2020年11月24日

Ryuk Ransomware: Deviance の分散

We have heard this story before, so I will skip the backstory about how ransomware is a giant nightmare that shows absolutely no sign of slowing down,

ランサムウェアがいかに巨大な悪夢であり、その勢いがまったく衰える気配がないかという話は既にご存知だと思いますので、この点については省略します。Ryuk ランサムウェアに関する情報は数多くありますが、あまり知られていないのは、Ryuk には多くの種類と世代があり、様々な Ryuk がお客様の環境を襲う可能性があるということです。

Ryuk の第1世代は、あまり賢いつくりではありませんでした。当時成功を収めていたHermesの派生型であるRyuk は、身代金を投下するための新たなメカニズムが追加された新しい亜種でした。これを成功させるために、ハッカーグループは、今でも悪名高く人々を脅かしているトロイの木馬「Trickbot」のような、利用可能なツールに大きく依存していました。

つまり、Trickbot を停止させることができれば、Ryuk の攻撃を受けずに済む可能性が非常に高くなります。なぜこのようなことが起こるのでしょうか? Trickbot は、グループがネットワークの偵察を開始するための最初の足場となるものです。もしトロイの木馬がゲートでブロックされていたら、攻撃する地盤がないことになります。

よりマニュアル化されたバージョン

Ryuk の第1世代が他のランサムウェアと異なるのは、人間の要素です。Trickbot がマシンに侵入したら、誰かが偵察を行い、環境に最も「影響」を与えるようなマシンへのアクセスを可能にし、その結果、支払いが「保証」あるものとなります。

一般的なターゲットは、ファイルサーバ、ドメインコントローラ、ホスティングマシンなどの重要なマシンです。マルウェアやランサムウェアに関する情報を共有する能力が高まり、多くのソースからのライブ投稿を見ることができる無数のサイトがあるにもかかわらず、なぜ第1世代はこれほどまでに成功したのでしょうか?それは、エンドユーザーへの影響(パフォーマンスの低下、アプリケーションのクラッシュなど)を最小限に抑えるために、管理者が厳格なAVポリシーから「除外」したり、場合によっては製品を完全に無効化したりしているものが、最も悪質なターゲットとなる傾向があるからです。

次世代 Ryuk

次世代のRyukは、Ryuk のクリエイターが学校に戻って、環境に侵入するための高度な知識を身につけ、それを繰り返しています。どこの管理者も聞きたくないパターンですね。いくつかの点が変わった一方で(それについてはすぐに説明します)、他の点は変わっていません。環境への基本的な侵入方法は、主に標的型スピアフィッシングと、VBA マクロが含まれている可能性が高い「文書」に依存しており、マクロを有効にした瞬間に(または、デフォルトでコンテンツを有効にしている場合は文書を開いた瞬間に)ドロッパー/ローダーが実行されます。また、TrickBot が方程式の一部である可能性もあります(壊れていない場合は、修正しないことです)。

一般的な料金、多くのキャンペーンがこの方法を使用しています。MAZE(今は亡き)、Ragnar、Emotet などが、足場を固める最初の段階でこの方法を使っています。CobaltStrike Beacon は、ビーコンをコントロールする側(C2)に柔軟性を与えることができるため、レッドチームによる侵入テストの演習でよく使用されています。Wizard Spider は、カスタマイズされたツールへの依存度を大幅に減らし、土地を利用して生活するという新たな段階に入ったことで、環境内での横移動が飛躍的に容易になりました。

足場を築き、C2サーバを設置した後は、他のランサム攻撃と同じように、コマンドとPowershell を利用して、横方向への移動とクレデンシャルダンピングを行います。残念ながら、Powershell スクリプトを監視できる製品はあまりなく、ましてや Powershell スクリプトをコンテキストレベルで分析して、正規のスクリプトを通過させたり、悪意のあるスクリプトを停止させたりすることはできません。

そのため、Powershell を完全にブロックするか、Powershell を許可するかの2つの選択肢があります。ユーザー(特に管理者)が環境を適切に管理したりタスクを遂行したりするために、最大限のセキュリティとバランスを求めるのであれば、どちらも良い選択肢ではありません。これは、管理者がユーザーに影響を与えないためには、環境のセキュリティを低下させてでもできる限りのことをするということに似ています。

例えば、コロナウイルスが大流行した際に、何十もの病院 が第1世代の Ryuk に感染しました。医療機関にとっては、決してあってはならない事態です。

予防はとても重要です。検知して修復することよりも、予防を優先させることは、もはや選択肢の一つではなく、最優先事項です。ランサムウェアの場合、組織にはリスクを負う余裕は全くありません。2020 年 9 月には、ある病院はランサムウェアの攻撃を受け、新たな入院患者を受け入れられなくなったことで、患者が死亡しました。

私の同僚が予防を実践するために作った Ryuk のビデオでは、Ryuk を防ぐために、静的エンジンブレインのバージョン 109 が使われています。これは、109 のBrain が 2018 年 11 月にトレーニングされてリリースされたものであり、感染の 2 年前にリリースされたものであるため、注意が必要です!

上のビデオは、予防に重点を置いたソリューションが最も重要な理由を説明しています。この エンドポイント セキュリティ ソリューションは、インテリジェントな Powershell スクリプト解析を提供し、管理者の業務を柔軟にサポートすると同時に、悪意のある行為に対して厳格な予防方法を適用します。Deep Instinct はまさに完璧なパッケージです。