ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

Necurs が解き放った地獄からの"Locky diablo"

8 月上旬の 2 日間(8 日と 9 日)、Trickbot マルウェアの活発な流通の最中に、”Locky”ランサ ムウェアの新しい変種である”diablo”が現れました。Trustwave SpiderLabs スパムリサーチデ ータベースは、Necurs スパムメールを大量に収集し、1 時間平均で 133,727 件のスパム、36 時間で合計 4,814,159 件のメールサンプルを収集しました。私たちが集めた迷惑メールのほと んどは、インド、ベトナム、イランからのものでした。

Graph_stats

図 1:Locky 関連のスパムの 1 時間あたりのボリューム

Locky ランサムウェアは 2016 年に名を上げ始め、JS ファイルまたは悪意のある Word 文書を 添付ファイルとして、 請求書支払いに関するメールテンプレートを使用した実績があります。最 新のメールには、オフィス文書または画像が添付されたシンプルなテンプレートを使用します。

件名は次のように異なる場合があります。

E 2017-08-09({乱数})[doc | docx | xls | xlsx | pdf | jpg | tiff]

各電子メールには添付ファイルがあり、ファイル名と同じ件名の詳細が使用されます。zip ファ イルの中には、VBscript ファイルがあります。

Sample_email03

図 2:Locky の電子メールサンプル- E 2017-08-09(00).jpg


Sample_email03

図 3:Locky の電子メールサンプル - E 2017-08-09(00).doc

添付された VBS ファイルは完全に難読化されているわけではなく、混乱する変数名を使用し、 いくつかのガベージコードを追加します。また、検出を避けるために、いくつかの文字列の難読 化手法を使用します。たとえば、異なる変数から”User-Agent”を構築する必要があります。

また、スクリプトは多くのオブジェクトを初期化し、後で使用するために環境変数からユーザー の一時フォルダを取得します。

Vbs-UA-Temp-URL-Dash

図 4:VBS ファイル - 初期化

URL 配列リストから、スクリプトは各サイトに接続し、サイトがまだアクティブかどうかを確認し ます。

Vbs-build-UA

図 5:VBS ファイル - ダウンロードサイトに接続

スクリプトは HTTP 応答を取得し、一時フォルダにファイルとして保存します。

MD5: 544BC1C6ECD95D89D96B5E75C3121FEA
SHA1: B4DC5F5D47B87BAA0BE87AFDA5CCEE1F00497984

Network_download

図 6:TCP ストリーム - バイナリがダウンロードされたことを示します。

Vbs-save2

図 7:VBS ファイル - ファイルに保存

最後に、スクリプトはダウンロードしたバイナリファイルを実行します。

Vbs-run

図 8:VBS ファイル - バイナリファイルを実行する

ペイロード

最初の Locky の変種の概念から、暗号化されたファイルに異なる拡張名を使用していること が記録されています。

.locky
.zepto
.odin
.shit
.thor
.aesir
.zzzzz
.osiris

現在のバリアントは、異なるファイル名形式を使用し、拡張子名”.diablo6”を使用します。

Encrypted files

図 8:Locky で暗号化されたファイル

典型的な Locky ランサムウェアはまだ各フォルダに置かれた html ベースの身代金ノートを持 っていて、BMP ベースの身代金メモで壁紙を変更します。

Html_ransomnote

図 9:Locky 身代金メモ

この変形例でも、復号化ツールは TOR ブラウザを介してのみアクセス可能な同じ支払方法を 使用します。

Onionsite_id

図 10:Locky - Onion サイト - 復号化ツールの支払い

結論

Locky がメールゲートウェイの扉を叩いてから、しばらく経ちます。この「diablo」の変種は同じ 古い Locky であるにもかかわらず、脅威アクターはそれが適切に配布されたかどうかを確認 する方法を知っています。単純なメールコンテンツと、難読化された VBS を使用してバイナリ をダウンロードする非常に信頼性の高い方法を使用することで、疑いを持たないユーザーが、 本当に地獄に遭遇するのに十分なものです。

Locky は過去に多くの被害を加えており、現在注目されているようです。これは Necurs/Locky の悪質なスパムキャンペーンの新しいシーケンスの始まりかもしれません。将来、マクロ埋め 込みドキュメント、PDF、JS ファイルのような他の配信手段を利用する可能性があります。これ らのすべては、今後も注目される予定です。