SentinelOneが新たなPowershell CryptoWormの亜種をブロック

 2017年末、CryptoWormの新たな亜種であるマルウェア型のインメモリPowershell-WMI CryptoWormがSentinelOne社によって発見されました。今回、このCryptoWormの亜種の特徴と駆除する方法を解説します。本書は2018年5月24日に、米国 SentinelOne 社の Gal Abadi 氏が同社のブログに投稿した記事を翻訳した記事になります。(原文はこちら)

▼ 目次
1. CryptoWorm亜種の特徴
2. SentinelOne による対策
3. SentinelOne によるCrypto Wormの駆除デモ




1. CryptoWorm亜種の特徴

1-1. 通信

 このCryptoWormはHTTPを介して通信します。メインサーバへはIPアドレス、フォールバックとしてDNSアドレスを使用します。

SentinelOne セキュリティ事例1

図 1. C&Cサーバのフォールバック

 C&Cサーバのアドレスは195.22.127.93と、windowsdefenderhost.club(ポート:8000)のサブドメインです。以前のバージョンとは異なり、コンテンツがPowershellの外部にダウンロードされた場合、サーバは403 Forbidden HTTPエラーコードで応答します。このワームはC&Cサーバからも更新できます。サーバ上のver.txtファイルに書き込まれたバージョンと自身のバージョンを比較して、新しいバージョンが利用可能な場合は、それをダウンロードし自分自身を更新します。

SentinelOne セキュリティ事例1

図 2. バージョン管理


このCryptoWormの現時点でのバージョンは1.4です。OSのアーキテクチャごとに2つのPowershellスクリプトを持っています。32ビットに対してはinfo3.ps1、64ビットに対してはinfo6.ps1です。



1-2. 潜伏

 このマルウェアは、潜伏して攻撃を続けるするためにWMI timer方式を使用します。timerを設定し、WMI Event Consumerを使用します。現在のバージョンでは、timerとEvent Consumerに、それぞれ「SCM Events Log Filter」と「SCM Events Log Consumer」という名前を使用しています。以前のバージョンでは、「SCM Event Filter」と「SCM Event Consumer」が使われていました。




1-3. 拡散

 古いバージョンと同様に、このワームはネットワークをまたがって拡散させるために、いくつかの方法を使用します。Invoke-ReflectivePEInjectionコマンドを発行し、Mimikatzをロードすることによって資格情報を搾取します。
その後、Powershellで実装されたInvoke-WMIExecとEternal Blueを使用して拡散します。最後に、リモートマシン上でインストールコマンドを実行します。




1-4. SMB接続をブロック

 このCryptoWormは、感染したマシンへ着信するSMB接続をブロックします。おそらく、他の種類のマルウェアが同じ方法を使用して拡散したり、このCryptoWormを削除したり、CPUを利用するのを防ぐためと思われます。

SentinelOne セキュリティ事例3

図 3. ファイアウォールのブロックルール



2. SentinelOne による対策

 SentinelOneエージェントは、Behavioral AIにて検出しブロックするため、このCryptoWormがどのバージョンであっても心配する必要はありません。SentinelOneを導入していない読者の皆様のために、ネットワークからこのCryptoWormを削除する方法をご紹介します。

 すべてのネットワークのコンピュータ上で同じコマンドを同時に実行するのは手間のかかる作業です。したがって、ネットワークからワームを駆除する上で最も難しい作業は、他のコンピュータから新たにクリーンアップしたコンピュータにワームが再び感染するのを防ぐことと言えます。

 そこで、このワームを駆除するには、最初にそのリモートコマンドラインをブラックリストに登録することをお勧めします。この対策により再び拡散するのを防止できます。

 その後、CryptoWormのPowershellプロセスを強制終了し、ファイアウォールルールWMI timer filterおよびWMI Event Consumerも削除することをお勧めします。

 ファイアウォールルールを削除してWMIエントリを取り除くPowerShellはこちらです。これは管理者権限で実行する必要があります。

  • ブロックするIPについて
    • IOCs(入出力制御システム)
      • C&CサーバのIPアドレスとドメインアドレス:
        • 195.22.127.93
        • windowsdefenderhost.club
    • 悪意のあるファイル(SHA1ハッシュ):
      • Info3.ps1 – 266D7C2E7F48EB0C1778EBCF76658575982BA41E
      • Info6.ps1 – ABAAC4E9005BFE692AA583DDBD10AA5429E49F87





3. SentinelOne による Crypto Worm の駆除デモ

 下記デモでは、実際のC&Cサーバから直接メモリにダウンロードされたファイルレスCryptoWormの動作をご紹介します。

 また、その際にSentinelOneエージェントがどのようにブロックするかをご覧ください。

SentinelOne セキュリティ事例1

デモ動画

最後に

 最新エンドポイントセキュリティ「SentinelOne 」なら、CryptoWormがどのバージョンであっても心配する必要はありません。先進のAI活用型検出エンジンで予測的に脅威を検出。巧妙化する脅威からエンドポイントを保護し、脅威検出後の詳細調査、被害軽減、復旧までをカバーします。SentinelOneの概要については下記よりご覧いただけます。


製品・サービスを読む