エンジニア

LockBit 2.0/LockBit 3.0に仮想環境のサーバーが感染した!

お疲れ様です。satimoです。

LockBit 2.0やEmotet(エモテット)の被害も減ってきてはいるようですが、まだまだあるようです。

最近だと沖縄の那覇市の図書館がランサムウェアに感染して8つの施設(中央、若狭、石嶺、首里、繁多川、小禄南、牧志駅前ほしぞら、まーいまーいNaha)の稼働ができなくなったとのニュースがありました。

感染の影響で数か月の臨時休館を決定したとのことです。

ランサムウェアはウイルス対策ソフトが正しく運用されていれば感染は防げるのですが、小規模なお店だったりするとウイルス対策ソフトが未導入だったり、ライセンスの更新がされていなかったりで感染してしまいます。

現状では、うちの会社ではトレンドマイクロのTrend Micro Portable Security というウイルスチェックツールで駆除を行ったりしているのですが、感染時の厄介なケースとしては仮想サーバーが感染した場合な結構対応が大変です。

仮想サーバーが感染した!どうするよ?

VMWareやHyper-V上で稼働している仮想サーバーがウイルス感染したときに対応すると厄介で
よく話しに出るウイルスの駆除方法として出るのが、ウイルス対策ソフトがインストールされた端末を持ち込んでネットワークドライブで検索をするという方法です。

この方法は個人的な経験からにはなりますが ↓ の理由でおすすめしないです。

  1. ウイルス検索の時間がすごくかかる
  2. ウイルス駆除ができないケースが多い

ウイルス検索に時間がすごくかかる

サーバーのスペックやファイル数に依存する部分も多くあると思いますが、検索にめちゃくちゃ時間がかかります。

実体験としてCドライブの検索で8時間かかりました。(後日ウイルス対策ソフトを導入して検索をしたときは1時間で完了)

ウイルス駆除ができない

1番の理由はこれ『ウイルス駆除ができない』です。

(逆に言えばウイルスがいないことを確認したい場合にはありかもしれません)

ウイルスに感染した時って実行ファイルが保存されて実行されるだけであれば、ファイルを削除して完了できるのでネットワークドライブ経由でも駆除可能なのですが、実際はレジストリが書き換えられていたり、タスクスケジューラーに登録されていたり、システムフォルダに保存されていたりします。

この場合はネットーワークドライブ経由でウイルス検索を行った場合、ウイルスがいるかどうかを確認することはできるのですが、駆除を行うことができず、手動でレジストリを修正したりファイルを削除したりする必要があります。

これも経験ですが、ウイルス感染した時って1つだけ見つかることってそうそうないです。

1サーバーで10個前後は出てくるので、1つ1つ手動で処理を行う必要が出てくるので、8時間の検索後対応方法を確認して手動で作業をする必要が出てきます。(修正間違ったらサーバー起動しなくなったりするのでリスクありまくりです(´;ω;`))

個人的な対応方法について

仮想サーバーがウイルス感染した時に結果一番良いかなという方法を紹介します。

初めにこちらで紹介している対応方法は暗号化されていない端末に対してになります。

暗号化された場合は再インストール&バックアップからの復元するか、専門業者への依頼になります。

後はトレンドマイクロ社等が提供する復号ツールを使う。(https://helpcenter.trendmicro.com/ja-jp/article/tmka-19400

といった対応が必要になります。

結論から言えば↓の2点です。

対応方法

  1. バックアップからの復元 or 再インストール
  2. ウイルス対策ソフトが導入できる環境の準備

できるかどうかはおいておいてですが1が一番おすすめです。

理由は、LockBitに感染したサーバーをそのまま業務利用させることが気持ち悪いからです。

サーバー感染したわけですので、下手したらつなぎにきたクライアントに感染させる可能性も残るわけで、可能名だったらきれいな環境にしてつかってあげるのが無難です。

2のウイルス対策ソフトの導入ですが、前述したのですがサーバー単体に導入できるウイルス対策ソフトがあまりありません。

また、パターンファイルの更新にインターネット接続させる必要があるので、ネットワークに接続させる必要もあります。

で、私が限定的にやることが次の方法です。

メーカーの体験版のソフトを導入して管理サーバーの構築を行いウイルスチェックを実施する

私が最悪行うとした場合、ノートPCに仮想環境を構築して評価版のWindows サーバーを構築。(https://www.microsoft.com/ja-jp/evalcenter/)

この仮想サーバー上にウイルス対策メーカーの体験版環境を構築、パターンファイルなどの更新を行い、

ウイルス感染したサーバー先にもっていってウイルスチェックを行う。といった方法です。

再インストール以外の方法でどうにかウイルスチェックを行うとなった場合、経験からこの方法が一番早いです。

ご参考までに仮想環境の構築方法についてです。

デメリットとしては

  • 環境準備に時間がかかる
  • 体験版のライセンスに期限がある為、ずっとつかうことができない

といったことがあげられます。

なので、一時対応に過ぎないことに注意が必要です。

【おまけ1】 LockBit 2.0の感染経路

LockBit 2.0の感染経路についてまとめてみました。

細かい仕様がトレンドマイクロ社等多くのセキュリティベンダーがまとめているのでそちら確認してください。

https://www.trendmicro.com/ja_jp/research/21/h/ransomware-Lockbit-2-0-is-spreading-its-range-of-attacks-describing-its-attack-routine-that-brings-damage-to-Japan-and-other-regions.html

まず感染経路を考えるときに大きく2つに分けられるかなと思っています。

  • 大元になる外部からの侵入
  • 感染した端末からの侵入

大元になる外部からの侵入

外部からの侵入についてはメールからの感染が80%以上を占めるといわれています。

メールの添付ファイルを開いてしまう。メール内のリンクに接続してしまう。

もう少し踏み込んでみるとほとんど↑の理由での感染がほとんどのようです。

対策としては、社内の情報リテラシーを高める。(eラーニングの実施とか)

仕組みとして対策としては

  • ウイルス対策ソフトの導入
  • Webフィルターの導入(悪意のあるURLにへ接続させない仕組みの導入)

などがあげられます。

ウイルス対策ソフトを導入。しておけば、99%は感染を防げるでしょう。

感染した端末からの侵入

LockBitの厄介なことが感染力がある点になります。

感染した端末から脆弱性が残っている端末を探し出して感染させることができるので、一台感染してしまうと社内ネットワークにぶわっと広まってしまうという訳です。

逆にこの脆弱性がない端末については感染しないということになりますので

  • Windows Updateの実施
  • ウイルス対策ソフトの導入

を行えば感染は防げるということになります。

【おまけ2】 LockBit のリークサイトが DDoS 攻撃でダウン?もうLockBitは存在しない?

2022年8月にLockBit のリークサイトが DDoS 攻撃でダウンというニュースがありました。

このニュースからLockBitのはほろんだと思われる方もいるかと思いますが、実際はそんなことは無いです。

2022年8月以降にも私の会社とお付き合いのある会社で感染してどうしたらよい?といった相談をもらうことがありました。

大元の感染元は無くなったかもしれないですが一度広まったマルウェアは亜種として色々な人にわたってしまって、別のところから散布されてしまうことが一般的です。少し前のEmotet(エモテット)も同様でした。。。

なので大元は無くなっても感染する可能性は残っているというのが現状です。

結局はウイルス対策ソフトを導入して、脆弱性対策を行えよということです。

-エンジニア