BlackMatter ランサムウェアのロジックに欠陥:Active Directory 保護のヒントになるのか?

How to Proactively Limit Damage From BlackMatter Ransomware

2022/01/08 DarkReading — 米国の重要インフラ企業や大規模組織などへの攻撃に多用される、ランサムウェア BlackMatter のコードに重大な論理的欠陥があり、状況によってはマルウェアの有効性を制限できる。Illusive は、この欠陥のあるロジックを起動できれば、BlackMatter が自社の環境にもたらす被害を軽減できる可能性があると発表した。

この欠陥をIllusive の研究者たちが発見したのは、同社のテスト環境でランサムウェアがリモートコンピュータの共有を暗号化できないことを確認したときだった。コードを詳しく調査したところ、BlackMatter は、環境が特定の方法で構成されている場合にのみ、同じネットワーク内のコンピュータを暗号化することが分かった。

Illusive のセキュリティ研究者である Shahar Zelig は、この論理的欠陥により、組織は BlackMatter によるファイル共有の暗号化を防止する方式を得られると述べている。彼は、「注意しなければならないのは、侵害されたデバイスは依然として暗号化されているということだ。また、複数のデバイスが侵害されている場合にも、BlackMatter を実行することで、それらのデバイスを暗号化できる。この論理的欠陥は、リモートシェアに特化したものだ」と付け加えている。

BlackMatter が登場したのは 2021年7月であり、数多くの人々の関心を集めた Colonial Pipeline への攻撃を受けて、DarkSide の Ransomware-as-a-Service (RaaS) が停止した直後のことだった。BlackMatter は DarkSide と同様に、RaaS モデルとして配布されている。このマルウェアは、米国の食品/農業などの2つの組織をはじめ、複数の重要インフラを対象とした攻撃に使用されている。そして、このランサムウェア・オペレータは、米国/英国/カナダ/インド/ブラジル/タイ/チリなどの、大規模組織が所有するデータを公開している。

このマルウェアを分析したセキュリティ・ベンダーは、そのペイロードが非常に効率的 (サイズは約 80Kb) で、巧妙に難読化されており、ほとんどがメモリ内で実行されていると述べている。Varonis が実施した分析によると、BlackMatter のオペレーターは、リモート・デスクトップや VPN などの脆弱なエッジデバイスの侵害や、他から入手したログイン認証情報の悪用などにより、最初のアクセスを得ている。

BlackMatter に対する懸念を受けて、2021年10月に米国の CISA は、連邦政府の各機関に対して、この脅威を警告し、環境内での検出方法を提供した。

Illusive の分析では、BlackMatter ファイル共有を暗号化する方式と、被害を最大化させる手法に着目した。まず BlackMatter は、Active Directory の全コンピュータ・アカウントを列挙する。続いて、各コンピュータ・アカウントの属性を取得し、次に各コンピュータの共有を列挙し、最後に利用可能な各共有を暗号化しようとする。

Shahar Zelig は、「論理的な欠陥は、第2段階で発生する。対象となるコンピュータに “dNSHostName” 属性がない場合、BlackMatter はコンピュータ属性の収集プロセスを終了する。簡潔に言うと、BlackMatter は Active Directory から全コンピュータを検索し、各コンピュータの属性をリストアップする。しかし、dNSHostName 属性を持たないコンピュータがあれば止まってしまう」と述べている。

Illusive は、BlackMatter の別の欠陥として、侵害されたシステム上のデフォルトのコンピュータ・コンテナ内の、コンピュータ・アカウントだけを列挙する点も発見した。そのため、別の組織単位で保管されているコンピュータは、暗号化を免れる。

ロジックの不備

すべてのランサムウェア・ツールが、リモート共有を暗号化しようとするわけではない。実際のところ、大半のランサムウェア・ツールには、この機能が搭載されていない。BlackMatter のロジックの問題点は、すべてのコンピュータ・オブジェクトが。dNSHostName 属性を持つと仮定していることにある、と彼は言う。

Shahar Zelig は、「ほとんどの場合、この仮定は正しく、コンピュータが Active Directory に追加されるたびに、自動的に dNSHostName が属性として取り込まれる」と述べている。

Illusive によると、この論理的欠陥を利用して、dnsHostName 属性を持たないコンピュータ・アカウントを作成することで、BlackMatter の影響を積極的に軽減すること可能となる。たとえば、dnsHostName 属性を持たない “aaa-comp” というアカウントを作成すれば、BlackMatter が公開したリモート共有を、暗号化から保護することが可能になる。

Shahar Zelig は、 「欠陥のあるロジックを起動するには、英数字のリストで最初に表示される名前のコンピュータ・オブジェクトを管理者が作成し、その dNSHostName 属性が設定されていないことを確認する必要がある」と指摘している。

BlackMatter に関しては、2021年10月に「FBI/CISA/NSA の BlackMatter 対策:防御のための詳細情報を勧告として共有」という記事をポストしていますが、そこには dnsHostName 属性 に関連する記載はありません。今回の記事により、Active Directory 保護が強化されると良いですね。なお、検索 → BlackMatter で、このランサムウェアに関する記事が一覧できます。よろしければ、ご利用ください。

%d bloggers like this: