新たなランサムウェアは「EternalBlue」と「Mimikatz」を使用してネットワークに普及します
ハローワールド、ジャスティンです。
最近ランサムウェアのウィルスも進化していますので皆さんも気を付けてください。
WindowsUpdateが適用されていないJava開発PCで、不用意に公衆のWifiに接続を行った場合などに仕込まれてしまうかもしれませんね。
今日の元の記事は:
https://www.bleepingcomputer.com/news/security/dbger-ransomware-uses-eternalblue-and-mimikatz-to-spread-across-networks/
[日本語]
新たなランサムウェアは「EternalBlue」と「Mimikatz」を使用してネットワークに普及します
WannaCry(ワナクライ)のウィルスの発生のおかげでランサムウェアは脚光を浴びています。ですが犠牲者のブラウザーを仮想通貨のマイニングに使用するのが段々いい利益になってきていますので、ランサムウェアの世界にも進化が出てきています。MalwareHunter(マルウェアハンター)の研究者は最新のランサムウェアである「DBGer」はオープンソースのMimikatzを使い、ネットワーク内のパスワードを平分化している事を発見しました。
「DBGer」とはSatan(サタン)ランサムウェアのバージョンアップ版の名称です。
機能の説明にはまずはサタンランサムウェアの過去の説明が必要です。去年1月に導入されたランサムウェアをサービスとした(Ransomware-as-a-Service又はRaaS)のサイトだったので、誰でもカスタムのランサムウェアウィルスを作れるようなサイトでした。基本的にはサタンの作者は詐欺師達にサイト提供していました。この詐欺師達は日常的にメールのスパムでウィルスを広めていました。
当初、このランサムウェアのコードは大して洗練されていないものから始まりました。そのためハッカー界では少し不評でした。
しかし、このコードは詐欺師達の手により段々と凶悪なものへと変貌して行きます。
ランサムウェアのウィルスはワナクライの発生で実証されたように進化が見えてきました。ワナクライが強力だった理由はウィンドウズの「EternalBlue」(エターナルブルー)の弱点を利用していたからです。エターナルブルーは米国国家安全保障局(NSA)によって開発されたものですが、「Shadow Brokers」と名乗ったハッカー組織によって脆弱性が漏らされました。この脆弱性はMicrosoft Windows OSのサーバー·メッセー·ジブロック(Server Message Block又はSMB)のプロットコールの特別なパッケージの使い方の誤りを利用しております。ワナクライはこれを利用してネットワークを自動的に通過し、暗号化されたWindowsシステムとコンピュータの解読の代償として身代金支払いを要求するものです。
サタン作者たちはワナクライを見習ったみたいで、2017年11月にエターナルブルーの悪用を利用してローカルのネットワークをスキャンして古いかを調査する機能もふくまれました。DBGer感染の際には下記の脆弱性を利用して被害者のパソコンに入ってきます:
• JBoss CVE-2017-12149
• Weblogic CVE-2017-10271
• Tomcat web application brute forcing
そのあとは「sts.exe」という目立たない名前のファイルがダウンロードされます。このファイルはPECompact 2を使用しており、ファイルサイズはわずか30kbです。これは2つのSFXアーカイブのファイルをさらにダウンローダする機能しています。アーカイブの1つは"Client.exe"という名前がありに実際のSatanワームが入っており、 別のアーカイブ、"ms.exe"、はエターナルブルーが入っており、感染する可能性のあるホストのスキャンが開始されます。脆弱なマシンを感染させるために下記のコマンドを使われます:
“cmd /c cd /D C:\Users\Alluse~1\&blue.exe --TargetIp & star.exe --OutConfig a --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload down64.dll --TargetIp”
DBGerランサムウェアはこれにさらに進み、MimiKatzのパスワードダンプのツールを使います。これはWindowsのLocal Security Authority Subsystem Service(ローカルセキュリティ認証サーバ又はlsass)の資格情報をsekurlsaのモジュールと平文パスワードで見れることができます。
この手順により、ハッカーはたった一台のPCにハッキングするだけで、複数端末から身代金を要求する事が出来るようになりました。
DBGerランサムウェアは以下のテキストを持つ身代金メモを表示します:
"いくつかのファイルは暗号化されています
私の財布のアドレスに(1)ビットコインを送ってください
あなたが支払った場合、私の電子メールにマシンコードを送信してください
私はあなたに鍵を贈ります
3日以内に支払いがない場合、
私たちはもはや復号化をサポートしません
支払い時間を超過すると、あなたのデータは公開ダウンロードに公開されます
テストファイルの解読をサポートしています。
電子メールアドレスに3MB未満のファイルを3つ送信する
BTCウォレット:[編集済み]
Email:xxxx@ xxxx. xxxx
あなたのHardwareID: "
セキュリティ研究者のバルト・パリーズ氏(Bart Parys)はブログで、ランサムウェアがどのように機能しているかを詳しく説明しています。
https://bartblaze.blogspot.com/2018/04/satan-ransomware-adds-eternalblue.html
彼は下記の予防を勧めています:
"
• UACを有効にする
• Windows Updateを有効にしてアップデートをインストールする(特にMS17-010がインストールされているかどうかを確認する)
• ウイルス対策ソフトウェアをインストールし、最新の状態に保ちます。
• 可能であれば、共有(ACL)へのアクセスを制限する。
• バックアップを作成する! (そしてそれらをテストする)
"
ネットワーク内で作業する場合は、特に注意してください。
[English]
New Ransomware incorporates EternalBlue and Mimikatz that enables diffusion through networks
Ransomware has gained quite a bit of limelight after the rampage of the WannaCry worm. But with the rise in profitability in using victims browsers for coin-mining operations, ransomware contrivers have been stepping up their game to increase their profitability and contagiousness of their worms. Recent discovery from security researcher MalwareHunter has found that the new version of the Satan ransomware, rebranded as DBGer ransomware, now incorporates the open-source password-dumper Mimikatz.
A bit of background into the Satan ransomware will help explain the evolution and abilities of this new worm. Introduced in January of last year, Satan is a Ransomware-as-a-Service (commonly referred as RaaS) portal that allowed anyone to create their own custom version of the Satan virus. Basically the authors of Satan had a rented it to other criminals who typically dispersed it through email spams. The code started off as nothing too sophisticated but gained a bit of infamy in the hackerworld.
The ransomware bugs have been evolving to quite dangerous levels as we have seen with the WannaCry outbreak. What made WannaCry so potent was it utilization of the EternalBlue exploit. EternalBlue is an exploit developed by the U.S. National Security Agency (NSA) but was leaked by the hacker group Shadow Brokers. This exploit is with how Microsoft Windows OS’s poor handling of custom packets in the Server Message Block (SMB) protocol. WannaCry took advantage of this and spread through networks automatically, encrypted Windows systems and demanded ransom payments in return for decryption of the computer.
It looked like the Satan ransomware crew took note as they used the EternalBlue exploit in November 2017 to scan local networks for outdated SMBs to infect. The Satan ransomware will first infect other computers through the following exploits:
• JBoss CVE-2017-12149
• Weblogic CVE-2017-10271
• Tomcat web application brute forcing
Then a file is placed in the system with a discreet name of “sts.exe”, which may by standing for “Satan spreader.” The file uses PECompact2, allowing it to have a filesize of only 30kb. This functions as a downloader for two additional files, which are both SFX archives. One of the archives has the name “Client.exe” which contains the actual Satan worm while the other archive called “ms.exe” will have the EternalBlue exploit and will start scanning for potential hosts to infect. The following command is used to infect any vulnerable machines:
“cmd /c cd /D C:\Users\Alluse~1\&blue.exe --TargetIp & star.exe --OutConfig a --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload down64.dll --TargetIp”
The new DBGer ransomware takes this a step farther with the incorporation of the Mimikatz utility which is basically a network password dumping utility. It enables viewing of credentials of a Window’s local security authority subsystem service (lsass) through a sekurlsa modules and plaintext passwords. By this lateral movement features, a hacker only needs to fool one careless employee of a company into opening a seemingly harmless file to gain multiple ransom payments.
The ransomware will show a ransom note with the following text:
“Some files have been encrypted
Please send ( 1 ) bitcoins to my wallet address
If you paid, send the machine code to my email
I will give you the key
If there is no payment within three days,
we will no longer support decryption
If you exceed the payment time, your data will be open to the public download
We support decrypting the test file.
Send three small than 3 MB files to the email address
BTC Wallet : [redacted]
Email: [redacted]
Your HardwareID:”
Security researcher Bart Parys has reported in his blog a more detailed description of how the ransomware works:
https://bartblaze.blogspot.com/2018/04/satan-ransomware-adds-eternalblue.html
He recommends for prevention:
“
• Enable UAC
• Enable Windows Update, and install updates (especially verify if MS17-010 is installed)
• Install an antivirus, and keep it up-to-date and running
• Restrict, where possible, access to shares (ACLs)
• Create backups! (and test them)
“
Always use caution especially when you are working inside networks.