この夏、人々がもっとも動向を追いかけていたランサムウェアファミリーがCryptoWallだ。CryptoWallにはマイナーな更新や変更が時間とともに見られたが、コアの機能はほとんど同じだった。マシンがいったん感染すると、CryptoWallは被害者のハードドライブのコンテンツの暗号化を試み、次にコンテンツを元に戻すために必要な復号キーと引き換えに身代金を支払うように要求する。
ここから大きく変革するのは、数か月前にあったきりだ。当社でいくつかのCryptoWallのサンプルを観察したが、C&Cサーバとの通信にカスタマイズしたTorコンポーネントを使っていた。このTorコンポーネントについては、暗号化されたバイナリファイルとして侵害されたWebサイトからダウンロードする。続いてファイルを復号し、C&Cサーバへ到達できるTorネットワークへの接続の確立に使用する。興味深いことに、当社ではこうした「Tor化した」バージョンのCryptoWallをわずかしか観察しなかった。当社で目にしたサンプルの大半は、オリジナルのC&C通信の方式を守り続けていた。
現在では、これが変わった可能性がある。ほんの昨日のことだが、自身を「CryptoWall 2.0」と称するランサムウェアのサンプルが初めて世間で認知された。
CryptoWall 2.0の身代金ページ
CryptoWall 2.0は新たなパッカーや難読化ツールを使っているようで、デバッグや静的分析に対抗するトリックの数を増やしている。しかしながら、最終的に悪意あるペイロードに至ると、この夏に見られたTor化されたCryptoWall 1.0のサンプルと、CryptoWall 2.0はほとんど同一だ。
Tor化されたCryptoWall 1.0(左)とCryptoWall 2.0の同一の関数(右)
おそらく、C&Cサーバをシャットダウンしようとしたセキュリティ研究者の尽力が、ギャングたちのビジネスに損害を与えたのだろう。あるいは、ギャングたちは単に変更するときが来たと感じていたのかもしれない。いずれにせよ、作者(たち)は新たなC&C通信の方法が必要だと明らかに感じていたのだ。そしてプロフェッショナルなソフトウェア開発者のように、CryptoWallの作者(たち)は完全に新しいものに切り替える前に、まずは直前のバージョンにきっちり沿って新しいバージョンをテストしようとしているように見える。我々は、Tor化されたバージョンのCryptoWall 1.0はまさにそれ、つまりテストだと考えている。したがって、近い将来、CryptoWall 2.0をずっとたくさん目にすることを予期している。
侵害された、Torコンポーネントのダウンロードサイトの一覧:
hxxp://www.m[編集]urg.ch/wordpress/f0k1ats
hxxp://www.ar[編集]a.com/blog-trabajos/n65dj17i1836
hxxp://www.ar[編集]er.cz/o515ujx2f
hxxp://www.fd[編集]rg.de/wp-content/themes/fdp-asz/vrf8iu27h
hxxp://www.cu[編集]n.de/z6lub76lz295x
hxxp://www.ho[編集]t.com/5gr4hl2tvv
hxxp://www.me[編集]o.com/wp-content/themes/mh/3sbgwh
hxxp://ep[編集]n.ca/blog/eo7ycomyy
hxxp://www.pr[編集]al.com.br/site/hr38xc4
hxxp://www.ji[編集]e.be/s5eroewr
hxxp://www.je[編集]r.at/jesneu/wp-content/themes/Girl/0l9u4lc6che
hxxp://www.dr[編集]en.de/wordpress/3uh2e
hxxp://www.ye[編集]ak.com/kf4bv
hxxp://www.ro[編集]es.com/l449jbc0
hxxp://www.mc[編集]ld.com/u2m8bbkln3fqpe
hxxp://www.fe[編集]an.com/wp-content/themes/s431_Blue/bh7u09cpppg5h
hxxp://www.sp[編集]es.co.uk/blog/f040z4d5d21z5rd
hxxp://www.ch[編集]ng.co.uk/blog/wp-content/themes/the-beach-house/6k8elm10.bin
hxxp://www.gr[編集]en.com/wp-content/themes/jarrah/ghd4vowtha0s.bin
.onionドメインのC&Cサーバ一覧:
crptarv4hcu24ijv.onion
crptbfoi5i54ubez.onion
crptcj7wd4oaafdl.onion
crptdtykhkmux333.onion
crpterfqptggpp7o.onion
CryptoWall 2.0のサンプルのハッシュ:
e6325fc7f7168936aa9331ac707b4c3cc186b46e
Tor化されたCryptoWall 1.0のサンプルのハッシュ:
00e0960099ec6381aa9bf1f11b536e3e32ffa635
3370f29350115af162b613c45fd5a6a44315a213
6698bb2df60685863a664e282e493ca1e886fec3
672d6b7e31fe8f6250c6831d139012b87440274c
f21c073e57ad8a5b73139fbd4361c8985a83c9c9
Post by Artturi Lehtio (@lehtior2)
ここから大きく変革するのは、数か月前にあったきりだ。当社でいくつかのCryptoWallのサンプルを観察したが、C&Cサーバとの通信にカスタマイズしたTorコンポーネントを使っていた。このTorコンポーネントについては、暗号化されたバイナリファイルとして侵害されたWebサイトからダウンロードする。続いてファイルを復号し、C&Cサーバへ到達できるTorネットワークへの接続の確立に使用する。興味深いことに、当社ではこうした「Tor化した」バージョンのCryptoWallをわずかしか観察しなかった。当社で目にしたサンプルの大半は、オリジナルのC&C通信の方式を守り続けていた。
現在では、これが変わった可能性がある。ほんの昨日のことだが、自身を「CryptoWall 2.0」と称するランサムウェアのサンプルが初めて世間で認知された。
CryptoWall 2.0の身代金ページ
CryptoWall 2.0は新たなパッカーや難読化ツールを使っているようで、デバッグや静的分析に対抗するトリックの数を増やしている。しかしながら、最終的に悪意あるペイロードに至ると、この夏に見られたTor化されたCryptoWall 1.0のサンプルと、CryptoWall 2.0はほとんど同一だ。
Tor化されたCryptoWall 1.0(左)とCryptoWall 2.0の同一の関数(右)
おそらく、C&Cサーバをシャットダウンしようとしたセキュリティ研究者の尽力が、ギャングたちのビジネスに損害を与えたのだろう。あるいは、ギャングたちは単に変更するときが来たと感じていたのかもしれない。いずれにせよ、作者(たち)は新たなC&C通信の方法が必要だと明らかに感じていたのだ。そしてプロフェッショナルなソフトウェア開発者のように、CryptoWallの作者(たち)は完全に新しいものに切り替える前に、まずは直前のバージョンにきっちり沿って新しいバージョンをテストしようとしているように見える。我々は、Tor化されたバージョンのCryptoWall 1.0はまさにそれ、つまりテストだと考えている。したがって、近い将来、CryptoWall 2.0をずっとたくさん目にすることを予期している。
侵害された、Torコンポーネントのダウンロードサイトの一覧:
hxxp://www.m[編集]urg.ch/wordpress/f0k1ats
hxxp://www.ar[編集]a.com/blog-trabajos/n65dj17i1836
hxxp://www.ar[編集]er.cz/o515ujx2f
hxxp://www.fd[編集]rg.de/wp-content/themes/fdp-asz/vrf8iu27h
hxxp://www.cu[編集]n.de/z6lub76lz295x
hxxp://www.ho[編集]t.com/5gr4hl2tvv
hxxp://www.me[編集]o.com/wp-content/themes/mh/3sbgwh
hxxp://ep[編集]n.ca/blog/eo7ycomyy
hxxp://www.pr[編集]al.com.br/site/hr38xc4
hxxp://www.ji[編集]e.be/s5eroewr
hxxp://www.je[編集]r.at/jesneu/wp-content/themes/Girl/0l9u4lc6che
hxxp://www.dr[編集]en.de/wordpress/3uh2e
hxxp://www.ye[編集]ak.com/kf4bv
hxxp://www.ro[編集]es.com/l449jbc0
hxxp://www.mc[編集]ld.com/u2m8bbkln3fqpe
hxxp://www.fe[編集]an.com/wp-content/themes/s431_Blue/bh7u09cpppg5h
hxxp://www.sp[編集]es.co.uk/blog/f040z4d5d21z5rd
hxxp://www.ch[編集]ng.co.uk/blog/wp-content/themes/the-beach-house/6k8elm10.bin
hxxp://www.gr[編集]en.com/wp-content/themes/jarrah/ghd4vowtha0s.bin
.onionドメインのC&Cサーバ一覧:
crptarv4hcu24ijv.onion
crptbfoi5i54ubez.onion
crptcj7wd4oaafdl.onion
crptdtykhkmux333.onion
crpterfqptggpp7o.onion
CryptoWall 2.0のサンプルのハッシュ:
e6325fc7f7168936aa9331ac707b4c3cc186b46e
Tor化されたCryptoWall 1.0のサンプルのハッシュ:
00e0960099ec6381aa9bf1f11b536e3e32ffa635
3370f29350115af162b613c45fd5a6a44315a213
6698bb2df60685863a664e282e493ca1e886fec3
672d6b7e31fe8f6250c6831d139012b87440274c
f21c073e57ad8a5b73139fbd4361c8985a83c9c9
Post by Artturi Lehtio (@lehtior2)