警戒レベルの低いユーザを狙う、ランサムウェア「TeslaCrypt」の新しい亜種が、うるう日に急増

チェック・ポイントの脅威対策クラウド・グループを率いるオムリ・ギヴォニが先日、トラフィックに異常がないか調査していたところ、うるう日である2016年2月29日に突如10万件を超えるイベントが検出されたことが発覚しました。チェック・ポイントでは、このイベントに関連するファイル(SHA1ハッシュ: 7429b5b4c239cb5380b6d7e4ffa070c4f92f3c79)を隔離しています。奇妙なことに、この日の前後には同様のイベントがまったく確認されませんでした。

迅速な診断、調査の結果、これはランサムウェア「TeslaCrypt」の新しい亜種を利用した一風変わった攻撃キャンペーンであると判明。うるう日に限って発生した攻撃であり、VirusTotalによると、検出に至ったと見られるアンチウイルス・ベンダーはわずか4社に留まりました。

攻撃キャンペーンが急増した理由

ランサムウェアの感染は今や、セキュリティ企業やその顧客の間で大きな関心を集めており、金融機関を狙うマルウェアに代わって主要な懸念事項となっています。そのため、ランサムウェアの指令(C&C)サーバの特定が急がれています。検出されたファイルやC&Cサーバのドメイン用に生成されたシグネチャは、ブロック・リストに登録されています。

したがって、ランサムウェアへの感染を目論む攻撃者としては、アンチウイルス・ベンダーによってシグネチャやC&Cサーバのデータベースが更新され、使用しているサーバが不正なサーバであると公開される前に、感染をすばやく広範囲に拡散させる必要があります。

VirusTotalは、この攻撃キャンペーンが発生した日におけるアンチウイルス・ベンダー56社のスキャン結果を明らかにしました。同社によると、キャンペーンで使用されたペイロードを検出できたのはわずか4社でした。

機械学習を用いるチェック・ポイントのサンドボックス・ソリューションSandBlastは、1回目のスキャンでTeslaCryptを検出しており、エンドポイントを未然に保護しています。なお、検出の際にはシグネチャを必要としません。以下は、チェック・ポイントの汎用的な検出技術で検出されたマルウェアのレポートです。

攻撃を解剖

攻撃の起点となるのは、スパム・メールの大量送信です。スパム・フィルタによって検出され、アンチウイルス・ベンダーがシグネチャを作成する前に、可能な限り多くのユーザにメールを送り付けます。

こちらはソーシャル・エンジニアリング手法を利用したメッセージです(なお、冒頭の挨拶にスペルミスがある点や延滞金の請求額がかなり高額である点を考慮すると、ややお粗末な出来です)。罰金を心配するユーザに添付のファイルを開くよう促しています。この添付ファイルは、拡張子を見る限りは.docファイルのようですが、実際はzipファイルにアーカイブされたJavaScriptファイルです。ファイルを開くとスクリプトが起動し、TeslaCryptがダウンロード、実行されます。

感染後の流れ

このランサムウェアは実行されると、カスタムのキー・リカバリ・アルゴリズムを使用し、インターネットに未接続の状態でユーザのファイルを暗号化します。ファイル名はold_name.mp3にリネームされます。これはおそらく、エントロピー(特徴量)が高い新しいファイルを書き込むという動作の検出を回避するためと見られます。続いて、次のような身代金を要求するメッセージを表示します

ディレクトリ内の暗号化ファイルのスクリーンショット

まとめ

アンチウイルス製品の改善により、新しい亜種のシグネチャが迅速に更新されるようになった結果、未知の脅威を大量にまき散らしてユーザに感染させようと試みる突発的な攻撃キャンペーンが大幅に増加しています。そのため、これまで検出されていない脅威への対処が感染を防ぐうえで不可欠となります。 チェック・ポイントのアンチウイルスおよびネットワーク・ベースのアンチマルウェアをご利用のお客様は、この脅威が検出され、シグネチャが更新された後から現在まで保護されています。もちろん、チェック・ポイントのSandBlastを導入されているお客様も、この攻撃の初期段階から保護されています。

付録1 - JavaScriptファイルのSHA1ハッシュ

  • 0a0f37d161448588caac7b7d077dbb5893c822dc
  • 10a3e03bd752e6dd6cac475542fba24359a2f68a
  • 26084d512fad7bf26fad942f3434a8c35b2088c8
  • 2b1eceb2b4d9f176ccc093d763c9f0ea688e99e4
  • 3ff40f19296c6d4ea47a2be9e937b9af7c34617b
  • 5a029670474e81b032551d12630a2819dfcf967a
  • 8fbaf18c39a4415c8ded47b16f385d20cd37a978
  • ca533304be2c72b5876d756634b2b3207793260d
  • df66e2fd3a05c805d9b6f25d62ee67cdf4decc3e

付録2 - ランサムウェアが通信したC&CサーバのURL

  • “hxxp://3m3q[.]org/wstr.php”
  • “hxxp://biocarbon[.]com.ec/wp-content/uploads/bstr.php”
  • “hxxp://biocarbon.com[.]ec/wp-content/uploads/bstr.php”,
  • “hxxp://conspec[.]us/wp-content/plugins/nextgen-galleryOLD/products/photocrati_nextgen/modules/i18n/wstr.php”,
  • “hxxp://gianservizi[.]it/wp-content/uploads/wstr.php”,
  • “hxxp://goktugyeli[.]com/wstr.php”,
  • “hxxp://imagescroll[.]com/cgi-bin/Templates/bstr.php”,
  • “hxxp://iqinternal[.]com/pmtsys/fonts/wstr.php”,
  • “hxxp://music.mbsaeger[.]com/music/Glee/bstr.php”,
  • “hxxp://newculturemediablog[.]com/wp-includes/fonts/wstr.php”
  • “hxxp://opravnatramvaji[.]cz/modules/mod_search/wstr.php”,
  • “hxxp://ptlchemicaltrading[.]com/images/gallery/wstr.php”,
  • “hxxp://ricardomendezabogado[.]com/components/com_imageshow/wstr.php”,
  • “hxxp://saludaonline[.]com/wstr.php”,
  • “hxxp://stacon[.]eu/bstr.php”,
  • “hxxp://suratjualan[.]com/copywriting.my/image/wstr.php”,
  • “hxxp://surrogacyandadoption[.]com/bstr.php”,
  • “hxxp://tmfilms[.]net/wp-content/plugins/binary.php”,
  • “hxxp://worldisonefamily[.]info/zz/libraries/bstr.php”