ブログ

OT環境を守る!USBワーム『LitterDrifter』に対抗するセキュリティ対策

Jan 07, 2025

OT環境を守る!USBワーム『LitterDrifter』に対抗するセキュリティ対策

「LitterDrifter」とは、マルウェアの一種で、USBデバイスを介して拡散するサイバー攻撃手法の一例です。この種のマルウェアは、USBデバイスを使用して物理的な移動により感染を広げることを目的としています。そこで本記事では、拡大し続けるUSBワーム「LitterDrifter」がOT環境に与える影響を分析し、OT環境においてその脅威に対抗するTXOneのソリューションを紹介します。

 

 

USBワームが拡大している背景

従来、USBワームは特定のターゲットやシステムを攻撃するように設計されていました。しかし、これらは非常に感染力が強く、接触可能なあらゆるリムーバブルストレージデバイスに自動的に広がるため、その影響は予想以上に広範囲に及ぶことがあります。

Check Point Researchによれば、主にウクライナの企業をターゲットにしている「Gamaredon」(別名「Primitive Bear」、「ACTINIUM」、「Shuckworm」など)と呼ばれるロシアのスパイ組織が、最近「LitterDrifter」というVBS(Visual Basic Script)で書かれたワームを展開しているとのことです。このワームには主に2つの機能があります。

1.USBドライブを通じた自己増殖

2.幅広く柔軟なコマンド&コントロール(C2)サーバーとの通信USBワームの特性上、アメリカ、ベトナム、チリ、ポーランド、ドイツなど多くの国で感染の兆候が確認されており、LitterDrifterが意図されたターゲットを超えてグローバルに拡散していることが示唆されています。

 

LitterDrifterの概要

LitterDrifterは悪意のあるコンピューターワームであり、以下の二つの主要な機能を持っています。

1.自己増殖:
異なるコンピュータのUSBを介して自分自身を増殖する能力があります。

2.C2チャネルの確立:
Gamaredon攻撃者のコマンド&コントロールインフラとの通信チャネルを確立します。

これらの機能は「trash.dll」という名前のコンポーネントに隠されており、実際にはVBS(Visual Basic Script)のスクリプトです。LitterDrifterが実行されると、まず「trash.dll」がアクティブになります。その主な役割は他の隠された悪意のあるコンポーネントをデコードして実行し、被害者のコンピュータ環境での持続性を維持することです。

デコードプロセスでは、「trash.dll」コンポーネントが文字置換技術を使用してデータを難読化します。複数の関数や変数の名前が暗号化されており、これにより一部のアンチウイルスソフトウェアの検出を回避し、リバースエンジニアリングの複雑さが増します。さらに、デコード機能を備えており、二つの暗号化された文字列を入力として受け取り、それらをデコードしてストレージすることができます。これにより、後の有害な操作を隠すための遅延実行が可能になります。

「trash.dll」は隠蔽や偽装に長けており、システム内での活動を維持するために、ユーザーディレクトリ内に隠しファイルとして自身のコピーを保存します。さらに、システム内で悪意のあるプログラムが継続的に動作するように、特定の時間、ログイン時、または他のトリガー条件で自動的に実行されるようにスケジュールされたタスクを作成します。また、レジストリのスタートアップ項目を使用し、これに悪意のあるソフトウェアを追加して、コンピュータの起動時に自動的に開始させることもできます。

 

自己増殖機能の実現方法

主にWindows管理ツールを使用してUSBドライブをクエリし、mediatype=NULL(通常はUSBリムーバブルメディアに関連付けられている)を優先的に感染させることで、他の環境に拡散します。その後、各ドライブのサブフォルダにショートカット(LNKファイル)を作成します。この機能は、ショートカットを生成するだけでなく、「trash.dll」の隠しコピーをサブフォルダに作成します。

別のモジュールの機能は、GamaredonのC&Cサーバーとの通信を確立することです。LitterDrifterのC2モジュールは、独自の方法を使用して、ドメイン名をプレースホルダーとして利用し、C2サーバーの実際のIPアドレスを周期的に使用します。具体的なプロセスは以下の通りです。

1.特定の設定ファイルが存在するかを確認します。

2.Windows Management Instrumentation(WMI)クエリを使用してC2サーバーのIPアドレスを取得し、保存します。

3.特定の形式のURLを通じてC2サーバーとの通信を確立します。

C2サーバーとの接続を試みる前に、スクリプトはまず%TEMP%フォルダ内に無意味な名前のC2設定ファイルが存在するかを確認します。この設定ファイルが存在する場合は、コンピュータが感染していることを示します。存在しない場合、マルウェアはWMIクエリを使用して特定のGamaredonドメイン名に対してpingを送り、そのドメイン名から解決されたIPアドレスを取得し、新しい設定ファイルに保存します。

 

OT環境への影響

LitterDrifterは自己増殖やC2インフラとの通信チャネル確立などの機能を持つ複雑なマルウェアであり、Operational Technology(OT)環境に重大な脅威をもたらします。以前にも多くの組織が、自己を急速に複製し、容易に拡散するワーム型マルウェアであるWannaCryのような大規模なセキュリティインシデントを経験しています。OT環境には製造、エネルギー、公益事業などの重要な産業システムが含まれていることが多いため、悪意のある攻撃者は、信頼された第三者(例:ベンダーや契約業者)がシステム保守のために持ち込むリムーバブルメディア(USBドライブなど)を狙うことがあります。LitterDrifterはドライブ間で拡散する能力を備えているため、IT環境やその他の外部環境からOTシステムに容易に移動することができ、広範な感染と運用中断のリスクが高まります。

さらに、LitterDrifterのC2通信機能は、OTシステムから重要な運用データを抽出するために使用される可能性があります。この情報は産業スパイ活動やよりターゲットを絞った攻撃の計画に利用される可能性があります。OT分野の重要なインフラ運営者や製造業者は、以下のような対策を強化する必要があります。

1.安全なデータ転送メカニズムの確保:
生産環境では、データ転送のための安全なメカニズムが開発され、正しく実装されるまでは、外部ストレージメディアを制限するべきです。

2.外部ストレージメディアのスキャンと分析:
OT環境における外部デバイスとリムーバブルメディアの精査を強化し、リムーバブルメディアを通じて侵入したマルウェアを積極的に特定して排除します。このためには、隔離された安全な環境でスキャンを実施する必要があります。

3.ハードウェア使用制限の実施:
重要なシステムで使用されるハードウェアを管理するために特定のセキュリティポリシーを設定することは重要ですが、それだけにとどまらず、USBデバイスの使用に制限を設けることで外部デバイスがもたらすリスクを低減することが可能です。

4.リムーバブルメディアからのファイル変更の監視:
リムーバブルメディア(例:USBフラッシュドライブ)からコピーされたファイル、特に新しく作成されたファイルを注意深く監視し、潜在的な悪用や悪意のある活動を検出しやすくします。

5.新しいプロセスの実行の監視:
リムーバブルメディアを接続した後やユーザーがリムーバブルメディアを起動した際に新しいプロセスが実行される場合、それを監視します。悪意のあるソフトウェアが存在する場合、実行後にネットワーク接続を開いたり、システムやネットワーク情報を探索する追加のアクションが行われる可能性があります。

 

TXOne NetworksのLitterDrifterマルウェアに対する防御戦略

TXOne Networksは、Operational Technology(OT)環境のサイバーセキュリティを強化するための包括的なソリューションを提供しています。これらのソリューションは、安全なデータ転送と堅牢なエンドポイント保護に焦点を当て、潜在的なサイバー脅威から保護することを目指しています。

 

安全なOTデータ転送メカニズム

Portable Inspectorソリューションは、安全なデータ保存と転送を目的として設計されています。これは、敏感な情報を安全に保管し、データ転送の際に潜在的なマルウェア感染から守るための機能を備えています。Portable Inspectorには、ストレージ内のデータを不正アクセスや潜在的な破損から保護するための強力なセキュリティ機能が組み込まれています。また、Portable Inspectorのストレージへ転送中のファイルをスキャンし、確認済みのファイルのみを保存できるようにしています。これにより、リムーバブルメディア経由でのマルウェアの侵入を防ぐことができます。

 
インストール不要でセキュリティを提供するPortable Inspector

図1 インストール不要でセキュリティを提供するPortable Inspector

 
Portable InspectorによるマルウェアLitterDrifterの検出例

図2 Portable InspectorによるマルウェアLitterDrifterの検出例

 
Portable InspectorによるマルウェアLitterDrifterの対処例

図3 Portable InspectorによるマルウェアLitterDrifterの対処例

 

 

制御された環境でのセキュリティスキャンの実施

Safe Portは、保護された安全な環境で外部ストレージメディアのクリーンアップを支援します。Safe Portは外部メディアを検査し、悪意のあるソフトウェアを特定して排除するため、OT環境での使用に適しています。Safe Portの最大の運用上の利点は、セキュリティインベントリの監査を簡素化できる点です。Portable Inspectorとシームレスに統合し、セキュリティインベントリの確立と管理を容易にします。Portable InspectorをSafe Portに挿入し、数回のクリックでログをElementOneにアップロードするだけです。

 
Safe Port(リムーバブルストレージデバイスのマルウェア検査・駆除ツール)

図4 Safe Port(リムーバブルストレージデバイスのマルウェア検査・駆除ツール)

 

 

TXOneのCPSDR技術が運用の信頼性と可用性への予期しないシステム変更の影響を防御

StellarはTXOne Networksの独自のセキュリティ方法論「Cyber Physical System Detection and Response(CPSDR)」を採用しています。このアプローチは、セキュリティと運用効率の両方を重視し、チームが能力や効率を犠牲にすることなく両立させることを目指しています。Stellarのセキュリティ戦略の重要な特徴は、その強力なエンドポイント保護であり、特にUSBベクター制御機能に顕著に現れています。この機能は、許可されていない外部ストレージメディアの使用を効果的にブロックし、潜在的な外部の脅威から保護します。

さらにStellarは、承認されたアプリケーションのみがシステム内で動作できるようにする厳格な制御を実施しています。この積極的な対策により、環境の安全性やシステムの安定性を脅かす可能性のある未承認のソフトウェアによるリスクが大幅に軽減されます。

Stellarの特筆すべき機能は、運用の振る舞い異常検出です。この機能は、システム運用内での異常な活動を識別するために設計されています。高度なアルゴリズムと徹底的な分析を用いることで、Stellarは確立されたパターンや期待される振る舞いからの逸脱をリアルタイムで検出する能力に優れています。この機能は、Stellarの全体的なセキュリティ体制を強化し、早期検知と迅速なアラートを提供するうえで極めて重要です。このようなタイムリーな通知により、疑わしい活動の迅速な調査と対応が可能になり、運用プロセスの整合性と安全性を維持することができます。

 

 

同様の脅威に備えるために、TXOneがサポートします

生産現場での課題は常に進化しています。多くの情報が氾濫していますが、TXOneのチームは、御社と御社のサプライヤーが最適なOTネットワーク防御ツールを選定するためのお手伝いをする準備が整っています。TXOneのソリューションがどのようにしてシステムのセキュリティ、コンプライアンス、そして中断のない運用を確保できるか、ぜひお問い合わせください。

 

製造業界のサイバー脅威に不安を感じていませんか?
TXOneにまずお気軽にご相談ください。

製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。

TXOne image
TXOne Networks

OTセキュリティに関する課題をお持ちですか?

OTセキュリティに関するご相談や、ソリューション導入のご質問など、お気軽にお問い合わせください。