LockBitランサムウェアの分析:侵害された1つの認証情報を使った急速なデトネーション

Cyber AIをトライアル使用中の米国の小売業のお客様において、最近LockBitランサムウェアが検知されました。 侵害された管理者認証情報を使って最初の足掛かりが確立されると、内部偵察、水平移動、そしてファイルの暗号化が同時に発生し、ランサムウェアはわずか数時間の間にデジタルシステム内に行きわたりました。
このインシデントは、現在のランサムウェアは人間の対応者をはるかに上回るスピードで組織内を移動するのだということを改めて思い出させる事例であり、被害が発生する前に脅威を封じ込めるにはマシンスピードの自動対処が必要だということを実証しています。
LockBitランサムウェアの定義
2019年に初めて発見されたLockBitは比較的新しいランサムウェアファミリーであり、SMBやPowerShellなどのよくあるプロトコルやツールをすばやく悪用するものです。これは当初、 ‘ABCD’と呼ばれていました。暗号化されたファイルの拡張子として現在の.lockbit拡張子が使われ始める前の拡張子に由来しています。こうした初期の形態から、現在では組織あたり平均 40,000ドルの身代金を要求するこれまでで最も悲惨なマルウェアの系統に進化しています。
サイバー犯罪者が攻撃のスピードとスケールをレベルアップさせる中で、ランサムウェアはあらゆる業種の組織において深刻な懸念となっています。過去12か月間で、Darktraceの顧客ベース内のランサムウェアインシデントは20%以上増加しています。攻撃者は常にエクスプロイトを目的とした新しい脅威の変種を開発し、既成のツールを使用し、急成長を続けるRansomware-as-a-Service (RaaS) ビジネスモデルから利益を得ています。
LockBitの仕組みは?
典型的な攻撃では、脅威アクターは数日あるいは数週間に渡りシステム内に潜み、標的のビジネスを停止に至るまで崩壊させる最良の方法を手作業で探ります。このフェーズではC2ビーコニングを含む複数の侵害の兆候が見られる傾向にあり、Darktrace AIはこれらをリアルタイムに識別します。
ところが、LockBitは人間の存在を数時間しか必要とせず、その後は単独でシステム内を伝播して人間による監督を必要とせずに他のホストを感染させます。重要な点は、このマルウェアが暗号化フェーズにおいても偵察を実行し拡散を続けることです。これにより他の手動によるアプローチよりも短時間で最大の損害を与えることができます。
このように高速かつ大規模に拡散する能力を持ち、シグネチャベースのセキュリティツールでは多くの場合検知されないこれらのマシンドリブンの攻撃に応戦するには、AIを駆使する防御が必須となります。Cyber AI は脅威のかすかな兆候を検知するだけではなく、どんな人間の反応スピードよりも早く数秒で自律的に対応することで人間のチームを補強します。
ランサムウェアの分析:LockBit攻撃をAIで分解する

図1:感染したホストと暗号化ホスト上での攻撃のタイムライン。感染したホストはLockBitに最初に感染したデバイスで、その後暗号化を実行したデバイスである暗号化ホストに広がりました。
最初の侵入
攻撃が始まったのはサイバー犯罪者が1つの特権アカウントの認証情報に対するアクセスを得たときでした。これは過去のLockBitランサムウェア攻撃で見られたような外部に露出したデバイスに対するブルートフォース攻撃か、単にフィッシングEメールを使ったものと思われました。この認証情報を使って、デバイスは最初の感染から数時間の内にファイルを拡散し暗号化を実行しました。
感染に使われた手法が過去数か月間ますます増えている 経路であるフィッシング攻撃であれば、DarktraceのAntigena Email がEメールを保留し悪意あるペイロードを取り除き、最初から攻撃を防ぐことができたはずです。
権限を限定すること、強いパスワードを使用すること、そして多要素認証(MFA)はこのような攻撃での標準プロトコルの悪用を防ぐ上できわめて重要です。
内部偵察
現地時間の14時19分、複数の内部デスティネーションに対する多数の WMI コマンド (ExecMethod) が内部IPアドレスからDCE-RPCを介して実行されました。一連のコマンドは暗号化プロセス全体で見られました。これらのコマンドは組織の通常の「生活パターン」のコンテキストにおいて異常であることを受けて、Darktraceはこれらの接続それぞれについてセキュリティチームにアラートを送信しました。
3分以内に、デバイスはSMBを介して複数のデスティネーションの隠し共有(その多くは同じ場所)に実行形式ファイルを書き込み始めました。隠し共有に対するファイル書き込みは通常制限されています。しかし、管理者認証情報の不正使用によりこれらの特権が与えられてしまいました。実行形式ファイルはWindows / Tempに書き込まれました。ファイル名は次のような同じ形式でした:.*eck[0-9]?.exe
DarktraceはそれぞれのSMB書き込みを潜在的脅威として識別しました。このようなアクティビティはこのデバイスから予期されないものだったからです。
WMIコマンドおよび実行形式ファイルの書き込みは複数のデスティネーションに対して継続しました。2時間もたたないうちに、ExecMethodコマンドは重要なデバイスである「暗号化ホスト」に対して実行され、その後まもなく隠しc$共有に実行形式ファイル(eck3.exe)の書き込みが行われました。
LockBitのスクリプトは現在の権限をチェックする機能 を持っており、管理者権限が出ない場合には、Windows User Account Control (UAC) を使ってバイパスしようとします。このホストはプロセスに対して必要な権限を持っていました。このデバイスが感染すると、暗号化が始まりました。
ファイル暗号化
暗号化が始まってわずか1秒後、Darktraceは攻撃ライフサイクルの初期段階の高確度アラートに続いて、不審なファイル拡張子の追加についてアラートを生成しました。
リカバリファイルである‘Restore-My-Files.txt’はDarktraceにより最初の暗号化イベントの1秒後に特定されています。 8,998個のリカバリファイルが、暗号化されたフォルダにつき1個ずつ書き込まれました。

図2:DarktraceのThreat Visualizerに表示された異常なSMB接続の例。モデル違反はドットで表されています。
この暗号化ホストはSMBを日常的に使用していた重要なデバイスでした。SMBのエクスプロイトはサイバー犯罪者に人気のある戦術です。これらのツールはあまりにも頻繁に使用されるためにシグネチャベースの検知手法ではアクティビティが悪意のあるものかどうか短時間に識別することは困難です。このケースでは、Darktraceのこのデバイスに対する‘Unusual Activity’スコアが暗号化から2秒以内に上がり、デバイスが通常の動作のパターンから逸脱していることを示しています。
暗号化プロセス全体に渡って、Darktraceはデバイスがネットワーク偵察を行い、55台のデバイスで共有の列挙を行い(srvsvcを使って)、1,000以上の内部IPアドレスを9個の重要なTCPポート上でスキャンしていたことも検知しました。
その間、最初に感染した「患者第一号」デバイスは隠しファイル共有への実行形式ファイルの書き込みを続けました。LockBitはこの最初のデバイスを使ってマルウェアをデジタルエステート全体に拡散させる間、「暗号化ホスト」により偵察の実行とファイルの暗号化を同時に行っていました。
Cyber AI は暗号化が始まる前に既に脅威を検知していたにもかかわらず、セキュリティチームは攻撃発生時にDarktraceを監視していませんでした。そのため侵入が継続された結果、 300,000 以上のファイルが暗号化されて.lockbit 拡張子が付けられました。管理者により攻撃が阻止されるまでに、4台のサーバーと15台のデスクトップデバイスが感染してしまいました。
‘ヒットアンドラン’型ランサムウェアの台頭
ほとんどのランサムウェアは組織内に数日から数週間潜伏しますが、LockBitの自己管理的特性により攻撃者は ‘ヒットアンドラン’を行うことが可能で、最初の侵入後に必要な操作を最小限にしたランサムウェアの展開が可能です。したがってLockBitを防ぐには、異常なアクティビティをデジタルインフラ全体に渡ってリアルタイムに検知できる機能がきわめて重要です。
WMIとSMBは世界中のほとんどの企業で使われていますが、この攻撃ではシステム内を伝播し何十万ものファイルを暗号化するのに使われてしまいました。これらの接続の普及と規模は人間やシグネチャベースの検知テクニックだけで監視することはほとんど不可能です。
さらに、個々の企業のデジタルエステートはそれぞれに独自のものであるため、シグネチャベースの検知では内部の接続関係やその規模に対して効果的にアラートを生成することが困難です。しかし、Darktraceは機械学習を使って各デバイスの個別の動作パターンを理解するため、このケースにおいても通常と異なる内部のアクティビティが発生すると同時にそれを指摘することができました。
この組織では、Darktraceの自動対処テクノロジーであるDarktrace Antigenaがアクティブモードに設定されていませんでした。もし有効に設定されていれば、Antigenaは攻撃のきっかけとなった最初のWMI処理とSMBドライブ書き込みを正確に的を絞ってブロックしつつ、重要なネットワークデバイスの通常の動作は継続させることができたはずです。もし、攻撃の足掛かりが確立されてしまっても、Antigenaは暗号化ホストに対して通常の「生活パターン」を強制することにより、SMBを介した暗号化の連鎖を防ぐことができたでしょう。このことは、マシンスピードの攻撃に対して自律的なサイバーセキュリティで対抗することの重要性を示しています。人間のセキュリティチームが対処できないときにも高度な脅威に対してリアルタイムに対処できるからです。
LockBitは何千ものファイルをわずか数秒で暗号化する能力を持っています。これはしっかりした備えのある組織を標的とした場合でも同様です。ワームのような機能が組み込まれているこのタイプのランサムウェアは、2021年にはますます増えることが予測されています。このような攻撃は人間のセキュリティチームだけでは到底かなわないスピードで動くことができます。教師なし機械学習を使ったDarktraceのアプローチは、これらの急激な攻撃に対して数秒で自動対処し、最も早い段階でこれらの動きをシャットダウンすることができます。
この調査結果についての考察はDarktraceアナリストIsabel Finn が協力しました。
LockBit ランサムウェアおよびその他の高度な攻撃をAIがどう検知するかについて詳しく知る
IoC:
IoC | コメント |
Restore-My-Files.txt | 身代金要求文が暗号化されたファイルを含む各フォルダに書き込まれる |
.lockbit | 暗号化ファイル拡張子 |
Windows\Temp\eck2.exe Windows\Temp\eck3.exe Windows\Temp\eck4.exe Windows\Temp\eck5.exe Windows\Temp\eck6.exe Windows\Temp\neweck.exe | ドライブ書き込み実行形式のファイル名 |
Darktrace によるモデル検知結果:
- Device / New or Uncommon WMI Activity
- Compliance / SMB Drive Write
- Compromise / Ransomware / Suspicious SMB Activity
- Compromise / Ransomware / Ransom or Offensive Words Written to SMB
- Anomalous File / Internal / Additional Extension Appended to SMB File
- Anomalous Connection / SMB Enumeration
- Device / Network Scan – Low Anomaly Score
- Anomalous Connection / Sustained MIME Type Conversion
- Anomalous Connection / Suspicious Read Write Ratio
- Unusual Activity / Sustained Anomalous SMB Activity
- Device / Large Number of Model Breaches