テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

Egregor ランサムウェア:去ったが、忘れることはできない

Justin Fier, Director of Cyber Intelligence & Analytics | 2021年7月15日木曜日

ランサムウェアグループはこれまでにない速さで出現し消失しています。6月だけを見ても、Avaddonが自発的に復号鍵を公開して姿を消し、また一方ではCLOPのメンバーがウクライナで逮捕されたりしました。この動きは、2月にEgregor ランサムウェアを取り締まった米国情報機関およびウクライナ当局からの圧力が高まったことに続いて起こりました。Egregorが登場したのは2020年の9月にすぎません。6か月も持たなかったのです。

しかし、これらのギャングはいなくなったのではありません。単に地下に潜ったのです。「解決」事例はあるものの、ランサムウェア攻撃の件数は引き続き増えており、新しい脅威アクターや単独のハッカーが毎日ダークウェブに出現しています。

マルウェアアクターが潜伏し、新たな変種と共に再登場を繰り返す中で、新種へのシグネチャ ベースの対応を続けることは困難になりました。このブログでは昨年秋に見られた実際のEgregor侵入事例で見られたTTP(戦術、テクニック、手順)を分析し、Darktraceの自己学習型AIがシグネチャに依存することなく攻撃をどのように検知したかを解説します。

Egregor:Mazeリローデッド

150 companies
世界で150社の企業がEgregorの被害に遭いました。

今年、法執行機関は多忙です。EgregorとCLOP以外にも、ブルガリアと米国のNetwalkerに対するアクションがあり、そして欧州刑事警察機構は国際的なオペレーションにより過去10年間で最も大きなボットネットの1つであるEmotetのコアインフラを遮断したと発表しました。

政府から個別の企業まで、あらゆる当事者がランサムウェアの脅威をより深刻に捉えるようになっています。この圧力の高まりに加え、サイバー犯罪者達は長期間存在して逮捕されるよりも、店じまいを選ぶ方が多いと言えます。

DarkSideがColonial Pipeline社への攻撃の後、廃業 したことはよく知られていますが、これは立ち上げ後わずか9か月後のことでした。Ziggyギャングの管理者は払戻しを行うと発表し、脅威ハンターとしての仕事を探しているとも言っています。

“Hi. I am Ziggy ransomware administrator. We decided to publish all decryption keys.

We are very sad about what we did. As soon as possible, all the keys will be published in this channel.”

この謝罪は割り引いて考えた方がよいでしょう。「廃業」したプレイヤーたちは心を入れ替えたわけではなく、方向性を変えたにすぎません。名前を変え、新しいインフラを作ることでほとぼりが冷めるのを待ち、米国による制裁や連邦政府の監視も回避することができます。PayloadBIN (先月出現した新しいランサムウェア)、WastedLocker、Dridex、Hades、Phoenix、Indrik Spider… これらはすべて1つのグループのエイリアスです。そのグループとはEvil Corp.です。

FBIの潜入および破壊の手法は以前よりアグレッシブなものになっており、前述のようなUターンやゲリラ戦術はますます増えると予想されます。一時的に出現するギャングも、REvilのような、大規模なエンタープライズに代わるトレンドと言えます。REvilのウェブサイトもKaseyaに対する攻撃の後、消滅しました。 そしてこのような「辞める詐欺」がこれからも続くことは疑いようがありません。犯罪者グループが辞めると見せかけて別のブランドで現れる、たとえば昨年9月にMazeがEgregorとしてカムバックしたようにです。

Darktraceは名前や種類に関係なくマルウェアを検知します。Darktraceは昨年 Maze を阻止しましたが、以下に解説する通りその後継者であるEgregorも阻止しました。侵入に使用されたコードならびにC2エンドポイントがこれまでに見られたことのないものであったにも関わらずです。

30%
身代金利益の30%はEgregorの開発者が取得しています。

Egregorランサムウェア攻撃

2020年11月、Egregorはその全盛期にあり、大手企業を標的として「二重恐喝」攻撃によりデータの抜き出しを行っていました。20,000台のアクティブデバイスを持つ、あるヨーロッパのロジスティクス企業においてDarktraceのProof of Value (POV)無償トライアルを実施していたところ、Egregorによる攻撃を受けました。

図1:攻撃のタイムライン全体の滞留時間(最初のC2接続から暗号化まで)は5日間でした。

RaaS(Ransomware-as-a-Service)型のギャングであるEgregorはボットネットプロバイダーと組んで最初のアクセスを実行していたようです。このケースでは、侵入されたデバイスには以前に感染した兆候が見られました。このデバイスはWebexと見られるエンドポイントに接続し、次いでAkamaiに似せたamajai-technologies[.]networkに接続していることが検知されました。このアクティビティに続き、多くのC2およびデータ抜き出しに関連した侵害が発生しました。

3日後、DarktraceはHTTPSを使った水平移動を観測しました。さらに、別のデバイス(サーバー)がamajaiホストに接続していることが検知されました。このサーバーは不審な数字の実行形式ファイルを共有SMBドライブに書き込み、新しいサービスコントロールを取得しました。その後3番目のホストは未知のIPに対して50GBものアップロードを行いました。

図2:Cyber AI Analystは最初のC2と不審なSMB書き込み、および未知の外部ポイントへの大量のアップロードについてまとめています。

2日後、暗号化が始まりました。これにより複数のホストへの侵害がトリガされました。最終日に、攻撃者はさまざまなエンドポイントに大量のアップロードを行い、これらはすべて侵害されたと見られるホストからのものでした。

振り返り分析

$4m
Egregorの身代金コストとして最も高い金額は400万ドルです。

この時点で攻撃が無害化されていなければ、この企業に対して著しい金銭的損失と評判に対するダメージが発生していたかもしれません。二方面攻撃によりEgregorは重要なリソースを暗号化するとともに抜き出すこともでき、被害者が支払いに応じなければ機密データを公開することも計画していました。

このランサムウェアを仕込んだEgregor関連グループは高いスキルを持っていました。多数のC2エンドポイントや、疑似サイト、市販のツールの使用も含め、多数の高度なテクニックを駆使していました。

水平移動や偵察にHTTPSを使用していたことで、スキャンや列挙の水平移動のノイズが小さくなりました。複雑なC2は多数のエンドポイントを持ち、その一部は正式なサイトの偽物でした。さらに、一部のマルウェアは偽装されたファイルでダウンロードされました。Octet StreamのMIMEタイプを持つファイルが‘g.pixel’としてダウンロードされていました。こうした3つの戦術は攻撃者の動きをわかりにくくし、従来型セキュリティツールを欺きました。

ランサムウェア攻撃は、わずか5年前には想像もできなかったスピードで発生しています。この事例での全体の滞留時間は1週間未満であり、攻撃の一部は業務時間外に発生していました。これは、新種の脅威にも対応でき、サイバー攻撃の封じ込めにおいて人間の関与に依存しない自動対処の必要性を強く示すものです。

今日いなくなっても、明日またやってくる

Egregorは2月に摘発されましたが、別の名前と変更したコードで再浮上する可能性も大いにあります。もしそうなったときには、シグネチャは役に立たないでしょう。侵入や強要に新たな手法を使う、これまでに見られたことのないランサムウェアの検知には、別のアプローチが必要です。

上記の事例に含まれていたエンドポイントは、現在OSINT(Open-Source Intelligence)ではCobalt Strikeに関連付けられています。しかしこの調査が行われた時点では、このC2はリストされていませんでした。同様に、このマルウェアもOSINTに知られていなかったため、シグネチャベースのツールが回避されたのです。

それにも関わらず、Darktraceの自己学習型AIは進行中の攻撃のあらゆる段階を検知しました。POVでのトライアル利用中であったため、Darktraceはこの環境に対するリモートアクセス権を持っていませんでした。しかし、このテクノロジーの力を目の当たりにした結果、この組織ではデジタルエステート全体にDarktraceを導入することを決定しました。

この脅威についての考察はDarktraceアナリストRoberto Romeu が協力しました。

DarktraceがEgregorならびにあらゆる形態のランサムウェアを阻止

IoC:

IoCコメント
amajai‑technologies[.]network
23.254.229[.]82
ツールの見せかけと最初または初期の感染C2エンドポイント
190.2.138[.]42
drive.metallic[.]io
52.169.154[.]155
~50GB のデータがアップロードされたエンドポイント

Darktrace によるモデル検知結果:

  • Agent Beacon to New Endpoint
  • Agent Beacon (Long Period)
  • Agent Beacon (Medium Period)
  • Agent Beacon (Short Period)
  • Anomalous Octet Stream
  • Anomalous Server Activity / Outgoing from Server
  • Anomalous SMB Followed By Multiple Model Breaches
  • Anomalous SSL without SNI to New External
  • Beaconing Activity To External Rare
  • Beacon to Young Endpoint
  • Data Sent To New External Device
  • Data Sent to Rare Domain
  • DGA Beacon
  • Empire Python Activity Pattern
  • EXE from Rare External Location
  • High Volume of Connections with Beacon Score
  • High Volume of New or Uncommon Service Control
  • HTTP Beaconing to Rare Destination
  • Large Number of Model Breaches
  • Long Agent Connection to New Endpoint
  • Low and Slow Exfiltration
  • Multiple C2 Model Breaches
  • Multiple Connections to New External TCP Port
  • Multiple Failed Connections to Rare Endpoint
  • Multiple Lateral Movement Model Breaches
  • Network Scan
  • New Failed External Connections
  • New or Uncommon Service Control
  • Numeric Exe in SMB Write
  • Rare External SSL Self-Signed
  • Slow Beaconing Activity To External Rare
  • SMB Drive Write
  • SMB Enumeration
  • SSL Beaconing to Rare Destination
  • SSL or HTTP Beacon
  • Suspicious Beaconing Behaviour
  • Suspicious Self-Signed SSL
  • Sustained SSL or HTTP Increase
  • Quick and Regular Windows HTTP Beaconing
  • Uncommon 1 GiB Outbound
  • Unusual BITS Activity
  • Unusual Internal Connections
  • Unusual SMB Version 1 Connectivity
  • Zip or Gzip from Rare External Location

Justin Fier

Justin is one of the US’s leading cyber intelligence experts, and holds the position of Director for Cyber Intelligence & Analytics at Darktrace. His insights on cyber security and artificial intelligence have been widely reported in leading media outlets, including the Wall Street Journal, CNN, The Washington Post, and VICELAND. With over 10 years’ experience in cyber defense, Justin has supported various elements in the US intelligence community, holding mission-critical security roles with Lockheed Martin, Northrop Grumman Mission Systems and Abraxas. Justin is also a highly-skilled technical specialist, and works with Darktrace’s strategic global customers on threat analysis, defensive cyber operations, protecting IoT, and machine learning.