[レポート]敵陣の内部へ：ランサムウェアWebパネルへの介入と妨害 - CODE BLUE 2024 #codeblue_jp

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

今回はCODE BLUE 2024で行われた以下のセッションのレポートです。

敵陣の内部へ：ランサムウェアWebパネルへの介入と妨害

ランサムウェア・グループは、さまざまな業界に甚大な被害をもたらす手法において、非常に巧妙になっているが、われわれも反撃することができる。これらの攻撃者に対抗するための新たなアプローチとして、彼らのWebパネルに対する積極的な攻撃がある。本講演では、ランサムウェア・グループが攻撃活動を管理するために使用するWebパネルや、データの初期流出時に使用されるAPIに侵入し、掌握するための戦略と手法について詳しく解説する。

ランサムウェア・グループのWebパネルの脆弱性を利用し、不正アクセスを得る方法を実演する。このアクセスは彼らの作戦を妨害するだけでなく、諜報活動を行い、そのAPT（高度持続的脅威）攻撃者の背後にいるオペレーターを特定する手がかりを得ることにもつながる。われわれがランサムウェア・グループの指揮統制（C2）センターを標的とし、サイバー脅威に対する戦いにおいて反撃に転じ、彼らに大打撃を与える最前線を探求しよう。今度はわれわれの番である。

Speakers:
ヴァンゲリス・スティカス - Vangelis Stykas

レポート

• 今回の話の経緯
  • DEFCONで話した内容より、さらに難しい内容にしようとしたのがきっかけ
  • 成果
    • マルウェアのC2パネルは見つけたもののうち半分を攻略した
    • 一方ランサムウェアのC2パネルは約150も見つけたが攻略出来たのはわずか3件ほど
• ランサムウェアとは
  • 身代金要求するタイプのマルウェア
  • ランサムウェアの流れ
    • 配布→情報取得→身代金要求など
  • ランサムウェアの市場
    • 急速に成長している犯罪
    • 2023年には11億ドル
    • プロ化している
    • 最近は病院などクリティカルインフラがターゲットになっている
• ランサムグループ（Ransomeware Gangs）
  • 組織化していて、それぞれの専門パートに分かれている
  • 資金洗浄もしている
  • コラボも行われている
  • ゼロデイ専門のハッカーもいる
  • インフラもホスティングもしている
    • 何TBものデータを取得、保管する必要があるため高い技術力が必要
• ランサムグループのモデル
  • 一匹狼
  • イニシャルアクセスブローカー
    • 最初の突破だけを請け負う
  • オールインワンタイプ
  • RaaS
• RaaS
  • Ransomeware as a Service
  • サブスクタイプのモデル
  • 買い切りのライセンスタイプもある
  • LockBit, BlackCatなど
• Extorion（恐喝）
  • データに対する身代金
  • データ解放
  • 最近はデータから取得した情報をもとにDDoSをかけて更に金銭を要求するといったケースもある
  • （身代金を払ったことを？）政府に伝えると脅してゆすり
• ランサムウェアグループの話を講演で話した翌日、スティカス氏に脅迫が届いたこともある
• C2パネルの見つけ方
  • サイトから探す
    • ransomlook.io
    • ransomeware.live
    • githubリポジトリなど
    • ただし限界はある。また、C2を見つけても寿命が短い。
  • マルウェアをリバースして探す
  • ツールを使う
    • Dirsearch and ffuf
    • Burp Suite
    • Tor expert bundle, Tor Browser and torsocks
  • Black box web app testing
  • チケットを獲得
  • サンドボックス
• 結果
  • WordPressが5つ
  • IPアドレスだけ見つかったものも
  • アクセスすると、「このページはビジネス用途であり、個人のものでは無い」ことを強調するメッセージがあるものもあった
• Mallox
  • Windowsマシンをターゲットにするものが最近
  • 犠牲者の数は何百
  • Initial Leaking of Data
    • 他の人がリークされている情報なども見ることが出来た
    • リプライIDを取得し、総当たり攻撃でログインに成功
  • 最終的には相手にバレ、チャットは凍結された
  • ただ、Descripterの情報や基礎的な情報は掴めた
    • Malloxは組織の一部であり、「Boss」と呼ばれる上位存在がいることなどが分かった
• BlackCat
  • ALPHV
  • 2021年に出来たRaaS
  • Rustloaderを調査した
  • C2のURLを全て取得
    • 1つ以外は全てダウン
  • エンドポイントは使えなかった
    • C2は常に立ち上がっていないようだった
    • ループして立ち上がるのを待ち続けた
      • 4時間のうち197のコマンドが2分間で送られていたことが分かった
      • コマンドの内容が暗号化に直接関係するものだったので、対象になっていた4社にすぐ連絡を取った
      • 4社に対するランサムウェア攻撃を止めた
        • BlackCatの活動が止まった
        • もちろん他の人の功績もあると思う
  • この内容をDEFCONで話したらたくさんのフィッシング攻撃が家族含めたくさん来た
• Everest
  • 2020年に活動を開始
  • イニシャルアクセスブローカー
  • C2はWordPress製
    • しかも4年前のWordPress
    • エクスプロイト出来る脆弱性は無かったものの、Windows上で動いていることなどが分かった
  • サーバーの名前がVERTRIGOでなんか変
    • 簡単にWordPressのAdminパネルにアクセス出来た
    • IPアドレスも分かった
    • IISにも入れた
      • 設定言語がロシア語だった
  • その後DBエクスポートなど様々なことを行った
  • 上記をDEFCONで話したら、IPアドレスが変わった
    • ただしログイン情報は変わっていない
    • しかもこの人が仕込んだweb shellは残っている
• Dark Angels
  • 2022年に出現
  • かつて活動していたBabukだと考えられている
  • 7500万ドルの身代金を受け取ったことがある
    • Dark Angels Received a Huge $75m Ransom Payment, Who Are They? | BlackFog
  • SNSでIPアドレスが投稿されていた
  • IPアドレスにアクセスするとHTMLがあり、MySQLなどのパスワードなどが記されていた
  • しかし深くは触れず、触ろうとしたDEFCON後には色々変わっていた
• まとめ
  • スティカス氏がやってきたことはグレーゾーン
    • 悪者が対象でもやっていることは悪いこと
    • なので、スティカス氏は政府機関と連絡を取り合っている
      • 悪者を政府機関が捕まえられるようにサポートしている
  • VXUG(VX UnderGround)曰く、ランサムウェアの業界は5人のHORSE MENに牛耳られている
    • つまり、スティカス氏は5人のHORSE MENを相手に戦ったということ

感想

登壇者のヴァンゲリス・スティカス氏が結論でも述べていた通り、やっていること自体はかなりグレーだと感じましたが、最新のランサムウェアグループに関する動向やそこに対して攻撃が通った話などは非常に貴重でした。

中には脇が甘いグループもいるようでしたが、一般的なマルウェアのグループに比べてランサムウェアグループへの攻撃成功率の低さを見るとやはり高度な技術を持った集団なんだなと感じました。よく聞く詐欺組織のように専門的な役割を持つ企業がいるというのも面白い話でした。特にMalloxの話はサプライチェーンのようなものですね。

セッションのペースが早く、スティカス氏の話を全て聞き取ることが出来ずに走り書き程度の内容になってしまったことだけが心残りです。

以上、べこみんでした。