ロシア語キーボードがインストールされている場合、多くのランサムウェアは実行を停止する(2021年)
(krebsonsecurity.com)- 多くのランサムウェア亜種は、Windows に ロシア語・ウクライナ語キーボード がインストールされていると、インストールを中止する安全装置を備えており、東欧発のマルウェアで広く見られる回避条件である
- DarkSide のような ランサムウェア・アズ・ア・サービス は、ロシアやウクライナなど東欧の被害者を出さないよう感染禁止地域を設け、現地の捜査機関の関心を避けようとしている
- Colonial Pipeline 攻撃の後、DarkSide は「非政治的」だと主張したが、マルウェアの地域別動作条件そのものが 地政学的制約 を反映している
- ロシア語キーボードや関連レジストリ値を追加する方法は、一部のロシア系マルウェアに対する 無料の予防策 になり得るが、多層防御や安全な利用習慣の代わりにはならない
- 攻撃者が言語確認を削除することは可能だが、Unit221B の Allison Nixon は、その場合ロシアのハッカーは 法的保護の喪失 と収益損失の間で選択を迫られると見ている
ランサムウェアが避ける言語と地域
- 多くのランサムウェア亜種は、Microsoft Windows システムに特定の 仮想キーボード がインストールされているかを確認し、ロシア語・ウクライナ語のような言語が検出されるとインストールを停止する
- マルウェア運用者は、自分たちの地域内で被害者が出ないよう、このような フェイルセーフ を組み込んでいる
- 独立国家共同体(CIS)地域は、東欧由来の多くのマルウェアの 感染除外リスト とおおむね重なっている
- DarkSide にも、CIS の主要加盟国に該当する国々のハードコードされたインストール禁止リストがあり、Cybereason がその一覧を公開している
Colonial Pipeline と DarkSide の事例
- この議論は Colonial Pipeline ランサムウェア攻撃 とつながっている
- この攻撃により、今月初めに 5,500 マイル規模の燃料パイプラインがほぼ 1 週間停止した
- その結果、米国各地のガソリンスタンドで供給不足と価格上昇が起きた
- FBI は、攻撃主体が DarkSide だと発表した
- DarkSide は、大企業だけを狙うと主張する比較的新しい ransomware-as-a-service 型の運営体である
- DarkSide と他のロシア語圏の提携型収益プログラムは、以前からロシアやウクライナを含む東欧の複数国のコンピュータにマルウェアをインストールできないようにしてきた
地域回避が使われる理由
- ロシアでは、国内企業や個人が正式な被害届を出さない限り、当局が自国民によるサイバー犯罪の捜査を開始しないことが一般的だと知られている
- 犯罪者にとって、自国で被害者を出さないようにすることは、国内捜査機関 のレーダーから外れる最も簡単な方法である
- DarkSide は、バイデン大統領のサイバーセキュリティ大統領令で言及された後、Colonial Pipeline 攻撃との距離を取ろうとした
- 被害者公開ブログで、自分たちは「非政治的」だと述べた
- 目的は金を稼ぐことであり、社会に問題を起こすことではないと主張した
- 今後は、提携先が暗号化しようとしている企業を審査し、社会的影響を避けると述べた
- しかし DarkSide のようなデジタル恐喝組織は、マルウェアが特定地域でのみ動作するよう設計されており、プラットフォーム自体が 地域政治的条件 を反映している
REvil・GandCrab と感染除外リスト
- セキュリティ専門家は、DarkSide と REvil、すなわち Sodinokibi のつながりを指摘してきた
- REvil は以前 GandCrab として知られており、GandCrab と REvil はいずれも提携者が シリアの被害者 に感染させることを禁じていた
- DarkSide の除外リストにもシリアが含まれている
- DarkSide はその後、サーバーとビットコイン資金が押収されたとして事業終了を発表し、この過程で REvil とのつながりが明らかになった
ロシア語キーボード導入の限界
- ロシア語のような言語をインストールしたからといって、Windows コンピュータがあらゆるマルウェアから安全になるわけではない
- 位置や言語を気にしない マルウェア も多い
- この方法は、多層防御やオンラインで危険な行動を避ける習慣の代わりにはならない
- 欠点は大きくないが、誤って言語設定を切り替えてしまい、メニューがロシア語表示になる可能性はある
- この場合は Windows キーとスペースバーを同時に押すと、インストール済み言語を素早く切り替えられる
攻撃者は言語確認を変更できるのか
- 攻撃者は収益性を下げる防御策に敏感に反応し、言語確認を無視するようマルウェアを変更できる
- 実際に Mandiant が分析した最近の DarkSide バージョンは、システム言語確認 を実行していなかった
- Unit221B の Allison Nixon は、言語確認を削除すると攻撃者の身の安全と資産に無視できないリスクが増すと見ている
- Nixon によれば、ロシアのハッカーは、ロシア特有の法文化のため、自国以外の被害者だけを攻撃するようこうした確認手順を使っている
- キリル文字キーボードをインストールしたり、特定のレジストリエントリを
RUに変更したりするだけでも、一部のマルウェアは利用者をロシア人と見なし、攻撃対象から外す可能性がある
大規模適用が生みうる圧力
- Nixon は、多くの人がこの方法を使えば、短期的には一部の利用者を保護できると見ている
- 長期的には、ロシアのハッカーは 法的保護を失うリスク と収益を失うリスクのどちらかを負わなければならない
- ロシアのハッカーも、西側の防御側が直面する問題と同様に、実際の国内コンピュータと国内コンピュータを装った海外コンピュータを見分けにくくなる
VM 検知回避とレジストリ方式
- 一部の読者は、Windows レジストリに仮想マシン(VM)のように見える項目を追加する方法も提案している
- Unit221B の Lance James は、VM かどうかは以前ほどマルウェアの阻止に役立たないと見ている
- 多くの組織が日常業務で 仮想環境 を利用するようになったためである
- 現在観測されている多くのランサムウェアは、VM 上でも実行される
- James は、CIS 諸国リストの言語を追加するアイデアを支持しており、Windows PC がロシア語キーボードをインストールしているように見せる 2 行のバッチスクリプト を作成した
- このスクリプトは、Microsoft から追加のスクリプトライブラリをダウンロードしなくても、マルウェアが確認する特定の Windows レジストリキーに ロシア語参照 を追加する
Windows 10 で言語を追加する方法
- Windows 10 で別のキーボード言語を直接インストールするには、Windows キーと X を押してから Settings を選ぶ
- 続いて「Time and Language」を選択し、Language メニューで別の文字セットをインストールするオプションを選ぶ
- 言語は次回の再起動時にインストールされる
- 言語を切り替える必要があるときは、Windows+Spacebar の組み合わせを使う
1件のコメント
Hacker Newsのコメント
マシンをマルウェア実行サンドボックスのように見せかけると、多くのマルウェアは解析を避けるために終了する
こういうのは結局、いたちごっこの一部
Windowsマルウェアはこの30年でかなり巧妙になった
ただし、別の指標を見ることはできる
これはPetyaのようなランサムウェアや、Fancy Bear、Cozy Bear、Contiのようなグループに効いたという根拠がある
概してロシア政府が、標的がロシアでない限り非公式に免責を保証しているため
また、自分がロシア人だと名乗ったり、チャットやメールでロシア語を使ったりすると、システムを無料で復号してくれることもある
まったく同じ話ではないが、ロシア人に無料ライセンスを出していたロシアのシェアウェア開発者がいたのを覚えている
ロシア人はどこにでもいるし、被害企業で働いている可能性もあるので、身代金が数百万ドル規模ならロシア人だというだけでは不十分だろう
会社がロシア資本だとか、父親がFSBで働いているとか、そういう形で納得させる必要がありそうだ
テントの中で小便するなという方針は、ほぼすべてのロシア系グループがよく理解している
外国人はその点で問題を起こさない
特別な免責があるとは思わない
ただ、外国人でもときどき問題を起こすことはある
最近ではJoe Bidenの通報をきっかけに始まった捜査の後、複数のサイバー犯罪者に有罪判決が出た
2000年代後半、技術に詳しくない学校の友人たちのコンピューターからwinlockerをたくさん削除していたロシア人としては、同意しにくい :D
ただ、そういうものはもっと洗練されていなかったのだろう
ファイルを暗号化はせず、閉じられないウィンドウを表示して支払いを要求していた
ときどき「成人向けサイト高速アクセスウィジェットをインストールしていただきありがとうございます」みたいな面白い文言もあった
キリル文字キーボードが有効なシステムだけを狙うマルウェアが存在しないなら、むしろ驚く
ブルガリア人は攻撃しないでください :)
どのWindowsバージョンでも、最良のマルウェア対策は日常的に使う基本アカウントを管理者アカウントではないアカウントにすることだった
別にフル管理者アカウントも作るべきで、ローカルアカウントでもよい
パスワードは必ず別にする必要がある
何かをインストールしたり、PowerShell/CMDを管理者権限で実行したりするたびに、管理者アカウントでの別ログインを求めるポップアップが出る
これは基本的にLinuxのsudo方式と同じで、ちゃんとした専門IT部門がWindowsを運用するやり方でもある
自分で引き起こしていないのに管理者権限昇格のポップアップが出たら、何かがおかしいと分かるし、ほとんどのマルウェアはインストールできない
また、一般アカウントには比較的普通だが短すぎないパスワードを使い、管理者ログインにはずっと複雑なパスワードを設定できる
特に「おばあちゃんのPC」のように誤クリックの危険が高い人に向いている
権限のないユーザーとして実行されても、そのユーザーがアクセス可能なファイルシステムには何でもできるし、ほとんどの一般的な設定では外部インターネット接続も無制限に可能だ
つまりこの種の権限分離では、データ流出、ユーザーの重要ファイルを狙ったランサムウェア、単純な破壊行為は防げない
Vista以降、マルウェアはUACに適応し、今ではすべてのマルウェアが一般ユーザー権限でも問題なく動作する
一般ユーザーがアクセスできるデータは、ローカルでもリモートのCIFSサーバーでもランサムウェアの標的になる
管理者権限を制限しても、マルウェアがデータにアクセスするのは防げない
永続化の確保も、ユーザーごと・非管理者方式へ移行した
ユーザーがIT部門を回避しようとしてソフトウェアを探してインストールする、あらゆる準悪性のカスタムChromiumも同じように動作する
それでも日常用Windowsユーザーに管理者権限を与えるべきではないと思う
ただし、マルウェア対策としてはあまり役に立たない
最も機密性の高い作業、主に銀行業務には物理的に分離された機器を使っているが、別の非管理者Windowsログインを用意して、ランサムウェアにやられてはいけないデータへのアクセスを区画化しても、ほぼ同じ効果が得られる
Windowsの異なるユーザーアカウント間の隔離は実際かなり良好なので、アカウント間で共通アクセスできるデータを制限すればよい
個人的にはQubesを使って物理的に分離したマシンをやめたかったが、その独特な仕組みに慣れる時間を取れなかった
修正: Chromeではなく「準悪性のカスタムChromium」と言うべきだった
企業はデータを取り戻すためにはるかに大きな金額を支払うことが多く、Petyaランサムウェアがその好例だ
それでも侵入者があるマシンで一般ユーザー権限を持っていれば、そのマシンとネットワーク上で管理者アカウントを積極的に探し、セッションを盗むことができる
最終目標はDomain Admin権限を得ることだ
それ以外にも、データの削除・暗号化や、ソフトウェアの実行・隠蔽に管理者権限が必須というわけではない
セッション乗っ取り以外にも、パッチ未適用ソフトウェア、不適切なユーザー権限、ゼロデイ、ソーシャルエンジニアリングなど、管理者権限を得る方法はいくらでもある
ユーザーがインストールしたがる便利なソフトウェアに、マルウェアやランサムウェアを抱き合わせるのもよくある手口だ
「このシンプルで無料の予防策を取ることに欠点はあるか? 私にはないように見える」について、すぐ思いつく欠点は、ユーザーが誤ってキーボードを切り替えてしまい、サポートコストが増えることだろう。
キーボード切り替えのショートカットは、たいてい誤って押してしまいやすく、とくに米国のユーザーの大半は、自分が何をしたのかや元に戻す方法をよく分かっていないはずだ。
Brian Krebsが2021年に世界中に公開したあとでも、これが今なお実際に通用するのか気になる。
ロシアと北朝鮮はランサムウェアを正当な経済活動と見なしている。
ハイブリッド戦争戦略の一部だ。
これは主に法的・執行上の判断だ。
ロシア当局を避ければ、彼らもあなたを避ける。
さらにロシアは、米国ほど実りの多い標的環境ではない。
米国には、**ビジネスメール詐欺(BEC)**にだまされてAP支払い情報を喜んで更新してしまう、低賃金の初級事務職が大勢いる。
2024年のBEC被害は27.7億ドルで最も収益性の高いカテゴリであり、米国全体の被害は859,532件の申告で160億ドルに達した。
私が関わったある調査では、中国の脅威アクターがソーシャルエンジニアリングによって米国企業に従業員アカウントを作成させていた。
あまりに説得力が高く、ある時点では、新規従業員アカウント作成時の本人確認ワークフロー承認プロセスに、自分たちのアカウントを管理者であるかのように紛れ込ませることにまで成功していた。
目的は従業員向けの割引特典を横取りすることだけで、それを転売して数年にわたり約100万ドルの損失を生じさせた。
https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
サイバー攻撃の発信元を、どの程度の確信を持って推定できるのか気になる。
「使われた手法がロシア系グループの既知の手法だから、ロシア人だと分かる」といった言い方をすることがあるが、そうした手法が特定のグループや国の出自をそこまで明確に示すなら、むしろその手法をまねて、彼らの仕業に見せかけるのは簡単ではないのか?
ロシア国旗を掲げた軍艦が米国の艦船を撃って逃げ去り、捕まらなかったとして、旗だけを見て「100%ロシアだ」と言うのは愚かに思える。
文字通りの偽旗作戦かもしれないし、今ではそうする政治的動機も非常に大きい。
ロシア語キーボードがあると、NSAマルウェアにとって魅力的な標的になる。
独自のLinuxディストリビューションを使っている。
ロシア語キーボードを使う立場でも、サイバーセキュリティの基本を知る前は、かなり頻繁にウイルスに感染していた。
全体として、この方法が実際にどれほど広く通用しているのか、それとも記事で誇張されているのか気になる。
rarファイルに紛れて広がる一般的なウイルス拡散は、十分に汎用的だ。
一方、CIS諸国で活動する組織であれば、国内の治安機関の標的にならないよう、当然慎重に確認するのが理にかなっている。
たとえばボットネットを構築して貸し出せば、別のグループがそれで本当に大きな被害を与えられてしまうので、単に海外でホスティングするほうが安全だ。