調査日: 2022-08-01
ランサムウェア「DarkyLock」に関する分析報告
分析実施日: 2022-08-01
本報告は、ランサムウェア「DarkyLock」と推定されるマルウェアによるインシデントの確認と、その技術的特徴、動作プロセスに関する分析結果を共有するものです。DarkyLockは、著名なランサムウェアであるLockBit 3.0(LockBit Black)の亜種と見られ、正規の実行ファイル(PuTTY)に偽装してユーザーを欺き、システム侵害およびデータ暗号化を実行します。
基本情報とファイル特性
当該ランサムウェアは、LockBit 3.0の技術を基盤としており、暗号化完了後、対象ファイルに「.darky」の拡張子を付与します。ファイル情報の分析により、その出自が確認されました。
ファイル情報:
侵害の初期段階:実行ファイルへの偽装
- PuTTYファイルへの偽装: ランサムウェアの実行ファイルは、SSHクライアントであるPuTTYの実行ファイル(
PUTTY.EXE)に偽装されています。 - 二重実行メカニズム: 実行時、本マルウェアは
AppDataLocalTempディレクトリに正規のPuTTY実行ファイル(PUTTY.EXE)と、実際の悪性ペイロード(E_WIN.exe)をドロップ(展開)します。 - カモフラージュ: ユーザーには正規のPuTTYウィンドウが表示される一方で、バックグラウンドで悪意のあるプロセスが実行され、暗号化プロセスが進行します。
(※画像は、ユーザーに表示される正規の画面と、バックグラウンドでの動作を対比させるためのものです。)
<行動プロセス中の偽装画面>
持続性と痕跡消去
- シャドウコピーの削除: システムの標準的な復旧機能であるボリュームシャドウコピー(VSS)を標的とし、削除を実行することで、身代金の支払いなしでのデータ復旧を困難にします。
(※画像は、シャドウコピー削除コマンドに関連するレジストリ設定の例、あるいは初期設定の痕跡を示している可能性があります。)
<開始プログラムレジストリ登録(持続性の試行痕跡)>
暗号化対象の特定
- ドライブ列挙:
GetLogicalDrives関数を使用し、Aドライブ(フロッピーディスク)を除く全てのローカルおよびネットワークドライブを列挙し、暗号化の対象とします。
コード分析:
<ランサムウェア内部コード(ドライブ列挙関連)>
(※出典情報:ドライブ種別判定APIに関する参考情報)
<外部API参照情報>
重複実行の防止
- ミューテックスの確立: 既にマルウェアが実行されている環境下での二重実行を防ぐため、特定のミューテックス(Mutex)オブジェクトを作成し、プロセス単一性を確保します。
<ミューテックス情報>
暗号化後の痕跡
ファイルの暗号化が完了すると、対象フォルダ内に身代金要求メッセージ(ランサムノート)が配置されます。ファイル名は一貫して「Restore-My-Files.txt」として生成されます。
ファイル拡張子の変更:
暗号化されたファイルは「<元のファイル名>.darky」にリネームされます。
(身代金要求ファイル):
<.txtファイル形式のランサムノート画面>
<ランサムノートのイメージ>
<暗号化後の拡張子変更>
防御・対応策(ホワイトディフェンダーによる対応例を含む)
本マルウェアの活動が確認された場合、以下の対策を講じることを強く推奨します。
リアルタイム防御と復旧:
- 既存のセキュリティソリューション(本件ではホワイトディフェンダー)による既知の悪性挙動の検出とブロックが不可欠です。
- ランサムウェアによる暗号化処理の試行に対しても、リアルタイムでの自動復旧機能(ファイル自動復元)を有効にし、影響を最小限に抑える必要があります。
検出・ブロックメッセージ例:
<悪性行為遮断メッセージ>
<遮断ログ>
予防的対策:
- バックアップ戦略: 3-2-1ルールに基づいたオフラインかつ隔離されたバックアップを維持し、ランサムウェア感染時にも復旧可能な状態を確保してください。
- 実行制御: 信頼できないソースからのファイル実行、特にPuTTYなどの正規アプリケーションに偽装されたファイル実行には細心の注意を払うよう、エンドユーザーへの教育を徹底してください。
- 脆弱性管理: LockBitファミリーは既知の脆弱性を悪用するケースが多いため、OSおよびアプリケーションの速やかなパッチ適用を実施してください。