世界のセキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップし、紹介する。一つめは、新たなランサムウエアの話題。ロシアのカスペルスキーラボが、「CoinVault」と名付けられた新たなランサムウエアを分析した結果をブログで報告している。同ランサムウエアは、人質にとったファイルを無償で1つ解放するという“善意”を示すのが特徴だという。
カスペルスキーによると、CoinVaultの作成者はマルウエア分析を困難にするために様々な策を講じている。分析が不正なプログラムの中核に辿り着くまでの時間をできるだけかせぎ、悪意のあるペイロードをできる限り長い間隠そうとする。
「Sandboxie」「Wireshark」「Winsock Packet Editor」といったセキュリティソフトの存在を確認し、マシンの名前が「MALTEST」かどうかチェックする。仮想化環境であることを検知すると、実行をとりやめ、不正なペイロードを隠蔽する。
実行可能ファイル「Locker」には2つのWindowsフォーム「frmMain」と「frmGetFreeDecrypt」が用意されている。前者はファイルを取り戻したければお金を払うよう要求し、後者は支払に応じれば重要情報を取り返せることを証明するために無償でファイル1点を暗号解除する。
Lockerファイル内の2つのWindowsフォーム
Lockerの分析を進めるには難読化を解かなければならないが、マルウエア作成者はちょっとしたユーモアを示している。多くの困難を乗り越えてここまで辿り着いた研究者を迎えるために、「Your worst nightmare(あなたにとって最低の悪夢)」というフレーズが記述されている。さらに、作成者が使用した難読化ツールのヒントも残している。今回のサンプル分析では、使用された難読化ツールは「Confuser v1.9.0.0」だった。
マルウエア作成者が残したフレーズとヒント
最終的にLockerの実行可能プログラムを解読すると、動的ドメインとの接続が確認された。分析の間、2つのアドレス「cvredirect.no-ip.net」と「cvredirect.ddns.net」が存在したが、ともに現在は停止している。そこでトラフィックを分析したところ、動的なファイル暗号化パスワードを使用するためにハードウエアIDがマルウエア制御(C&C)サーバーに送られていることが分かった。
cvredirect.no-ip.netとcvredirect.ddns.netに対する接続
攻撃者にとって万事がうまくいった場合、ユーザーのドキュメントやファイルは暗号化され、24時間以内に身代金を支払うよう要求が表示される。時間が経つと金額が吊り上がり、支払先のビットコインアドレスも変化する。