www.trendmicro.com
Open in
urlscan Pro
23.220.128.204
Public Scan
URL:
https://www.trendmicro.com/ja_jp/research/24/k/fake-lockbit-real-damage-ransomware-samples-abuse-aws-s3-to-stea.html
Submission: On December 20 via api from IN — Scanned from CA
Submission: On December 20 via api from IN — Scanned from CA
Form analysis 1 forms found in the DOM
<form class="main-menu-search" aria-label="Search Trend Micro">
<div class="main-menu-search__field-wrapper" id="cludo-search-form">
<table class="gsc-search-box">
<tbody>
<tr>
<td class="gsc-input">
<input type="text" class="gsc-input-field" name="search" title="search" placeholder="Search" autocomplete="off">
</td>
</tr>
</tbody>
</table>
</div>
</form>Text Content
Business
search close
* テーマ別対策
* 課題別
* 課題別
* 課題別
詳しくはこちら
* サイバーリスク管理
* サイバーリスク管理
継続的なアタックサーフェス(攻撃対象領域)の監視により、コンプライアンスに準拠します。
詳しくはこちら
* クラウドネイティブアプリケーションの保護
* クラウドネイティブアプリケーションの保護
クラウドネイティブなアプリケーションの開発スピードを阻害しないセキュリティを提供します。
詳しくはこちら
* ハイブリッドクラウド環境を保護
* ハイブリッドクラウド環境を保護
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。
詳しくはこちら
* ボーダーレス環境をセキュアに
* ボーダーレス環境をセキュアに
ID、エンドポイント、メール、モバイル、Webを保護し、ユーザが使用するツールから生じるリスクを軽減します。
詳しくはこちら
* ネットワークの死角をなくす
* ネットワークの死角をなくす
クラウドからデータセンタ、工場フロアまで、ネットワーク全体を保護します。
詳しくはこちら
* より迅速な対応を実現
* より迅速な対応を実現
脅威の把握と対処を加速し、SOCおよびITセキュリティチームの負担を軽減します。
詳しくはこちら
* リソースの最適化
* リソースの最適化
積極的なリスク軽減対策とマネージドセキュリティサービスで効果を最大化します。
詳しくはこちら
* ゼロトラストへの道
* ゼロトラストへの道
ゼロトラストでセキュリティを強化するために
詳しくはこちら
* 役割別
* 役割別
* 役割別
詳しくはこちら
* CISO
* CISO
市場をリードするXDR、動的なアタックサーフェスリスクマネジメント、セキュリティソリューションにより、現在および未来のニーズを満たします。
詳しくはこちら
* SOC責任者
* SOC責任者
統合サイバーセキュリティプラットフォームにより、アタックサーフェス(攻撃対象領域)のサイロ化、複雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
詳しくはこちら
* ITインフラ責任者
* ITインフラ責任者
セキュリティを進化することで、より少ないリソースでより多くの保護を実現し、脅威を迅速かつ効果的に軽減します。
詳しくはこちら
* クラウド構築者・開発者
* クラウド構築者・開発者
セキュリティを強化しながら、革新的なアプリケーションをオンタイムで提供できます。
詳しくはこちら
* クラウド運用者
* クラウド運用者
クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの複雑さを解決し、コンプライアンス順守を支援します。
詳しくはこちら
* 業種別
* 業種別
* 業種別
詳しくはこちら
* ヘルスケア
* ヘルスケア
ICT化や電子カルテの普及が進む中、閉じた環境での緩やかな境界防御ではなく、場面に応じたリスクマネジメントを実践していく必要があります。
詳しくはこちら
* 自治体
* 自治体
住民個人情報や企業経営情報などの保護に充分な対策がとられた行政業務と住民サービスが求められています。
詳しくはこちら
* 学校・教育委員会
* 学校・教育委員会
教育の現場におけるPCやインターネットの活用はさらなる普及が見込まれます。職員や生徒に安心安全な環境を提供しましょう。
詳しくはこちら
* 教育・大学
* 教育・大学
個人情報のみならず、先端技術情報など機微情報も保護する必要があります。ニューノーマル時代のICT環境セキュリティについてご紹介いたします。
詳しくはこちら
* 製造業
* 製造業
工場のIoT化が進むにつれてセキュリティリスクも高まっています。安全性や製品品質が重視される工場におけるセキュリティについてご紹介いたします。
詳しくはこちら
* 金融
* 金融
Fintechをはじめとしたサービス領域の拡大とともに、適切な情報管理と安定したサービス提供がより重要性を増しています。
詳しくはこちら
* コネクテッドカー
* コネクテッドカー
自動車へのセキュリティ対策が求められています。車両からモバイルネットワーク、バックエンドに至る自動車のエコシステム全体を保護することが重要です。
詳しくはこちら
* 5G
* 5G
企業で5Gを活用した新たなネットワーク導入が進んでいます。5G/ローカル5Gシステムを保護するエンドツーエンドのサイバーセキュリティをご紹介します。
詳しくはこちら
* 中小企業向けセキュリティ
* 中小企業向けセキュリティ
最新の技術と少ない人的リソースで、最新の脅威から防御
詳しくはこちら
* 製品・ソリューション
* 統合サイバーセキュリティプラットフォーム
* 統合サイバーセキュリティプラットフォーム
* Trend Vision One
統合サイバーセキュリティプラットフォーム
EDRを進化させたXDRでIT環境、OT環境を保護
詳しくはこちら
* Trend Companion
* Trend Companion
AIサイバーセキュリティアシスタント
詳しくはこちら
* アタックサーフェスリスクマネジメント
* アタックサーフェスリスクマネジメント
潜在的なリスクの可視化によるインシデントの予防
詳しくはこちら
* XDR:Extended Detection and Response
* XDR:Extended Detection and Response
脅威の全体像を可視化し、的確なインシデント対応を可能に
詳しくはこちら
* クラウドセキュリティ
* クラウドセキュリティ
* クラウドセキュリティ
オンプレミスからクラウドまでシームレスな保護を提供し、開発者・セキュリティチームをはじめ、企業にとって最も信頼できるクラウドセキュリティプラットフォーム
詳しくはこちら
* Workload Security:クラウドインスタンスを保護
* Workload Security
パフォーマンスを損なうことなく、データセンター、 クラウド、 コンテナを保護するクラウド型セキュリティ
詳しくはこちら
* Conformity:クラウドの設定状況を可視化
* Conformity
クラウドインフラの継続的なセキュリティ維持とコンプライアンス対応
詳しくはこちら
* Container Security:コンテナ環境を保護
* Container Security
コンテナイメージを自動的にスキャン、セキュアなCI/CDパイプラインを実現
詳しくはこちら
* File Security:クラウドストレージのウイルス対策
* File Security
アプリケーションのワークフローやクラウドストレージを高度な脅威から保護
詳しくはこちら
* Network Security:クラウド環境を保護するネットワーク型IPS
* Network Security
マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
詳しくはこちら
* Deep Security:サーバを保護(オンプレミス型)
* Trend Micro Deep Security™
物理・仮想・クラウド環境のサーバ保護
詳しくはこちら
* エンドポイントセキュリティ
* エンドポイントセキュリティ
* エンドポイントセキュリティ
法人組織のエンドポイントを保護
詳しくはこちら
* Trend Vision One Endpoint Security(EPP+EDR)
* Trend Vision One Endpoint Security(EPP+EDR)
法人組織のエンドポイントを保護
詳しくはこちら
* Trend Micro Apex One(EPP)
* Trend Micro Apex One(EPP)
多層の機能によりエンドポイントを強固に保護
詳しくはこちら
* Worry-Free XDR(中小企業向けEPP+EDR)
* Worry-Free XDR(中小企業向けEPP+EDR)
最新の技術と少ない人的リソースで、最新の脅威から防御
詳しくはこちら
* モバイルセキュリティ
* モバイルセキュリティ
マルウェア、悪意のあるアプリケーションなどのモバイルへの脅威に対するオンプレミスおよびSaaSによる保護
モバイルセキュリティ
* エンドポイント製品一覧
* エンドポイント製品一覧
詳しくはこちら
* ネットワークセキュリティ
* ネットワークセキュリティ
* ネットワークセキュリティ
ネットワークでの検出と対応によるXDRの実現
詳しくはこちら
* 侵入防御システム
* 侵入防御システム
ゼロデイ攻撃を始め、既知・未知の脆弱性からネットワークを守る
詳しくはこちら
* 標的型攻撃対策
* 標的型攻撃対策
ネットワークで不正に侵入、外部へ接続、横展開を試みる標的型攻撃の検知、インシデントレスポンスをサポート
詳しくはこちら
* ゼロトラスト/SWG/CASB
* ゼロトラスト/SWG/CASB
継続的なリスク評価で「信頼」を再定義し、デジタルトランスフォーメーションを保護
詳しくはこちら
* 産業向けネットワークセキュリティ
* 産業向けネットワークセキュリティ
ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
産業向けネットワークセキュリティ
* 5Gネットワークセキュリティ
* 5Gネットワークセキュリティ
エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
5Gネットワークセキュリティ
* メールセキュリティ
* メールセキュリティ
* メールセキュリティ
フィッシング、ランサムウェア、標的型攻撃を阻止
詳しくはこちら
* Trend Vision One Email and Collaboration Security
* Trend Vision One™
Trend Vision One Email and Collaboration Security
Microsoft 365やGoogle
Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
詳しくはこちら
* OTセキュリティ
* OTセキュリティ
* OTセキュリティ
サイバーセキュリティによりOT環境の整合性、安全性、稼働時間を維持
OTセキュリティ
* ICS/OTセキュリティ
* ICS/OTセキュリティ
工場などのOT環境の継続的な安定稼働を実現
ICS/OTセキュリティ
* 産業向けネットワークセキュリティ
* 産業向けネットワークセキュリティ
ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
産業向けネットワークセキュリティ
* Identity Security
* Identity Security
アイデンティティを包括的に保護
詳しくはこちら
* ソブリンアンドプライベートクラウド
* Trend Vision One Sovereign and Private Cloud
データ主権を損なうことなく、防御、検知、対応、保護を実現
詳しくはこちら
* 製品一覧・体験版
* 製品一覧・体験版
詳しくはこちら
* リサーチ
* リサーチ&インサイト
* リサーチ&インサイト
* リサーチ&インサイト
詳しくはこちら
* セキュリティ情報サイト Security GO
* セキュリティ情報サイト Security GO
詳しくはこちら
* セキュリティブログ
* セキュリティブログ
詳しくはこちら
* Zero Day Initiatives (ZDI)
* Zero Day Initiatives (ZDI)
詳しくはこちら
* リサーチペーパー
* リサーチペーパー
詳しくはこちら
* Smart Protection Network
* Smart Protection Network
詳しくはこちら
* サイバーリスクインデックス(CRI)
* サイバーリスクインデックス(CRI)
詳しくはこちら
* サービス
* サービス
* サービス
* Trend Service One Complete
詳しくはこちら
* Trend Service One Complete
* Trend Service One Complete
サイバー攻撃やインシデントの発生を24時間365日監視するMDRサービスや、インシデント発生時の対処など包括的なエキスパートサービスを提供
詳しくはこちら
* Trend Service One Essentials
* Trend Service One Essentials
トレンドマイクロのサイバーセキュリティ専門家がサイバー攻撃やインシデントの発生を24時間365日監視
詳しくはこちら
* インシデント対応サービス
* インシデント対応サービス
ランサムウェアや標的型攻撃等の被害に遭われた際、インシデント対応の専門家が一刻も早い業務復旧に向けた支援を実施
詳しくはこちら
* パートナー
* チャネルパートナー
* チャネルパートナー
* チャネルパートナー
お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
詳しくはこちら
* リセラーパートナーを探す
* リセラーパートナーを探す
トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
詳しくはこちら
* MSPパートナー
* MSPパートナー
トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーをご紹介します
詳しくはこちら
* CSPパートナー
* CSPパートナー
クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーをご紹介します
詳しくはこちら
* Marketplace Partner
* Marketplace Partner
Marketplaceを活用したビジネス展開のためのパートナープログラムをご紹介します
詳しくはこちら
* アライアンスパートナー
* アライアンスパートナーの概要
トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最適化できるよう最善の支援を提供します。
詳しくはこちら
* パートナーをお探しのお客さまへ
* パートナーをお探しのお客さまへ
* パートナーをお探しのお客さまへ
* リセラーパートナーを探す
* リセラーパートナーを探す
トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
詳しくはこちら
* 特色からパートナーを探す
* 特色からパートナーを探す
お客さまの課題解決やパートナーエコシステムにおける強み・サービス・事例など、パートナー各社の特色をご紹介します
詳しくはこちら
* MSPパートナーを探す
* MSPパートナーを探す
トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーを掲載しています
詳しくはこちら
* CSPパートナーを探す
* CSPパートナーを探す
クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーを掲載しています
詳しくはこちら
* トレンドマイクロ SaaS 製品取扱パートナーを探す
* トレンドマイクロ SaaS 製品取扱パートナーを探す
「Trend Micro
マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
詳しくはこちら
* パートナーの皆さまへ
* パートナーの皆さまへ
* パートナーの皆さまへ
トレンドマイクロのパートナー、ツール&リソースをご紹介します
詳しくはこちら
* パートナーさま向けお役立ち情報
* パートナーさま向けお役立ち情報
セキュリティに関する勉強コンテンツや、販売から導入に役立つパートナーさま向け情報をご紹介します
詳しくはこちら
* パートナープログラムのご紹介
* パートナープログラムのご紹介
パートナーさま向け各支援プログラムをご紹介します
詳しくはこちら
* パートナーポータルのご紹介
* パートナーポータルのご紹介
登録制のWebサイト「パートナーポータル」ではパートナーさまの販売活動にご活用いただけるコンテンツをご用意しております。
詳しくはこちら
* 流通パートナー
* 流通パートナー
詳しくはこちら
* セキュリティトレーニング
* セキュリティトレーニング
セキュリティエキスパートによるトレーニングプログラムをご紹介します
詳しくはこちら
* 会社概要
* Why Trend Micro
* Why Trend Micro
* Why Trend Micro
詳しくはこちら
* トレンドマイクロの特長
* トレンドマイクロの特長
詳しくはこちら
* 導入事例
* 導入事例
詳しくはこちら
* コアテクノロジー
* コアテクノロジー
詳しくはこちら
* 業界における評価
* 業界における評価
詳しくはこちら
* 会社概要
* 会社概要
* 会社概要
詳しくはこちら
* セキュリティへの取り組み
* セキュリティへの取り組み
詳しくはこちら
* 企業理念・沿革
* 企業理念・沿革
詳しくはこちら
* サイバーセキュリティ・イノベーション研究所
* サイバーセキュリティ・イノベーション研究所
サイバーセキュリティ・イノベーション研究所
* ダイバーシティ・エクイティ&インクルージョン
* ダイバーシティ・エクイティ&インクルージョン
詳しくはこちら
* Sustainability & CSR
* Sustainability & CSR
詳しくはこちら
* エグゼクティブ一覧
* エグゼクティブ一覧
詳しくはこちら
* 子ども・保護者向けセキュリティ教育
* 子ども・保護者向けセキュリティ教育
詳しくはこちら
* NEOMマクラーレンフォーミュラE
* NEOMマクラーレンフォーミュラE
詳しくはこちら
* Privacy and Legal
* Privacy and Legal
詳しくはこちら
* トランスペアレンシーセンター
* トランスペアレンシーセンター
詳しくはこちら
* ニュース、投資家向け情報、採用情報
* ニュース、投資家向け情報、採用情報
* ニュース、投資家向け情報、採用情報
詳しくはこちら
* プレスリリース
* プレスリリース
詳しくはこちら
* ニュース&トピックス
* ニュース&トピックス
詳しくはこちら
* 投資家向け情報
* 投資家向け情報
詳しくはこちら
* 採用情報
* 採用情報
詳しくはこちら
* イベント・セミナー
* イベント・セミナー
詳しくはこちら
* ウェビナー
* ウェビナー
詳しくはこちら
* お知らせ
* お知らせ
詳しくはこちら
Back
Back
Back
Back
* 無料体験版
* お問い合わせ
個人のお客さまはこちら
お問い合わせ
3 新着情報
Back
未読
すべて
* 【NVIDIA登壇ウェビナー】リスクアセスメントの時間を大幅削減 AIでここまで変わるセキュリティ運用
close
詳しくはこちら
* 【導入事例】東京美装興業株式会社
close
詳しくはこちら
* 【リサーチペーパー】生成AIとセキュリティに関する意識調査
close
詳しくはこちら
フォリオ (0)
購入・更新
* 販売パートナーを探す
* 直営ストアで購入する
* 製品の契約更新について
* ライセンス
* 価格表
* 弊社製品ご契約時に必要な登録情報の申請について
サポート
* ビジネスサクセスポータル
* テクニカルサポート
* 最新版ダウンロード
* セキュリティトレーニング
* 技術問い合わせ窓口一覧
* サポートパートナーを探す
リソース
* AIセキュリティ:ニュース&トピック
* セキュリティ情報サイト Security GO
* セキュリティ用語解説
* 脅威解説
* 脅威データベース
* ウェビナー
* 資料ダウンロード
ログイン
* Vision One
* サポート
* パートナーポータル
* Cloud One
* Customer Licensing Portal(CLP)
* 法人カスタマーサービス & サポート
Back
arrow_back
search
close
Content has been added to your Folio
Go to Folio (0) close
ランサムウェア
「LOCKBIT」になりすまし正規ストレージサービスを悪用するランサムウェアを分析
「LockBit」の名を騙って被害者を動揺させ、情報送出に正規ストレージサービスであるAWS
S3を悪用するランサムウェアを確認しました。検体から攻撃者のAWSアカウントが特定され、停止措置が取られました。
By: Jaromir Horejsi, Nitesh Surana November 06, 2024 Read time: 7 分 (3372 words)
Save to Folio
メルマガ登録する
--------------------------------------------------------------------------------
目次
* 概要
* AWSを不正利用するランサムウェア
* 技術分析
* 情報流出
* まとめ
* AWSからのセキュリティ・フィードバック
* トレンドマイクロによる脅威情報の活用
* 脅威ハンティングのクエリ
* 侵入の痕跡
* 参考記事
概要
* ストレージサービス「Amazon
S3」を不正利用して情報を流出させるランサムウェアが発見されました。Go言語で作られた本ランサムウェアは、S3の高速伝送機能「Transfer
Acceleration」を利用し、被害者のファイルを攻撃者のS3バケットに送信します。
* 検体にハードコーディングされたAWS認証情報より、攻撃者のAWSアカウントIDが特定されました。本IDは、「侵入の痕跡(IoC:Indicators of
Compromise)」として、攻撃の検知に利用できるものです。
* 本ランサムウェアは、被害者を動揺させる手段として、悪名高いランサムウェア「LockBit」へのなりすましを図ります。
* トレンドマイクロは、今回の発見事項をAWSセキュリティチームに報告しました。議論の結果、攻撃者の活動は、AWSの利用ポリシー(https://aws.amazon.com/aup/)に反することが確認されました。そのため本件は、AWSサービスの脆弱性に相当するものではありません。問題のAWSアクセスキーやアカウントに対しては、停止の措置が取られました。
AWSを不正利用するランサムウェア
情報窃取ツールの開発から機密情報の流出に至るまで(参考:1、2)、正規のクラウドサービスを不正利用する活動は、増加傾向にあります。今回の調査では、クラウドサービス「AWS(Amazon
Web
Services)」を不正に利用するランサムウェアが発見されました。AWSがランサムウェアの戦略に取り込まれるのは、かなり稀なケースに相当します。本ランサムウェアはGo言語(別称:Golang)で作られており、WindowsとMacOSの両環境を標的としています。稼働すると、標的環境から情報を窃取した上で、それを攻撃者の「Amazon
S3バケット」にアップロードします。S3バケットへのアクセスに必要なAWS認証情報は、ランサムウェアの内部にハードコーディングされています。
本ランサムウェア(トレンドマイクロ製品では「Ransom.Win64.BOCKLIT」などとして検出)による攻撃の最終段階では、被害端末の壁紙が、ランサムウェアファミリ「LockBit」を思わせる画像に変更されます。LockBitはここ数年に渡って活発な動きを見せ、2024年前半には、ファイル検知数が突出して高まりました。こうした背景もあり、LockBitの壁紙を見た被害者は、確かに当該ランサムウェアに感染したと思い込むかも知れません。しかし、実際の攻撃者は、LockBitではありません。これは、悪名高いLockBitになりすますことで、被害者を動揺させる作戦と考えられます。
本ランサムウェアの開発者は、自身のAWSアカウント、または侵害したAWSアカウントを利用していると考えられます。さらに、同一の開発者によるものと思われるランサムウェア検体が、30種以上も発見されました。従って、当該の開発者は、AWSによってアカウントやアクセスキーが停止される前に、開発やテストを急ピッチで進めているものと推測されます。なお、検体内にハードコーディングされたAWSアクセスキーIDなどの認証情報から、紐づくAWSアカウントIDを割り出すことが可能です。防御側では、こうして特定されたAWSアカウント情報はクロスアカウント活動における侵入の痕跡(IoC)となり、攻撃の検知と特定に役立てることができます。
以降、本ランサムウェアの検体が有する機能や、Amazon S3を不正利用する手口について解説します。
技術分析
Go言語では、単一のコードベースをもとに、さまざまなプラットフォーム向けの依存関係を含めてコンパイルすることが可能です。これは、プラットフォーム別にバイナリをそれぞれ作成できる「マルチプラットフォーム・プロジェクト」と呼べるものであり、複雑な依存関係からも解放されます。しかし、こうしたGo言語の強みも、マルウェア開発の手段として不正利用される場合があります。具体例として、ランサムウェア「Agenda」や、最近になって攻撃グループ「Earth
Lusca」が利用し始めたバックドア「KTLVdoor」などが挙げられます。
今回調査したランサムウェア検体の大半には、AWSのアクセスキーIDやシークレットアクセスキーがハードコーディングされていました。内部の動きを分析した結果、AWS
S3の転送高速化機能「S3 Transfer Acceleration(S3TA)」を不正利用していることも判明しました。
今回は、主に解析したのは下記の2検体です。
14fe0071e76b23673569115042a961136ef057848ad44cf35d9f2ca86bd90d31
0c54e79e8317e73714f6e88df01bda2c569ec84893a7a33bb6e8e4cf96980430
図1:ランサムウェア検体による攻撃の流れ
download
本ランサムウェアが起動すると、まず、下記の初期処理を実行します。
1. 標的端末の一意な識別子(UUID:Universal Unique Identifier)を取得する。
2. ハードコーディングで定義された公開鍵をインポートする。
公開鍵は、PEM(Privacy Enhanced Mail)形式でエンコードされています。
図2:PEM形式でハードコーディングされた公開鍵
download
上図のデータをデコードすると、RSA公開鍵が表出し、モジュラスのサイズが2048ビットであることが判明します。
3. ランダムな「マスター鍵」を生成し、それを先述のRSA公開鍵で暗号化する。結果、RSA秘密鍵を所持する攻撃者のみが、マスター鍵を復号できるようになる。
4. 暗号化されたマスター鍵をファイル「README.txt」に書き出す。
5. ライブラリ「AWS SDK for Go
v2」が提供する関数「StaticCredentialsProvider」を使用し、静的な認証情報をロードする。この認証情報には、ハードコーディング定義によるアクセスキーIDやシークレットアクセスキー、AWSリージョン情報などが含まれる。
図3:ハードコーディングされたAWS認証情報
download
以上の初期処理が完了した後、本ランサムウェアは、関数「filepath.Walk」を利用し、ルートディレクトリ(macOSバージョンの場合は「/」)配下の全ファイル一覧を取得します。各ファイルについて、「対象外ディレクトリ」に属するかをチェックします。属する場合は、暗号化の対象外とします。
図4:macOSバージョンでの対象外フォルダ
download
本ランサムウェアには、暗号化対象のファイル拡張子(文書、画像など)が定義されています。
図5:暗号化対象のファイル拡張子
download
なお、「README.txt」という名前のファイルについては、暗号化の対象外となります。
情報流出
先に取得したUUIDに基づき、本ランサムウェアは、攻撃者のAWSアカウント上に「Amazon
S3バケット」を作成します。その際、ハードコーディングで定義されたAWS認証情報を使用します。
図6:標的端末のUUIDをもとにAmazon S3バケットを作成
download
S3バケットの作成後、設定を変更し、S3TAの機能を有効化します。S3TAは、コンテンツ配信ネットワークサービス「Amazon
CloudFront」によって世界各地に配備されたエッジを利用し、長距離通信を高速化するサービスです。本機能を利用する際には、バケット上でそれを有効化する必要があります。また、バケット名はDNS(Domain
Name
System)に準拠する必要があり、ピリオド文字を含めることはできません。S3TAを有効化したS3バケットは、AWS環境の種類に応じて、下記のエンドポイントからアクセスできるようになります。
{バケット名}[.]s3-accelerate.amazonaws.com
{バケット名}[.]s3-accelerate.dualstack.amazonaws.com
図7:S3TAを有効化
download
続いて、対象ファイルの内容が、被害者の端末から攻撃者のAWSアカウント宛てにアップロードされます。この際、先述の拡張子チェックを通過したファイルのうち、サイズが100MiB(メビバイト)以下のものが、関数「Uploader.Upload」によってAWS側にアップロードされます。ファイルサイズに制限を設けている理由は、極端に大きなファイルがアップロードされてAWSの使用料が増える事態を避けるためと考えられます。
図8:100MiB以下のファイルのみをアップロード
download
最後のステップは、対象ファイルをAES-CTRアルゴリズムによって暗号化することです。暗号鍵としては、ファイル名にマスター鍵を付加し、それをハッシュ化した値を使用します。例として、ランダムな16バイトのマスター鍵が「63
20 60 A3 EA 54 84 C9 27 57 76 1E CC 1F FC 12」で、暗号化対象ファイルの名前が「text.txt(16進表記:74
65 78 74 2e 74 78 74)」である場合を考えます。
図9:ファイル名にマスター鍵を付加
download
結果、ファイル名にマスター鍵を付加したバイト列は「74 65 78 74 2E 74 78 74 63 20 60 A3 EA 54 84 C9 27 57
76 1E CC 1F FC 12」であり、そのMD5ハッシュ値は「23 a3 ec c5 58 2d 97 41 07 3c 3b dc 31 7d 49
30」となります。この算出過程を、下記のスクリーンショットに示します(図示目的でCyberChefを利用しました)。
図10:AES暗号鍵の生成
download
こうして得られたMD5ハッシュ値がAES暗号鍵に相当し、関数「crypto.AES.NewCipher」のパラメータとして用いられます。また、AES暗号化の初期ベクトルは16バイトのランダム値であり、関数「crypto.cipher.NewCTR」のパラメータとして用いられます。
暗号化の完了後、本ランサムウェアは、対象ファイルの名前を下記の形式で変更します。
{元のファイル名}.{AES暗号化の初期ベクトル}.abcd
例えばファイル「text.txt」については、下記の名前に変更します。
text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd
図11:暗号化済みファイルに拡張子「abcd」を付加
download
今回、確認のため、デバッガを用いてランサムウェアの検体を稼働させ、マスター鍵の内容を取得(ダンプ)しました。次に、このマスター鍵に加え、適切な暗号化アルゴリズムやパラメータを指定することで、暗号化済みファイルを確かに復号できることが判明しました。この様子を、下図に示します(図示目的でCyberChefを利用しました)。
図12:暗号化アルゴリズムや鍵データ、パラメータを正しく指定することで、ファイルが復号されることを確認
download
本ランサムウェアが作成するファイル「README.txt」には、Base64でエンコードされた文字列が含まれます(図13)。これをデコードすると、Base64でエンコードされた「別の文字列」が表れ、それにホスト名、OSバージョン、感染端末の識別情報が続きます(図14)。さらに「別の文字列」をデコードすると、RSA公開鍵で暗号化(crypto.rsa.EncryptPKCS1v15)されたマスター鍵が得られます。ただし、その暗号化を解除するには、攻撃者のみが所持するRSA秘密鍵が必要となります。
図13:ファイル「README.txt」の内容
download
図14:ファイル「REAMD.txt」をデコードした結果
download
全ファイルの暗号化が完了した後、本ランサムウェアは、標的端末の壁紙を変更します。実際に確認された壁紙として、ランサムウェアファミリ「LockBit」の攻撃で使用された画像(図15)や、LockBitに関するセキュリティブログ内の画像(図16)が挙げられます。しかし、LockBitの最新バージョンは「2.0」ではありません。また、LockBit
は2024年初頭に捜査を受け、主要メンバーが逮捕されるに至っています。
図15:ランサムウェア「LockBit」から盗用された画像
download
図16:LockBitに関するセキュリティブログから盗用された画像
download
壁紙の変更方法として、macOS版は、下記のosascriptを用います。
tell application "System Events" to tell every desktop to set picture to "%s"
一方、Windows版は、API「SystemParametersInfoW」を呼び出します。その際のパラメータ「uiAction」として、「SPI_SETDESKWALLPAPER」を指定します。
Windows版の一部検体には、バックアップ(シャドーコピー)の削除機能に相当するコードも組み込まれていました。なお、当該検体の開発者はプロジェクト「ransomware-simulator」のファイル「shadowcopy.go」をコピーして流用したようですが、パラメータ「/for」を変更する必要性には気づかなかったものと見受けられます。
図17:シャドーコピーの削除を意図したコード
download
まとめ
クラウドサービスを不正利用したサイバー攻撃は、依然として増加傾向にあります。本稿で挙げたGo言語によるランサムウェアは、被害者のファイルを攻撃者側のAmazon
S3バケットに流出させるために、「S3 Transfer
Acceleration」の機能を不正利用しました。こうしたクラウドサービスの機能性は、攻撃者の目から見れば、情報流出を含む不正な活動の武器として映るものです。
一方、防御側にとっては、今回挙げたAWS認証情報のように、不正なアカウント情報を侵入の痕跡(IoC)と見なすことで、攻撃の検知に繋げられる可能性があります。不正なアカウントの追跡は、クラウド環境に潜む脅威の発見や、緩和策の実施に役立つものです。こうした点でも、クラウド・リソースを厳重に監視することが重要です。
本稿の例が示唆するように、ランサムウェアの背後にいる攻撃者は、自身よりも広く認知されているランサムウェアへの偽装を図る可能性があります。その狙いは、悪名高いランサムウェア・グループを騙って被害者を動揺させ、要求を受け入れさせることにあります。
対策として、企業や組織では「Trend Vision
One™」などのソリューションを導入することで、システムの全体を通して脅威を効果的に検知し、これを早い段階でブロックすることが可能となります。
AWSからのセキュリティ・フィードバック
本インシデントについてAWSに報告したところ、下記の回答(英語から日本語に翻訳)が得られました。
AWSでは、AWSサービスが意図されている通りに運用されていることを確認できます。今回特定された活動は、AWSの利用ポリシーに反するものです。報告にあったAWSアクセスキーやアカウントは、すでに停止されています。
ランサムウェア活動は特定の計算環境に限ったものではありませんが、AWSでは、マルウェアに絡むセキュリティの状態を把握し、管理することが可能となっています。
AWSのリソースが不審な活動に利用されている、またはその可能性が疑われる場合は、「不正行為報告フォーム」にご記入いただくか、または、下記のメールアドレスにお問い合わせください。
trustandsafety@support.aws.com
AWSのセキュリティにご協力をいただき、ありがとうございます。
トレンドマイクロによる脅威情報の活用
進化する脅威に備え、トレンドマイクロの製品をご利用の方は、Trend Vision
One™を通してさまざまなインテリジェンス・レポート(Intelligence Report)や脅威インサイト(Threat
Insight)にアクセスできます。脅威インサイトは、サイバー攻撃の脅威が生じる前に対策を確立し、準備体制を整える上で役立ちます。さらに、不正な活動や手口を含めた攻撃者に関する情報を、幅広く網羅しています。こうした脅威情報を活用することで、ご利用の環境を保護し、リスクを軽減し、脅威に的確に対処するための対策を自発的に講じていくことが可能となります。
TREND VISION ONEのアプリ「INTELLIGENCE REPORTS」(IOC SWEEPING)
* Fake LockBit, Real Damage: Ransomware Samples Abuse AWS S3 to Steal
Data(「LockBit」になりすますランサムウェア:情報流出の手段にストレージサービス「AWS S3」を不正利用)
TREND VISION ONEのアプリ「THREAT INSIGHTS」
* Emerging Threats: Fake Lockbit Ransomware Abuses AWS S3 For Data
Exfiltration(高まる脅威:「LockBit」になりすますランサムウェア:情報流出の手段にストレージサービス「AWS S3」を不正利用)
脅威ハンティングのクエリ
TREND VISION ONEのアプリ「SEARCH」
Vision Oneをご利用のお客様は、アプリ「Search」の機能を用いることで、ご利用中の環境を解析し、本稿で挙げた不正な活動の兆候を検知、照合できます。
マルウェア「BOCKLIT」の検知
malName:*BOCKLIT* AND eventName: MALWARE_DETECTION
Vision Oneをご利用中で、かつ「Threat
Insights」(現在プレビュー版)が有効となっている場合、さらに多くのハンティング用クエリをご確認いただけます。
侵入の痕跡(IOC:INDICATORS OF COMPROMISE)
本稿で挙げたランサムウェアとして、さまざまなバージョンが確認されました。そのいずれも暗号化機能を有していますが、アップロード機能や有効なトークンを備えたものは、ごく一部に限られます。こうしたバージョン間での差異を踏まえると、本ランサムウェアは、まだ開発段階にあると推測されます。
IoCの全一覧は、こちらからご確認いただけます。
参考記事:
Fake LockBit, Real Damage: Ransomware Samples Abuse AWS S3 to Steal Data
By: Jaromir Horejsi, Nitesh Surana
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)
タグ
クラウド環境 | ランサムウェア | リサーチ | 記事、ニュース、レポート
執筆者
* Jaromir Horejsi
Senior Cyber Threat Researcher
* Nitesh Surana
Senior Threat Researcher
お問い合わせ
メルマガ登録する
RELATED ARTICLES
* 密かな破壊工作:露出したコンテナのAIモデルを標的とした攻撃
* AIエージェント開発の課題:システム基盤における弱点
* 2024年12月 セキュリティアップデート解説:Microsoft社は72件、Adobe社は167件の脆弱性に対応
セキュリティブログTOPに戻る
30日間無料体験版
* 今すぐ無料体験版を開始
*
*
*
*
*
リソース
* セキュリティブログ
* プレスリリース
* セキュリティ情報サイト Security GO
* リサーチペーパー
* パートナーを探す
*
サポート
* ビジネスサクセスポータル
* お問い合わせ
* 最新版ダウンロード
* 無料体験版
*
*
会社概要
* 会社概要
* 投資家向け情報
* 採用情報
* 国内拠点・地図
* イベント・セミナー
* セキュリティへの取り組み
東京本社
トレンドマイクロ - 日本(JP)
〒160-0022
東京都新宿区新宿4-1-6
JR新宿ミライナタワー
Select a country / region
日本 (Japan) expand_more
close
THE AMERICAS
* United States
* Brasil
* Canada
* México
ASIA PACIFIC
* Australia
* Hong Kong (English)
* 香港 (中文) (Hong Kong)
* भारत गणराज्य (India)
* Indonesia
* 日本 (Japan)
* 대한민국 (South Korea)
* Malaysia
* New Zealand
* Philippines
* Singapore
* 台灣 (Taiwan)
* ราชอาณาจักรไทย (Thailand)
* Việt Nam
EUROPE, MIDDLE EAST & AFRICA
* België (Belgium)
* Česká Republika
* Danmark
* Deutschland, Österreich Schweiz
* España
* France
* Ireland
* Italia
* Middle East and North Africa
* Nederland
* Norge (Norway)
* Polska (Poland)
* Россия (Russia)
* South Africa
* Suomi (Finland)
* Sverige (Sweden)
* Türkiye (Turkey)
* United Kingdom
電子公告 | ご利用条件 | 個人情報保護方針 | Privacy and Legal | 利用者情報の外部送信について | 製品使用許諾契約
| プレスリリース | サポート | サイトマップ| RSS
Copyright ©2024 Trend Micro Incorporated. All rights reserved
電子公告 | ご利用条件 | 個人情報保護方針 | Privacy and Legal | 利用者情報の外部送信について | 製品使用許諾契約
| プレスリリース | サポート | サイトマップ| RSS
Copyright ©2024 Trend Micro Incorporated. All rights reserved
sXpIBdPeKzI9PC2p0SWMpUSM2NSxWzPyXTMLlbXmYa0R20xk
This website uses cookies for website functionality, traffic analytics,
personalization, social media functionality and advertising. Our Cookie Notice
provides more information and explains how to amend your cookie settings.Learn
more
Cookies Settings Accept
✓
Thanks for sharing!
AddToAny
More…
BDOW!