サポート情報 | フォーカスシステムズ サイバーフォレンジックセンター

お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

サポート情報

ホーム > サポート情報一覧 > svchostの起動とVolume Shadow Copyの消去

svchostの起動とVolume Shadow Copyの消去

目次へ

 CryptoWallのコピーと自動実行を行った後、svchost.exeを起動し、Explorerを起動したときと同様に再びメモリ情報をコピーして、CryptoWallのコードを実行します。この挙動は、「マルウェア動作時のメモリ解析」での解析結果と合致する内容です。

 処理の流れとしては、Explorerのプロセスを作成し、スレッドを実行した流れと同じで、「systemroot」を検索して「C:\Windows」を取得しています。この後、「\system32\svchost.exe」を結合してCreateProcessInternalWを実行しています。異なるのは、引数が付与されている点くらいです。ここも、explorerの時と同様に、CreateProcessInternalWの実行結果のプロセスIDとNtQueueApcThreadの開始アドレスを控えておきましょう(【図89】参照)。

IDA_Cryptowall_CreateProcessInternalW2

【図89-1】svchostのプロセス起動とスレッド開始アドレス設定(プロセス起動)

 

IDA_Cryptowall_CreateProcessInternalW3

【図89-2】svchostのプロセス起動とスレッド開始アドレス設定(プロセス起動結果) 

 

IDA_Cryptowall_NtQueueApcThread2

【図89-3】svchostのプロセス起動とスレッド開始アドレス設定(スレッド開始アドレス) 

 

 svchostのプロセスを生成してスレッドを開始したあと、もう一つ処理を行っています。Volume Shadow Copyの削除です。これは、既存のバックアップ情報を削除することで、復元をできないようにしているものと考えられます。

 この処理では、レジストリのパラメータの変更と、vssadminのコマンドライン実行を行っています。

 まず、レジストリの変更は、文字列を結合してレジストリキー「\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore」を作成しています。そして、名前「DisableSR」の値をバイナリで「1」に設定しています(【図90】参照)。その後、「WinExec」を用いて、引数付きでvssadmin.exeを実行し、Volume Shadow Copyを消去しています(【図91】参照)。

IDA_Cryptowall_RegistryKey4

IDA_Cryptowall_SetRegistryKey2

【図90】レジストリの設定

 

IDA_Cryptowall_WinWxec1

【図91】WinExecによるvssadmin.exeの実行

 

 なお、vssadmin.exeによる消去にはAdministrator権限が必要です。そのため、User権限で動作しているユーザーで実行すると、Volume Shadow Copyは失敗します。このような挙動の解析と、機能に関する知識を結びつけて考えれば、「通常の運用時はUser権限のほうが良い」という考え方も得られます。

 Explorerのプロセスで実行される主な処理は以上となります。いよいよsvchostプロセス上の解析に移りますが、その前に今回の解析で引っかかった問題がありましたので、少し触れておきます。

 

< ランサムウェアの自動起動設定 目 次 コード上の「int 3」 >