PyDCryptとStrifeWater RAT
PyDCryptは2021年11月頃から調査されているランサムウェアです。
このPyDCryptの調査はなかなか進みませんでしたが、その全貌が明らかになってきています。
PyDCryptは、名前からも推測できるようにPythonで記述されています。
そしてそのコードをPyInstallerを使ってWindowsで利用できるバイナリにコンパイルします。
このPyDCryptはHASHではなかなかとらえられないものになっているようです。
というのも、このPyDCryptには、ターゲットとされた環境の次のデータを含むようにコードに直に書き込まれたものとなっているからです。
- 管理者のユーザー名
- 管理者のパスワード
- マシンリスト
- ローカルドメイン
ロジック部分が変化しなくてもハードコーディングされた変数の部分が異なるものとなっていれば、HASHも変わってしまいます。
PyDCryptの当初の調査の際には、PyDCryptの初期感染ルートがなかなか解析が進みませんでした。
これは、StrifeWater RATがその役割を担い、巧妙に設計されたものだったからかもしれません。
StrifeWater RATの機能をみてみるとこのようなものがあることがわかっています。
- システムファイルの一覧表示機能
- コマンド実行機能
- 画面のキャプチャ機能
- RAT(自分自身)の更新版をダウンロードする機能
- 追加の拡張機能をダウンロードする機能
- 永続化機能
Firefoxという文字列をその一部に含むスケジュールされたタスクを作成し、自分を永続化します。 - 自分を削除する機能
ランサムウェアによる暗号化が完了する前に自分を削除し、存在を隠ぺいします。
StrifeWater RATはこれらの機能を駆使し、ターゲット環境の管理者データなどを盗み出し、その情報をもとに個別に作成されたランサムウェアを配置します。
HASHによってマルウェアの活動を検出することはもはや容易ではないのかもしれません。
本来一般ユーザの利用することのないAPIがローカルのパソコン上で使われているというようなことや、システム管理以外で使用されないようなAPIが一般ユーザのパソコンから通信されているというようなことを検出することが必要になってきていると感じます。
マルウェアの巧妙化がとまりません。
防御側も継続的な改善が必要ということかもしれません。
参考記事(外部リンク):StrifeWater RAT: Iranian APT Moses Staff Adds New Trojan to Ransomware Operations
www.cybereason.com/blog/strifewater-rat-iranian-apt-moses-staff-adds-new-trojan-to-ransomware-operations
