01. 概要
ユーザーPCに保存されているファイル(画像、音楽、その他文書資料など)を暗号化し、ビットコインのようなお金を要求する攻撃方法であるランサムウェア(Ransomware)はCrypt0L0ckerが発見されてから、ユーザーに音声で感染事実を知らせるランサムウェアまで今でも新たな攻撃タイプのランサムウェアが持続的に発見されている。
ランサムウェアの攻撃者は被害者の個人PCやサーバを感染させるために様々な攻撃を試している。ホームページまたメールに添付された信頼されてないファイルのダウンロード及び実行による感染、ドライブバイダウンロード(Driver-By Download)を介した感染などが存在し、最近は過去に知られた脆弱性(Known Valnerability)を利用した攻撃事例を発見されている。
最近、セキュリティ業者であるリスクセンス(RiskSense)が発表したレポート(Ransomware – Through the Lens of Threat and Vulnerability Management)によると2019年発見された19種のランサムウェアが57個の脆弱性を悪用し、2020年には125種のランサムウェアが233個の脆弱性を悪用した統計を発表した。
【▲ 様々な脆弱性を利用したランサムウェア攻撃(参考:RskSense –” Ransomware – Through the Lens of Threat and Vulnerability Management”)】
使用された233個の脆弱性は2020年に発見された10個の脆弱性を除いて2007年から2019年まで発見された脆弱性を使用しており、単純に感染対象を探すためのスキャニング性攻撃から、リモートでログインせずにコードが実行できる脆弱性まで多様な脆弱性がランサムウェアの攻撃に使用されている。これをみると攻撃者はユーザーに被害を与えるため様々な方法の脆弱性を悪用して攻撃をしていると推測できる。
このように最近発見されたランサムウェアが、ユーザーのPCを感染させるためにある色々な方法の中で一番使用している脆弱性は下記になる。オープンソースウェブプラットフォームの脆弱性やJAVA、Adobe Flash Player脆弱性、そしてSMB脆弱性で、このほかにも知られている多くの脆弱性を悪用するなど持続的に脆弱性を利用した攻撃が発生している。
| CVEs | Services | 説明 |
|---|---|---|
| CVE-2010-0738 | JBOSS_Application_Server | JBossデフォルト環境設定を悪用した脆弱性 |
| CVE-2012-1723 | Sun/Oracle JRE | JAVA Appletに対したリモートコード実行脆弱性 |
| CVE-2012-0507 | Sun/Oracle JRE | JAVA Appletに対したリモートコード実行脆弱性 |
| CVE-2015-8651 | Adobe Flash_Player | Integer overflow脆弱性 |
| CVE-2017-0143 | SMB | SMBリモートコード実行脆弱性(MS17-010) |
| CVE-2017-0144 | SMB | |
| CVE-2017-0145 | SMB | |
| CVE-2017-0146 | SMB | |
| CVE-2017-0147 | SMB | |
| CVE-2017-0148 | SMB |
【▲ ランサムウェア攻撃に使用される脆弱性TOP10(参考:RiskSense)】
02. Adobe Flash Player Vulnerability
【▲ Adobe Flash Player vulnerabilities(参考:CVE Details)】
Adobe Flash Playerは1996年始めて紹介され、ベクター基盤のウェブページを作れるようにするウェブ作成ツールであり、ソフトウェアのプラットフォームである。このツールを利用して様々なブラウザから動画、GIFファイルなどを再生できるが、サイバー攻撃者から攻撃の窓口として悪用されてセキュリティの脆弱性が発見された。
その中、代表的なAdobe Flash Player脆弱性を利用したランサムウェア攻撃の方法は下記になる。
【▲ Adobe Flash Player脆弱性を悪用した攻撃シナリオ】
攻撃者は不特定多数のPCを感染させるための手段としてユーザーが手軽に接しやすく、ウェブブラウザでどこでも使用できるソフトウェアプラットフォームであるAdobe Flash Player脆弱性を悪用した攻撃方法である。
ユーザーはホームーページを訪れた時、該当のホームページが正常であるかを肉眼で確認できる方法はない。この時、ホームページに挿入されたSWFが自動で実行されることでユーザーがブラウザを終了するまでに不正スクリプトによってPCの内部ファイルが暗号化される。
【▲ ホームページの訪問で自動実行される不正SWF(参考:It Chosun)】
Adobe Flash Player脆弱性を介してランサムウェアに感染するとシステムログでは感染に使用されたファイルやログを確認することはできない。ローカルやリモートアクセスを通じてシステムに直接不正ファイルを実行していないため、痕跡が残らないのである。
これを確認するためにはユーザーが使用したウェブブラウザからCache, History, Cookie, Downloadファイルの情報を総合分析してユーザーがサイトに直接アクセスしたり、リンクでユーザーが知らないうち訪問したサイトから不正SWFファイルが実行された痕跡を確認する必要がある。
1) Cache
Cacheファイルはユーザーが訪問したページのデータをダウンロードし、保存していてURL情報、イメージファイル、XMLファイル、SWFファイル、JSファイルなどウェブサイトから閲覧した文書の情報を持っている。当該のファイルからは時系列でホームページから閲覧した特殊なファイルがあるか確認できる。
2) History
HistoryファイルはユーザーがURLの入力フォームに直接アドレスを入力したり、リンクで訪れたウェブサイトの接続情報(訪問時間、回数、URL情報など)が確認できる。当該のファイルも同じく、時系列で特殊なホームページの訪問履歴及びリンクの接続履歴を確認する。
3) Download
Downloadファイルはユーザーが直接選択して自分のパソコンにタウンロードしたファイルに関する情報(保存先、時間、サイズなど)が確認できる。ユーザーが直接ダウンロードしていないファイルがあるか確認する。
4) Cookie
Cookieファイルはウェブサイトを利用したユーザーに関するデータでユーザーがアクセスしたホームページ、最後のアクセス時間などの情報が確認できる。
03. SMB(Server Message Block) Vulnerability
【▲ Server Message Blocak(参考:BinaryEdge – Science and Technology)】
SMB(Server Message Block)はWindowsシステムがほかのシステムのプリンターのような資源を共有できるようにするため、開発されたプロトコルで一般的に共有フォルダとして呼ばれるサービスである。Windowsはユーザーのファイルをやり取りするため別のソフトウェアをインストールをしなくてもOSから構成できるSMBサービスで利用できる。
2017年に発表されたSMBリモートコード実行脆弱性((MS17-010, 17.3.14パッチ発表)を利用したランサムウェアであるWannaCryが発見されて以来、ランサムウェアは内部の感染のためにSMB脆弱性を利用している。
このようの攻撃の例でSMB脆弱性を利用した攻撃シナリオは次になる。
【▲ SMB脆弱性を悪用した攻撃シナリオ】
攻撃者は既存の脆弱性やDrive-by Downloadのような攻撃で、内部にあるユーザーPCを感染させた場合、SMB脆弱性を利用して感染伝播が始まる。1次で感染したPCからランサムウェアは内部IPをランダムにスキャンし脆弱なSMBプロトコルが実行されているPCを確認し、そのPCが2次、3次感染対象になり、持続的に内部PCを感染させ続ける攻撃方法である。
脆弱なSMBプロトコルをスキャンし、SMBセキュリティ脆弱性を悪用する方法以外にも、感染したPCがアクセスができる共有フォルダにアクセスし、そこにアクセスできるPCにランサムウェアを感染させる方法も存在する。SMB脆弱性(MS17-010)を悪用してランサムウェアを感染させる方法はシステムログからは確認できないが、共有フォルダにアクセスして感染させる方法はシステムログから確認できる。このような痕跡はWindows Event Securityログからログイン成功(Event ID : 4624)、失敗(Event ID : 4625)の痕跡で確認できる。
【▲ Windows Event Log (Security – Event ID: 4624)】
また該当のイベントの値はログオンタイプ(Logon Type)を分析するとネットワークを通じたリモートログオンイベントであり「ログオンタイプ3」のログを活用して分析を行うことができる。イベントを確認する際には通常共有フォルダにアクセスしていない対象がアクセスしたり、短い間ログオン試しが多い対象が感染PCと確認できる。
【▲ Windows Event Log Detail Description】
04. 最後に
Adobe Flash layer脆弱性とSMB脆弱性を利用した攻撃シナリオと、その確認方法を確認した。最近までも数多くランサムウェアは発見されているが、使用されている脆弱性と2次、3次感染に使用される脆弱性はほぼ同じである。
しかも、最近までブラウザから使用できたAdobe Flash Playerは2020年12月31日以降からサポート中止になり、この後、発生する脆弱性に関してはセキュリティパッチを提供していない。ランサムウェアの攻撃者はセキュリティパッチが行われないソフトウェアと手軽に内部伝播ができる脆弱性を中心に攻撃の窓口として利用し、今後もっと活発な攻撃活動が予想されるため、これを防ぐためにもサポートが終了されたプログラムは使用しない、もしくは削除してサイバー攻撃に対しる被害を減らすことを推奨する。
1) Adobe Flash Player削除方法
①Adobe社から提供している削除プログラムをダウンロードして削除
②コマンドプロンプト(CMD)にwinverを入力してWindowsバージョンを確認後、Microsoft Updateカタログページから当該のバージョンのファイルをダウンロードして削除を行う。
【▲ Windowsアップデートを利用した削除(参考:Microsoft – “Microfost Updateカタログ”)】
2) SMB脆弱性対応方法
①プログラム削除 → Windows機能有効/無効 → SMB1.0/CIFSファイル共有サポートのチェックを外す
【▲ SMB 1.0/CIFSふぃある共有サポート解除】
②定期的にWindowsセキュリティアップデートを行う
【▲ Windows Update】
05. 参考資料
[1] https://f.hubspotusercontent20.net/hubfs/5840026/2021%20Ransomware%20Report/Spotlight_Ransomware2021_RiskSenseCSW.pdf
[2] https://www.boannews.com/media/view.asp?idx=94898&page=1&kind=1&fbclid=IwAR2bNmlLt7vlApFUnZZvRRN7TLPD0BpKplVnQmuMLmtZ9wspMa-418bdBgs
[3] https://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-6761/Adobe-Flash-Player.html
[4] http://www.datanet.co.kr/news/articleView.html?idxno=156072&fbclid=IwAR1lX5aP0BGV45X0qrWbpVflBYiIytq22bcHSDSsmSw-Sy_fFwU-dNDypBM
[5] https://www.boannews.com/media/view.asp?idx=88897
[6] https://www.news1.kr/articles/?4171061
Written by CYBERFORTRESS, INC.
Tweet
関連記事
よく読まれている記事
