invoice? 迷惑メール添付ファイル開いたらランサムウェア感染 経路と対策を手口で学ぶ

{{{ 2016年5月 更新 }}}

イメージ 4
Image いらすとや


【添付されてる圧縮ファイルの状況】
● ファイルの拡張子は 「~.zip」「~.rar」
● ファイル名に 「invoice」「payment」「details」「scan」「order」「copy」「finance」「ランダムな数字」「メールアドレスの一部」 などの単語を含む

【解凍・展開後のファイルの状況】
● ファイルの拡張子は 「
.js」「.jse」「.wsf」「.vbs
● ファイル名に 「post」「id00」「tracking」「label」「invoice」「scan」「confirmation」「ランダムな英数字」 などの単語を含む

メールに添付されてた スクリプトファイル(拡張子 .js/.jse/.wsf/.vbs) がどのような動作を行うのか、また実際にダブルクリックして開いた場合の症状は?

スクリプトファイルの中身はテキストデータ

スクリプトファイルの中身は単なるテキストデータなので、「メモ帳」などテキストエディタで普通に確認できます。

イメージ 1
”ダウンローダー”の役目をするファイルに不正な処理が…

ただ、セキュリティ製品に検出されて感染攻撃を妨害されるのを回避するため、具体的な処理内容が把握できないようコードに難読化されてました。

結果的に、セキュリティソフトの ウイルス定義データが配信されるまでファイルスキャンでは脅威と判定しない 状況が発生します。 <ほんとタイミング次第

つまり、”怪しい” と気づけないユーザーさんがスクリプトファイルを開こうとしても誰も引き止めてくれないことに…。

wscript.exe を介して実行ファイル起動

手元でスクリプトファイルをダブルクリックして開いた時のプロセスの様子はこんな感じでした。 <真似しないで~

イメージ 2
不正なJSスクリプトファイルを起動した直後の様子

wscript.exe の下層にナゾの実行ファイル(上の画像だと緑色の「505091.exe」) が起動し、攻撃者が狙ったマルウェアがヒッソリと裏でダウンロードされて感染しました。
  • マイクロソフト由来の正規の実行ファイル wscript.exe を悪用する
  • Windows の一時フォルダにマルウェアが投下される
    ⇒ ユーザーアカウント制御 UAC の確認場面なし
このスクリプトの役割は外部ネットワークに接続して Windows向け実行ファイル (拡張子 .exe)をダウンロードして起動するダウンローダ型トロイの木馬なのでした。

実行ファイルの正体は?

Windows向け実行ファイルの正体は、ファイルを暗号化して破壊し身代金を支払うよう脅迫してるくる ランサムウェア(身代金型ウイルス) だったり、ネットバンキング不正送金被害に繋がるマルウェアなどいろいろです。
  • ランサムウェア Locky (読み方 ロッキー)
  • ランサムウェア TeslaCrypt (読み方 テスラクリプト) ← vvvウイルス
  • ランサムウェア Cerber (読み方 ケルベル/サーベル)
  • ランサムウェア Jaff (読み方 ジャフ)
  • ネットバンキングウイルス TrickBot (読み方 トリックボット)
  • ネットバンキングウイルス Dridex (読み方 ドライデックス)
  • バックドア Kovter (読み方 コブター)
イメージ 3
Windowsの一時フォルダに不正な実行ファイル

上はランサムウェア TeslaCrypt だけどセキュリティソフトの ウイルス定義データでは黒と判定されない新鮮な亜種検体が投入 されてます。

【TeslaCryptウイルス検体例】
www.virustotal.com/ja/file/b7accb9b9afc97165293cda6c9143014df49ccaa95d0bf6a80e6d9ee2e787bff/analysis/1449662803/

効果的な無料ウイルス対策

ランサムウェア などマルウェアの感染経路は大きく2つあり、その1つが迷惑メールの添付ファイルに由来するルートなので、被害を効果的に回避する無料ウイルス対策を実施しておきましょう。
  1. 『怪しいメールを開くな』『不審なファイルを開くな』
    ⇒ ヒューマンエラーの存在を否定して気合で乗り切る精神論
  2. セキュリティソフトに丸投げしてすべてを託す
    ⇒ セキュリティ会社はウイルス攻撃者に真っ先に出し抜かれる