FAUST Ransomware

またもや、新たなランサムウェアの活動が確認されています。
FAUST Ransomwareです。
これは完全に新しいものということではなく、調査の結果Phobosランサムウェアの亜種であると考えられています。
さて、このFAUSTはどのように動作するのでしょうか。

• 入口
  始まりは、エクセルで利用できるファイルです。
  拡張子が「.xlam」のファイルで、これはExcel2007以降で利用できるエクセルのVBAアドインです。
  通常のドキュメントファイルではありません。
  しかし、通常のドキュメントと同じようにエクセルに関連付けられていますので、開こうとするとエクセルが起動されます。
• エクセルファイルを開く
  被害者は、このエクセルファイルを開きます。
  開くと活動が開始されます。
  まずは、ファイルに含まれるVBAスクリプトが動作開始します。
• Powershellコードの起動
  VBAスクリプトは、ファイルに含まれる内容からPowershellを起動します。
• オモテの活動
  Powershellは、Giteaから無害なエクセルドキュメントをダウンロードして画面表示します。
  このため、被害者はエクセルを開いたらエクセルが表示された、と感じます。
  おとりのようなものです。
  ちなみに、GiteaはGo言語で開発されているオールインワンDevopsプラットフォームです。
  自分の好きな環境でGitHubのようなものを構築することができます。
  攻撃者は、これをファイル供給サーバとして使います。
• ウラの活動
  Powershellは、Giteaからデータファイルをダウンロードします。
  データファイルは、Base64で符号化された内容をパターン変換した内容になっています。
  Powershellは、これを元の状態に戻して動作させます。
  でてくるものは「AVG update.exe」です。
  いかにもアンチウイルスソフトの更新を行う名前に見えますが、そんなわけはなさそうです。
• AVG update.exe
  これは、さらに別のexeファイルの素をダウンロードします。
  いろいろと手の込んだ解析困難化の処理の後、保存されるファイルは「SmartScreen Defender Windows.exe」です。
• exeを改変する
  さらに、もう一つ別のtxtファイルをダウンロードします。
  こちらも同じように、Base64で符号化された内容をパターン変換したデータファイルとなっています。
  そしてさきほどの「SmartScreen Defender Windows.exe」にshellcodeを埋め込みます。
  FAUSTの出来上がりです。

出来上がったFAUSTは、Windowsの起動時に自動起動するように設定されます。
そして、システムの起動に影響のないファイルを次々に暗号化していきます。
暗号化が完了したファイルの拡張子には、「.faust」が追加されます。
暗号化したファイルが入っている場所には、身代金に関する情報を配置します。
ランサムウェアが感染端末上で出来上がった後の動作は、他のランサムウェアと同じような動作といえます。

ダウンロードしたエクセルのファイルと思っているものを開くとエクセルが表示された。
しばらくしたら端末のそこらじゅうのファイルが暗号化されてしまった、というわけです。

攻撃者は、いろいろな手を使ってファイルの怪しさがないように装って仕掛けてきます。
私たちはなんとか信頼できないソースからのファイルは入手しないし開かないという注意が必要です。

参考記事（外部リンク）：Another Phobos Ransomware Variant Launches Attack – FAUST
www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust