TorrentLocker-FileCoderランサムウェアトロイの木馬の新しい修正、パート1

ランサムウェア（ランサムウェア）は、ユーザーの身代金を取得するためにシステム内のさまざまなアプリケーションの起動を禁止するだけでなく、サイバー犯罪者がユーザーのコンピューター上のさまざまなファイルを暗号化するために使用する特別なクラスのマルウェアです。 システムでアクションを実行した後、悪意のあるプログラムはユーザーに特別なメッセージを提供します。 メッセージには、コンピューターまたは暗号化されたファイルにさらにアクセスするために、ユーザーが特定の金額を攻撃者のアカウントに送金する必要があることが記載されています。







TorrentLockerとも呼ばれるWin32 / Filecoder.DIマルウェアは 、ユーザードキュメント、画像ファイル、およびその他のファイルタイプの暗号化を専門としています。 同時に、ユーザーはビットコインの通貨で解読を強要されます。 ファイルを解読するために強要された金額は4,081ビットコインで、およそ1,500ドルに相当します。 ビットコイン暗号通貨のみが受け入れられます。



TorrentLockerという名前は、iSIGHT PartnersによってFileCoderによってこの変更に割り当てられました。最初の言及は、次の投稿に言及しています。 マルウェアが構成情報を保存するために使用したレジストリキー「Bit Torrent Application」の名前から取られました。 ただし、最新の変更ではこのレジストリキーは使用されません。 以下は、レジストリ内のこのセクションへのパスです。



HKEY_CURRENT_USER \ Software \ Bit Torrent Application \ Configuration



サイバー犯罪者は、 Racketeerと呼ばれるTorrentLocker開発プロジェクトに特別な名前を付けました。 マルウェアコード内の関数の名前の一部は、rack_init、rack_encrypt_pcなど、プレフィックス「rack」で始まります。 C＆Cサーバー上のスクリプトファイル名も、このプレフィックスで始まります（例：rack_cfg.php、rack_admin.php）。 ロシア語の英語の「ラケット」は「ラケット」を意味し、TorrentLockerの目的をよく説明しています。つまり、ユーザーの問題を引き起こします。コンピューター上のファイルを解読できるサイバー犯罪者から特別なツールを購入するだけで解決できます



以下は、このマルウェアとその配布キャンペーンの分析で特定された重要な側面です。

• 合計39,670台のコンピューターがマルウェアに感染し、これらのユーザーのうち570人が解読のために攻撃者に支払いました。
• これらの被害者の合計支払い額は、ビットコインで292,700ドルから585,401ドルです。
• 管理C＆Cサーバーから受け取ったデータによると、悪意のあるキャンペーンの全期間中に約2億8,500万件のドキュメントが暗号化されました。
• TorrentLockerを配布した攻撃者グループは、以前にHesperbotバンキングマルウェアの配布に特化した犯罪グループと同じであると考えています。
• サイバー犯罪者がTorrentLockerを配布するために使用した特別なスパムメールは、特定の国を標的としていました。 そのような国のリストを以下に示します。
  
  
  • オーストラリア
  • オーストリア
  • カナダ
  • チェコ共和国
  • イタリア
  • アイルランド
  • フランス
  • ドイツ
  • オランダ
  • ニュージーランド
  • スペイン
  • トルコ
  • 英国
  
  
  
• 著者はファイル暗号化アルゴリズムの変更に頼り、ATRアルゴリズムCTRモードの代わりにCBCモードを使用し始めました。 これにより、以前は侵入者ツールを使用せずにファイルを解読するために使用できた抜け穴を塞ぐことができました。
• このマルウェアの最初のインザワイルド発見は、2014年2月にテレメトリシステムによって検出されました。

感染ベクター



TorrentLocker感染の被害者から受け取ったデータは、感染ベクトルが常に実行可能ファイル形式の添付ファイルを含むフィッシングメールメッセージであることを示しています。 この実行可能ファイルは、Officeドキュメントを装っており、マルウェアドロッパーでした。 ESETのテレメトリデータは、2014年8月以降、フィッシングメッセージがTorrentLockerの唯一の配布ベクトルであることを示しています。感染プロセスは、以下の図に示すいくつかの連続したステップで構成されています。





図1. TorrentLockerマルウェアによるユーザー感染のスキーム。



図に示すように。 1、ユーザーが電子メールメッセージを開いた段階から、システムにTorrentLockerドロッパーをインストールするさまざまな方法があります。 上記の図に示したすべての経路を目撃しました。 たとえば、悪意のあるプログラムの実行可能ファイルは、添付ファイルである.zipアーカイブにある可能性があります。 その他の場合、メッセージには、そのようなアーカイブをダウンロードするためのURLリンクが含まれていました。 さらに、ユーザーの警戒心を減らすために、攻撃者は特別なキャプチャを使用しました。



サイバー犯罪者が使用したフィッシングメッセージのトピックをいくつか記録しました。

• 未払いの請求書。
• 出荷されたパッケージのステータスの通知。
• 未払いのスピード違反ペナルティ。

これらすべてのケースで、メッセージテキストは上記の国の母国語でコンパイルされました。 さらに、攻撃者は電子メールアドレスに特別な偽のドメインを使用してフィッシングメッセージを送信しました。 さらに、ドメインは、特定の民間組織または公的組織に属する正当な対応物と非常に似ています。



ダウンロードWebページは、サイバー犯罪者が使用する効果的なマルウェア配信方法です。 メッセージでは、ユーザーはそのようなWebページへのURLリンクに従うように求められました。 ユーザーが移行した後、TorrentLockerファイルがコンピューターにダウンロードされました。 これらのWebページは、フィッシングメールが標的となった特定の国でのみ表示されていました。 そのような国に属していないユーザーがそのようなWebページにアクセスすると、そのユーザーはGoogle検索ページにリダイレクトされます。 このようなユーザーフィルタリングは、訪問者のIPアドレスのチェックに基づいて実行されました。 同じことがモバイルデバイスのユーザーにも当てはまりますが、その場合、PCで表示するように切り替えることが提案されました。 このようなメッセージは、スクリーンショットで以下に示されています。





図 2.モバイルユーザー向けの通知ダウンロードWebページ。



この悪意のあるキャンペーンの背後にある攻撃者は、正当なドメインを特に購入しました。 それらは、マルウェアへのメールアドレスとURLリンクを生成するために使用されました。 以下の表に、これらのドメインをリストします。







潜在的な被害者の警戒を軽減するために、悪意のあるWebサイトでCAPTCHAと呼ばれる有名なメカニズムが使用されました。 このようなWebページの最初のバージョンでは、悪意のあるコンテンツをダウンロードするために、ユーザーはCAPTCHAフィールドに任意の文字を入力するだけでした。 新しいバージョンでは、入力文字はCAPTCHAと厳密に一致する必要があります。





図 3.悪意のあるWebページの例。



2014年11月に、悪意のあるTorrentLockerファイルを配布する新しい方法を確認しました。 攻撃者は依然としてフィッシングメールを使用していましたが、現在では悪質な.zipアーカイブがメールメッセージの添付ファイルとしてホストされていました。 さらに、アーカイブ自体にはTorrentLocker実行可能ファイルではなく、VBAスクリプトを含む.docファイルが含まれるようになりました。 このスクリプト（スクリプト）は、TorrentLockerドロッパーをダウンロードして実行するために使用されます。 スクリプト自体は難読化されています。





図 4.難読化された元のVBコード。





図 5.難読化のないコード。



このVBコードは、リモートサーバーから実行可能ファイルをダウンロードし、実行するために起動します。 ファイル名は.png画像ファイルとして偽装されています。



仕事の一般的なスキーム





図 6.マルウェアの一般的なスキーム。



TorrentLockerマルウェアの主要部分（コア）が起動されると、C＆Cサーバーに身代金要求Webページを要求します。 このWebページには、ファイルが暗号化されており、ファイルを復号化するために必要な金額を支払う必要があるというユーザー向けの通知テキストが含まれています。 このページのリモートダウンロード操作が成功すると、TorrentLockerは特別な256ビットAESキーを生成します。 このキーは、悪意のあるプログラムの本体にハードコーディングされている2048ビットの公開RSAキーを使用して暗号化されます。 その後、リモートC＆Cサーバーに送信されます。 次に、マルウェアはこのAESキーを使用して特定の種類のファイルを暗号化するプロセスを開始します。 ファイルタイプのリストは広範で、TorrentLocker実行可能ファイルの本文に組み込まれています。



TorrentLockerがファイル暗号化操作を完了すると、 memset（aes_key、0、aes_key_size）を呼び出してメモリ内のキーを破棄します。 したがって、このマルウェアの研究者にとって、デバッグ時にメモリからキーを取得することは不可能になります。 前述のmemset呼び出しは、そのプロセスで悪意のあるコードによってキーが複製された場合、キーの各コピーに対して行われます。 その後、TorrentLockerは以前にダウンロードしたWebページをユーザーに表示します。





図 7.身代金要求Webページの英語の例。



上記の身代金要求Webページには、.onionドメインでホストされている、つまりTorネットワークに属している支払いページへのリンクが含まれています。 このドメインは、TorrentLockerコードによってアクセスされるC＆Cサーバーの1つとしても表示されることに注意してください。 上記のスクリーンショットでは、別のタイプの暗号化プログラムへの参照が表示されています-CryptoLocker 。 おそらく、これは被害者を欺くために行われます。





図 8.英国ユーザー向けの英語の支払いウェブページのサンプル。



次のパートでは、この悪意のあるプログラムのコードの分析と、C＆Cサーバーでのその操作のメカニズムについて詳しく説明します。