調査日: 2023-01-30

 

本レポートは、最近確認されたランサムウェア「Avaddon(3)」の亜種に関する技術分析結果をまとめたものです。このマルウェアは、標的システム上のファイルを暗号化し、特定の拡張子（.CBbdcAAcEa）を付与します。本分析は、インシデント対応および予防策策定の一助となることを目的としています。

 

Avaddon(3)ランサムウェアは、システムへの侵害後、持続的な暗号化活動を確実に行うために、複数の防御回避手法を実行します。

ファイルの属性

実行ファイルのバージョン情報および属性は以下の通りです。

 

 

 

以下に、Avaddon(3)ランサムウェアがシステムに侵入し、暗号化を完了するまでの主要な動作プロセスを詳述します。

• Windows回復機能の無効化

  ランサムウェアはバックグラウンドで動作中に例外が発生した場合に備え、Windowsのエラー回復通知機能を終了させ、さらにシステムの回復モードを無効化します。これにより、ユーザーによるシステム復元を困難にします。

  

  <Windowsエラー回復通知および回復モードの無効化>

• UAC（ユーザーアカウント制御）のバイパス

  暗号化処理を円滑に進めるため、UACを無効化し、権限昇格に関する通知が表示されないように設定を変更します。また、UACが無効化されたことを確認する動作も確認されています。

  

  <UAC設定の変更（無効化）>

  

  <UAC設定の確認>

• シャドウコピーの削除

  暗号化後、ユーザーがOS標準機能（ボリュームシャドウコピーサービス）を用いてファイルを復元することを防ぐため、シャドウコピーを削除します。

  

  <シャドウコピーの削除コマンド実行>

 

ファイルの暗号化と拡張子

暗号化が実行されると、元のファイル名に「.CBbdcAAcEa」という拡張子が追加されます。

の生成

各フォルダ内に、身代金要求を記した案内ファイルが「個人キー_readme_.txt」という名前で生成されます。

 

Avaddon(3)ランサムウェアによる被害を最小限に抑えるため、以下の対策を推奨します。

• 定期的なバックアップの実施: 重要なデータはネットワークから隔離された環境に定期的にバックアップし、復元手順を確認してください。
• セキュリティソフトウェアの導入と更新: EDR（Endpoint Detection and Response）や次世代型アンチウイルス（NGAV）を導入し、定義ファイルを常に最新の状態に保ってください。
• システム設定の強化: UAC設定を「常に通知する」に設定し、不必要な権限昇格を防いでください。また、Windowsの自動回復機能が意図せず無効化されていないか監視してください。
• ネットワークのセグメンテーション: 重要なサーバーやデータが保存されているネットワークを分離し、横展開（ラテラルムーブメント）のリスクを低減してください。
• 不審な活動の監視: シャドウコピーの削除（vssadmin.exeの実行）や、システム設定の変更（レジストリ操作）といった悪意のある動作を検知できるよう、ログ監視を強化してください。

（参考：セキュリティソリューションによる検出例）