(画像クレジット: Future)
- QilinランサムウェアはWSLを利用してLinux暗号化ツールをWindowsシステム上でステルス実行
- 攻撃者はWSL環境内でELFバイナリを実行することでWindowsの防御を回避
- EDRツールはWSLベースの脅威を見逃し、重要分野がQilinの恐喝キャンペーンに対して脆弱に
ランサムウェアハッカーがセキュリティツールによる検出を回避するため、Windows上でLinux暗号化ツールを実行していることが専門家によって発見されました。
Trend Microの研究者は、Qilin ランサムウェアオペレーションが侵害されたエンドポイントでWindows Subsystem for Linux(WSL)機能を実行しているのを観測したと報告しています。
WSLは、管理者が仮想マシンやデュアルブートの設定を必要とせずに、Windowsマシン上で完全なLinux環境を直接実行できるWindowsの機能です。これにより、開発者やシステム管理者は、bash、grep、ssh、aptなどのLinuxコマンドラインツールをWindowsアプリケーションと並行してネイティブに使用できます。
Windows PEの挙動に注目
Trend Microによると、攻撃者はWSLを利用してWindowsデバイス上でELF実行ファイルを起動し、従来のWindowsセキュリティソフトウェアを回避しています。
「このケースでは、脅威アクターはLinux暗号化ツールを、Windows Subsystem for Linux(WSL)という、Linuxバイナリを仮想マシンなしでWindows上でネイティブに実行できる組み込み機能を利用してWindowsシステム上で実行することができました」とTrend Microは述べています。
「攻撃者はアクセスを得た後、スクリプトやコマンドラインツールを使ってWSLを有効化またはインストールし、その環境内でLinuxランサムウェアのペイロードを展開しました。これにより、Windowsホスト上でLinuxベースの暗号化ツールを直接実行し、多くの従来型Windowsマルウェア検出に特化した防御を回避できました。」
同誌によると、多くのWindowsエンドポイント検知・対応(EDR)製品はWindows PEの挙動に注目しているため、WSL内部で発生する不審な活動を見逃しています。
Qilinは2022年に初めて確認されたランサムウェア・アズ・ア・サービス(RaaS)オペレーションです。当初はAgendaとして知られていましたが、リブランディング後は最も活発な恐喝プラットフォームの一つに成長しました。
その最大かつ注目度の高い被害者は、データを多く保有する重要組織が中心です。医療提供者や研究所(2024年のSynnovis攻撃でNHSサービスが混乱したことが広く知られています)、米国の地方自治体や地域政府機関、公益事業や製造業、最近では旭化成などの大手民間企業も標的となっています。
