2012年に中東で動作する興味深いShamoonマルウェアをどのように準備したか覚えていますか? 覚えていない場合は、簡単に思い出してください。これは、感染したマシンのハードドライブの内容を破壊するネットワークワームでした。 このコードには誤りがたくさんありますが、控えめに言っても最適ではないソリューションですが、Shamoonは石油会社Saudi AramcoとRasGasに属する3万台以上の車をチョークで書き留めてから、下に行きました。 それで、彼は戻ってきましたが、一人ではありません。
2016年11月から2017年1月までに、新バージョンのワームShasha 2.0による攻撃の3つの波が観察されました。 生息地は同じです。サウジアラビア経済にとって重要な企業です。 4年前にShamoonを盲目にした男たちの手書きはよく知られていますが、彼らはいくつかの新しいトリックをマスターしました。 ただし、攻撃スキームは同様に気取らないままでした。
-ハッカーは、ターゲットネットワークの管理者から資格情報を取得します。 どのように正確に-私たちは知りませんが、伝統的な社会工学の助けを借りて、そして地域のためのより伝統的な身体的手段を通してではないことを願っています。
-抽出された資格情報を使用して、ローカルネットワーク上のサーバーの1つが制御下に置かれ、その後ワームを制御するために使用されます(常にではありません)。
-Shamoon 2.0では、管理者の資格情報、侵害されたサーバーの内部IP、およびデータ破壊手順のアクティブ化の日付がハードコードされています。
-マルウェアは攻撃されたネットワーク全体に可能な限り広がります。 抽出された資格情報を使用してアクセスできるすべてのマシンが感染しています。
-日D、時間H、および分M、Pに到着します。つまり、Shamoon 2.0は、前身のShamoonとほぼ同じ方法でハードドライブの内容を破壊します。 以前は、ファイルは燃えているアメリカの旗が付いたJPGファイルの断片で満たされていましたが、今ではランダムなゴミやdr死したシリア難民の少年の写真が使用されています。 その後、MBRが強制終了され、最初のディスクのメインパーティションが上書きされます。
古いShamoonのように、このバージョンのワームでは、ローカルサーバーからコマンドを受信する可能性がありますが、所定の時間に従ってトリガーするための外部コマンドは必要ありません。 さらに、今年1月に取得したサンプルには、サーバーとの通信機能がまったくありません。
一言で言えば、これはすべてShamoonをveryとさせます。 それにも関わらず、攻撃の作者は4年間も休んでいませんでした。
-Shamoon 2.0は、64ビットバージョンのWindowsで動作することを学びました。 感染すると、システムの容量を判断し(曲がった方法を使用-IsWow64Process関数を使用する代わりに、PROCESSOR_ARCHITECTURE変数の値を「AMD64」および「amd64」と比較し)、対応するモジュールをインストールします。
-Shamoon 2.0では溶接モジュールが登場しました! 確かに、それはまだアクティブではありません。 前者のShamoonは商用コンポーネントが不足していたため興味深いものでしたが、これは現在ではまれなケースであり、攻撃の特注の性質を提供します。 今、どうやら、彼らは、ハッカーグループを食料の補償なしで自己資金に移行する準備をしているようです。 一般的に、男はできる限り回転します。
-Shamoon 2.0では、作成者がシステムのアラビア語およびイエメン語のローカライズを使用している兆候があります。 しかし、このような「証拠」がいかに簡単に偽造されているかを考えると、これだけではイエメンを直接非難することはできません。
衝撃的な技術詳細とコード例が必要な場合は、研究レポートをご覧ください 。
シモノフ族の兆候
古き良きShamoonの復活を期待した人はほとんどいませんでしたが、次々と攻撃をマークし始めたとき、そしてマルウェアの新しい修正を行うたびに、その背後のグループがビジネスに戻っており、さらなる驚きを期待する必要があることが明らかになりました。 コードの難読化と暗号化を考えると、間接的な兆候によって潜在的な新しい変更をキャッチする必要があり、適切なスキルがあれば、このアプローチは非常にうまく機能します。
これは、特定のマルウェアファミリに固有のインジケーターを記述するYARAのルールを通じて行われます。 Shamoonは、暗号化された形式で保存された追加モジュールを使用することを知っていました。 最初に検出されたShamoon 2.0サンプルは、PKCS7、PKCS12、およびX509という名前の使用済みリソースをキャッチしました。 しかし、著者はすぐに自分自身を修正し、次のバージョンでは、ファイルは標準名:ICO、LANG、MENUを受け取りました。
それにもかかわらず、マルウェアの作成者はいくつかの習慣を変えていません。 そのため、ShamoonおよびShamoon 2には、「101」という名前のリソースがありました。 ファイル自体は毎回異なりますが、名前は同じです! 私たちのアナリストは、それをこのようにひねり、最終的にそれを識別する方法を見つけました。
-ファイルのエントロピーレベルは7.8を超えています。つまり、ファイル内のデータは暗号化またはアーカイブされています。
-サイズは約30 Kbです。 下限しきい値を20 Kbに設定します。
-他のすべてのリソースの言語がアラビア語(イエメン)または英語(米国)であったにもかかわらず、ファイルの言語はインストールされません。
-内部には暗号化されていないPEファイルはありません。
これらの単純なルールをテストした後、アナリストは、可能性のある誤検知のレベルを下げるために、さらにいくつかの基準を追加することにしました。
-ファイルはデジタル署名されていません。
-リソースが「101」の既知のすべてのShamoonサンプルのボリュームは370 KBを超えなかったため、700 KBの制限を設定しました。
-サンプル内のリソースの数は、15を超えないようにしてください。
その結果、YARAについて次のルールを取得しました。
import "pe" import "math" rule susp_file_enumerator_with_encrypted_resource_101 { meta: copyright = "Kaspersky Lab" description = "Generic detection for samples that enumerate files with encrypted resource called 101" hash = "2cd0a5f1e9bcce6807e57ec8477d222a" hash = "c843046e54b755ec63ccb09d0a689674" version = "1.4" strings: $mz = "This program cannot be run in DOS mode." $a1 = "FindFirstFile" ascii wide nocase $a2 = "FindNextFile" ascii wide nocase $a3 = "FindResource" ascii wide nocase $a4 = "LoadResource" ascii wide nocase condition: uint16(0) == 0x5A4D and all of them and filesize < 700000 and pe.number_of_sections > 4 and pe.number_of_signatures == 0 and pe.number_of_resources > 1 and pe.number_of_resources < 15 and for any i in (0..pe.number_of_resources - 1): ( (math.entropy(pe.resources[i].offset, pe.resources[i].length) > 7.8) and pe.resources[i].id == 101 and pe.resources[i].length > 20000 and pe.resources[i].language == 0 and not ($mz in (pe.resources[i].offset..pe.resources[i].offset + pe.resources[i].length)) ) }
なぜこのルールをここに持ってきたのですか? まず、それは美しいです。 さて、さまざまな不審なソフトウェアをキャッチするためのこの素晴らしいツールを促進するために。 このようなコードにより、わずかなレベルの誤検知でShamoon 2.0のさまざまな変更を正常に検出できます。
そして、この非常にシンプルなコードの助けを借りて、StoneDrillと呼ばれる、これまでに知られていない別のマルウェアを発見しました。
彼のStoneDrillの友達
Shamoonの場合と同様に、StoneDrillの作成者はサウジの組織に積極的に興味を持っています。 さらに、これら2つのマルウェア間で多くのスタイル上の類似点を追跡できます。 StoneDrillの内部デバイスの詳細については、4月2〜6日にセントマーチン島で開催されるKaspersky Labのアンチウイルス分析サミットで説明します。
StoneDrillとShamoonにはいくつかの類似点がありますが、互いに非常に異なっています。 StoneDrillは情報を破壊することも目的としていますが、ディスクへの直接アクセスにはドライバーを使用しません。 そのデータワイプモジュールは、被害者のマシンにインストールされているブラウザに埋め込まれています。 さらに、ディスクを直接上書きすることを許可しないアクセス許可でブラウザーを起動すると、アクセス可能なファイルのみが削除されます。
このマルウェアの作成者は、その検出と分析を複雑にするために真剣に取り組んでいます。たとえば、仮想環境では実行されません。 さらに、StoneDrillは、コードに残っているトラックによると、イエメンではなくイラン人によって作られました。 しかし、それらを信頼することは任意であり、そのようなことは非常に簡単に偽造されます。 著者は、コードが徹底的に検証されることを理解している必要があります。
もう1つのポイント-StoneDrillとNewsBeefの攻撃との間には関連性があり、これも主にサウジアラビアにある標的を狙っていると考えています。 StoneDrillでは、復号化されたモジュールのルールを開発しました。通常、ターゲット攻撃ツールはターゲットに合わせて変更されるため、これらのルールは攻撃で使用されるマルウェアの新しい亜種を発見するのに役立ちます。 そのため、これらのルールは、NewsBeefで使用されたサンプルも「キャッチ」します。
あなたの想像力を狂わせ、同じ人々がこの悪意のある動物園の背後にいると想像すると、NewsBeefとStoneDrillはサウジアラビア経済に対する長期的な作業のツールのように見え、Shamoonは最も重要な目的に使用される「重火器」です。 ただし、作業バージョンによると、StoneDrillとShamoonは、同様の関心を追求するさまざまなグループによって使用されています。