最近、マルウェアの作者らはシノロジー社のNAS(network-attached storage)が気に入ったようだ。このNASは今年初めにまずBitcoinマイニングマルウェアに襲われたが、現在はCryptoLockerと似たファイル暗号化ランサムウェアに見舞われている。NASデバイスはホームユーザもビジネスユーザも使っており、ネットワーク経由で簡単にファイルの格納や共有ができる。その多くは、シノロジー社製のNASのように、リモートアクセスの機能がある。今回のケースでは、リモートアクセス機能をハッカーが悪用することが可能であったように見受けられる。おそらく、NASのOSであるSynology DSMの古いバージョンに存在する脆弱性を突いてデバイスへのアクセスを得たのだろう。アクセスできるようになると、ハッカーは「SynoLocker」に手を入れたランサムウェアのインストールを始める。

 デバイスがSynoLockerに感染すると、このマルウェアはデバイスに格納されているファイルの暗号化を行う。ハードコーディングされたリストにマッチする拡張子(以下)を持つファイルを求めて、デバイスを検索する。拡張子の先頭が、そのハードコーディングされたリストにマッチしさえすればいい。リストには「.do」が含まれるので、これはつまり、たとえば.docファイルや.docxファイルが暗号化されることを意味する。

Screenshot of extension list hardcoded inside SynoLocker
SynoLocker内にハードコーディングされている拡張子のリスト

 ファイルをすべて暗号化すると、SynoLockerはユーザに身代金についてのメッセージを提示する。このメッセージでは、まずはTor Browser Bundleをダウンロードして、インストールするようにユーザに指示する。次に、ユーザはTorネットワーク上の特定のWebサイトを表示させられる。このWebサイトでは、あるBitcoinウォレットに0.6 BTC(約260ユーロまたは350米ドル)の支払いを行うようさらなる指示を受ける。マルウェアの作者らは、送金を受け取ったら、ユーザにファイルを復旧するための復号キーを提供することを約束している。

synolocker (98k image)
犠牲者に提示される、Torネットワーク上のSynoLockerのページのスクリーンショット

 マルウェアが提示する身代金についてのメッセージは、暗号化プロセスの技術的な詳細を説明するとの主張もしている。説明されたプロセスは、悪名高いランサムウェアファミリーCryptoLockerで使われているものと非常に似通っている。当該プロセスはリモートサーバ上のユニークなRSA-2048のキーペアの生成から始まる。次に、生成された公開鍵がマルウェアに渡される。ファイルを暗号化する際は、マルウェアは別の256ビットのランダムなキーを生成する。このキーを使用して、対称暗号のAES-256 CBCによりファイルを暗号化する。この暗号化のプロセスで使われたキーはRSA-2048の公開鍵で暗号化した上で当該デバイスに保存し、メモリから消去する。もし実装が正確になされているなら、このプロセスにより、RSA-2048の秘密鍵を入手して、まず256ビットの暗号鍵を含むファイルを復号することが、暗号化されたファイルを復旧する唯一の方法となることが確実になる。

 当社のSynoLockerの分析に基づくと、マルウェアの作者らはその脅威を貫徹し、前述のプロセスを適切に実装している。悲しいかな、これが意味するところは、ユーザが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われてしまうということだ。マルウェアの作者らに支払いを行い、無事にRSA-2048の秘密鍵を受け取ってファイルを復号したユーザについての報告もあるが、マルウェア作者へさらに送金されるのは断固として阻止したい。それは彼らの悪意に満ちた仕事を促すだけだ。

 シノロジー社のNASデバイスのユーザには、こちらの脅威を軽減、修正するための同社の公式なアドバイスを強くお勧めする。

 サンプルのハッシュ
 9ccd05d4afe6bedac7aa6695c78d5475df5f9b0d
 c160c1fd18841ebb5e4186ef5ac7ef223b688bc4

 当社ではこれらをTrojan:Linux/SynoLocker.Aとして検知する。

 Post by Artturi (@lehtior2)