組織のネットワークを狙う新種の仮想通貨採掘マルウェアPowerGhost」がロシアのセキュリティ企業KasperskyLabの研究者らによって発見されました。

目次

「PowerGhost」の実態とは

「PowerGhost」は、悪意あるファイルをデバイス上にダウンロードしないため、一般的なマイナーよりも検知が困難です。

そのため、サーバ上やワークステーション上で長期間気付かれずに動作することが可能であり、被害が増大します。

このファイルレス型マルウェアは、ネットワーク上の1つのシステムに自身を埋め込み、組織全体のパソコンとサーバに感染を広めます。ファイル自体が存在しないため、検知や修復が難しい少し厄介な存在です。

「PowerGhost」の機能

「PowerGhost」とは、インド・ブラジル・コロンビア・トルコを中心として感染を広めているマイニングマルウェアです。

「PowerGhost」自体は、難読化されたPowerShellスクリプトであり、コアとなるコードと、付随するアドオンモジュールで構成されています。

PowerGhostのコードの一部(A mining multitoolより)

機能としては以下ような機能になります。

自動セルフアップデート

C&C(Command&Control)サーバに新しいバージョンの「PowerGhost」があればダウンロードして更新する機能です。

感染機能

Mimikatzを使用して、ユーザのアカウント情報を窃取し、Windows Management Instrumentation(以下、WMIという)により、ローカルネットワーク内の他の端末に自身をコピーして感染します。

「自身のコピー」とは後述するC&サーバからPowerGhostをダウンロードする1行で書かれたPowerShellスクリプトのことです。

また、「PowerGhost」は、以下の手順でEternalBlue(MS17-10,CVE-2017-0144)をエクスプロイトする感染機能も備えています。

権限昇格

MimikatzとWMIを使って感染する場合、管理者権限やSYSTEM権限が必要になるため権限昇格させます。
権限昇格させる方法として、MS16-032、MS15-015とCVE-2018-8120が使用されます。

システムへの足場確立

「PowerGhost」は、すべてのモジュールをWMIクラスに保存します。

また、1行のPowerShellスクリプトはWMIサブスクリプションに保存され、90分毎に実行されます。

ペイロード

WMIに格納されたスクリプトが起動すると、反射型PEインジェクションによりPEファイルに注入されます。

「PowerGhost」が危険な理由

PowerGhostはなぜ危険だと言われているのでしょうか。

他人のコンピューターのリソースを使って仮想通貨を生成

「PowerGhost」は、他のマイナーと同じように、他人のコンピューターのリソースを使って仮想通貨を生み出します。このためにサーバーやデバイスのパフォーマンスが低下し、消耗が促進され、機器の交換に至ればコストが発生することもなりかねません。

一般的なマイナーよりも検知が困難

「PowerGhost」は悪意あるファイルをデバイス上にダウンロードしないため、一般的なマイナーよりも検知が困難です。このため、サーバー上やワークステーション上で長期間気付かれずに動作することが可能であり、被害が増大します。

組織のサーバを使ってDOS攻撃

あるバージョンの「PowerGhost」内には、DDoS攻撃を実施するためのツールが発見されました。

企業のサーバーを使って別の標的にDDoS攻撃を仕掛け、その業務活動を停滞させ、まひさせることも可能です。*DDoS攻撃をする機能は、他のファイルレスで実行している機能と違って、ローカルに二つのファイルをダウンロードして動作します。

セキュリティソフトの実行環境を検知する

「PowerGhost」は、一般的なセキュリティ製品による検知を回避するために、実行環境が実際のOSかサンドボックスかをチェックするという特性を持っています

「PowerGhost」を駆除する

「PowerGhost」による感染と攻撃から機器を保護するには、以下の対策をお勧めします。

ソフトウェアとOSのアップデートを欠かさない

これまでにマイナーによって悪用された脆弱性はすべて、ベンダーがかなり前に修正対応済みのものです。マルウェアの開発は、修正済みの脆弱性を基に行われる傾向があります。

従業員のセキュリティ意識を向上させる

サイバーインシデントの多くは、人的要因がきっかけとなっています。

ふるまい分析テクノロジーを備えた、信頼できるセキュリティ製品を使用する

実ファイルを伴わない脅威を検知できるのは、ふるまい分析テクノロジーだけです。当社で取り扱いのソフトウェアは、「PowerGhost」とそのコンポーネントだけでなく、未知のものも含めたさまざまな悪意あるプログラムを検知します。

マイニングウェア流行の兆しあり

以前、「Rocky」「WannaCry」などのランサムウェアが流行しました。

法人組織の被害額は年間2億円強とも言われています。しかし、支払われるか分からない身代金要求よりも、攻撃者は、確実に稼ぐことができるマイニングウェアにシフトしていると言われています。

目に見えて分からない、マイニングウェア被害は今後も増加することが予想されますので十分注意が必要です。