マイクロソフト、Macランサムウェアに関する報告書を撤回

Macbook と Mac デスクトップのクローズアップ。 — 画像: Norbert Levajsics/Unsplash

マイクロソフトは1月5日に、macOSデバイスを襲った4つのランサムウェアファミリーの詳細を記したレポートを公開しました（1月6日に修正）。ランサムウェアなどのサイバーセキュリティの脅威は、影響を受けるシステムの大部分がWindowsまたはLinuxであるため、今回のニュースはmacOSデバイスに関するものだったため、大きな話題となりました。

しかし、オブジェクティブ・シー財団の創設者パトリック・ウォードル氏はツイッターで、この報告書には引用文献がなく、2022年7月に出版された著書「The Art of Mac Malware」での同様の報告とほぼ一致していると指摘した。

参照: 故障して新しいMacを買う前にMacを掃除しよう (TechRepublic Academy)

Microsoft は Wardle 氏への返答として記事を削除し、ツイートで削除の理由を説明しましたが (図 A)、投稿について謝罪するまでには至りませんでした。

図A

画像: Twitter。Microsoftからのメッセージ

Microsoft は投稿を削除しましたが、調査結果の詳細は以下のとおりです。

初期のMacの侵害は目立たない

Macにランサムウェアを仕掛ける最初の侵入は、他の感染と同じ手口で行われます。サイバー犯罪者は、メールや偽のアプリケーション、あるいはユーザーにファイルをダウンロードさせるよう誘導することで、コンピュータをマルウェアに感染させます。Macへのランサムウェアは、第二段階のペイロードを介して侵入する場合もあります。その場合、ランサムウェアは別のマルウェアを介してシステムにドロップされ、実行されるか、サプライチェーン攻撃の一部として実行されます。

技術的な観点から、マイクロソフトは「マルウェア作成者は正当な機能を悪用し、脆弱性を悪用したり、防御を回避したり、ユーザーにデバイスを感染させるよう強要したりするためのさまざまな手法を考案する」と述べています。

Macにおけるランサムウェアの手法

Microsoft は、Mac 上のマルウェア手法を説明するために、KeRanger、FileCoder、MacRansom、EvilQuest という 4 つの既知のランサムウェアファミリを使用しています。

MacRansomとEvilQuestが使用する分析対策技術

マルウェアは、分析を回避したり、研究者やマルウェアサンドボックスによるファイル分析をより複雑かつ困難なものにしたりするために、分析防止技術を導入します。

よく見られる手法の 1 つは、ハードウェアベースのアイテムをチェックして、マルウェアが仮想化環境で実行されているかどうかを判断することです。これは、マルウェアがテストラボまたはサンドボックスで実行されていることを示す強力な兆候となることがよくあります。

MacRansomはsysctlコマンドを使用してシステムからhw.model変数を取得します。仮想マシンから実行された場合、その値は異なります。また、MacRansomは論理CPUと物理CPUの数の違いもチェックします。これは、仮想化環境での結果がホストOSでの結果と異なるためです。

EvilQuestランサムウェアは、Macの組織固有識別子（OUNI）をチェックしてデバイスのベンダーを特定します。en0ネットワークインターフェースのMACアドレスを取得し、既知の値と比較することで、仮想マシンが使用されているかどうかを判断します。

参照: Microsoft Defender は Mac と Linux を悪意のある Web サイトから保護します (TechRepublic)

さらに、EvilQuestはデバイスのメモリサイズもチェックします。仮想マシンはメモリ割り当てが少ない傾向があるためです。メモリが1GB未満の場合、マルウェアは仮想環境で実行されていると判断するでしょう。CPUの数もチェックし、2基未満の場合、マルウェアは通常のユーザー環境では動作していないと判断します。

KeRanger ランサムウェアは起動されると、サンプルを数分間しか実行しないサンドボックスで検出されるのを避けるために、悪意のあるペイロードを実行する前に 3 日間スリープ状態になります。

しかし、いくつかのサンドボックスは、スリープ関数にパッチを適用することで、数日間の待機を回避することで、このような状況に対処しています。しかし、これもまた回避可能です。EvilQuestは2つの異なるスリープ呼び出しを使用し、その結果の違いを確認します。結果が同じであれば、マルウェアはスリープ関数にパッチが適用されていることを認識します。

EvilQuest と MacRansom は、デバッガーが現在のマルウェアプロセスにアタッチするのを防ぐことで、デバッグも防止します。

持続性を達成する

起動エージェントと起動デーモンは、マルウェアによって起動を開始するために容易に利用される可能性があります。プロパティリストファイルは、それぞれのディレクトリ内の設定とプロパティを指定して永続性を確保するために使用されます。

カーネルキューは、永続性を実現するもう一つの方法です。EvilQuestは、監視対象ファイルが変更された場合に受信した通知に基づいて、カーネルキューを使用して自身を復元します。

暗号化

さまざまな暗号化方式が存在するため、ランサムウェアファミリはデータを暗号化する方法が異なります。

FileCoderランサムウェアは、公開されているZIPソフトウェアを使用してデータを暗号化し、ランダムに生成されたパスワードで暗号化します。/Usersフォルダと/Volumesフォルダ内のファイルを再帰的に暗号化します。ZIPユーティリティを使用するこの方法には明らかな利点があります。ランサムウェア開発者は暗号化を実装する必要がなく、サードパーティが提供する堅牢な暗号化を利用できるからです。

KeRanger マルウェアは、暗号ブロックチェーンモードで AES 暗号化を使用してファイルを暗号化するように開発されています。

MacRansom は乱数で並べ替えられたハードコードされたキーを使用してデータを暗号化しますが、EvilQuest はカスタム対称キー暗号化ルーチンを使用してコンテンツを暗号化します。

ファイルの列挙

ファイルの列挙は、ランサムウェア攻撃者にとって非常に重要な操作です。これは、システムまたはネットワーク上で暗号化の対象となるファイルを特定することです。Macを標的とするランサムウェアは、この目的を達成するために複数の手法を用います。

コマンドラインバイナリの「検索」

FileCoderとMacRansomは、「find」ユーティリティを利用して暗号化するファイルを検索します。このユーティリティはLinuxやmacOSなどの複数のシステムにネイティブで搭載されており、攻撃者を支援するためのオプションが複数用意されています。

find コマンドの出力はマルウェアに提供され、検出されたファイルに対して操作が実行されます。

参照：2022年最も危険で破壊的なランサムウェアグループ（TechRepublic）

FileCoder は、README!.txt という名前のファイルを除いて、macOS の /Users および /Volumes フォルダからすべてのファイルを再帰的に列挙します。

MacRansom はより具体的です。/Volumes と現在のユーザーのホームフォルダー内のファイルを検索しますが、読み取り権限が有効になっている現在のユーザーに属し、8 バイトを超えるファイルをチェックします。

ライブラリによる列挙

KeRanger と EvilQuest は、opendir()、readdir()、closedir() などの標準ライブラリ関数を使用して、影響を受けるシステム上のファイルを列挙します。

これらは、ファイルを操作する必要がある多くの開発者が使用する標準関数です。

EvilQuestランサムウェアがそれをさらに推し進める

EvilQuestの解析により、身代金目的でファイルを暗号化するだけでなく、より多くの機能を備えていることが明らかになりました。ランサムウェアのペイロードを含まない亜種も存在します。

EvilQuest には、対象のファイルの先頭にコードを付加することで、Mach オブジェクトファイル形式 (Mach-O) のファイルに感染する機能があります。
実行されると、感染したファイルは実行可能ファイルの正当なコードを実行する前に EvilQuest コードを実行します。
EvilQuestにはキーロギング機能が含まれている可能性があり、実行中のプロセスがセキュリティツールのパターンのハードコードされたリストに該当するかどうかをチェックすることで、セキュリティプロセスを回避し、検出を回避しようとします。マルウェアは一致を検出すると、プロセスを停止し、プロセスファイルから実行権限を削除します。
EvilQuest のいくつかの亜種はメモリ内実行を使用するため、マルウェアのディスクストレージが妨げられ、検出が困難になります。