Qilinランサムウェア、WSLを介した新たな攻撃手法
QilinランサムウェアがWindows Subsystem for Linux (WSL) を悪用し、Windows環境でLinuxベースのエンクリプターを実行していることが判明しました。これにより、従来のセキュリティツールによる検出を回避していると報告されています。
Qilinの活動と影響範囲
Qilinランサムウェアは、2022年8月に「Agenda」として登場し、9月には「Qilin」に改名されました。現在までに62カ国で700以上の組織が被害に遭い、2025年後半には月間40件以上の新規被害が報告されるなど、最も活発なランサムウェアグループの一つとなっています。
攻撃者が利用するツールと手口
Qilinのアフィリエイトは、ネットワーク侵入と認証情報窃取のために、以下のような正規プログラムやリモート管理ツールを悪用しています。
- リモートアクセス: AnyDesk, ScreenConnect, Splashtop
- データ窃取: Cyberduck, WinRAR
また、Microsoft Paint (mspaint.exe) やNotepad (notepad.exe) といったWindows標準ユーティリティも、機密データの検査と窃取に利用されていることが確認されています。
セキュリティツールの無効化
攻撃者は、エンクリプター起動前にセキュリティソフトウェアを無効化するため、Bring Your Own Vulnerable Driver (BYOVD) 攻撃を実行しています。eskle.sysのような署名付きの脆弱なドライバーを展開し、アンチウイルスやEDRプロセスを終了させます。さらに、DLLサイドローディングを介してrwdrv.sysやhlpdrv.sysといったカーネルドライバーをドロップし、カーネルレベルの権限を獲得します。
「dark-kill」や「HRSword」といったツールも、セキュリティソフトウェアの停止や悪意のある活動の痕跡消去に用いられていると報告されています。
WSLを悪用したLinuxエンクリプターの実行
2023年12月には、VMware ESXi仮想マシンやサーバーを標的としたQilinのLinuxエンクリプターが報告されました。Trend Microの調査によると、QilinのアフィリエイトはWinSCPを使用してLinux ELFエンクリプターを侵害されたデバイスに転送し、Splashtopのリモート管理ソフトウェア (SRManager.exe) を介してWindows内で直接起動しています。
ELF実行ファイルはWindows上でネイティブに動作しないため、Windows Subsystem for Linux (WSL) のようなランタイム環境が必要となります。攻撃者はデバイスへのアクセス後、WSLを有効化またはインストールし、その環境内でLinuxエンクリプターを実行することで、従来のWindowsセキュリティソフトウェアの検出を回避しているとのことです。
多くのWindows EDR製品がWindows PEの挙動に焦点を当てているため、WSL内で発生する悪意のある挙動を見逃し、マルウェアが検出をすり抜けることを可能にしています。
脅威の進化と対策の必要性
この手口は、ランサムウェア攻撃者がハイブリッドなWindowsとLinux環境に適応し、従来の防御策を回避しようとしていることを示しています。セキュリティ対策は、このような進化する脅威に対応するため、より広範な環境をカバーする必要があるでしょう。