えています。

今回紹介したONI/MBR-ONIを利用した攻撃は日本で確認したものですが、世界的にも注目するべきトレンドとなっている内容が含まれています。ランサムウェア被害全体の中では、標的型攻撃の中でのランサムウェアの利用はまだ比較的少ないです。只、過去数年では高度な標的型攻撃の中でランサムウェア、ワイパーがサイバー犯罪者や国家により利用されたケースが徐々に多く報告されています。例として、PetWrap、Mamba、SamSam、NotPetya、Shamoon、Bad Rabbit等が挙げられます。

また、DiskCryptorやAmmyy Adminなどの正規ツールが攻撃者により悪用される点についても紹介しました。正規ツールとマルウェアの区分は難しく、利用者の意図からしか判断することが出来ないことが多いです。今回の攻撃の例では、MBR-ONIがDiskCryptorのコードを利用して、僅かな改変により正規ツールがランサムウェア、ワイパーとして機能してしまいました。

*** Special thanks to Uri Sternfeld, Philip Tsukerman and Niv Yona for their insights.

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/white-paper/606/

ホワイトペーパー「すべての組織が狙われている」