オシリス-新しいロッキートロイの木馬の生まれ変わり

まとめ

1月末、Acronisの専門家は、Windows Defenderの保護を簡単に回避する新しいOsirisランサムウェアのサンプルを発見しました。 新しいOsirisランサムウェアの詳細を以下に示します。

• OsirisはLockyランサムウェアファミリの第7世代であり、通常はスパムを介して拡散します。
  
  
  
  
• Osirisは、標準のWindowsコンポーネントを使用して悪意のあるコード（スクリプトおよびライブラリ）をダウンロードおよび実行するため、検出が困難です。
  
  
  
  
• Osirisには仮想環境を検出するツールがあり、仮想マシンでのデバッグとデバッグが困難になります。 このアルゴリズムは、2016年6月に登場した初期バージョンよりも大幅に改善されています。
  
  
  
  
• ローカルデバイスに感染し、ネットワーク全体に容易に広がり、他のコンピューターやネットワークフォルダーに感染します。
  
  
  
  
• Osirisは、同じ組織外のCRM /カスタマーサポートシステム （クラウドを含む）を介して配布することもできます。 組織の感染ユーザーは、CRMアドレスに手紙を送信できます。 内部パーサーは受信したレターを分析し、感染した添付ファイルを自動生成されたリクエスト（チケット）に添付します。 カスタマーサポートエンジニアは、アプリケーションを開き、Excelで添付ファイルを開き、ネットワークに感染します。
  
  
  
  
• アクロニスの予想通り、詐欺師はバックアップソリューションを攻撃し始めました。 Osirisは、WindowsオペレーティングシステムのMicrosoftボリュームシャドウコピーサービス（VSS）を直接攻撃し、作成済みのシャドウコピーを削除します。
  
  
  
  
• Osirisは強力な暗号化アルゴリズムを使用しており、その結果、感染したデータはサードパーティのツールで解読できません。
  
  
  
  
• Windowsのデバイスに感染するだけでなく、MacやAndroidにも感染します。
  
  

Acronis Active Protectionは、悪意のある攻撃時にAcronis True Image 2017 New Generationがコンピューターで起動された場合、Osirisのすべてのバージョンをブロックし、同時に暗号化されたデータを復元できる唯一のテクノロジーです。

バックアップソリューションへの攻撃

攻撃者がバックアップからファイルを回復するのを防ぐため、Osiris は Microsoftボリュームシャドウコピーサービス（VSS）を無効にします。 このテクノロジーはMicrosoft Windowsの一部であり、手動および自動でバックアップしたり、データのスナップショットを取ることができます。



Osirisは、サイレントモードでコマンド「vssadmin.exe Delete Shadows / All / Quiet」を実行することにより 、 既に作成されたシャドウコピーも削除します。 これにより、ユーザーは感染したコンピューターに保存されたデータからシステムを回復できなくなります。



Microsoft VSSには保護のためのセキュリティ対策が含まれておらず、削除または変更されたものからシャドウコピーを作成します。 アクロニスは、バックアップソリューションに対するこのような攻撃を予測し、自社製品に自己防衛技術を実装しました。 独立したテストでは 、Acronis製品がOsirisによる攻撃に耐性があることがすでに示されています。

ロッキーファミリーの進化

Lockyランサムウェアトロイの木馬は、エジプトの暗黒街の神に敬意を表して、新しいランサムウェアランサムウェアをオシリスと名付けました。 マルウェアは、バックアッププログラムファイルに対する攻撃を含む攻撃用に設計された最新の機能を備えており、検出を回避できます。 暗号化されたファイルに.orisis拡張子を追加し、標準のランサムウェアスキーム（感染、暗号化、恐tor）を使用します。 Lockyファミリーのベストプラクティスに基づくOsirisは、コンピューターユーザーが現在直面している最も深刻なセキュリティ上の脅威の1つです。



Lockyは2016年2月に初めて発見され、少なくとも7つの変更を経て、このタイプのランサムウェアを特定して阻止しようとしているセキュリティプロバイダーの一歩先を行こうとしています。 以前のバージョンのプログラムはロシア語ロケールのコンピューターに感染しなかったため、Lockyがロシアで開発されたという提案があります。 また、Excelのタブではロシア語の名前が使用され、スクリプト関数はロシア語の俗語と呼ばれます。

• .locky-2016年2月
• .zepto-2016年6月。1か月後、Lockyは管理サーバーにアクセスできない場合に備えて、組み込みのRSAキーを使用したオフライン暗号化のサポートを開始しました。
• .odin-2016年9月
• .shit、.thor-2016年10月
• .aesir-2016年11月
• .zzzzz、.osiris-2016年12月

Acronis Securityは、次のOsirisランサムウェアのサンプルを調査しました。

• ファイル名：ekijLpDlRXB.zk
• サイズ：161625バイト
• 日付：2017/01/29
• MD5：3545436c22a9a43e29396df87823013d

OsirisはApple MacおよびAndroidデバイスにも感染することに注意することが重要です。 アクロニスの専門家は現在、この問題を調査しており、別のレポートを発行する予定です。

分布パターン

1.スパム。 Osirisは通常、件名に「アカウント」または「注文確認」という単語を含むスパムメールと、悪意のあるスクリプトを含む圧縮された添付ファイルを介して配信されます。 VBA上のマクロを含むExcelファイル、または実行可能なscript.jse（ドロッパー）にすることができます。 実行時に、.dllファイルをダウンロードし、Rundll32.exeを使用して起動します。



Osirisの作成者は、.exe拡張子を使用せずにマルウェアを隠そうとし、標準のWindowsコンポーネントを使用してスクリプトとDLLファイルを実行します。





Osirisに感染した添付ファイルを含むスパムメールの例（BleepingComputerの許可を得て使用した画像）。



2.悪意のある広告。 ランサムウェアを使用する詐欺師は、正当な広告ネットワークを使用して、ユーザーの関与をほとんどまたはまったく伴わずにランサムウェアを配布するために作成された特別な広告を配置します。 昨年感染したサイトにはBBC、MSN、AOLがあり、サイバー犯罪者は自動広告ネットワークを使用して目標を達成し、アカウントが最初の検証に合格した後に悪意のある広告を掲載できるようにしました。

企業ネットワークの感染

Lockyと同様、Osirisはワームベースのトロイの木馬です。 ユーザーの介入なしにネットワーク経由で配布する機能があります。 彼の攻撃の犠牲者の中には、攻撃の拡散を止めるためにドメインコントローラーを無効にする必要があることに気づいた人もいました。 Osirisは、ネットワーク上の数千の共有フォルダー、ネットワーク共有ドライブ、およびその他のデバイスに感染する可能性があります。 どのビジネスでも、1つのネットワーク上で非常に多くのデバイスを失うことによる損害は、回復不可能な場合があります。



Osirisは、同じ組織外のCRM /カスタマーサポートシステム （クラウドを含む）を介して配布することもできます。 組織の感染ユーザーは、CRMアドレスに手紙を送信できます。 内部パーサーは受信したレターを分析し、感染した添付ファイルを自動生成されたリクエスト（チケット）に添付します。 カスタマーサポートエンジニアは、アプリケーションを開き、Excelで添付ファイルを開き、ネットワークに感染します。

感染症

ドロッパーOsiris.jsはcheburgen関数を使用して、悪意のあるコードekijLpDlRXB.zkをダウンロードします。 （ Cheburgenは、有名な漫画Cheburashke and Crocodile Geneのキャラクターを指す複合語です）。



2017年1月29日付のOsirisドロッパーの最新バージョンの重量は71 KBで、これは2016年12月にリリースされた以前のバージョンの2倍です。現在、Windows Defenderはそれを検出できません。





API Monitorスクリーンショットは、cheburgen関数の実行を示しています。



悪意のあるコードをダウンロードする最初の試みは、ポーランドのサーバーを使用して行われました。





プロセスモニターのスクリーンショットは、ドロッパーがhome.net.plに接続しようとする方法を示しています



しかし、その後、プログラムはロシアのエリックス[。]ネットサーバーに切り替わり、現在ほとんどのウイルス対策プログラムによってブロックされています。





Process Monitorユーティリティのスクリーンショットは、elixe [。] Netからマルウェアをダウンロードするプロセスを示しています





ekijLpDlRXB.zkをユーザーの一時ファイルディレクトリにロードするプロセス。





Wiresharkのスクリーンショットは、サイズが161894バイトの悪意のあるコードのダウンロードを示しています。 IP 92.255.47.9は、おそらくOsiris管理サーバーのIPアドレスのプールに属します。



ダウンロードが正常に完了すると、次のコマンドを使用してrundll32.exeでekijLpDlRXB.zkがアクティブ化されます（このインスタンスの場合）。



「C：\ Windows \ System32 \ rundll32.exe C：\ Users \％UserName％\ AppData \ Local \ Temp \ EKIJLP〜1.ZK、0QaQzdZN8Pft5YPfVEdEYu」





プロセスモニターのスクリーンショットは、runndll32.exeを使用した実行プロセスを示しています



アクティベーション後、Osirisはすぐにファイルの暗号化を開始し、デフォルトのブラウザー（Firefoxなど）を使用して身代金要求メッセージを表示します。

firefox.exe -osint -url "%USERPROFILE%\DesktopOSIRIS.htm"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

オシリス身代金メッセージ。

仮想環境の発見

どうやら、2016年7月に導入された仮想マシンを検出するメカニズムは対応していなかったようです。 Osirisの作成者は、GetProcessHeap（）関数をGetOEMCP（）関数に置き換え、CPUサイクル（10ではなく20）に基づいて仮想環境を検出するための基準を更新することでロジックを改善し、チェックの数（1から2）を増やしました。 また、仮想マシンを検出する基準を変更し、仮想環境と物理環境の実行時間の差を10倍から3倍に減らしました。



仮想マシンの検出は、ウイルス対策の専門家が仮想マシン内でこのマルウェアをテストするのを防ぐように設計されています。 ただし、Acronisの専門家は仮想環境で正常にテストできたため、このアルゴリズムは非効率的です。 関数の擬似コードは次のとおりです。

 BOOL passNewImprovedVMCheck() {      unsigned __int64 tsc1;      unsigned __int64 tsc2;      unsigned __int64 tsc3;      BOOL firstPassResult;      BOOL secondPassResult;      int i = 0; //    20  (   Locky   10 ) —  ,    Locky          for (i = 0; i < 20; i++)      {       tsc1 = __rdtsc(); //      ,  CloseHandle          GetOEMCP();       tsc2 = __rdtsc(); //       ,  GetOEMCP          CloseHandle(0);       tsc3 = __rdtsc(); //         (    Locky  «  ») //      CloseHandle    GetOEMCP()? if ( ( LODWORD(tsc3) - LODWORD(tsc2) ) / ( LODWORD(tsc2) - LODWORD(tsc1) ) >= 3)         firstPassResult = TRUE;      }      if (!firstPassResult)                { //      GetOEMCP  CloseHandle    — ,    !        return FALSE;      } //    ... if ( ( LODWORD(tsc3) - LODWORD(tsc2) ) / ( LODWORD(tsc2) - LODWORD(tsc1) ) >= 3)        secondPassResult = TRUE;      }           if (!secondPassResult)      { //      GetOEMCP  CloseHandle    — ,    !        return FALSE;      }      return TRUE; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

オシリスから身を守る方法

Osirisファイルを「手動で」復号化することはできません。強力な暗号化アルゴリズムを使用しているためです。 解読のためのユーティリティの可能性は非常に小さいです。



同時に、Acronis Active Protection はコンピューターシステムをマルウェアOsirisから正常に保護します 。 Acronis True Image 2017 New Generationおよび特許取得プロセスで使用される革新的なテクノロジーは、行動ヒューリスティックに基づいており、Osirisのアクティビティを簡単に検出して停止します。 また、ユーザーは感染したファイルを即座に回復できます。





Acronis True Image 2017 New GenerationおよびAcronis Active Protectionが有効になっているコンピューターでのOsiris検出。





スクリーンショットは、攻撃が停止されたが、いくつかのファイルが暗号化されたことを示しています。





Osirisランサムウェアによって暗号化された4つのファイル。





身代金を支払うことなく、Acronis Active Protectionを使用して、すべてのファイルが即座に元の状態に復元されました。

8年間データを失う余裕はありますか？

メディアの報道によると、このバージョンのオシリスランサムウェアを使用して、テキサスのコックレルヒル警察署が感染し、 重要な目撃者データが8年間失われました 。



「警察署の公式声明によると、マルウェアは「警察署によって指定されたアドレスをシミュレートしたクローンアドレス」からのものであり、感染に成功した後、4ビットコインの身代金を要求しました。部門は、「ほぼ4,000米ドル」と言った、 The RegisterニュースWebサイトが報じた 。 部門が適切なバックアップとAcronis Active Protectionなどのアクティブなデータ保護手順を使用していないため、データが失われました。



ランサムウェア犯罪の次の被害者になる余裕はありますか？ したがって、 Acronis True Image 2017 New GenerationとAcronis Active Protection機能を使用してWindowsコンピューターのデータを保護することはお勧めしません。



→ Acronis Active Protectionに関するホワイトペーパーをダウンロード