X-Force

IBM Security X-Forceリサーチ・アドバイザリー：ウクライナに対する新しい破壊的なマルウェアサイバー攻撃

2022-03-02

カテゴリー X-Force

記事をシェアする:

本ブログはIBM Security X-Forceのアン・ジョブマン、クレア・ザボエワ、リチャード・エマーソンによって書かれました。

2022 年 2 月 23 日に、オープンソースのインテリジェンス・ソースは、ウクライナの組織に属するシステムにワイパー・マルウェアの検出を報告しました。ワイパー・マルウェアとはターゲットからデータを永久に破壊するように設計されたマルウェア・ファミリーです。

IBM Security X-Forceは、HermeticWiper と呼ばれるワイパーのサンプルを入手しました。このツールは、無害なパーティション・マネージャー・ドライバー (epmntdrv.sys のコピー) を使用し、使用可能なすべての物理ドライブのマスター・ブート・レコード (MBR)、パーティション、およびファイルシステム (FAT または NTFS) を破壊するワイプ機能を実行します。

このHermeticWiperは、X-Forceが分析したウクライナの組織を標的とした最初のワイパーマルウェアではありませんでした。2022 年 1 月に、X-Force は WhisperGate マルウェアを分析しました。WhisperGate と HermeticWiper にコードの重複は確認されませんでした。

このブログでは、組織がこのHermeticWiper マルウェアから身を守るために、IBM Security X-Force の洞察、サンプルのテクニカル分析、およびセキュリティー侵害インジケーター(IoC) について詳しく説明します。

なぜこの攻撃が重要なのか

2022年1月に、X-ForceはWhisperGate マルウェアを分析しました。HermeticWiper は、ウクライナの組織を標的にした、過去2ヶ月間に観察された2番目の破壊的なマルウェア・ファミリーであり、東ヨーロッパの諸国で観察されました。WhisperGate と HermeticWiper にはコードの重複は確認されませんでした。

このような新しい破壊的なマルウェア・ファミリーが展開され、発見されるペースは前例のないものであり、組織がシグネチャーベースの防御を超えた積極的かつ情報に基づいた防御戦略を持つ必要性をさらに強調しています。

この地域で紛争が拡大し続けているという状況、そして WhisperGate と HermeticWiper の両方の破壊的な能力を考慮し、IBM Security X-Force は標的地域内の重要なインフラ組織が防御を強化することを推奨しています。これらの組織は、データを破壊または暗号化したり、経営に大きな影響を与える可能性のある攻撃に対する準備に重点を置く必要があります。

破壊的なサイバー攻撃が、ハイブリッド・オペレーションを支援する民間の標的に対して引き続き使用される可能性が高いと、X-Forceは示唆します。

これに加え、X-Force は、サイバー攻撃が現在進行中の紛争の範囲と並行してエスカレートし、拡大し続ける可能性が高いと考えています。

ウクライナとその同盟国に関連する民間企業や組織に焦点を当てた破壊的な能力の増加は、地域の商業に対する脅威の高まりを生み出すことにより、サイバー・セキュリティーの環境を変える可能性が高いことを留意するべきです。

解析の詳細

このセクションは提供されたサンプルの分析結果を含みます。典型的な解析には、振る舞い分析と静的解析の両方が含まれます。

振る舞い分析は、実行中にシステムで観察されたマルウェアの活動を記述します。通常、振る舞い分析には、ドロップされたファイル、永続化、プロセス実行に関する詳細、C2 通信など、システム上で実行されるアクションが含まれます。

特定の機能は、特定の条件下でのみマルウェアによって実行される可能性があるため、振る舞い分析は全ての注目すべきマルウェアの動作をキャプチャできない場合があります。

静的解析は、マルウェアのテクニカル分析をより深く掘り下げます。静的解析には、通常、マルウェアの機能や難読化やパッキングの詳細、マルウェアが使用する暗号化、構成情報やその他の注目すべき技術的詳細が含まれます。

振る舞い分析

実行時に、HermeticWiper はプロセス・トークンの権限を直ちに変更し、SeBackupPrivilege を有効にします。これにより、マルウェア・プロセスはアクセス・コントロール・リスト(ACL)で指定されているものに関係なく、任意のファイルに対する読み取りができるようになります。

次に、システムの OS バージョンをチェックして、無害なパーティション・マネージャー・ドライバー (EaseUS パーティションマネージャー: epmntdrv.sys) のどのバージョンのコピーを使用するかを確認します。このドライバーは、元々マイクロソフトの圧縮 (SZDD 圧縮) 形式で RCDATA という名前のリソースに埋め込まれています。

Windows XPの場合：
・　x86 – DRV_XP_X86　を使用する
・　x64 – DRV_XP_X64　を使用する

Windows 7およびそれ以上のバージョンの場合：
・　x86 – DRV_X86　を使用する
・　x64 – DRV_X64　を使用する

どのバージョンを使用するかを確認した後、 SZDD形式で圧縮された無害なパーティション・マネージャー・ドライバーが次のディレクトリにドロップされます。

%WINDIR%\system32\driver\<ランダムな2文字>dr
例：C:\Windows\system32\Drivers\vfdr

その後、ドロップされたファイルを解凍し、ファイル拡張子として「.sys」を追加します。

例：C:\Windows\system32\Drivers\vfdr.sys

続いて、プロセス・トークンの特権を再度変更し、SeLoadDriverPrivilege を有効にします。このトークンは、HermeticWiper のプロセスがデバイス・ドライバーをロードおよびアンロードすることを可能にします。

次に、次のレジストリーキーを変更してクラッシュダンプを無効にします。

HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0

クラッシュダンプは、システムが予期せず停止する原因の情報を含むメモリダンプであることに注意してください。このオプションを無効化すると、システムがダンプを作成できなくなるため、追跡を回避することができます。

また、ボリューム・シャドウ・サービス (vss) が有効になっている場合はそれを無効化し、すべての HKEY_USERS レジストリーにある ShowCompColor と ShowInfoTip を無効化します。

HKEY_USERS\\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0

ShowCompColor オプションは圧縮および暗号化された NTFS ファイルを色で表示し、ShowInfoTip はフォルダとデスクトップの項目に関するポップアップ説明を表示します。

その後、HermeticWiper は、OpenSCManagerW()、OpenServiceW()、CreateServiceW()、StartServiceW()などの Windows API を使用して、作成されたドライバーをサービスとして追加しロードします。

例：

これにより、レジストリーにサービス・エントリーが作成されます。

HKLM\SYSTEM\CurrentControlSet\services\<ランダムな2文字>dr

無害なドライバー・サービスが開始され、システムに読み込まれると、%WINDIR%\system32\driversに作成されたドライバーを削除し、レジストリーから作成されたサービスを削除することによって再び追跡を回避します。

HermeticWiper は、0 ~ 100 をループして最大 100 個の物理ドライブの範囲を列挙します。システムにロードされた無害なパーティション・マネージャーを使用して、システム内に存在するすべての物理ドライブのマスター・ブート・レコード(MBR)を破壊します。

しかし、活動はこれで終わりではありません。HermeticWiper は FAT と NTFS ファイルシステムの両方をサポートしている利用可能な全てのパーティションも破壊します。NTFS の場合、データを回復不能にするために、ファイルに関するすべての情報を保持するマスター・ファイル・テーブル (MFT) も破壊します。

全てのディスクが破損されるとシステムがクラッシュするはずですが、念のため、HermeticWiper はシステムのシャットダウンをトリガーするフェイルセーフ・スリープ・スレッド(fail-safe sleeping thread)を作成して、ターゲットシステムを強制的に再起動させます。

静的解析

ワイパーサンプルの分析から、このマルウェアが「Hermetica Digital Ltd」という名前の組織に発行されたデジタル証明書で署名され、2021年4月15日に作成されたことが分かりました。デジタル証明書は、ファイル、サーバー、ユーザーなどのアイテムの信頼性を証明するファイルまたは暗号学的署名です。

HermeticWiperには、次のデジタル証明書が含まれています。

セキュリティー侵害インジケーター (IOCs)

Hermeticwiper

ファイルシステム:

%WINDIR%\system32\driver\dr

レジストリー:

HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\dr

サービス:

service name: dr

Hermaticマルウェアサンプル

検出

IBM Security X-Force は HermeticWiper の追加インスタンスを検出するために、以下の Yara シグネチャを開発しました。

import “pe”
rule XFTI_HermeticWiper : HermeticWiper
{
meta:
author = “IBM X-Force Threat Intelligence Malware Team”
description = “Detects the wiper targeting Ukraine.”
threat_type = “Malware”
rule_category = “Malware Family”
usage = “Hunting and Identification”
ticket = “IRIS-12790”
hash = “1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591”
yara_version = “4.0.2”
date_created = “24 Feb 22”
date_updated = “”
reference = “”
xfti_reference = “”
strings:
$s1 = “\\\\.\\EPMNTDRV\\%u” wide fullword
$s2 = “C:\\Windows\\SYSVOL” wide fullword
$s3 = “DRV_X64” wide fullword
$s4 = “DRV_X86” wide fullword
$s5 = “DRV_XP_X64” wide fullword
$s6 = “DRV_XP_X86” wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports(“lz32.dll”, “LZOpenFileW”) and
pe.imports(“kernel32.dll”, “FindResourceW”) and
pe.imports(“advapi32.dll”, “CryptAcquireContextW”)
}

対応

現時点では、X-Force は、このレポートに記載されているファイルシステム、レジストリー、および Windows サービスなどのインジケーターの検出を実装し、また提供された Yara ルールを利用してファイルをスキャンすることを推奨します。

さらに、グローバル企業は、地域内の機関に拠点を置くまたはサービスを提供するそれぞれのネットワーク、サプライチェーン、第三者、パートナーシップに対する健全な洞察を確立する必要があります。また、組織は、関連する情報共有エンティティ間のコミュニケーションラインを確立し、実行可能なインジケーターの受領と交換を確実に行うことを推奨します。

本件についてご質問がある場合、または本マルウェアおよび防御技術についてより深い議論が必要な場合は、ここで（LINK）ブリーフィングをスケジュールできます。

サイバーセキュリティーの問題やインシデントが発生している場合は、X-Force にお問い合わせください。

当ブログは、「IBM Security X-Force Research Advisory: New Destructive Malware Used In Cyber Attacks on Ukraine（英語）」を抄訳したものです。