White phoenix

新しい「White Phoenix」ランサムウェア復号ツールを使用すると、被害者は断続的な暗号化を使用するランサムウェア株によって暗号化されたファイルを部分的に回復できます。

断続的な暗号化は、データのチャンクを暗号化することと暗号化しないことを交互に繰り返す、いくつかのランサムウェア グループによって採用されている戦略です。この方法を使用すると、被害者がデータを使用できない状態のままで、ファイルをより高速に暗号化できます。

2022 年 9 月、 Sentinel Labs は、断続的暗号化がランサムウェア分野で注目を集めており、すべての大手 RaaS が少なくともオプションとして関連会社に断続的暗号化を提供しており、BlackCat/ALPHV は最も洗練された実装を行っていると思われると報告しました

BlackCat の断続的な暗号化
BlackCat の断続的な暗号化(CyberArk)

しかし、「White Phoenix」を開発、公開したCyberArkによると、元のファイルの一部が暗号化されていないままだと無料でデータが復元される可能性があり、この戦術では暗号化に弱点が生じるという。

断続的な暗号化を使用するランサムウェア オペレーションには、BlackCat、Play、 ESXiArgs 、Qilin/Agenda、BianLian などがあります。

部分的に暗号化されたファイルの回復

CyberArk は、部分的に暗号化された PDF ファイルを実験し、ストリーム オブジェクトからテキストと画像を復元することを試みた後、White Phoenix を開発しました。

PDFのストリームオブジェクトサンプル
PDFのストリームオブジェクトサンプル(CyberArk)

研究者らは、特定の BlackCat 暗号化モードでは、PDF ファイル内の多くのオブジェクトが影響を受けず、データが抽出できることを発見しました

画像ストリームの場合、適用されたフィルターを削除するだけで簡単に復元できます。

テキスト復元の場合、復元方法には、ストリーム内のテキスト チャンクを識別してそれらを連結するか、16 進エンコーディングと CMAP (文字マッピング) スクランブルを反転することが含まれます。

White Phoenix ツールを使用して PDF ファイルの復元に成功した後、CyberArk は、ZIP アーカイブに基づくファイルなど、他のファイル形式でも同様の復元の可能性があることを発見しました。

ZIP 形式を使用するファイルには、Word (docx、docm、dotx、dotm、odt)、Excel (xlsx、xlsm、xltx、xltm、xlsb、xlam、ods)、PowerPoint (pptx、pptm、ptox、potm、ppsx、 ppsm、odp) ドキュメント形式。

ZIP アーカイブ内のファイル エントリ
ZIP アーカイブ内のファイル エントリ(CyberArk)

これらのファイル タイプの復元は、7zip と 16 進エディタを使用して、影響を受けるドキュメントの暗号化されていない XML ファイルを抽出し、データ置換を実行することによって実現されます。

White Phoenix は、サポートされているファイル タイプについて上記のすべての手順を自動化しますが、場合によっては手動介入が必要になる場合があります。

このツールは、CyberArk のパブリック GitHub リポジトリから無料でダウンロードできます。

実際的な制限

アナリストらは、自動データ回復ツールは、次のランサムウェア株によって暗号化された前述のファイル タイプに対して適切に機能すると報告しています。

  • ブラックキャット/ALPHV
  • ランサムウェアをプレイする
  • キリン/アジェンダ
  • ビアンリアン
  • ダークビット

ただし、理論的にはサポートされているとしても、ホワイト フェニックスがすべてのケースで良い結果を生み出すわけではないことに注意することが重要です。

たとえば、重要なコンポーネントを含むファイルの大部分が暗号化されている場合、復元されたデータは不完全であるか、役に立たない可能性があります。したがって、ツールの有効性はファイルへの損傷の程度に直接関係します。

テキストが PDF ファイルに CMAP オブジェクトとして保存されている場合、16 進エンコーディングが元の文字値と一致するまれなケースを除き、テキストも CMAP オブジェクトも暗号化されていない場合にのみ回復が可能です。

ALPHV で暗号化された PDF ファイルと Play で暗号化された PPTX および DOCX ファイルの小さなサンプルを使用して White Phoenix をテストしましたが、このツールを使用してデータを回復することはできませんでした。

ただし、CyberArk は、これは、サンプルを受け取った攻撃で断続的な暗号化が使用されていないか、ファイルの暗号化が厳しすぎて適切に解析できないことが原因である可能性があると説明しました。

「使用されている特定のランサムウェア サンプルによっては、ファイル サイズが異なると暗号化されすぎてデータを復元できない場合があります。ファイル内に次の文字が見られない場合は、完全に暗号化されている可能性が高く、White Phoenix は対応できません。 」とサイバーアークは語った。

White Phoenix が正しく動作するには、Zip/Office 形式がサポートされるファイルに「PKx03x04」という文字列が含まれている必要があります。さらに、部分的に復元するには、PDF に「0 obj」および「endobj」という文字列が含まれている必要があります。

White Phoenix がこれらの文字列を見つけられない場合、以下の限定的なテストに示すように、ファイルの種類がサポートされていないと表示されます。

Play 暗号化ファイルに対して White Phoenix をテストする
Play 暗号化ファイルに対して White Phoenix をテストする
ソース:

この復号ツールはすべてのファイルに対して機能するわけではありませんが、被害者が重要なファイルから「一部の」データを回復しようとする場合には非常に役立つ可能性があります。

CyberArk は、すべてのセキュリティ研究者に、このツールをダウンロードして試して、ツールを改善し、より多くのファイル タイプとランサムウェアの種類にサポートを拡張する取り組みに参加するよう呼びかけています。