Japan
サイト内の現在位置
Fargoランサムウェアの解析結果のご紹介
NECセキュリティブログNECサイバーセキュリティ戦略統括部の高橋です。本稿では、 サイバーインテリジェンスグループの一員であるNECインドのメンバーによる、マルウェア解析結果を紹介いたします。本稿では、日本語でのサマリのみ紹介します。詳細内容については英語版 [1]をご覧ください。
2022年後半、Microsoft SQLサーバーの脆弱性を悪用する新たなランサムウェア「Fargo」の攻撃が確認されました [2]。Microsoft SQLサーバーは、多くの企業でインターネットサービスやアプリケーションのデータ保存・検索に利用されているデータベース管理システムです [3]。機能停止が重大な影響を及ぼしうるため、手っ取り早く利益を得るための魅力的な標的となります。調査によると、「Fargo」やその亜種は2021年から存在したと考えられています。「Fargo」は、「TargetCompany」グループに帰属するランサムウェアで、攻撃対象に応じてランサムウェアのメジャーリリースごとに暗号化戦略やファイル拡張子を変更することで知られています [4]。
IDランサムウェアプラットフォーム [5]に多数の「Fargo」の攻撃が報告されており、現在も活発な活動が確認されます。既存研究 [2] [4] [6] [7] では「Fargo」とその亜種の分析と指標が示されていますが、本研究では「Fargo」 [2] 、「Mallox」 [7]、「Fargo.YACH2」 [4]の3つの亜種を比較することにより、暗号化戦略、地域依存のポリシー、伝播戦略の解明を試みました。また、「Fargo」の振る舞いをMITRE ATT&CKの戦術/テクニックにマッピングしました。最後に、「Fargo」によって暗号化されたファイルの復旧可能性についても分析しました。
以下は解析で確認した項目のサマリです。内容についての詳細は英語版 [1]をご参照ください。
-
暗号化の加速・検出回避のため、断続的な暗号化(ファイルの全体ではなく部分的な暗号化)の採用
「Fargo」、「Mallox」、「Fargo.YACH2」では暗号化する領域と暗号化しない領域が交互に配置されることを確認しています。ファイルの一部のみを暗号化することにより、短時間で大量のファイルを暗号化します。 -
ロシア語圏のシステムでは機能しない
「Fargo」、「Mallox」では言語識別子をチェックしています。ロシア、ウクライナ、ベラルーシ、またはカザフスタンの言語を使用している場合、マルウェアは動作をせずに終了することを確認しました。 -
ローカルネットワークへの伝播を試みる
「Fargo」と「Mallox」はローカルネットワークの到達可能なIPアドレスを列挙し、マルウェア自身を共有フォルダへコピーします。その後、コピーしたマルウェアを実行するサービスを作成し、感染を拡大させる動作を確認しました。 -
大容量ファイルの復旧がオープンソースツールで可能な場合がある
断続的な暗号化では、ファイルの多くの部分が暗号化されずに残されるため、一部のファイル形式では暗号化されていない部分からデータを復元できる可能性があります [8]。White-Pohenixと呼ばれるランサムウェア復号ツール使用して、PDF文書、Word文書、zipファイルで復号可能かを評価しました。PDF文書では一部の画像が復号できましたが、Word文書の復号には失敗しました。zipファイルでは、zipファイルの中に含まれている751個のファイルのうち、724個のファイルは完全に復号できましたが、1.7KB以上3.4MB以下のファイル20個は復号に失敗し、残りの7ファイルは部分的な復号に成功しました。 -
MITRE ATT&CKのマッピング
Fargoランサムウェアの解析で確認したMITRE ATT&CKのテクニックをまとめています。マッピング結果は英語版 [1]をご確認ください。
サンプル このブログは以下の3つのサンプルの分析に基づいています:
Name | Popular threat label | SHA-256 |
---|---|---|
Fargo | ransomware.garrantdecrypt/targetcomp | 2a549489e2455a2d84295604e29c727dd20d65f5a874209840ce187c35d9a439 |
Mallox | ransomware.mallox/garrantdecrypt | ebdcf54719cceddffc3c254b0bfb1a2b2c8a136fa207293dbba8110f066d9c51 |
TargetCompany (Fargo.YACH2) | trojan.msil/tedy | 4f4ee2de8f18bf758d72ac288e61071e1be2ddc54a140cd512c97f5473461036 |
参考
- [1]Understanding Fargo Ransomware, https://www.nec.com/en/global/solutions/cybersecurity/blog/240322/index.html.
- [2]ASEC, “FARGO Ransomware (Mallox) Targeting Vulnerable MS-SQL Servers,” ASEC, https://asec.ahnlab.com/ko/38849/, 2022.
- [3]Enlyft, “Companies using MySQL,” https://enlyft.com/tech/products/microsoft-sql-server.
- [4]TargetCompany, “Ransomware Spotlight: TargetCompany,” https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-targetcompany, 2023.
- [5]“ID Ransomware,” https://id-ransomware.malwarehunterteam.com/.
- [6]TargetCompany, “TargetCompany Ransomware,” https://id-ransomware.blogspot.com/2021/06/tohnichi-ransomware.html, 2021.
- [7]A. Novick, “White Phoenix: Beating Intermittent Encryption,” CyberArk, 第 https://www.cyberark.com/resources/threat-research-blog/white-phoenix-beating-intermittent-encryption, 2023.
- [8]CyberArk, ““White Phoenix,' an open-source ransomware decryptor”,https://github.com/cyberark/White-Phoenix.
執筆者プロフィール
高橋 航(たかはし わたる)
セキュリティ技術センター インテリジェンスグループ
サイバーインテリジェンスグループにて脅威情報収集・分析・発信を担当。
CISSP Associateを保持。
執筆者の他の記事を読む
執筆者プロフィール
Dr.Manikantan Srinivasan
NEC オープンネットワークソリューション・サービス (NOSS) デリバリーユニット, NEC Corporation India Pvt Ltd.
5GのAI/MLに関する研究、O-RAN allianceのアーキテクチャベースのセキュア5Gソリューション開発、テレコムセキュリティ、3GPP標準化、サイバースレットインテリジェンスに関する研究に取り組む。
O-RAN WG11 - Security Working GroupのNECの代表として、O-RANセキュリティの標準化に貢献。ネットワーク通信、携帯電話のネットワークとセキュリティに関する24年以上の経験を持つ。
2021年以降、MITRE ATT&CKに対して複数の脅威情報を提供し採用されている。
CISSPを保持。
執筆者プロフィール
Dr. Sareena Karapoola
デジタルプラットフォームデリバリーユニット(DPDU)、NEC Corporation India Pvt Ltd
マルウェア解析、マルウェア検知技術開発、サイバースレットインテリジェンスに関する研究に取り組む。
2022年にインド工科大学マドラス校でコンピュータサイエンスの博士号を取得、サイバーセキュリティを学ぶ。他の研究対象として、新しいAIベースの検知や軽減戦略、現実世界のテストベッドとセキュリティリサーチ用のラベル付きデータセットがある。
スマートカードリーダーやアクセスコントローラ端末などの組み込み製品とシステムソフトウェアに対する10年以上の経験を持つ。
アクセスランキング