Agenda

ほぼこもセキュリティニュース By Terilogy Worx

Agendaというものが観測されています。
Agendaといってもいわゆる議題を示すagendaのことではありません。ランサムウェアの名称です。
これまで観測された従来のものとは別の新しい実装として認識されています。
こんな感じです。

  • AgendaはGoで書かれている
    AgendaはGo言語で書かれています。
    Goで書いたものがWindows向けにコンパイルされて配布されます。
  • ターゲット毎に個別カスタマイズ
    マルウェアの中には、ターゲットとなる組織の情報がそれぞれ埋め込まれています。
    埋め込んだうえでコンパイルされてバイナリ化されています。
    このため、同じマルウェアであってもHASHはターゲットによって異なります。
  • あらかじめ知られているユーザ情報
    企業識別子、ユーザ名、パスワードの組み合わせがマルウェアの中に含まれています。
    あらかじめ別の何らかの方法で収集された情報がマルウェアに含まれます。
    この情報を使って侵害活動を展開します。
  • あらかじめ知られている構成情報
    データ暗号化の前に強制終了するプロセスやサービスなどの詳細がマルウェアの中に含まれています。
    あらかじめ別の何らかの方法で収集された情報がマルウェアに含まれます。
    この情報を使って侵害活動を展開します。
  • 類似する支払いサイト
    Agendaの実装は新しいものですが、支払いサイトは他のランサムウェアグループとの類似性があることが確認されています。
    AgendaはBlack BastaやBlack Matterと非常に似ています。
  • 類似する機能
    Agendaの実装は新しいものですが、一部の機能は他のランサムウェアグループとの類似性があることが確認されています。
    AgendaはWindowsパスワードを変更し、コマンドを使用してセーフモードで再起動します。
    そのコマンドは同じ機能を実行する際のBlack BastaおよびREvilと同じです。
  • エントリポイントと展開の例
    ある事例では、エントリポイントはCitrixサーバでした。
    入手済みのユーザ情報でログインします。
    その後入手済みのユーザ情報を使用してRDPで横展開します。
    NMAPやNPINGを送り込み、環境の情報を収集します。
    Active Directoryのサーバに到達し、特権昇格し、グループポリシーオブジェクトを作成します。
    グループポリシーオブジェクトは組織内にランサムウェアを展開することに使用されます。
    この例ではCitrixサーバへの侵入からランサムウェア感染までの時間は2日未満でした。
  • こっそり活動する機能
    暗号化処理はセーフモードで実行します。
    マルウェアによってセーフモードに移行される前にすでにセーフモードだった場合は活動を停止します。
    マルウェアはシャドウボリュームのコピーを削除します。
    ウイルス対策などのあらかじめ環境にあわせて入手済みの終了させるべきプロセスを終了させます。
    次に起動したときに自動的に暗号化が開始されるように仕掛けます。
    ユーザの自動ログオンが実施されるように変更し、セーフモードで再起動します。
    対象の機器はセーフモードで起動し、自動ログオンし、暗号化を開始します。
    暗号化が完了すると脅迫文を配置し、通常モードで起動しなおします。

とてもよくできています。
このマルウェアにはどう対応できるでしょうか。
やはりシステムを最新の状態に保つなどの基本的な対策は実施の必要があると考えられます。
これにより特権昇格されてしまうことを防ぐなどの効果が期待できます。
侵入後に重要なサーバに到達しようとしている活動を検出することも有効でしょう。
このためにはネットワーク的な観点で活動内容を検出する機構を使用して監視することも有効でしょう。

重大なインシデントは運用の複数のほころびを組み合わせて実現されてしまいます。
ほころびをなるべく少ない状態に保つことが安全のために必要といえそうです。

参考記事(外部リンク):New Golang Ransomware Agenda Customizes Attacks
www.trendmicro.com/en_us/research/22/h/new-golang-ransomware-agenda-customizes-attacks.html