<危険>リモートデスクトップRDPがランサムウェア感染経路に身代金ウイルス被害 : 無題なログ

初回投稿 2016年4月9日

<危険>リモートデスクトップRDPがランサムウェア感染経路に身代金ウイルス被害

リモートデスクトップ RDP 経由で Windows に不正アクセスされてランサムウェアを起動する感染経路の紹介

Windows パソコンの文書、画像、圧縮アーカイブなどを暗号化して破壊した上で、ファイルを元に戻す復号ツールの購入を名目に身代金の支払いを要求する深刻な脅威 ランサムウェア。

そのランサムウェアには、大きく 2つのウイルス感染経路が知られてます。

《1》 Eメールでランサムウェア感染

”支払い請求書” とか ”荷物の配達通知” みたく装った迷惑メールの添付ファイル、あるいはメール本文中の URL から入手した不正なファイルを Windows ユーザーさんが普通にダブルクリックして開き、ランサムウェアに自爆感染するパターンです。

→ 危険なファイルの拡張子 .exe .scr .xls.xlsm .doc .docm ウイルス

《2》ネットサーフィン中にランサムウェア強制感染

一般サイトをネットサーフィン中、運悪くハッキングされているサイトをたまたま閲覧したり、広告コンテンツに不正な攻撃処理が運悪く配信されてきてランサムウェアに感染するパターンです。

遠隔操作でランサムウェア感染被害

ただ、上の2つに該当しない ランサムウェア感染経路 として、攻撃者がネットワーク越しに Windows へ不正アクセスして、遠隔操作（リモートアクセス）でマルウェアを送り込み手動感染 させるおっかない手口があります。

この攻撃は、正規に提供されているリモートアクセス機能を悪用する方法です。

《ランサムウェア感染パターン1 》

便利で有名なツールも攻撃手段として悪用されると危険な凶器に…。

外部からの PC 遠隔操作を目的として、正当に提供されてる リモートコントロールソフト を介して、ランサムウェアを強制的に感染させる手口が確認されています。

Splashtop by Splashtop Inc
TeamViewer by TeamViewer GmbH
LogMeIn by LogMeIn, Inc

● TeamViewer を介したランサムウェア感染に関して
TeamViewerは数多くのユーザーに利用されているソフトウェアであるため、多くのインターネット犯罪者が闇サイトなどで入手したアカウントのデータにログインし、それらアカウントの認証情報に合致するTeamViewerアカウントがないか確認しようとします。この場合、犯罪者は割り当てられたデバイス全てにアクセスし、マルウェアやランサムウェアをインストールしようとすることができます。
https://wwwold.teamviewer.com/ja/press/statement-on-ransomware-infections-via-teamviewer.aspx

《ランサムウェア感染パターン2 》

攻撃を喰らう前提として、定例更新の Windows Update を実施してない環境です。

中でも、2017年3月のセキュリティアップデートで対処されていた SMB（Server Message Block）の脆弱性 MS17-010 を悪用した攻撃が有名です。

その代表例として、2017年5月にメディアを騒がせた世界的なサイバー攻撃 WannaCry ランサムウェアで、日本国内でも感染被害が発生しました。

＜米国曰く北朝鮮のグループが関与？

● ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス - Microsoft
CVE-2017-0145 を悪用し細工したパケットを SMB サーバーに送ることで拡散します。このランサムウェアは 2017 年 3 月に修正された SMB v1 の脆弱性 (MS17-010) を利用するため、お使いのコンピューターが最新のセキュリティ更新プログラムをインストール済みであることを確認してください。
https://msrc-blog.microsoft.com/2017/05/14/

《ランサムウェア感染パターン3 》

Windows OS のビジネス向けエディション、あるいはサーバー向けの Windows Server に標準実装されている接続機能 リモートデスクトップ（RDP） を介して、ランサムウェアを感染させる手口です。

リモートデスクトップ RDP が搭載されてる設定画面

【リモートデスクトップ RDP 搭載 OS】
Windows 10 Pro
Windows 8.1 Pro
Windows 7 Professional / Ultimate
Windows Server 2008 / 2012

主に一般家庭向けの Windows エディションには、リモートデスクトップ（RDP）は搭載されておらず影響しません。

[リモートアシスタント] の下に項目が存在しない

【リモートデスクトップ RDP 未搭載 OS】
Windows 10 Home
Windows 8.1 Home
Windows 7 Home Premium

リモートで遠隔感染するランサムウェア例

マルウェアの感染間口の広さから被害者が続出するランサムウェアとは違い、局所的に被害が発生するマイナーなランサムウェアが暗躍する傾向が多いです。

eda2 … オープンソースのランサムウェア
└ Magic Ransomware
└ Fantom Ransomware

CrySiS/Dharma/Wallet ランサムウェア
《ファイル拡張子》～.[メールアドレス].[拡張子]
《メールアドレス》 @india.com @aol.com @qq.com @plague.life
《脅迫文ファイル》 .phobos .java .arena .onion .wallet .dharma .zzzzz .CrySiS .xtbl
※攻撃者が復号鍵を公開した一部バージョンのファイル復号ツールあり

Apocalypse ランサムウェア
《ファイル拡張子》 .crypted_file

Surprise Ransomware / Kangaroo Ransomware

CryptON / Cry9
└ NEMESIS Ransomware / Cry128
《ファイル拡張子》～.fgb45ft3pqamyji7.onion.to._ ～kgjzsyyfgdm4zavx.onion.to._ ～2irbar3mjvbap6gt.onion.to._ ～gebdp3k7bolalnd4.onion._
《脅迫文ファイル》 _DECRYPT_MY_FILES.txt
※ 暗号化されたファイルのクラックで一部バージョンのファイル復号ツールあり

└ UIWIX Ransomware
《ファイル拡張子》～.UIWIX
《脅迫文ファイル》 _DECODE_FILES.txt

WannaCry
《ファイル拡張子》～.WNCRY

BTCWare
《ファイル拡張子》「～.[メールアドレス].crypton」「～.[メールアドレス].aleta」「～.[メールアドレス].master」「～.[メールアドレス].theva」「～.[メールアドレス].onyon」「～.[メールアドレス].cryptowin」「～.[メールアドレス].cryptobyte」「～.[メールアドレス].btcware」
《脅迫文ファイル》 !## DECRYPT FILES ##!.txt !#_READ_ME_#!.hta !#_READ_ME_#!.inf #_RESTORE_FILES_#!.inf !#_DECRYPT_#!.inf #_README_#.inf
※ 攻撃者が復号鍵を公開したため一部バージョンのファイル復号ツールあり

GlobeImposter
《ファイル拡張子》～.oni
《脅迫文ファイル》 !!!README!!!.html

Amnesia Ransomware
《ファイル拡張子》～.[メールアドレス].scopio ～.[メールアドレス].scrab ～.amnesia
《脅迫文ファイル》 IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT / HOW TO RECOVER ENCRYPTED FILES.TXT

Zeropadypt Ransomware
《ファイル拡張子》～.[ID=*][Mail=*@*].limbo ～.[ID=*][Mail=*@*].Lazarus ～.[ID=*][Mail=*@*].Lazarus+
《脅迫文ファイル》 Read-Me-Now.txt DECRYPTION_GUIDANCE.txt

〔注意〕

こららランサムウェアに関連するキーワードで Google や Yahoo! を調べると、セキュリティ情報を装って海外製の迷惑ソフト Reimage Repair、SpyHunter 5、WiperSoft のダウンロードを仕向ける詐欺サイトが検索結果にヒットします。

ランサムウェア遠隔感染のウイルス対策

この手のランサムウェア攻撃の原因は次のようなところ？

未使用なのに、RDPリモートデスクトップを有効にしたまま放置している
使う場面もなく、リモートコントロールソフトを起動したまま放置している
設定されてるパスワードがテキトーすぎて総当りブルートフォース攻撃で破られる
いろんなウェブサービスで同一のパスワードを流用して使い回している
→ 外部流出したアカウント情報で PC へ不正アクセスされる

● ランサムウェアの拡散に悪用される RDP (リモートデスクトッププロトコル) - Sophos
攻撃者が一度に 1 台ずつコンピュータに侵入して、ユーザーが Word やメモ帳、あるいはゲームの「ソリティア」を使用するときのように手動でクリックをしてランサムウェアを実行するという手法です。
https://nakedsecurity.sophos.com/ja/2017/11/15/

● RDP経由のブルートフォース攻撃を確認、暗号化型ランサムウェアCRYSIS - トレンドマイクロ
攻撃者は、一般的に使用頻度の高いユーザ名とパスワードを利用してログインを試みます。正しいユーザ名とパスワードの組み合わせを探し当てると、攻撃者は、通常、短期間のうちに何度もアクセス接続し、PCを感染させます。このような繰り返しの作業により、通常数分で感染に成功します。
https://blog.trendmicro.co.jp/archives/14451

● 400万台を超えるWindows PCがRDP経由の脆弱性にさらされている - Cylance
RDPをサポートしているすべてのWindowsクライアントおよびサーバーバージョンでは、RDPはデフォルトでは無効化されています。それにもかかわらず、Rapid7によるソナー調査では、約1100万ものWindowsエンドポイントでポート3389が開いていて、そのうちの410万台のPCでは「何らかの形でRDPでの通信」が行われていたことが判明しました。（日本には6万1,024台）
https://www.cylance.com/ja_jp/blog/jp-over-four-million-windows-pcs-vulnerable-through-rdp.html

● リモートデスクトップサービス(RDS)に関する通信の検知状況 - IBM Tokyo SOC
攻撃者はRDSが稼働するホストを洗い出した後、RDP経由でブルートフォース攻撃を行い、Windowsログオンに必要なユーザー名とパスワードの取得を試みます。この攻撃はNcrack, Hydra, crowbar等のオープンソースのツールを用いて比較的容易に実行が可能です。また入手したユーザー名やパスワードをインターネット上で販売し金銭に換える行為も確認されています。
https://www.ibm.com/blogs/tokyo-soc/rdsvulns2019/

■ リモートデスクトップ接続

Windows のコントロールパネル → [システム] → [リモート]タブを開き、リモートデスクトップの [このコンピュータへの接続を許可しない(D)] にチェックマークが入っていて無効になってることを確認します。

・ リモートデスクトップ接続を使用して別のコンピューターに接続する
https://support.microsoft.com/ja-jp/help/17463/

リモートデスクトップ RDP を利用する場合は、セキュリティ対策としてデフォルトのポート番号 3389 から変更します。

● Windowsのターミナルサービス／リモートデスクトップ接続のポート番号を変更する - ＠IT
リモートからいつでも自宅の環境へリモート・デスクトップ接続できるようにしているユーザーは要注意である。ブロードバンド接続環境の普及により、出先のモバイル環境から常に自宅へログオンできるように備えているユーザーも増えているようである。しかしリモート・デスクトップ接続では、結局のところ、ユーザー名とパスワードさえ一致すれば、簡単にログオンすることができる。これは非常に危険な状態であるといえる。
https://www.atmarkit.co.jp/ait/articles/0309/27/news003.html

■ 適切なパスワードの設定を厳重に

最悪のパスワードとして危険！ゼッタイにダメッ！

辞書にある英単語
password admin administrator server test user account desktop database guest …
英数字の羅列、キーボードの配列
111111 123456 aaaaaa qwerty abcdeｆ abc123 …

● Windowsサーバーを狙ったランサムウェア感染被害が発生 - IPA
「Windowsサーバー内のファイルが暗号化された」というランサムウェア感染被害と考えられる相談や届出が寄せられています。Windowsサーバー内のファイルが暗号化されてしまった原因には、パスワード設定の不備があり、その結果Windowsサーバーに不正ログインされてしまい、ランサムウェアに感染させられてしまったと考えられます。
https://www.ipa.go.jp/security/anshin/mgdayori20170427.html

● インターネット経由の攻撃を受ける可能性のある PC やサーバに関する注意喚起 - JPCERT
インターネットからアクセス可能な状態になっている PC やサーバ等において、適切なセキュリティ対策が行われていない場合、攻撃者に悪用され、組織内のネットワークへの侵入や、他のネットワークへの攻撃の踏み台として使われる危険性があります。
https://www.jpcert.or.jp/at/2017/at170023.html
https://www.jpcert.or.jp/pr/2016/pr160001.html

ランサムウェア感染ではないけれど、だいぶ前の2011年に RDPリモートデスクトップ経由でワーム拡散の注意喚起です。

● Remote Desktop (RDP) が使用する3389番ポートへのスキャンに関する注意喚起 - JPCERT
TCP 3389番ポートへのスキャンが 2011年8月中旬より増加していることを、インターネット定点観測システムにおいて確認しています。これらのスキャンの原因は特定できておりませんが、Windows が使用する RDP (Remote Desktop Protocol) のサービスが待ち受けているポートを対象にスキャンを行い、その後パスワードクラックを行うマルウエア (Morto) の可能性が考えられます。
https://www.jpcert.or.jp/at/2011/at110024.html

● マルウェア Morto に見る、強固なパスワードの重要性 – マイクロソフト
Windows の脆弱性は悪用せず、リモートデスクトップ接続で、よくある簡易なパスワードを使ってローカルネットワーク上の他の PC にログインし感染を試みるのが特徴です。一旦感染すると、システムは攻撃者に乗っ取られる可能性があります。今後もリモートデスクトップ接続のような正規の通信で、脆弱なパスワードで侵入するようなマルウェアが発生する可能性が考えられます。
https://blogs.technet.microsoft.com/jpsecurity/2011/09/06/

遠隔操作できる Windows PC の情報を売買!?

セキュリティ会社の記事によると、何万台にも及ぶ遠隔操作できる Windows サーバーの情報を売り買いする闇サイトなんてものが存在するとか。

● xDedic：不正入手された情報の取引フォーラムが、新たな攻撃の足がかりにも - カスペルスキー
活発な活動を見せているサイバー犯罪者の取引フォーラム、xDedicの実態を調査しました。xDedicの主たる目的は、世界中でハッキングされた70,000台以上のサーバーの認証情報を手軽に売買可能とすることです。いずれのサーバーも、Remote Desktop Protocol（RDP）経由でアクセスできます。
https://blog.kaspersky.co.jp/xdedic/11748/

● システムのバックドアを襲うRDP攻撃の詳細ダークウェブではたった10ドルで取引 - マカフィー
ダークウェブには、ハッキングした機器にアクセスするリモートデスクトッププロトコル（RDP）をオンライン上で販売するRDPショップがあります。そこでコンピュータシステムへのログイン情報を購入すれば、都市の機能を停止させたり、大企業の活動をマヒさせたりすることもできるのです。
https://blogs.mcafee.jp/rdp-attacks-analysis

試しに、検索エンジン Shodan を使って「3389 ポート」を確認してみたら、ネットワーク越しにアクセスできうる日本国内の Windows マシンが結構ヒットするよね～。