NTTコミュニケーションズ

Bizコンパス

ランサムウェア?破壊型マルウェア?LockerGogaの罠
2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

著者 すずきひろのぶ (鈴木裕信)

何重にも罠が仕掛けられている

 LockerGogaは、管理者権限を盗む機能が含まれている。

 管理者権限で実行するためには、PCを使っているユーザーの許可が必要である。さらに正規のコードサイニング証明書によりデジタル署名がなければ警告が出てしまう、あるいは実行ができない。

 LockerGogaは、企業に発行された正規のコードサイニング証明書(たぶん企業から盗んだものだろう)によってデジタル署名されている。実に用意周到である。さらに管理者権限で実行されると管理者パスワードを強制的に変更して管理者をログインさせず、LockerGogaの処理の邪魔をさせないようにしている。一方で、一般ユーザーのアカウントはそのままなので、ログインして脅迫状を読むことができる。実にいやらしいやり口だ。

 ネットワーク内に感染を広げる方法も特徴的だ。マルウェアが自律的に感染を広げるのは「ワーム型」と分類され、通常ならばPCの未アップデートの脆弱性などをついて感染を広げるといった非正規な動作を伴う。そのため非正規な動作から検出ができる場合もある。

ところがLockerGogaは、正規のネットワーク共有(SMB)の機能を利用して、LockerGogaの実体である実行ファイルをPCからPCにコピーする。これでは正規のコピーをしているように見えてしまうため、たぶん多くのマルウェア検知システムでは警告は出さないのではないかと筆者は考える。

 さらに、コマンド「PsExec」を使って、任意のコマンドをリモート実行できる機能を持っている。PsExecには管理者権限の認証情報が必要なので、ハイドロ社のケースではどのように入手したのかは不明だが、とにかく管理者権限の認証情報を入手し、PsExecによる任意のコードのリモート実行ができていたようだ。これはかなり厳しい。

 そのような背景から、一説によれば、以前からハイドロ社のネットワーク内に侵入していて、情報を事前につかんでいて、周到に準備し、最後のタイミングでLockerGogaを投入したという噂もあるようだ。

 さらに、いくつかのセキュリティベンダーの報告では、暗号化されたファイルをもとに戻す方法はLockerGogaには存在していないようで、身代金を払うためのコンタクト先メールアドレスも不通だそうだ。

 つまり、現状ではいったんLockerGogaに感染してしまうと元に戻す方法はない。そのため、ランサムウェアではなく、最初から破壊のためのマルウェアであると分析するセキュリティチームもある。

SHARE

関連記事

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策