GandCrab v4.1ランサムウェアとSMBエクスプロイトスプレッダー利用に関する憶測

GandCrab 4.0のリリースから2日後、FortiGuard Labsは、 クラックされたアプリケーションのダウンロードサイトを装う侵害済みウェブサイトを介すという、同じ方法を用いた新たなバージョン(v4.1)が配信されているのを発見しました。この新バージョンのGandCrabには、以前のバージョンには見られなかったネットワーク通信上の戦術が追加されています。また、いわゆる「SMBエクスプロイトスプレッダー」という脅威に関しても現在様々なレポートが出回っているため、その分析内容をここで共有したいと思います。


ネットワーク通信

Figure 1 Malware sends Info to list of compromised websites

図1. マルウェアが侵害済みウェブサイトリストに情報を送信

GandCrabマルウェアの新バージョンには、接続する侵害済みウェブサイトがハードコードされて記載された、異常に長いリストが含まれています。これらのウェブサイトが一つのバイナリに入っており、ユニークなホストの数は1,000近くにのぼります。

各ホストのフルURLの生成には疑似乱数アルゴリズムが使われ、各所に事前定義された単語から選ばれたものが当てはめられます。最終的なURLは以下のような形式になっています。(例: www.{host}.com/data/tmp/sokakeme.jpg

Figure 2 Format of URLs connected to by GandCrab v4.1

図2. GandCrab v4.1が接続するURLの形式

URLへの接続に成功すると、このマルウェアは暗号化した(そしてbase64でエンコードされた)被害者のデータを送信します。これには感染したシステムとGandCrabに関する以下の情報が含まれます。

  • IPアドレス
  • ユーザー名
  • コンピュータ名
  • ネットワークドメイン
  • インストールされているアンチウィルスのリスト(存在した場合)
  • デフォルトのシステムロケール
  • キーボードのロシア語レイアウトのフラグ(0=Yes/1=No)
  • オペレーティングシステム
  • プロセッサーアーキテクチャ
  • ランサムID ({crc of volume serial number} {volume of serial number})
  • ネットワークとローカルドライブ
  • GandCrabの内部情報:
    • id
    • sub_id
    • バージョン
    • アクション

しかし、マルウェアに含まれたハードコード済みのウェブサイトが実際に侵害を受け、GandCrabのサーバーやダウンロードサイトとして機能しているかどうかに関しては、明確な証拠が見つかりませんでした。さらに奇妙なことがあります。リスト上のライブホストすべてに被害者の情報を送信するというのは、実際には非論理的です。目的達成という点では一度送信が成功すれば十分なはずです。こうした点を踏まえ、この機能は実験的なもの、あるいは単純に分析をかわすためのものではないか、そしてリストに含まれるURLはただ単に悪い冗談の犠牲者なのではないかと私たちは考えるようになりました。


暗号化を確実に行うためプロセスを強制終了

標的とするファイルの完全な暗号化を行うため、GandCrabは以下のプロセスを強制終了することが私たちの分析により判明しました。

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlwriter.exe
  • oracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exeisqlplussvc.exe
  • xfssvccon.exe
  • sqlservr.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exeagntsvc.exe
  • agntsvc.exeencsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • mydesktopqos.exe
  • ocomm.exe
  • mysqld.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thebat64.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe

これらのプロセスを強制終了することで、邪魔が入ることなく、暗号化ルーチンの目的達成が可能になります。また、標的となっているこれらのファイルタイプには、被害者にとって大切なデータが含まれていることが多々あり、被害者がファイルを取り戻すために支払いを検討する可能性が高まります。


GandCrabとSMBエクスプロイトスプレッダーに関する憶測

このバージョンのGandCrabマルウェアは「SMBエクスプロイト」を介して自己増殖できる、とする数多くのレポートがここ数日で出回っています。昨年の第2四半期に WannaCryPetya/NotPetaといったランサムウェアが世界的な規模で発生し、サイバーセキュリティ業界を恐怖に陥れたのが「自己増殖」という言葉です。ですから、この拡散方法を使用する別のランサムウェアが登場したというニュースが騒ぎになるのも当然です。

この件を技術的に分析したレポートは見当たらず、私たちがこれまで行った分析でもこの機能は観察されなかったので、この噂を調査し、確認してみることにしました。ですがこれはまったくの無駄でした。

様々なレポートで、「network f**ker」と呼ばれるモジュールが、このエクスプロイトの実行を担っているとされています。これは、マルウェアのバイナリに見られる以下のデバッグ文字列によって判明したもののようです。

Figure 3 Debug strings in GandCrab v4.0 binary

図3. GandCrab v4.0のバイナリのデバッグ文字列

しかし、この文字列があるにもかかわらず、報告されているようなエクスプロイトの機能に似た実際の機能は見つけることができませんでした。(この文字列が、v4.1ではなく、v4.0で見つかっていたとする報告に関係しているのかもしれません。少なくとも私たちが分析したサンプルでは。)この文字列は、私たちが明らかにした実際のエクスプロイト拡散機能にはつながっていないため、エクスプロイト増殖のためのものではなく、単純にネットワーク共有の暗号化に言及している可能性が高いように思えます。


結論

コミュニティで不要なパニックを引き起こす可能性を避けるために、私たちはこの分析内容を提供しています。レポートや個人の信頼性を傷つけるためのものではありません。しかし、その存在の確たる証拠が見つかるまでは、GandCrabのSMBエクスプロイトによる増殖に関しては、憶測にすぎないと私たちとしては考えています。

この機能が存在するのであれば(そうでないことを祈りますが)、私たちも更新情報を提供していきます。しかし、この一週間でGandCrabは急速に進化しており、このエクスプロイトによる増殖機能に関する憶測が飛び交うなか、脅威アクターたちが今後のアップデートでこの機能を追加しようと考えても不思議はないと思います。

どちらにしても、この脆弱性はマイクロソフトのアップデート MS17-010によって修正済みです。皆さんのシステムも適切にアップデートされていることをご確認ください。FortiGuard Labsでは、今後の進展に眼を光らせていきます。

(意見を提供してくれたDavid Maciejak、Jasper Manuel、Artem Semenchenko、Val Saengphaibul、Fred Gutierrezに感謝します。)

-= FortiGuard Lion Team =-


ソリューション

フォーティネットのお客様は、以下のソリューションで保護されています。

  • サンプルはW32/Gandcrab.IV!trおよびW32/GandCrypt.CHT!trシグネチャで検知
  • FortiSandboxがGandCrabの動作を「ハイリスク」と評価

IOC

Sha256

37e660ada1ea7c65de2499f5093416b3db59dfb360fc99c74820c355bf19ec52 (4.1) - W32/Gandcrab.IV!tr
222ac1b64977c9e24bdaf521a36788b068353c65869469a90b0af8d6c4060f8a (4.1) - W32/Gandcrab.IV!tr
cf104f2ad205baee6d9d80e256201ef6758b850576686611c355808a681bec60 (4.1) - W32/Gandcrab.IV!tr
8ecbfe6f52ae98b5c9e406459804c4ba7f110e71716ebf05015a3a99c995baa1 (4.1) - W32/Filecoder_GandCrab.D!tr
6c1ed5eb1267d95d8a0dc8e1975923ebefd809c2027427b4ead867fb72703f82 (4.0) - W32/GandCrypt.CHT!tr


フォーティネットの 脅威に関するグローバルリサーチ:
最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。 FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。