ISACA名古屋支部_2024年3月SR分科会_ランサムウェア攻撃

ランサムウェア攻撃について 知っておきたいこと 2024年3⽉ SR分科会 ISACA名古屋⽀部 調査研究担当・CISA教育担当 2024年3⽉16⽇（⼟） 14:00-14:50 理事 ⻑⾕川達也

はじめに • セキュリティリサーチ（SR）分科会へようこそ︕ • リサーチ報告で 広く浅くインプット • ⼿を動かすハンズオンで アウトプット＆エンジニアリング • ディスカッション（交流）で ⼈脈形成 ご都合よろしければ、15:00〜の ISACA⽉例会にもご参加ください

アジェンダ 1. 20分 リサーチ報告 • ランサムウェア攻撃の最新動向 2. 15分 ランサムウェア挙動のデータ分析ハンズオン • Recorded Future Triage Sandboxで動作したランサムウェアの挙動ログを利⽤ 3. 最⼤15分 ディスカッション(交流) • テーマ「ランサムウェア感染時の対応で気を付けていること」

アジェンダ 1. 20分 リサーチ報告 • ランサムウェア攻撃の最新動向 2. 15分 ランサムウェア挙動のデータ分析ハンズオン • Recorded Future Triage Sandboxで動作したランサムウェアの挙動ログを利⽤ 3. 最⼤15分 ディスカッション(交流) • テーマ「ランサムウェア感染時の対応で気を付けていること」

ランサムウェア攻撃の最新動向 ランサムウェア⾃体に変化はあるのか︖ 攻撃⼿法は⾼度化しているのか︖ ランサムウェア感染への備えと感染時の対応

攻撃者(脅威アクター)の組織化・分業化 （実働部隊） • Ransomware as a Service (RaaS) • 暴露型ランサムウェア攻撃 • アフィリエイト ⼆重脅迫を⾏う 1. 機密データを事前に窃取しておいて、漏洩データの公開を⼈質に脅迫する 2. ファイルやシステムを暗号化し、組織内のリソースを⼈質に脅迫する 初期アクセス ブローカー リークサイト 例：2022年PandoraからのDENSOへの脅迫 ランサムウェア エコシステムの ランサムウェ ⼀例 ボットネット 管理者 • ランサムウェア攻撃の脅威アクターを特定する意義 (JSAC2024発表) • 侵⼊原因の推定 ☞ その脅威アクターが利⽤する侵⼊経路を知っていると閉め忘れを防ぎ、再発防⽌につながる • 封じ込めの効率化 ☞ その脅威アクターが利⽤するテクニックや潜伏挙動を知っていると除去忘れを防ぎ、再発防⽌につながる ア開発者

組織化に伴う脅威アクターのいざこざの⼀例 • 2021年 Contiランサムウェアグループ 不満を抱いたアフィリエイトが、グループの戦術、技術、⼿順などを含むコンティ内部⽂書のキャッシュを漏洩 させた。 • • • 2022年 Contiランサムウェアグループ • ウクライナ戦争にてロシア政権への忠誠を表明する公式声明したことで、ウクライナのセキュリティ研究者が同 グループのメンバー間で交わされたやり取りをリークしました。(ContiLeaks) • その後、Contiとしては活動を停⽌していった。 2024年 Lockbitランサムウェアグループ • かねてより、データの破損が⼈命に影響するような組織への攻撃を禁⽌していたにもかかわらず、アメリカのが ん治療センターへの攻撃声明を公開した。 • 初期アクセスブローカーとの契約合意前にアクセス権を利⽤し、報酬を払わなかったなどで、有名なハッカー フォーラムから追放された。 • ⽶国、英国、ユーロポール、FBIなど世界の警察連合がロシアのLockBitのネットワークに侵⼊し破壊し、復号鍵 を取得し、ポーランドとウクライナにて容疑者を起訴し、資産を凍結できた (2024/02/20 Operation Cronos) • ５⽇後にはLockBit の新たなリークサイトが出現し、活動を再開している。

2024年2⽉20⽇ Operation Cronos !! ⽇本の警察庁は復号ツールの開発で貢献、しかしすぐ活動再開・・ 新たなリークサイトが出現︕ LockBitの主張 ・PHPの脆弱性（CVE-2023-3824）で侵⼊ されたようだが確証はない。新しいサイトで は脆弱性を直した。 ・FBIがハッキングに踏み切った理由は盗ん だ⽶国選挙に影響を与える⽂章が沢⼭含まれ ていたからだ。 ・今回の件で、政府機関にもっと攻撃する必 要があると判断した。 ・今回FBIらが⼊⼿した復号鍵は保護されて いないごく⼀部であり、他の⼤多数は保護さ れている。 ・FBIがアクセスできなかったドメインが複 数あり、多くの被害組織のデータがあるため、 新しいリークサイトで公開予定。 ・新しいアフィリエイトへの呼びかけ。 ・復帰に４⽇かかった理由はPHPのコードを 出典: h1ps://www.bleepingcomputer.com/news/security/police-arrest-lockbit-ransomware-members-releasedecryptor-in-global-crackdown/ 参考: LockBit3.0 復号ツールのダウンロードサイト「NO MORE RANSOM」 h1ps://www.nomoreransom.org/ja/decrypJon-tools.html#Lockbit30 編集していた為だ。 引⽤ https://x.com/malwarebiblejp/status/17616136664 68962575?s=46&t=kHCnBURz5TqV_8_7k5-BFg

• https://www.bleepingcomputer.com/news/security/police-arrest-lockbit-ransomware-members-release-decryptor-in-global-crackdown/
• https://www.nomoreransom.org/ja/decryption-tools.html
• https://x.com/malwarebiblejp/status/1761613666468962575?s=46&t=kHCnBURz5TqV_8_7k5-BFg

※ 暴露型ランサムウェア 国内 攻撃件数 資本⾦別 国 内 被 害 組 織 に 関 す る 各 種 デ ー タ に つ い て は 、 海 外 拠 点 （ ⽀ 社 ／ 関 連 会 社 ） を 含 む 。 出典元: MBSD Cyber Intelligence Group (CIG) https://www.mbsd.jp/research/20240313/cig-monthly/ 中 ⼩ 企 業 に も 攻 撃 が 来 て い る

• https://www.mbsd.jp/research/20240313/cig-monthly/

暴露型ランサムウェア 国内 攻撃件数 公表割合 ※ 出典元: MBSD Cyber Intelligence Group (CIG) https://www.mbsd.jp/research/20240313/cig-monthly/ ! ? 国 内 被 害 組 織 に 関 す る 各 種 デ D タ に つ い て は ︑ 海 外 拠 点 ︵ ⽀ 社 ／ 関 連 会 社 ︶ を 含 む ︒ 概 ね 半 数 以 上 の 国 内 組 織 が 公 表 し て い る

• https://www.mbsd.jp/research/20240313/cig-monthly/

ランサムウェア攻撃の最新動向 ランサムウェア⾃体に変化はあるのか︖ 攻撃⼿法は⾼度化しているのか︖ ランサムウェア感染への備えと感染時の対応

ワイパーとランサムウェア ワイパー (Wiper) • 2017年 ロシアのウクライナへのサイバー攻撃で利⽤された 「NotPetya」、(「Petya」) • 2022年 ロシアのウクライナ侵攻で多⽤された • 「BootPatch」「WhisperKill」「HermeticWiper」「IsaacWiper」「CaddyWiper」 「DoubleZero」「Acid Rain」など • コンピューターのデータ破壊や使⽤不能などを⽬的とする • ワイパーに感染するとシステムやデータの復旧が不可能となる • ランサムウェアと異なり暗号化/復号化のアルゴリズムを持たない。 ファイルを暗号化して脅迫⽂を表⽰するが、ファイルの復号を初めから考慮していない仕組みのラン サムウェアは、ワイパーと呼べるかもしれない。詳細に解析しないと⾒分けるのが難しい。 ウクライナ侵攻時にワイパー「HermeticWiper」とランサムウェア「HermeticRansom」が同時に 利⽤された。ランサムウェアの⽅を検出させ、ワイパーの攻撃成功率を⾼める狙いだそうです。 (引⽤: https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/081700035/)

• https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/081700035/

Windows向けランサムウェアの⼀般的なふるまい⼀覧 • • • • • • • • 永続性を確⽴する Windows エラーの回復と⾃動修復を無効にする サービスの⼀覧を停⽌する プロセスの⼀覧を強制終了する シャドウ コピーとシステムバックアップを削除する ファイルを暗号化する（カスタム除外を指定できる） ランサムウェアの脅迫メモを作成する（デスクトップ背景を脅迫画像に変更する） Windowsイベントログを消去する 以下、ランサムウェアファミリや検体によりけり • （同⼀ネットワーク上の共有フォルダや他の端末のファイルを暗号化する） • （脅迫メモをプリンターで印刷する） • （ワームのように他の端末にランサムウェア本体をコピーし、リモート実⾏する） 参考: h1ps://learn.microsoL.com/ja-jp/security/ransomware/dart-ransomware-case-study

• https://learn.microsoft.com/ja-jp/security/ransomware/dart-ransomware-case-study

ランサムウェア攻撃の最新動向 ランサムウェア⾃体に変化はあるのか︖ 攻撃⼿法は⾼度化しているのか︖ ランサムウェア感染への備えと感染時の対応

ランサムウェア感染への備え の ⼀例 バックアップを定期的に取得し、復旧⼿順をマニュアルに残しておく • 確実にバックアップすべきサーバーやシステムを選定する • サーバーはフル、差分、増分バックアップを組み合わせて、リモートストレージに定期的にバックアップを⾃動取得する • 最低限、外付け記憶媒体などにシステムバックアップを定期的にマニュアル（⼿動）で取得する • 扱うデータの機密度に合わせ、必要に応じてバックアップデータ⾃体を暗号化しておく 最低限のシステムセキュリティを担保する • アンチウイルスソフトを導⼊し、パターンファイルを最新にアップデートする • オペレーティングシステムやバックアップシステム、外部からの接続に利⽤されるVPN機器などのセキュリティアップデート管理をする • SMBやRDPなどは不要であれば無効化し、必要な場合もアクセス制限をかける • ランサムウェアに各種痕跡が削除・改ざんされても、調査ができるようにシステムのイベントログを外部に転送する フォレンジック調査会社の事故対応⽀援サービスを調査しておく • なるべく有事の際にお願いする先の調査会社を選定しておき、内容と費⽤感を事前に相談しておく • ランサムウェア感染が発覚した後の初動について相談先からレクチャーを受ける

ランサムウェアに感染したらやるべきこと の ⼀例 ネットワークからの隔離 と バックアップが無事かどうかの確認を⾏う 1.LANケーブルを抜く、Wi-Fiなどの無線LANやBluetoothをOFFにする、外部ストレージの接続を物理的に切る 2.脅迫画⾯や脅迫ノートの写真（画像）をカメラで撮る 3.定期取得しているバックアップが無事かつ利⽤可能かの確認をする フォレンジック調査のための保全 1.感染端末をシャットダウンではなく、なるべく休⽌(Sleep)モードにして保全する準備を整える 2.感染原因と影響範囲の特定のため、USBなど外部記憶媒体越しに専⽤ツールにてメモリダンプを取得し、次にトリアージファ イルを取得し、端末をシャットダウンする (フォレンジック調査会社が⾏うケースもある) 3.別のPC、専⽤装置(デュプリケータ)、CD/USBブートLinuxなどを利⽤して、感染端末のハードディスクのコピーを取得する (フォレンジック調査会社が⾏うケースもある) 警察、フォレンジック調査会社、IPA、JC3、JPCERT/CCなど関係各所に相談する • まず警察に被害届を出して相談し、適切な相談先を相談する • ⾝代⾦の⽀払いは原則⾏わない、調査会社やデータ復旧事業者にも契約で確認し、⾏わせない

警察庁のランサム被害ヒアリングデータより 出典:警察庁 R5 サイバー空間をめぐる脅威の情勢 https://www.npa.go.jp/publications/statistics/cybersecurity/index.html

• https://www.npa.go.jp/publications/statistics/cybersecurity/index.html

参考資料リスト ランサムウェア攻撃の最新動向 関連 ü 公開情報から読み解く⽇系企業のランサム被害傾向 ü https://security.macnica.co.jp/blog/2024/02/post-4.html ü ランサムウェア攻撃の脅威アクター特定をすべきこれだけの理由 ü https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_2_6_hayato_ sasaki_jp.pdf ü 2021年下半期も続くランサムウエア攻撃、裏側にあるボットネットとの 意外な縁 ü https://xtech.nikkei.com/atcl/nxt/column/18/00138/082400863/ ランサムウェアへの備えと対応⽅法 ü LAC サイバー119 「データ保全とは何か︖」 https://www.nic.ad.jp/ja/materials/iw/2014/proceedings/t9/t9takamatsu.pdf ü ü JNSA サイバーインシデント緊急対応企業⼀覧 https://www.jnsa.org/emergency_response/ ü ü IDF 「データ被害時のベンダー選定チェックシート Ver.1.0」 ü ü https://digitalforensic.jp/home/act/products/higai-checksheet/ 相互リンクが貼られている⽇本の組織らのランサムウェア特設ページ 警察庁 ランサムウェア被害防⽌対策 ü ü KELA インテリジェンス レポート Conti から流出した 内部データの分析 ü https://www.kelacyber.com/wp-content/uploads/2022/05/KELAIntelligence-Report-ContiLeaks-JA-1.pdf ü ü Secureworks LOCKBITを紐解く https://www.secureworks.jp/blog/lockbit-in-action MBSD Contiランサムウェアの内部構造を紐解く ü https://www.mbsd.jp/research/20210413/conti-ransomware/ ü ü MBSD ランサムウェア「Lockbit2.0」の内部構造を紐解く ü https://www.mbsd.jp/research/20211019/blog/ https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.ht ml NISC 「ストップ︕ ランサムウェア ランサムウェア特設ページ RANSOMWAREについて」 ü ü https://www.jpcert.or.jp/magazine/security/nomore-ransom.html IPA ランサムウェア対策特設ページ ü ü https://www.jc3.or.jp/threats/topics/article-375.html JPCERT/CC ランサムウエア対策特設サイト ü ü ü https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html JC3 ランサムウェア対策について ü ü 関連 https://www.nisc.go.jp/tokusetsu/stopransomware/index.html JC3公式ブック ランサムウェア攻撃に対する捜査ハンドブック ü STOP! https://www.jc3.or.jp/news/2024/20240220-538.html

• https://www.nic.ad.jp/ja/materials/iw/2014/proceedings/t9/t9-takamatsu.pdf
• https://www.jnsa.org/emergency_response/
• https://digitalforensic.jp/home/act/products/higai-checksheet/
• https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html
• https://www.jc3.or.jp/threats/topics/article-375.html
• https://www.jpcert.or.jp/magazine/security/nomore-ransom.html
• https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html
• https://www.nisc.go.jp/tokusetsu/stopransomware/index.html
• https://www.jc3.or.jp/news/2024/20240220-538.html
• https://security.macnica.co.jp/blog/2024/02/post-4.html
• https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_2_6_hayato_sasaki_jp.pdf
• https://xtech.nikkei.com/atcl/nxt/column/18/00138/082400863/
• https://www.kelacyber.com/wp-content/uploads/2022/05/KELA-Intelligence-Report-ContiLeaks-JA-1.pdf
• https://www.secureworks.jp/blog/lockbit-in-action
• https://www.mbsd.jp/research/20210413/conti-ransomware/
• https://www.mbsd.jp/research/20211019/blog/

アジェンダ 1. 20分 リサーチ報告 • ランサムウェア攻撃の最新動向 2. 15分 ランサムウェア挙動のデータ分析ハンズオン • Recorded Future Triage Sandboxで動作したランサムウェアの挙動ログを利⽤ 3. 最⼤15分 ディスカッション(交流) • テーマ「ランサムウェア感染時の対応で気を付けていること」

ランサムウェア挙動のデータ分析ハンズオン 事前説明 ハンズオン課題の「ransomware.json」を分科会Slackにアップロード

ハンズオン課題︓ランサムウェアの動作記録から情報を取得する とある著名なランサムウェアを無償のオンラインサンドボックスサービス(tria.ge)の Windows7マシンで実⾏させた際のふるまいログより、設問の解答を探してください。 ハンズオン狙い︓JSONログの読解と加⼯ • 著名なjqというツールを⽤います。https://jqlang.github.io/jq/ • インストールされている⽅はご⾃分のマシンでjqコマンドにて分析してください。 • ⭐インストールされていない⽅は、https://jqplay.org/よりお試しいただけます。※サーバーにjsonデータを送信します。 （https://gchq.github.io/CyberChef/を使っていただいてもOKです。※サーバーにjsonデータを送信しません。） • ４つの設問が⽤意されています。 1. 2. 3. 4. ランサムウェアのファミリー名は何ですか︖ ボリュームシャドウコピーを削除するふるまいはありますか︖ ファイルサーバーを探すなどのために、ネットワークを調べるふるまいはありますか︖ ランサムウェアが暗号化後に付与するファイル拡張⼦は何ですか︖ [参照] JSONファイル内のフィールドのスキーマ https://tria.ge/docs/cloud-api/dynamic-report/

• https://jqlang.github.io/jq/
• https://jqplay.org/
• https://gchq.github.io/CyberChef/
• https://tria.ge/docs/cloud-api/dynamic-report/

https://jqplay.orgの使い⽅について ②次にここに検索条件を書く ①まずここにJSONデータをコピペで 貼り付ける ③サーバーとデータ送受信され リアルタイムに反映される Result オプション - Raw Output : クォートを無くして表⽰ - Slurp: 複数のJSONを⼀つにまとめる コマンドライン版でのクエリとオプションが表⽰される ②の検索条件のチートシート。各例右側の📘のマークより実例にリダイレクトして使い⽅を確認できる (このアプリケーションサーバーのソースコードはこちら h"ps://github.com/owenthereal/jqplay )

• https://jqplay.org/
• https://github.com/owenthereal/jqplay

それでは、約10分間のハンズオン開始です︕ 分科会Slackに添付したransomware.jsonについて、前ページの設問４つに解答してみ てください。 [Optional課題︓早くransomware.jsonが終わった⽅⽤のおかわりデータ] すべて解答できた⽅のために、おかわりJSONをご⽤意しております。 この２つのJSONファイルはSlackにてウイルスと過検出されてしまい、 分科会Slackにアップロードことができなかったので、 当⽇のみ 以下の⻑⾕川のGoogle Driveからダウンロードしていただけます。 • lockbit2.0.json • https://drive.google.com/file/d/1WBiEudLz4ggIXDe94RFCnMQE2X1hHn1Z/view?usp=share_link • lockbit3.0-black.json • https://drive.google.com/file/d/1Ji3MswFd5V1p4Hl1ZlvsILqGln4zuaOe/view?usp=share_link

• https://drive.google.com/file/d/1WBiEudLz4ggIXDe94RFCnMQE2X1hHn1Z/view?usp=share_link
• https://drive.google.com/file/d/1Ji3MswFd5V1p4Hl1ZlvsILqGln4zuaOe/view?usp=share_link

ランサムウェア挙動のデータ分析ハンズオン 解答概要

設問1. ランサムウェアのファミリ名は何ですか︖ • jq --raw-output '.result.extracted’ • | jq '.ransom_note.note’ ” Аll оf уоur files аrе currеntlу еncrуptеd bу CОNTI rаnsоmwаrе. 解答︓CONTIランサムウェア

設問2. ボリュームシャドウコピーを削除するふるまいはありますか︖ • jq --raw-output '.result.processes[]|.’ • | jq '.cmd’ WMIC.exe shadowcopy where ¥“ID=‘{ボリュームシャドウコピーID}'¥" delete" • 解答︓はい、保存されているボリュームシャドウコピーをwmicで 削除します。

設問3. ファイルサーバーを探すなどのために、ネットワークを調べる ふるまいはありますか︖ • jq --raw-output '.result.network’ • | jq '.flows.[].dst’ “10.7.0.1:445”~“10.7.0.254:445”の内部ネットワークスキャンを⾏っている。 “src”より感染端末のIPアドレスが10.7.0.17であることがわかる。445/tcpはSMBで利⽤されるポート番 号であるため、 • 解答︓はい、ネットワークを調べるふるまいがあり、おそらくファイル サーバーを探索していると考えられます。

設問4. ランサムウェアが暗号化後に付与するファイル拡張⼦は何ですか︖ • jq --raw-output '.result.signatures[]’ • | jq --slurp 'map(select(.label=="ransomware_file_encryption")) |.[0].indicators |map(select(.description=="File renamed")) |.[].ioc’ • 解答︓ファイル拡張⼦は「.KCWTT」です。

アジェンダ 1. 20分 リサーチ報告 • ランサムウェア攻撃の最新動向 2. 15分 ランサムウェア挙動のデータ分析ハンズオン • Recorded Future Triage Sandboxで動作したランサムウェアの挙動ログを利⽤ 3. 最⼤15分 ディスカッション(交流) • テーマ「ランサムウェア感染時の対応で気を付けていること」

ディスカッションテーマ ランサムウェア感染時の対応で気を付けていること 例︓ネットワーク隔離を最優先に考えている など 現地オフラインの⽅は、 3⼈程度のグループを作成し、議論してみてください。 Zoomオンラインの⽅は、Slackチャットに書き込む形で交流してみましょう。 最後に発表やまとめは⾏う予定はありませんが、興味深いものは花⽥会⻑が紹介してくれるかも!?

次回のSR分科会は「2024年7⽉20⽇（⼟）」 テーマは、未定です。 現地会場は「ウインクあいち＠名古屋駅」で Zoomとのハイブリッド開催です SR分科会へのご参加ありがとうございました。 次回の詳細情報は、Slackで別途ご連絡します。