これはマルウェアの名前です。
動きの一部にランサムウェア攻撃を装っている部分がありますが、ランサムウェアではありません。
ワイパーマルウェアという分類のマルウェアです。
ワイパーって、車などについているあのワイパーです。
ファイルを削除します。
こんな感じです。
- 別のキャンペーンで入手した認証情報を使って侵入する
- 侵入先のパソコンのMBRを破壊する
いまマスターブートレコードで起動するパソコンがどのくらいあるのかわかりませんが、まずはこれを消します。
そしてその代わりに身代金メモを表示するコードを配置します。
身代金メモを表示するのですが、被害パソコンのファイルを暗号化するわけではありません。 - ダウンローダーをダウンロードするダウンローダーをダウンロードする
このダウンローダーの最初の仕事はsleepです。
検出の回避のための機構でしょうか - ダウンローダーが次の段階のダウンローダーをダウンロードする
持ってきた次の段階のダウンローダーは、そのままでは動作しません。
ファイル内のバイトが逆順になっているのでそのままでは動作できない状態になっています。
ダウンロード後にこの逆順になっているものを動作する状態に戻し、DLL形式で配置します。 - 次の段階のダウンローダーはC#で書かれてEazfuscatorで難読化されたDLLになっている
マルウェアの本体であるワイパーをダウンロードする機能が実装されています。 - ワイパーが動作する
動作にあたって、AからZまでの論理ドライブの存在を確認します。
そのパソコンで利用できるすべてのドライブがターゲットになります。
.htmlや.docや.xlsなどのドキュメント系の192のファイル拡張子のファイルを削除します。
単に削除することはしません。
ファイル内容に1MB程度0xCCという値を書き込み、ファイル名にランダムな4バイトを追加した状態に変更し、その後ファイルを削除します。 - 削除が完了したらOSが終了する
すべての削除が完了したら、削除された内容をハードディスクに反映させます。
そして実行中のすべてのプロセスを終了させ、Windowsをシャットダウンします。
徹底的な攻撃です。
気が付いた時には動いていたはずのパソコンが停止しています。
おかしいなと思って起動すると身代金メモが表示されます。
身代金メモが表示されたのでランサムウエア攻撃かとおもったら、実はたくさんのファイルが削除されています。
破壊活動が開始されてしまってからでは、打つ手がなさそうです。
ウクライナの事例では、最初の侵入が行われてからこの破壊活動が行われるまでにそれなりに長い期間があったことが確認されています。
普段からシステムの状態を監視し、異常をなるべく早期に発見することができる仕組みが必要だと思われます。
参考記事(外部リンク):Ukraine Campaign Delivers Defacement and Wipers, in
Continued Escalation
blog.talosintelligence.com/2022/01/ukraine-campaign-delivers-defacement.html
| この記事をシェア |
|
|---|
