ランサムウェアの拡散に悪用される RDP (リモートデスクトッププロトコル)

2017.11.27

この記事の公開に尽力したソフォスのセキュリティ専門家 Peter MackenziePaul Ducklin
に感謝します。

安全ではないソフトウェアやユーザーのアクションを原因とする問題が存在している場合、遅かれ早かれその問題を悪用してお金を稼ごうとする攻撃者が現れます。


ソフォスの最近の調査で、新たな攻撃方法が発見されました。これは、攻撃者が一度に 1 台ずつコンピュータに侵入して、ユーザーが Word やメモ帳、あるいはゲームの「ソリティア」を使用するときのように手動でクリックをしてランサムウェアを実行するという手法です。


自ら操作したい攻撃者たち

一般的に、ランサムウェアとは何らかの方法で大量拡散され、ユーザーのコンピュータに入り込んだものだと考えられています。


たとえば、WannaCryNotPetya の攻撃者は、NSA から盗まれたエクスプロイトを利用して、ネットワーク間をジグザグに進みながらコンピュータから別のコンピュータへと自己複製を繰り返し、ファイルを暗号化し、身代金を要求するワームを作成しました。


ワーム以上によく用いられる攻撃方法はフィッシングです。クライムウェアのサイトに登録してボタンをクリックするだけで、フィッシングメールに添付する悪意のあるファイルを量産できるため、ワームやエクスプロイトを使用するよりもはるかに簡単です。


しかし、フィッシング攻撃が成功する確率は極めて低く、ほとんどのフィッシングメールはユーザーには届きません。届いたとしても、その多くは読まれません。また、ユーザーがメールを開いたとしても、システムにパッチが適用されていたり、不審に思ったユーザーが操作を途中で止めたりすれば、攻撃は成功しません。


フィッシング詐欺師が金を手に入れるには、ユーザーに電子メールを開かせて、IT チームから「やるな」と言われていること (添付ファイルをディスクに保存して起動することや、Office ドキュメントを開いてマクロを有効にすることなど) を実行させる新たな方法を次々編み出さなければなりません。

そのため、一部のサイバー犯罪者は他人に頼らず自分たちで何とかしようと決心したようです。


攻撃方法

多くの企業、特に中小企業は外部の請負業者に IT 部門をアウトソーシングしているか、料金を支払ってサポートを受けています。


そうした業者は、別の市や国など遠く離れた場所にあることも珍しくありません。

Windows ネットワークをリモートのシステム管理者が管理できるようにするためのツールで最も広く使用されているのが、Microsoft のリモートデスクトッププロトコル (RDP) です。



RDP を使用することで、リモートの IT 担当者のノート PC は、インターネット経由でユーザーのコンピュータに接続されたリモート画面、キーボード、マウスに変身します。


IT 担当者が RDP クライアントソフトウェアでマウスを動かせば、ユーザーのコンピュータを制御できます。また、ソフトウェアダイアログがポップアップ表示されれば、リモートのコンピュータにも表示されます。


RDP を使用することで物理的な距離は関係なくなります。そのため、コマンドプロンプトではスクリプト記述や操作が不可能なグラフィカルアプリケーションであっても、リモートで使用できます。


つまり、ユーザー (あるいはリモートのシステム管理者) が選択したリモートのシステム管理者用の RDP パスワードは、ユーザーのオフィスへの鍵となります。推測されやすいパスワードを選択するのは、サーバールームのドアを開けっ放しにして、誰でものぞけるようにしておくのと同じことです。


たとえば、攻撃者が Shodan のようなネットワーク検索エンジンを使用して、インターネットに接続している RDP を発見した場合には、ネットワーク内をのぞかれると思って間違いありません。


最近発生した一連の RDP 攻撃を調査したソフォスのセキュリティ専門家は、攻撃者があらゆる RDP パスワードを試す総当たり攻撃 (ブルートフォース攻撃) を実行する際に NLBrute というツールが頻繁に使用されている証拠を発見しています。


NLBrute を使用しているか、単にユーザーの Facebook に記載されている誕生日やペットの名前から推測しているかに関係なく、RDP パスワードの特定に成功した攻撃者は、ログオンし、すぐさま新しい管理アカウントを複数作成するはずです。

複数のアカウントを作成しておくことで、たとえ管理者パスワードが変更されたとしても、バックアップのアカウントを使用して再び侵入できます。


侵入後

ソフォスがこれまで数多くの攻撃を調査した結果から、侵入した攻撃者は次に以下のようなアクションを実行すると予想されます。


  • 人気のある Process Hacker ツールなど、システムを改ざんするための低レベルなソフトウェアをダウンロードしてインストールします。

この種のツールは、正規のシステム管理者がトラブルシューティングや緊急復旧のために定期的に使用します。たとえば、オペレーティングシステムが通常は禁止している変更 (シャットダウンを通常は許可しないプロセスの強制終了、ロックされたファイルの削除、通常ロックされている設定の変更、等) を許可するためにシステム管理者がカーネルドライバを使用する場合などです。


  • 新たにインストールされた改ざんツールを使用して、マルウェア対策ソフトウェアを無効にしたり、設定を変更したりします。

攻撃者が管理者アカウントのパスワードを狙うのは、正規のシステム管理者が持つ権限をすべて利用するためです。管理者パスワードを入手できない場合は、一般ユーザーとしてログインし、ハッキングツールを実行してパッチ未適用の脆弱性を悪用し、権限の昇格 (EoP) を試みます。


権限の昇格とは、ログオン済みのユーザーが、より強い権限を持つアカウントに自らを不正に昇格させることを意味します。ソフォスはこれまでに、CVE-2017-0213 および CVE-2016-0099 の脆弱性を悪用しようとして攻撃されたシステムに、EoP ツールが残されているのを確認しています (これらの脆弱性は、それぞれ 2017 年 5 月と 2016 年 3 月に Microsoft によってパッチが適用されています)。


  • 重要なデータベースファイルをマルウェアで攻撃できるようにするため、SQL などのデータベースサービスを無効にします。

SQL データベースなどのファイルは通常、データベースサーバーソフトウェアがアクティブな間は、他のプログラムからの同時アクセスによって引き起こされる破損を防止する目的でロックされます。この機能のおかげで、マルウェアはデータベースファイルに直接アクセスできず、身代金目的でファイルを暗号化することができない、という副次的効果が得られます。


  • ボリュームシャドウコピー (Windows のライブバックアップサービス) を無効にし、既存のバックアップファイルをすべて削除します。

シャドウコピーは、リアルタイムのオンラインバックアップとして機能し、ランサムウェアからの復旧を素早く簡単に行うことができます。そのため、多くの攻撃者はシャドウコピーを最初に探して削除しようとします。


攻撃者の次のアクションはご想像のとおりです。


  • 好きなランサムウェアをアップロードして、実行します。

攻撃者はここまでに、システム管理者の権限を駆使してシステムのセキュリティを可能な限り低下させています。そのため、古いバージョンのランサムウェアや他の攻撃者が使用しなくなったようなインターネット上に転がっている「無料の」亜種を使用することも可能です。

攻撃者は、最先端のマルウェアを使用する必要もなければ、C&C サーバーを設定したり、大量のスパムメールを送信したりする必要もありません。


ソフォスが調査したある攻撃では、デスクトップのフォルダに 4 種類のランサムウェアが保存されていました。攻撃者はどれか 1 つが成功するまで順々にランサムウェアを実行していました。


要求される身代金の額

多くのランサムウェア攻撃は無差別であり、成功するかどうかは「ペイページ (支払ページ)」にかかっています。ペイページは、感染したユーザーに身代金の金額と支払い方法を伝えるために設定されたダークウェブサーバーです。

しかし、RDP を使用する攻撃者は、すでにユーザーのネットワークにログインする程度にはユーザーと関わり合いを持っています。


そこで、単に Web サイトを介してユーザーを脅迫するのではなく、次のようなポップアップメッセージを表示して、データを返して欲しければ電子メールを使って「交渉」するように指示してくることがあります。



本記事の執筆時点では、この攻撃者が使用しているビットコインアドレスには 9.62 BTC (約 6 万ドル) が保管されていました。

身代金で要求された 1 BTC と金額が一致していた取引は 1 件だけでした。このことから、当該のビットコインアドレスが他の活動にも使用されていると考えられます。あるいは、被害にあった他のユーザーが交渉の結果、身代金の減額に成功した可能性もあります。



被害者について

この種の攻撃では主な被害者は中小企業です (調査対象の中で最大の企業が従業員数 120 人でしたが、それ以外はほとんどが 30 人以下でした)。

中小企業の場合、外部の IT サプライヤーや、他の業務に加えてサイバーセキュリティも担当している「何でも屋」の IT ゼネラリストに依存せざるを得ません。

被害に遭ったある企業では、サポートスタッフに 24 時間管理者アクセスを提供しなければならないサードパーティ製アプリケーションを使用しており、このアプリケーションで使用されていたパスワードが脆弱であったため、繰り返し攻撃を受けていました。


対策

  • RDP が不要な場合は、無効にしておいてください。ネットワーク上のすべてのコンピュータを忘れずにチェックしてください。RDP が使用されると、サーバー、デスクトップ PC、ノート PC に接続が可能になります。

  • ネットワークの外部からの接続には、仮想プライベートネットワーク (VPN) を使用することを検討してください。Sophos XG FirewallSophos UTM などの VPN では、外部のユーザーはまずファイアウォールの認証を受けてから、内部サービスに接続する必要があります。つまり、RDP などのソフトウェアをインターネットに直接接続する必要がなくなります。

  • できる限り 2 要素認証 (2FA) を使用してください。 Sophos XG Firewall および Sophos UTM は 2FA をサポートしているため、ログインのたびにワンタイムコードが必要です。たとえ攻撃者にパスワードを盗まれたり推測されたりしたとしても、パスワードだけではログインできません。

  • パッチは迅速かつ確実に適用してください。これにより、脆弱性を悪用したネットワークへの攻撃を迅速に阻止できるため、リスクが低減されます。

  • 攻撃を受けた後は、攻撃者によって何が変更されたかを確認してください。マルウェアを削除して、適用していなかったパッチを適用するだけでは不十分です。特に、アプリケーションが追加されていないか、セキュリティ設定が変更されていないか、新規のユーザーアカウントが作成されていないかを確認してください。

  • パスワード推測攻撃を制限するためのロックアウトポリシーを設定します。連続して 3 回推測に失敗したら 5 分間のロックアウトを設けることで、攻撃者は 1 時間に 36 個のパスワードしか試せなくなるため、ブルートフォース攻撃は実際的ではなくなります。



業務委託をしている外部の IT 企業が、上記の予防措置を提案してこない場合は、その理由を尋ねてください。そして、その企業が自分のネットワークを任せるのに適切かどうかを改めて考えてください。


IT チームのための「Remote Desktop Protocol」が、攻撃者のための「Ransomware Deployment Process (ランサムウェア導入プロセス)」に変身しないよう、ご注意ください。

引用元

おすすめの記事はこちら