[レポート]ランサムウェアとの関わり – 復号とワクチン – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021で行われた「ランサムウェアとの関わり - 復号とワクチン」セッションのレポートです。

yhana

2021.10.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

CODE BLUE 2021の下記セッションのレポートです。

ランサムウェアとの関わり - 復号とワクチン

過去10年間でランサムウェアの攻撃は大きく増加した。ランサムウェアの活動(特に大企業狙い)は、サイバー犯罪者の地下組織の中で2021年に大きく増加した。今後10年間でランサムウェアに対処するには、詳細なランサムウェアのエコシステムの理解を深め、最前線での活動経験を積み、新たなアプローチをとる必要がある。

講演では、まず「Ryuk」「Conti」「RansomEXX」など、多くのランサムウェア・ファミリーをリバースエンジアリングすることで得られた、ランサムウェアの挙動に関する研究成果を紹介する。これらのランサムウェアに対して、以下の3つの側面からアプローチした。
(1)ファイルの暗号化手法とアルゴリズム
(2)環境と完全フル実行のチェック
(3)ブルーチームがランサムウェアに対処するための防御回避テクニック

ランサムウェアの暗号化では、効率と強度の両立が求められるが、それらのスキームは必ずしも完璧ではない。われわれPrometheusの研究では、その乱数生成に脆弱性を発見し、復号に成功した。あわせて、このディクリプターをオープンソースで公開する。
次に、半自動化されたランサムウェアの「ワクチン」の開発について論じる。ランサムウェアがすでにエンドポイントに侵入したと錯覚させるために、ランサムウェアのサンプルを分解して、特定のランサムウェアを停止させる条件を作り出すシンボリック実行エンジンを適用した。

最後に、ランサムウェア「Conti」への対応とデジタルワクチンの導入について、現場の経験から得た脅威インテリジェンスを紹介する。

Presented by :
チョン・クアン・チェン - Chung Kuan Chen
イシェン・チェン - Yi-Hsien Chen

レポート

  • ランサムウェアに関する話

チョン・クアン・チェン - Chung Kuan Chen さん

  • ラムサムウェアはブラックマーケットの中心になっている
  • ランサムウェア攻撃のタイプ
    • Targeted (標的型) ランサムウェア
      • 近年増加傾向
      • 身代金は高額
    • Non-Targeted ランサムウェア
      • 身代金は少額
  • 台湾の状況
    • ハイテク企業や製造企業が主なターゲット
    • 大きな利益を上げているため
  • 最近のラムサムウェアのトレンド
    • 標的型ラムサムウェア
    • 最も利益のある企業を狙う
    • 長期に渡り対象会社の環境に留まる
    • データを暗号化するだけではなく、データをインターネット上に流出させる
      • 他社/他者に情報を売ることもある
    • MaaS, RaaS
  • ラムサムウェアサンプルを収集して解析している
    • 12種類
    • 現実世界のIR事例も参考に選定
    • 重要なのはCrypt7
  • ラムサムウェアの Behavior Aspects
    • Trigger behavior
    • Defense Evasion Techniques
    • Encryption Optimization Methods
    • File Encryption Algorithm
  • Trigger behavior
    • 環境チェック:サンドボックスではないことを確認
    • 対象であることを確認
    • フル実行のチェック
  • Trigger behavior の確認できた結果(対象ラムサムウェアによって異なります)
    • 直近2年間のファイルの確認
    • 言語を確認
    • .dllのチェック
    • リモートデバッガーの確認
    • 暗号化はお昼の12時に実行  など

イシェン・チェン - Yi-Hsien Chen さん

  • Thanos ラムサムウェア
    • ダークウェブで販売されている
  • Decryptor を実行したが失敗した
    • Prometheus ラムサムウェアだったため
  • Prometheus ラムサムウェア
  • 暗号化までの流れ
    • Random関数を利用して暗号化キーを生成
    • (メモが追いつかないので略)
    • 暗号化
  • Decryptor を開発
    • Decryptor リリース後に Prometheus ラムサムウェアは減少傾向
    • デモ
  • ラムサムウェアのワクチンの話
    • マルウェアのトリガーをさせない方法を検討した
    • サンドボックスも利用
  • Real Case Study
    • Atomic Check
    • Environment Check
  • 特性
    • コントロール性
    • Applicability (適用性)
  • ワクチンの評価
    • 5種類のワクチンを作成
    • すべて暗号化を解除できた

チョン・クアン・チェン - Chung Kuan Chen さん

  • ワクチンを実際に展開した話

まとめ

  • ラムサムウェアの行動を理解できるように分析結果の共有
  • Prometheus ラムサムウェアの Decryptor をリリース
  • ワクチンのコンセプトとメカニズムを説明

感想

ラムサムウェアの挙動を知ることができて勉強になりました。

*

関連記事

[レポート]Closing Keynote : Cyber and Security in Times of War – CODE BLUE 2023 #codeblue_jp

臼田佳祐

2023.11.09

[レポート]デジタル主権 – テクノロジーによる支配に対する規制対応の形成​​​ – CODE BLUE 2023 #codeblue_jp

江口佳記

2023.11.09

[レポート]国際パネルディスカッション「能動的サイバー防御の包括的研究」 – CODE BLUE 2023 #codeblue_jp

臼田佳祐

2023.11.09

[レポート]内部からの勝利: 海外のディアスポラ(移住者)をターゲットにした中国の情報作戦 – CODE BLUE 2023 #codeblue_jp

臼田佳祐

2023.11.09