SynAck:プロセスドッペルギャンギングで検知を回避するランサムウェア

2018年5月11日

マルウェアは、セキュリティ製品による検知を逃れるための新しい機能やテクニックが追加されて進化する傾向にあります。中には急速に進化を遂げるものもあり、その一例がランサムウェア「SynAck」です。SynAckの存在が知られるようになったのは2017年9月のこと。当初は特に高度なものではありませんでしたが、最近になって、非常に高度な脅威へと変貌を遂げました。かつてないほど効果的な検知回避機能を備え、「プロセスドッペルギャンギング(Process Doppelgänging)」という新たな手法を採用しています。

検知の目をかいくぐる

マルウェアの作成では、解析を困難にするため、特別なパッケージングソフトを使ってマルウェアコードを保護することがよくあります。しかし、そうして作られたパッケージの解凍は、現在では難しいことではありません。

ところが、SynAckでは別の検知回避方法が採られています。SynAckの開発者は、コンパイル前にコードを厳重に難読化することで、セキュリティ製品による検知を格段に難しいものとしています。難読化とは、セキュリティ製品にマルウェアだと認識されないようにコードを読み取り不能にする手法です。

新たに発見されたSynAckの亜種で採用されている検知回避テクニックは、それだけではありません。このほかにも、かなり複雑なプロセスドッペルギャンギングの手法が使われています。Black Hat 2017で初めて発表されたプロセスドッペルギャンギングは、後に複数種のマルウェアに取り入れられましたが、プロセスドッペルギャンギングを採用したランサムウェアが実環境で見つかったのは今回が初めてです。

プロセスドッペルギャンギングは、NTFSファイルシステムの一部機能とWindows XP以降の全Windowsに搭載のプロセスローダーを利用する、複雑なテクニックです。このテクニックにより、悪意ある動作を無害かつ正規のプロセスに見せかけることのできるファイルレスマルウェアを作成可能です。詳しくは、技術的詳細を掲載したSecurelistの記事(英語)をご覧ください。

SynAckには、ほかにも特筆すべき機能が2つあります。まずは、「正しい」ディレクトリにインストールされているかを自己チェックする機能です。目的は、多くのセキュリティ製品で使用されている自動サンドボックスによる検知を回避することです。もう一つは、感染したコンピューターのキーボード設定を確認する機能で、キーボード設定がキリル文字の場合は動作しません。マルウェアの活動を特定地域に限定するために、よく使われる手法です。

よくある犯罪

ユーザー側からすると、SynAckは数あるランサムウェアの1つです(身代金が3,000ドルにも及ぶ場合がありますが)。SynAckは、ファイルを暗号化する前にいくつかのプロセスを終了させます。プロセスを停止させることで、それらプロセスが使用するファイルを解放し、標的とする重要ファイルへのアクセスを確保するためと考えられます。

SynAckに感染すると、ログオン画面に身代金要求メッセージと連絡方法が表示されます。残念ながらSynAckで使われている暗号化アルゴリズムは強力で、実装上の欠陥は見つかっておらず、暗号化されたファイルを元に戻す方法は今のところありません。

Kaspersky Labの調査では、SynAckは主にリモート デスクトップ プロトコルを総当たりすることで拡散しているため、メインの標的は企業ユーザーであると考えられます。これまでに観測された限られた数の攻撃(いずれも米国、クウェート、イラン)は、この仮説を裏付けています。

次世代のランサムウェアに対抗するには

SynAckの攻撃を直接受けることがなかったとしても、ランサムウェアが進化しつつあり、より一層高度化し、対策が難しくなっていることを、SynAckの存在が証明しています。復号ツールが登場する頻度は下がるでしょう。復号ツールは攻撃者が犯したミスを基に開発されますが、攻撃者はミスを犯さないようになってきています。また、こっそりマイニングを行う隠れマイナーに(当社の予想どおり)ナンバーワン脅威の座を譲ったものの、ランサムウェアは依然として大きな世界的脅威であり、その脅威に立ち向かう方法を、インターネットユーザーの一人一人が知っていなければなりません。

感染を防ぐため、また被害を最小限に抑えるために、以下を参考にしてください。

  • データを定期的にバックアップしましょう。バックアップの保存先は、ネットワークやインターネットに常時接続されているメディアではなく、ネットから切り離されたメディアにしてください。
  • Windowsリモートデスクトップを業務で使用していない場合は、無効にしましょう。
  • ファイアウォールが搭載され、ランサムウェア対策に特化したコンポーネントを備えているセキュリティ製品を使用しましょう。当社では、小規模企業向けのカスペルスキー スモール オフィス セキュリティや、より規模の大きい企業向けのKaspersky Endpoint Securityをご用意しています。進化を続けるSynAckも、カスペルスキー製品は検知します。
  • 別のセキュリティ製品をすでにお使いの環境では、Kaspersky Anti-Ransomware Tool for Businessをご利用になれます。無償で利用できるKaspersky Anti-Ransomware Tool for Businessは、他のベンダーのセキュリティ製品とも併用可能です。