サポート情報 | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

サポート情報

ホーム > サポート情報一覧 > マルウェアを動作させてみる

マルウェアを動作させてみる

目次へ

 環境の準備ができたところで、動的な調査を行います。いきなりデバッグ機能での調査ではなく、動作させて概要を把握しておくことが目的です。また、この環境でマルウェアが動作するか、という問題もあります。結論からいうと、このランサムウェアは、起動時に外部ネットワークと繋がっていないと、動作が途中で止まります。Wiresharkというネットワークモニタを観察していると、外部のC&Cと思われるサーバへのアクセスが確認できることから、暗号化に使用する受け渡しに関連していることが推測されます。

 環境は既に述べたとおりなので、仮にランサムウェアが動作したとしても、問題はありません。そこで、試しに囮のpdfファイルを設置し、それが暗号化される挙動が始まるかどうかを確認してみます。

 ダブルクリックでランサムウェアを実行すると、暗号化が始まります。処理が進むと、特定のフォルダに実行ファイルが作成され、レジストリ上に自動起動するように設定されます(【図9】参照)。これは、ランサムウェアの処理が完了しなかった場合に、継続して暗号化を行うための細工と見られています。そのため、暗号化終了後、この実行プログラムとレジストリの自動実行の設定は削除されます。

CryptoWall_Copy_Registry

【図9】自動起動するようにフォルダに置かれ、レジストリに設定されたランサムウェア

 

 実行したプログラム自体は、実行後暫くすると消えます。そして、C&Cとの通信と思われる通信を実行します(【図10】参照)。そして、囮にしているファイルを暗号化しはじめます(【図11】参照)。暗号化が終わると、メモ帳、ブラウザ、フォトビューアーなどで警告文を表示します(【図12】参照)。この警告文は、再起動後や再ログオン時でも表示できるよう、スタートアップに登録も行われていました(【図13】参照)。また、ランサムウェアによる暗号化が終了した後、自動起動するようになっていたレジストリの設定と、自動起動されるファイルは削除されます。

CryptoWall_Wireshark

【図10】ランサムウェアとC&Cとの通信が疑われる痕跡

 

CryptoWall_FileEncrypt

【図11】ランサムウェアによるファイル暗号化の様子

 

CryptoWall_encrypted

【図12】ランサムウェアによる暗号化完了後の警告メッセージ

 

CryptoWall_StartUp

【図13】起動時にメッセージが表示されるよう、スタートアップに登録

 

 この挙動から、このプログラムがランサムウェアであることが確実であることと、この環境での実行が可能なことが確認できました。解析を続けますが、その前に一度、「ランサムウェアが動く前」の状態に戻しましょう。コンピュータをシャットダウンし、Shadow 3の「Menu」ボタンを押下して「Zero Shadow」を表示します。「Enter」ボタンを押すと、「Are You Sure?」と聞かれるので、さらに「Enter」を押します(【図14】参照)。すると、「Task Done」が表示され、完了となります。さらに「Enter」を押した後、PCを起動すると、既に操作前の状態に戻っています。

Shadow3_ZeroShadow

【図14】「Zero Shadow」による初期化

 

< マルウェアの動的解析の準備 目 次マルウェア動作時のメモリ解析 >