[レポート]ランサムウェアとの関わり – 復号とワクチン – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021で行われた「ランサムウェアとの関わり - 復号とワクチン」セッションのレポートです。

#CODE BLUE

#CODE BLUE 2021

#セキュリティ

yhana

2021.10.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

CODE BLUE 2021の下記セッションのレポートです。

ランサムウェアとの関わり - 復号とワクチン

過去10年間でランサムウェアの攻撃は大きく増加した。ランサムウェアの活動（特に大企業狙い）は、サイバー犯罪者の地下組織の中で2021年に大きく増加した。今後10年間でランサムウェアに対処するには、詳細なランサムウェアのエコシステムの理解を深め、最前線での活動経験を積み、新たなアプローチをとる必要がある。

講演では、まず「Ryuk」「Conti」「RansomEXX」など、多くのランサムウェア・ファミリーをリバースエンジアリングすることで得られた、ランサムウェアの挙動に関する研究成果を紹介する。これらのランサムウェアに対して、以下の3つの側面からアプローチした。
(1)ファイルの暗号化手法とアルゴリズム
(2)環境と完全フル実行のチェック
(3)ブルーチームがランサムウェアに対処するための防御回避テクニック

ランサムウェアの暗号化では、効率と強度の両立が求められるが、それらのスキームは必ずしも完璧ではない。われわれPrometheusの研究では、その乱数生成に脆弱性を発見し、復号に成功した。あわせて、このディクリプターをオープンソースで公開する。
次に、半自動化されたランサムウェアの「ワクチン」の開発について論じる。ランサムウェアがすでにエンドポイントに侵入したと錯覚させるために、ランサムウェアのサンプルを分解して、特定のランサムウェアを停止させる条件を作り出すシンボリック実行エンジンを適用した。

最後に、ランサムウェア「Conti」への対応とデジタルワクチンの導入について、現場の経験から得た脅威インテリジェンスを紹介する。

Presented by :
チョン・クアン・チェン - Chung Kuan Chen
イシェン・チェン - Yi-Hsien Chen

レポート

ランサムウェアに関する話

チョン・クアン・チェン - Chung Kuan Chen さん

ラムサムウェアはブラックマーケットの中心になっている
ランサムウェア攻撃のタイプ
- Targeted (標的型) ランサムウェア
  - 近年増加傾向
  - 身代金は高額
- Non-Targeted ランサムウェア
  - 身代金は少額
台湾の状況
- ハイテク企業や製造企業が主なターゲット
- 大きな利益を上げているため
最近のラムサムウェアのトレンド
- 標的型ラムサムウェア
- 最も利益のある企業を狙う
- 長期に渡り対象会社の環境に留まる
- データを暗号化するだけではなく、データをインターネット上に流出させる
  - 他社/他者に情報を売ることもある
- MaaS, RaaS
ラムサムウェアサンプルを収集して解析している
- 12種類
- 現実世界のIR事例も参考に選定
- 重要なのはCrypt7
ラムサムウェアの Behavior Aspects
- Trigger behavior
- Defense Evasion Techniques
- Encryption Optimization Methods
- File Encryption Algorithm
Trigger behavior
- 環境チェック：サンドボックスではないことを確認
- 対象であることを確認
- フル実行のチェック
Trigger behavior の確認できた結果（対象ラムサムウェアによって異なります）
- 直近2年間のファイルの確認
- 言語を確認
- .dllのチェック
- リモートデバッガーの確認
- 暗号化はお昼の12時に実行　　など