文／羅正漢

關於 REvil 勒索軟體與其背後組織的來歷與特性，資安業者 TeamT5 近期統整多方面曝光資訊，讓國內對於此攻擊族群可以有更深入的瞭解。該組織採 RaaS 模式經營、最多擁有 80 個合作夥伴，且整體族群手法多元。

[點此閱讀完整報導](https://www.ithome.com.tw/news/144900)

<br>


【臺灣資安大會直擊】近期臺灣大型企業接連傳出遭 REvil 攻擊，TeamT5 徹底剖析

<br>

TeamT5 近期於台灣某企業環境取得一加密勒索惡意程式（Ransomware），該惡意程式與日前美國託管軟體開發業者 Kaseya 遭到駭客組織 REvil 入侵，進而產生供應鏈攻擊事件（Supply Chain Attack）密切相關。難道是近日忽然神秘消失的 REvil 又整裝上陣，再度發動攻擊？

TeamT5 在這起事件中調查發現，該加密勒索惡意程式具有檔案數位簽章，可藉此躲避防毒軟體的偵測。同時也會利用早期 Windows 防毒產品的漏洞，執行 DLL Side-Loading，繞過安全檢查，載入惡意程式本體。執行工作前，會使用 RC4 演算法解密一組態設定檔，並於加密檔案階段，使用 Salsa20 和 AES 兩種演算法來加密檔案。

TeamT5 深入調查，確定該企業並未採用 Kaseya 所提供之服務，且該受害環境存在多起駭客入侵攻擊事件。此外，該加密勒索程式所觸發的條件與 Kaseya 供應鏈攻擊事件有所區別，故 TeamT5 推測是攻擊者在入侵得手後，利用 REvil 加密勒索程式來煙滅犯罪現場證據之用。

<br>

## 樣本分析
sample.exe 為 TeamT5 所掌握取得之惡意程式，具備數位簽章（digital signature），簽署人名稱為 PB03 TRANSPORT LTD.。目前該憑證已被簽發者宣告撤銷，據信，該簽章憑證為駭客攻擊前所竊取而來。所對應 MITRE 的攻擊手法編號為 T1553.002。數位簽章資訊詳見下圖一。

![2108-1.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1629269616/2108_1_70fa5416a0.png)
_圖一、sample.exe 具有數位簽章（已遭宣告撤銷）_

<br>

sample.exe 除了具有檔案數位簽章之外，同時也是個 Dropper。在其檔案資源區塊中，具有兩個資源檔 MODLIS.RG 與 SOFTIS.RG。檔案執行之後，會分別在 C:\Windows\ 路徑下建立 mpsvc.dll 與 MsMpEng.exe，如圖二。

![2108-2.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1629269616/2108_2_228ada60f2.png)
_圖二、sample.exe 會從資源區塊產生 mpsvc.dll 與 MsMpEng.exe_

<br>

MsMpEng.exe 為 Windows 早期版本（版本號為 4.5.0218.0）之防毒軟體程式，其檔案時間戳記為 2014/03/24 09:34。此 MsMpEng.exe 有 DLL 側載（DLL Side-Loading）漏洞，駭客利用合法程式來載入惡意本體 mpsvc.dll，為典型的白加黑攻擊手法，所對應 MITRE 的攻擊手法編號為 T1574.002。MsMpEng.exe 的檔案資訊詳見下圖三。

![2108-3.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1629269617/2108_3_204dc45958.png)
_圖三、MsMpEng.exe 的檔案資訊與檔案簽章_

<br>

根據 mpsvc.dll 的導出表，會透過 Windows 防毒程式來呼叫 mpsvc.dll，並透過 `ServiceCrtMain` 函式來執行。執行後，mpsvc.dll 會建立一個執行緒（Thread），並透過 `CreateFileMappingW` 函式來載入二階段惡意 Shellcode。接著，使用 `VirtualAllocEx` 函式來分配記憶體的讀/寫/執行區域，供 Shellcode 將加密勒索核心功能載入記憶體中。

![2108-4.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1629269617/2108_4_698c5d81c3.png)
_圖四、mpsvc.dll 使用 `CreateFileMappingW` 和 `VirtualAllocEx` 函式載入惡意程式核心_

<br>

加密勒索核心透過解碼一系列已編碼的 DLL 檔案，開始驗證和解密 JSON 格式之組態設定檔（Config）。TeamT5 長期追蹤 REvil 駭客族群，發現他們廣泛使用 CRC32 演算法來驗證檔案的完整性，並使用 RC4 演算法來解密。在此案例中，加密勒索程式所使用的 RC4 解密金鑰為 `mXT1QFyEUbrxc4cbP84jbN5wrHeqmFXt`，解密後的組態設定檔詳見以下範例：

```json{
"pk":"9/AgyLvWEviWbvuayR2k0Q140e9LZJ5hwrmto/zCyFM=",
"pid":"$2a$12$prOX/4eKl8zrpGSC5lnHPecevs5NOckOUW5r3s4JJYDnZZSghvBkq",
"sub":"8254",
"dbg":false,
"et":0,
"wipe":true,
"wht":{"fld":["program files","appdata","mozilla","$windows.~ws","application data","$windows.~bt","google","$recycle.bin","windows.old","programdata","system volume information","program files (x86)","boot","tor browser","windows","intel","perflogs","msocache"],
"fls":["ntldr","thumbs.db","bootsect.bak","autorun.inf","ntuser.dat.log","boot.ini","iconcache.db","bootfont.bin","ntuser.dat","ntuser.ini","desktop.ini"],
"ext":["ps1","ldf","lock","theme","msi","sys","wpx","cpl","adv","msc","scr","bat","key","ico","dll","hta","deskthemepack","nomedia","msu","rtp","msp","idx","ani","386","diagcfg","bin","mod","ics","com","hlp","spl","nls","cab","exe","diagpkg","icl","ocx","rom","prf","themepack","msstyles","lnk","icns","mpa","drv","cur","diagcab","cmd","shs"]},
"wfld":["backup"],
"prc":["encsvc","powerpnt","ocssd","steam","isqlplussvc","outlook","sql","ocomm","agntsvc","mspub","onenote","winword","thebat","excel","mydesktopqos","ocautoupds","thunderbird","synctime","infopath","mydesktopservice","firefox","oracle","sqbcoreservice","dbeng50","tbirdconfig","msaccess","visio","dbsnmp","wordpad","xfssvccon"],
"dmn":"boisehosting.net;fotoideaymedia.es;dubnew.com;stallbyggen.se;TRIMMED",
"net":false,
"svc":["veeam","memtas","sql","backup","vss","sophos","svc$","mepocs"],
"nbody":"BASE64_ENCODED_RANSOM_NOTE",
"nname":"{EXT}-readme.txt",
"exp":false,
"img":"QQBsAGwAIABvAGYAIAB5AG8AdQByACAAZgBpAGwAZQBzACAAYQByAGUAIABlAG4AYwByAHkAcAB0AGUAZAAhAA0ACgANAAoARgBpAG4AZAAgAHsARQBYAFQAfQAtAHIAZQBhAGQAbQBlAC4AdAB4AHQAIABhAG4AZAAgAGYAbwBsAGwAbwB3ACAAaQBuAHMAdAB1AGMAdABpAG8AbgBzAAAA",
"arn":false,
"rdmcnt":0}
```
<br>

**部分組態設定檔說明**

|欄位|說明|
|---|---|
|pk|經過 Base64 編碼後的金鑰|
|fld|避免加密的資料夾名稱|
|fls|避免加密的檔案名稱|
|ext|會被加密的檔案格式|
|prc|加密前會強制關閉的程序名稱|
|dmn|中繼站位址|
|svc|加密前會強制停止的服務名稱|

<br>

待加密勒索核心解析組態設定檔後，會搜集並儲存該受害主機的基本資訊，包含帳號、主機名稱、網域名稱、Windows 版本名稱等。同時，該加密勒索程式具有 `-nolan`、`-nolocal`、`-path`、`-silent`、`-smode`、`-fast` 及 `-full` 等參數可供使用。

如果使用 `-smode` 模式，會將當前帳號和密碼更改為 `DTrump4ever`，並設定登入後自動執行。但若使用 `-silent` 模式，則會從組態設定檔中將 `svc` 區塊中的服務停止並刪除，也將 `prc` 區塊中的程序終止，以及使用 WMI 刪除磁碟區陰影複製檔（Shadow Copy File）。

![2108-5.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1629269617/2108_5_ff3367629a.png)
_圖五、smode 模式的程式分析畫面_

<br>

開始執行檔案加密前，加密勒索核心會檢查互斥變數（Mutex），以確保沒有其他加密勒索核心也在運行，確定加密過程可順利進行。在執行階段，加密勒索程式會清空電腦主機的資源回收桶，並嘗試建立本機防火牆規則 `netsh advfirewall firewall set rule group="Network Discovery" new enable=Yes`。

接著，破壞過程會使用多個演算法進行加密，例如 Salsa20 與 AES。在加密過程中，會忽略組態設定檔中 `ext` 區塊中的檔案副檔名，避免受害主機完全無法開機的狀況發生。

![2108-6.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1629269616/2108_6_8b5ef17c27.png)
_圖六、加密演算法使用 Salsa20 和 AES_

<br>

待惡意程式開始加密檔案時，勒索訊息也會同步建立在每個資料夾路徑下，其檔案類型為文字格式（.txt），檔名則為隨機亂數產生的小寫英文與數字組合，並加上 `-readme` 做為後綴（suffix）字元。其勒索訊息內容如下圖七所示。

![2108-7.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1629269623/2108_7_44da5ddd34.png)
_圖七、勒索訊息內容_

<br>

在加密檔案之後，加密勒索程式會連線至組態設定檔中的中繼站，並使用 HTTP POST 方法回傳如 REvil 版本、作業系統版本、語言及組態設定檔的值等資訊。回傳中繼站的 URL 會採用隨機產生的關鍵字，如 WordPress 等服務，將流量偽裝成合法請求。其 URL 格式如下：

`https:\/\/<C2Domain>\/(wp-content|static|content|include|uploads|news|data|admin)\/(images|pictures|image|temp|tmp|graphic|assets|pics|game)\/([a-z]{2}){10}\.(jpg|png|gif)`

<br>

## IoC 入侵指標

TeamT5 彙整此次加密勒索攻擊事件的 IoC（Indicators of Compromise）資訊，建議用戶可將此份威脅指標情資，匯入各式偵測阻擋設備中使用，強化威脅防護。

|Type|Value|檔名|描述|
|---|---|---|---|
|MD5|561CFFBABA71A6E8CC1CDCEDA990EAD4|sample.exe|REvil Dropper|
|MD5|A47CF00AEDF769D60D58BFE00C0B5421|mpsvc.dll|REvil Loader|
|MD5|3AD14947002E57887B82643D729C21AE|n/a|REvil Shellcode|
|MD5|6A044F92F8DDDAD2AE0FF213215FE576|n/a|REvil Payload|
|SHA-1|5162F14D75E96EDB914D1756349D6E11583DB0B0|sample.exe|REvil Dropper|
|SHA-1|656C4D285EA518D90C1B669B79AF475DB31E30B1|mpsvc.dll|REvil Loader|
|SHA-1|8DA8E1DB4367BFFFB8DFF6828619DC3C2A444FFE|n/a|REvil Shellcode|
|SHA-1|89BA0D748EF30E7D4FACDBC74CA701B24F3ACEDB|n/a|REvil Payload|
|SHA-256|D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E|sample.exe|REvil Dropper|
|SHA-256|8DD620D9AEB35960BB766458C8890EDE987C33D239CF730F93FE49D90AE759DD|mpsvc.dll|REvil Loader|
|SHA-256|C8768D4A4979D4B5AB4E841FC29523D8D80C52D6E89F345A0A44E75973F3D3AF|n/a|REvil Shellcode|
|SHA-256|F92CD77D38EC7A2E3CDB5CAC083258424F920F3104BC710E60AEE5CE4BC4B867|n/a|REvil Payload|

<br>


*圖片來源：[Pixabay](https://pixabay.com/illustrations/ransomware-wannacry-malware-2318381/)

又見 REvil？！看駭客如何利用 REvil 同款加密勒索程式湮滅攻擊證據

Technical Analysis

文／羅正漢

為了增進大眾對於 APT 攻擊族群的認識，長期進行駭客追蹤研究的 TeamT5 杜浦數位安全，藉由藝術博物館（MOMA）作品介紹的形式，讓參觀者能夠感到興趣，並簡單認識這些 APT 族群的特性。

[點此閱讀完整報導](https://www.ithome.com.tw/news/144717?fbclid=IwAR3EmZoOA_HlreIov_84clZasdSfEH7HqPTZldHK39raXBd6pwgkmYsnw4U)

<br>


【臺灣資安大會直擊】TeamT5 出奇招，將抽象的 APT 駭客組織化身展覽作品

News

<br>

近期國際間不斷發生加密勒索資安事件，受害產業橫跨政府機關、科技製造、交通運輸、軟體開發、衛生醫療、學術研究等。TeamT5 根據情資研究與數起資安事件調查成果，綜整近期針對型加密事件的面貌。

<br>

## 加密勒索攻擊演化
說到加密勒索攻擊，就不能不談到惡名昭彰的 WannaCry 病毒。WannaCry 病毒在 2017 年造成大規模感染，起因於該病毒針對 SMBv1 漏洞（CVE-2017-0143 ~ CVE-2017-0148）使用永恆之藍（EternalBlue）工具進行入侵。WannaCry 病毒入侵感染第一台主機後，會對主機硬碟和儲存裝置中的各式檔案進行加密，然後再利用 SMBv1 漏洞，主動擴散傳播到其他主機上，進而造成全球超過數百萬台電腦被加密感染。

![2104_1.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468173/2104_1_06555c9aff.png)
_圖一、WannaCry 加密勒索訊息_

<br>

然而，加密勒索攻擊在近幾年出現質變，逐漸從自動化攻擊轉為由駭客組織躲藏在背後操弄，受害對象也逐漸轉變成大型企業。駭客為避免受害者直接進行系統還原或重建，導致無法有效獲得贖金款項，進而開始竊取受害者的內部機敏資料，並藉由恐嚇公開資料，逼迫受害者繳付贖金。[ZDent](https://www.zdnet.com/article/ransomware-gangs-are-now-cold-calling-victims-if-they-restore-from-backups-without-paying/) 就曾報導 Sekhmet、Maze、Conti 與 Ryuk 等駭客組織存在「催債單位」，會主動與受害者聯繫，威脅若不繳付贖金將公開所竊取的機敏資料。

![2104_2.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468165/2104_2_a31b3d1dd4.png)
_圖二、常見的針對型加密勒索訊息_

<br>

## 針對型加密勒索
TeamT5 從情資研究與資安事件成果，歸納目前針對型勒索攻擊分為四大步驟，分別為入侵、水平移動、資料竊取與檔案加密階段。

![2104_3.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468166/2104_3_82b3ac0151.png)
_圖三、針對型加密勒索攻擊分解_

<style>
span.post-1-dot {
justify-content: center;
color: #d83751;
font-family: initial;
width: 1em;
font-size: 22px;
margin-right: 12px;
}
</style>
<h3 id="compromise">
  <span class="post-1-dot">•</span><span>入侵階段</span>
</h3>

駭客入侵受害環境，主要是透過系統或設備的漏洞與社交郵件兩種管道。根據資安事件調查的結果，駭客所利用的漏洞為 ExChange ProxyLogon（CVE-2021-26858 與 CVE-2021-27065）與 SSL VPN（CVE-2019-11510、CVE-2019-11542、CVE-2019-11539、CVE-2019-11538、CVE-2019-11508、CVE-2019-11540 與 CVE-2019-11507）為主；而社交郵件則會搭配惡意連結，讓使用者點擊後不經意遭植入惡意程式，如 Drive-by-Download 攻擊手法。

![2104_4.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468166/2104_4_448ef9ff83.png)
_圖四、駭客利用 IE 漏洞（CVE-2020-0968）搭配 Drive-by-Download 手法植入惡意程式_

<br>

<h3>
  <span class="post-1-dot">•</span><span>水平移動階段</span>
</h3>

駭客成功入侵受害環境搶下灘頭堡後，會開始進行後續入侵攻擊（Post-Compromise），目的是為了找到網域伺服器或檔案伺服器等高價值主機。在此階段，駭客會使用 Mimikatz 這類的密碼竊工具取得主機上的帳號密碼，並試著透過各種網路掃描工具，如 nbtscan、TCP Scan 或 ADFind 等駭客工具，找到其他可入侵的內部主機。接下來，駭客會嘗試使用先前取得的帳號密碼登入，其登入方式包含廣為人知的 PsExec 工具程式，最後在受害主機上建立後門程式，以便駭客長期連入控制之用，近期常見的後門程式多為使用 Cobalt Strike 框架建立 Stager 或 Beacon 等後門管道。

![2104_5.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468165/2104_5_9b984c5e4c.png)
_圖五、登入驗證程式 lsass.exe 遭到 Mimikatz 注入並竊取帳號密碼_

<br>

![2104_6.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618471005/2104_6_bba2dd7079.png)
_圖六、駭客透過 Powershell 執行惡意語法植入 Cobalt Strike Stager_

<br>

<h3>
  <span class="post-1-dot">•</span><span>資料竊取階段</span>
</h3>


駭客成功入侵至網域伺服器或檔案伺服器主機後，會嘗試從中取得受害單位內部的機敏資料，如產品開發、客戶資訊、財務資訊等機敏檔案。下圖七為 TeamT5 於某事件中偵測到駭客利用 WinRAR 壓縮工具，試圖遠端加密壓縮特定資料夾內容。

![2104_7.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468165/2104_6_3c1ab71659.png)
_圖七、駭客正在加密壓縮機敏資料_

<br>

<h3>
  <span class="post-1-dot">•</span><span>檔案加密階段</span>
</h3>

當駭客成功取得受害者內部的機敏資料後，才會肆無忌憚地開始進行大規模主機加密行動。根據 TeamT5 實地調查的案例，駭客會在各主機植入加密程式，等到取得機敏資料後才透過 AD GPO 大量且快速地執行檔案加密攻擊，且駭客開始採用合法的檔案加密程式進行惡意加密攻擊。如下圖畫面，攻擊者早在 7 月就已植入加密程式，但是等到 12 月才發動加密攻擊，代表攻擊潛伏期長達數個月之久。且駭客所使用的加密程式 bcl.exe 為 Jetico 公司所開發的商用資料加密軟體，該軟體本意是為了達到資料隱私保護之用，卻被駭客利用成為加密勒索攻擊的一環。

![2104_8.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468166/2104_7_98ce84dfb8.png)
_圖八、長達數個月潛伏期的加密勒索攻擊行動_

<br>

## 轉換一下您的防禦思維
看到現在，各位應該發現針對型加密勒索攻擊是個細膩且漫長的攻擊行動，為了不打草驚蛇讓受害者早早發現，駭客開始使用許多合法商用軟體替代自行開發的惡意程式。在許多防禦機制都在強調如何阻斷檔案加密的當下，卻忽略了我們有數周至數個月的時間可以發現駭客的潛在威脅，又或是如果駭客使用合法程式來掩護非法攻擊，該如何有效偵測及識別，乃至於阻擋呢？

或許我們該轉換一下防禦思維，如果能在駭客入侵初期的潛伏階段就能有效識別，進而修補漏洞、清除惡意程式，阻斷駭客持續控制內部受害環境，便能避免未來發生大規模檔案加密的攻擊。

了解加密勒索攻擊防護的最佳工具 ThreatSonar Anti-ransomware：[連結](https://teamt5.org/tw/products/threatsonar-anti-ransomware/?utm_source=blogs&utm_medium=website)

<br>

*圖片來源：[Unsplash](https://unsplash.com/photos/jzTQVxCyKYs?utm_source=unsplash&utm_medium=referral&utm_content=creditShareLink)



刻在你我心底的痛！可怕的加密勒索攻擊

<br>

最近、世界中で暗号化により身代金を要求する情報セキュリティインシデントが絶えず発生している。被害を受けた業界は政府機関、テクノロジー製造業、交通機関、ソフトウェア開発、医療衛生、学術研究等、広くに及んでいる。TeamT5 は情報資料研究と複数の情報セキュリティインシデントの調査成果に基づき、最近の標的型暗号化事件の状況を整理した。

<br>

## 暗号化による恐喝攻撃の進化
暗号化による恐喝攻撃と言えば、悪名高い WannaCry ウイルスの存在は欠かせない。WannaCry は2017年に大規模な感染を引き起こしたが、その原因はこのウイルスが SMBv1 セキュリティホール（CVE-2017-0143～CVE-2017-0148）に対して EternalBlue ツールを使用して侵入を行ったためである。WannaCry は最初のホストコンピュータに侵入すると、そのコンピュータのハードディスクやストレージに存在する各種ファイルを暗号化し、再度 SMBv1 セキュリティホールを利用して他のホストコンピュータに拡散させることで、世界中で数百万台以上の PC が感染し、暗号化されるに至った。

![2104_1.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468173/2104_1_06555c9aff.png)
_図1. WannaCry による暗号化と恐喝のメッセージ_

<br>

しかしながら、暗号化による恐喝攻撃はこの数年で変化しており、自動化された攻撃からハッカーグループによる背後での操作へと徐々に移行していき、被害対象も徐々に大企業へと移行している。ハッカーは、被害者がシステムの復元や再構成を行うことによって効果的に身代金を獲得できない状況を避けるため、被害者の内部的な重要データを窃取し、それを公開すると恐喝することで被害者に身代金の支払いを迫るのである。[ZDent](https://www.zdnet.com/article/ransomware-gangs-are-now-cold-calling-victims-if-they-restore-from-backups-without-paying/) は過去に Sekhmet、Maze、Conti、Ryuk などのハッカーグループには「支払い催促者」が存在し、自ら被害者と連絡を取り「身代金を支払わないと窃取した重要なデータを公開する」と恐喝することがあると報道している。


![2104_2.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468165/2104_2_a31b3d1dd4.png)
_図2. よく見られる標的型暗号化恐喝攻撃のメッセージ_

<br>

## 標的型暗号化恐喝攻撃
TeamT5 は情報資料研究と情報セキュリティインシデントの結果に基づき、現在の標的型恐喝攻撃は、侵入、ラテラルムーブメント、データ窃取、ファイルの暗号化の4つのステップに分けられると結論付けた。

![the-pain-engraved-herein-uncover-scary-ransomware-attacks_JP_pic3.jpg](https://uploads.teamt5.org/upload/original/the-pain-engraved-herein-uncover-scary-ransomware-attacks_JP_pic3.jpg)
_図3. 標的型暗号化恐喝攻撃の分析_

<style>
span.post-1-dot {
justify-content: center;
color: #d83751;
font-family: initial;
width: 1em;
font-size: 22px;
margin-right: 12px;
}
</style>
<h3 id="compromise">
  <span class="post-1-dot">•</span><span>侵入段階</span>
</h3>

ハッカーが被害者の環境に侵入する場合、主にシステムまたはデバイスのセキュリティホールやソーシャルメールの2つのルートがある。情報セキュリティインシデントを調査した結果によると、ハッカーが利用するセキュリティホールは ExChange ProxyLogon（CVE-2021-26858、CVE-2021-27065）、SSL VPN（CVE-2019-11510、CVE-2019-11542、CVE-2019-11539、CVE-2019-11538、CVE-2019-11508、CVE-2019-11540、CVE-2019-11507）を主とし、ソーシャルメールは悪意のあるリンクが含まれ、ユーザーがクリックすることで Drive-by-Download の攻撃手法のように悪意のあるプログラムが誤ってインストールされる。

![2104_4.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468166/2104_4_448ef9ff83.png)
_図4. ハッカーが IE のセキュリティホール（CVE-2020-0968）と Drive-by-Download 手法を利用して悪意のあるプログラムをインストール_

<br>

<h3>
  <span class="post-1-dot">•</span><span>ラテラルムーブメント</span>
</h3>

ハッカーが被害者システムへの侵入に成功して拠点を確保すると、さらなる侵入攻撃（Post-Compromise）を試みる。その目的はドメインサーバーやファイルサーバー等の高価値なホストコンピュータを見つけるためである。この段階では、ハッカーは Mimikatz のようなパスワード窃取ツールを使用してホストコンピュータのアカウント、パスワードを取得し、更にハッキングツールである nbtscan、TCP Scan、ADFind のような各種ネットワークスキャンツールによって他の侵入可能な内部ホストコンピュータを探す。続いて、ハッカーは先に取得したアカウントとパスワードを利用してログインを試みる。その方法には広く知られている PsExec ツールのプログラムが含まれており、最終的にハッカーが長期的に連続で制御するために被害者のホストコンピュータにバックドアプログラムを作成しておく。最近よく見られるバックドアプログラムの多くは Cobalt Strike のフレームワークを利用して Stager や Beacon 等のようなバックドアを設けている。

![2104_5.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468165/2104_5_9b984c5e4c.png)
_図5. ログイン検証プログラム lsass.exe が Mimikatz にインジェクションされアカウント、パスワードを窃取_

<br>

![2104_6.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618471005/2104_6_bba2dd7079.png)
_図6. ハッカーが Powershell によって悪意のあるコマンドを実行し、Cobalt Strike Stager をインストール_

<br>

<h3>
  <span class="post-1-dot">•</span><span>データ窃取段階</span>
</h3>


ハッカーがドメインサーバーまたはファイルサーバーのホストコンピュータ侵入に成功すると、その中で被害者システムの内部に存在する製品開発、顧客情報、財務情報等の重要なデータの取得を試みる。下図7は TeamT5 がとあるインシデントにおいてハッカーが WinRAR を利用してツールを圧縮し、特定フォルダの内容を遠隔操作で暗号化圧縮しようと試みる様子を検知したものである。

![2104_7.png](https://res.cloudinary.com/dvgomg5gh/image/upload/v1618468165/2104_6_3c1ab71659.png)
_図7. ハッカーが重要なデータを暗号化、圧縮している様子_

<br>

<h3>
  <span class="post-1-dot">•</span><span>ファイルの暗号化段階</span>
</h3>

ハッカーが被害者内部の重要なデータの取得に成功すると、大規模なホストコンピュータの暗号化行為を開始する。TeamT5 の実地調査の事例によると、ハッカーは各ホストコンピュータに暗号化プログラムをインストールさせ、重要なデータを取得してから初めて AD GPO により大量かつ迅速にファイルの暗号化攻撃を実行する。また、ハッカーは合法的なファイル暗号化プログラムを利用して悪意のある暗号化攻撃を実行し始めたことがわかっている。下図の画面のとおり、攻撃者は7月には暗号化プログラムをインストールしていたが、12月になって初めて暗号化攻撃を発動しており、攻撃の潜伏期間が数か月にも及んでいることがわかる。また、ハッカーが使用する暗号化プログラム bcl.exe は Jetico 社が開発した商用のデータ暗号化ソフトウェアである。このソフトウェアの本来の目的はデータのプライバシー保護に用いられるものであるにも関わらず、ハッカーによって暗号化恐喝攻撃の一環に利用されている。

![the-pain-engraved-herein-uncover-scary-ransomware-attacks_JP_pic8.jpg](https://uploads.teamt5.org/upload/original/the-pain-engraved-herein-uncover-scary-ransomware-attacks_JP_pic8.jpg)
_図8. 潜伏期間が数か月にも及ぶ暗号化恐喝攻撃の行動_

<br>

## 防御に対する考え方を変える
現在の状況を見ると、標的型暗号化恐喝攻撃は非常に細かく長期にわたる攻撃だということに気付くだろう。不用意な振る舞いで被害者を警戒させ早期に発覚されないようにするため、ハッカーは自主開発した悪意のあるプログラムから合法的な商用ソフトウェアを利用する方法へと転換し始めている。多くの防御システムはファイル暗号化をブロックする方法を強調しているが、ハッカーによる潜在的脅威を発見するのに数週間から数か月を要することを無視しており、また、ハッカーが合法的なプログラムによって違法な攻撃をカバーしている場合はどのようにして効果的に検知および識別、ブロックするのかが明確でない。

我々は防御に対する考え方を変える必要があるかもしれない。もしハッカーによる侵入初期の潜伏段階で効果的に識別でき、セキュリティホールを修正し悪意のあるプログラムを削除してハッカーが被害 PC の内部環境を継続的に制御する状況を阻止できれば、将来起こりうる大規模なファイル暗号化攻撃を回避することができる。

さらなる暗号化恐喝攻撃の防御については，お問い合わせ先：<SALES-ADMIN-JP@teamt5.jp>

<br>

*画像のソース: [Unsplash](https://unsplash.com/photos/jzTQVxCyKYs?utm_source=unsplash&utm_medium=referral&utm_content=creditShareLink)



【臺灣資安大會直擊】近期臺灣大型企業接連傳出遭 REvil 攻擊，TeamT5 徹底剖析

Related Post

又見 REvil？！看駭客如何利用 REvil 同款加密勒索程式湮滅攻擊證據

【臺灣資安大會直擊】TeamT5 出奇招，將抽象的 APT 駭客組織化身展覽作品

刻在你我心底的痛！可怕的加密勒索攻擊