2020 年 5 月 19 日 Trevor Collins 著

先週、ウォッチガードは独特な回避方法を使用するランサムウェアを発見しました。これはMedusaLocker ランサムウェアの新しい亜種か、MedusaLocker を模倣したランサムウェアと見られます。MedusaLocker ランサムウェアは 2019 年の 9 月に初めて発見されたもので、検出を回避するためにバッチファイルを使用します。

バッチファイルには、Windows マシン上のコマンドプロンプトで実行される拡張子 .bat のスクリプトコマンドが含まれています。ランサムウェアのペイロードに含まれる悪意のあるバッチファイルの中には、ネットワーク機能を有効にしないセーフモード（最小）でコンピュータを起動した場合に Windows レジストリを編集して Windows Defender を削除する、以下のようなコマンドが見つかりました。

reg delete HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend /f

This command reads: delete the registry entry
“HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend”
without prompting for confirmation. The location of the registry entry indicates this affects the computer when booting into safe mode.

reg delete HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend /f

このコマンドは、確認のプロンプトを表示せずに、以下のレジストリエントリを削除します。

“HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend”

このレジストリエントリの場所から、セーフモードで起動するときに影響があることが分かります。

さらに、バッチファイルは MedusaLocker を「backupvt」という名前のサービスとして追加し、最小のセーフモードで起動するたびに実行されるよう設定されていることもわかりました。これにより、サービスを見てもファイル名はわからず、また、MedusaLocker が最小のセーフモードで実行されるようになっています。

干渉されずに自身を実行できるようセーフモード環境を設定した後、バッチファイルは、次に、コンピュータの起動時に最小モードのセーフモードで実行するように設定し、コンピュータを密かに再起動します。コンピュータがセーフモードで再起動されると、MedusaLocker のサービスが開始されます。MedusaLocker が実行されると、ウイルス対策ソフトウェアにブロックされることなく被害者のコンピュータ上のすべてのファイルが暗号化されます。

この回避方法は決して新しいものではありませんが、ウォッチガードの知る限りでは、このような方法でウイルス対策を回避するランサムウェア攻撃は他にありません。このようにセーフモードで起動すると、ほとんどのサードパーティ製のウイルス対策ソフトウェアは起動しなくなるため、MedusaLocker の検出は特に難しくなります。

このランサムウェア攻撃は、従来型のエンドポイントマルウェア対策を効果的に回避できることが証明されており、多層防御のアプローチの必要性が浮き彫りになっています。ウォッチガードのテストでは、弊社のクラウドサンドボックスベースの APT Blocker が、ゲートウェイと TDR（Threat Detection and Response）エンドポイントエージェントの両方で脅威を識別してブロックしましたが、シグネチャベースの検出はすり抜けていました。

TDR の Host Ransomware Prevention（HRP）モジュールもまた、MedusaLocker ペイロードが被害者のコンピュータを暗号化する前に迅速に認識してブロックしますが、これが実行されるのは、TDR サービスが有効な状態でランサムウェアが実行された場合に限ります。そのためセーフモードで起動した場合は対応できません。また、マルウェア対策エンジンのようなサードパーティ製のドライバをセーフモードで実行するのは非常に危険であるため、この脅威がこの段階まで侵入していた場合は、捕捉できるエンジンはほとんどないでしょう。

いずれにしても、インターネットからダウンロードされたバッチファイルには十分注意しましょう。コードを実行したりレジストリを操作したりして、上記のようなセーフモードを利用した方法でインストール済みのウイルス対策を無効にしてくる可能性もあります。ソースを確認せずに未知のファイルを実行することは絶対にないようにしましょう。