Clop ランサムウェア ギャングは現在、Linux サーバーを明示的に標的とするマルウェアの亜種も使用していますが、暗号化方式に欠陥があるため、被害者は数か月間無料で静かにファイルを復元できました。
この新しい Linux バージョンの Clop は、2022 年 12 月にSentinelLabsの研究者である Antonis Terefos によって発見されました。これは、脅威グループがコロンビアの大学に対する攻撃で Windows の亜種と共に使用した後です。
どちらも同じ暗号化方式とほぼ同じプロセス ロジックを使用しているため、Windows バージョンと非常に似ていますが、主に OS API 呼び出しと Linux バリアントでの実装を待っている機能に限定されたいくつかの違いがあります。
Clop の Linux マルウェアも開発の初期段階にあり、適切な難読化と回避のメカニズムがまだ欠けており、被害者が金銭を支払うことなくファイルを取得できるようにする欠陥に悩まされています。
Oracle データベース サーバーのターゲティング
Clop ランサムウェアの Linux 実行可能ファイル (ELF) は、起動時に新しいプロセスを作成し、データ暗号化を許可するレベルまで権限を昇格させようとします。
対象となるファイルとフォルダには、すべての個人用ファイルを含むユーザーの「/home」ディレクトリ、「/root」ディレクトリ、「/opt」、および格納に使用される Oracle ディレクトリ (「/u01」~「/u04」) が含まれます。データベース ファイルまたは Oracle ソフトウェアのマウント ポイントとして使用できます。
Oracle データベース フォルダの特定のターゲットは、通常、ESXi 仮想マシンの暗号化に焦点を当てた Linux ランサムウェア エンクリプタでは一般的に見られません。
Linux の亜種は、特定のファイル タイプとフォルダを暗号化から除外するために Windows バージョンで使用されるハッシュ アルゴリズムのサポートも欠いています。また、Linux ではさまざまなサイズのファイルを異なる方法で処理するメカニズムはありません。
Linux バージョンの Clop にはないその他の機能には、フォルダを再帰的に暗号化するための開始点を見つけるのに役立つドライブ列挙の欠如、および暗号化プロセスをさらに制御するためのコマンド ライン パラメータが含まれます。
暗号化の欠陥
また、現在の Linux バージョンは、Windows バリアントで使用される RSA ベースの非対称アルゴリズムを使用して、ファイルの暗号化に使用される RC4 キーを暗号化しません。
代わりに、Linux バージョンでは、Clop はハードコードされた RC4 の「マスター キー」を使用して暗号化キーを生成し、同じキーを使用してそれを暗号化し、ファイルにローカルに保存します。また、RC4 キーは検証されませんが、Windows では暗号化を開始する前に検証されます。
この脆弱なスキームは、キーが自由に取得されたり、暗号化が元に戻されたりするのを防ぎません。SentinelLabs はこれを行っています (これを実行する Python スクリプトがGitHub で利用可能になりました)。
キーのセキュリティの欠如に加えて、SentinelLabs は、暗号化されたキーがファイルに書き込まれるときに、ファイルのサイズや暗号化の時間など、ファイルに関する詳細などの追加データも書き込むことを発見しました。
このデータは、法医学の専門家が特定の貴重なファイルの対象を絞った復号化を実行するのに役立つ可能性があるため、隠蔽する必要があります。
Linux 用の Clop ランサムウェアは、現在の形で広範囲にわたる脅威になる可能性は低いです。デクリプターがリリースされると、その作成者は、適切な暗号化スキームを備えた安全で改善されたバージョンをリリースするようになる可能性があります。
SentinelLabs は、被害者がファイルを回復するのを助けることができるように、復号化ツールを法執行機関と共有したと述べました。
SentinelLabs は次のように述べています。
その弱点にもかかわらず、実際の Clop 攻撃での Linux バリアントの使用は、攻撃者にとって、標的組織内の Linux システムを攻撃できないよりも、たとえ簡単に侵害できるものであっても、Linux バージョンを使用する方が依然として好ましいことを示しています。
Comments