Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
WannaCry
2017年5月21日
マクニカネットワークス株式会社
「WannaCry」とは
WannaCryはランサムウェアの一種
WannaCryは、ランサムウェアと呼ばれる身代金要求型のマルウェアです。 「WannaCryptor」「WanaCrypt」「Wcry」といった呼ばれ方もします。 一般的にランサムウェアに感染すると、以下のようなデータを使用できないように暗号化し、復号鍵を 提供する代わりに金銭を要求します。 システムの起動に必要なデータ ハードディスクに保存されているファイル アクセス可能なネットワークシステム上のファイル WannaCryに感染すると、Microsoft Officeファイル、画像ファイル、データベースファイル、プログ ラムのソースコード、仮想環境の仮想ディスクといった170種類以上にも及ぶファイルタイプのデータが 暗号化されてしまいます。 暗号化利用不能
利用可能
Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
WannaCryがなぜ騒がれるのか
①自己増殖能力
自己増殖能力を持つマルウェアをワームと呼びます。2000年初頭ではCode RedやNimdaと呼 ばれるワームが拡散し、大きな問題になりましたが、最近では自分で感染拡大を図るワームは減って いる状況にありました。 WannaCryは、Windowsファイル共有(SMB v1)の仕組みの脆弱性を突き、ワームのように感染 の拡大を図ります。②感染速度の早さ
WannaCryは、ある端末に感染すると同時に、すぐに他の端末への感染拡大活動を始めます。 感染拡大活動は、同じネットワーク内の端末だけでなく、ランダムに生成されたIPアドレスに対しても 行われるため、サブネットやインターネットを超えて被害が拡大します。 3③NSAから漏洩した仕組みが使われている
感染拡大のときに使用されるWindowsファイル共有の脆弱性(MS17-010)を突く手法は、 NSA(米国国家安全保障局)が開発した後に内部犯行によって外部に持ち出され、Shadow Brokersによってインターネット上で広く公開されてしまったと言われています。 MS17-010の脆弱性を突いて任意の命令を実行する機能を「EternalBlue」、EternalBlueを用 いて仕掛けられしまうバックドアを「DoublePulsar」と呼びます。DoublePulsarは、メモリ内でカー ネルモードで動作します。WannaCryでは、NSAが開発したEternalBlueとDoublePulsarを組 み合わせたフレームワークをそのまま流用しており、EternalBlueの攻撃に成功した端末は、 DoublePulsarのバックドアも仕掛けられてしまいます。WannaCryがなぜ騒がれるのか (cont’d)
WannaCryに感染した端末でDoublePulsarが動作していることを確認 マクニカネットワークス セキュリティ研究センターブログより http://blog.macnica.net/blog/2017/05/wanacry-8ff1.htmlCopyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
④Kill Switchが用意されている
Kill Switchとは、活動を停止させるために設けられているスイッチのことを指します。今回のケースで は、WannaCryの活動を停止することができるURLのことを指しています。 WannaCryでは、通常のマルウェアではあまり見られない、以下のような振る舞いを持ちます。 WannaCry内部にハードコードされたURLにアクセスを試みる 通信に成功した場合:WannaCryは活動を停止する 通信に失敗した場合:WannaCryはその後の処理(ファイル暗号化等)を継続する WannaCry拡散開始当時は、上述したURLは実在しておらず、通信は必ず失敗(WannaCryは その後の処理を継続)していました。この一見無意味とも思える動作は、どのようなURLでも回答を 返す仕様のサンドボックスによる解析を回避するためのものだと考えられています。 現在は、あるセキュリティリサーチャーがこのドメインを購入し、通信が成功する(WannaCryは活動 を停止する)ようになっております。ただし、WannaCryの通信はProxyやネットワーク分離環境を超 えることができないため、このような機器をお使いの環境では、Kill Switchによって活動を停止するこ とができません。(Kill Switchが用意されるマルウェアは極めて稀であるため、今回のケースを受けて Proxyやネットワーク分離をやめる必要がございません)WannaCryがなぜ騒がれるのか (cont’d)
5感染経路と感染する可能性のある端末
感染経路
Windowsの「Microsoft Server Message Block 1.0 (SMBv1)」が持つ脆弱性を突くことに よって感染します。Webやメールから感染したという具体的な事例は報告されていないため、脆弱 性を持つSMBv1に対する攻撃でのみで拡散していると考えられます。 SMBv1が利用するポート(TCP:137-139、445)がインターネット側に公開されている場合、社外 の感染端末からの自己増殖活動により、感染に至る可能性があります。 一旦社内に感染端末が発生すると、同一サブネット内のIPアドレスに対して自己増殖活動を行いま すので、さらに感染が拡大する可能性があります。
感染する可能性のある端末
MS17-010の修正パッチが適用されていない以下のOSで、感染の可能性があります。Windows XP / Windows Vista / Windows 7 / Windows 8 / Windows 8.1 ※今回の攻撃コードはWindows 10には無効です
Windows Server 2003 / Windows Server 2008 / Windows Server 2008 R2 / Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016
Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
WannaCryの感染経路と動作
7 感染端末内の活動 感染拡大活動 外部からの感染活動 感染端末 MS17-010 未適用サーバ 未適用端末 MS17-010 外部サーバ(Kill Switch) 外部サーバ (C&C)
①EternalBlueを用いてMS17-010の脆弱性を突き、BASE64で暗号化し たWannaCryのドロッパを送り込みます。再度EternalBlueを用いて、 DoublePulsarを動作させます。 ②DoublePulsarを介してWannaCryを実行します。 ③攻撃者が事前にハードコードしたURL(WannaCry登場当時は存在しな いURL)への接続確認を行います。通信に成功すればWannaCryの動作 は終了しますが、通信に失敗すれば以降の動作に進みます。 ④被害者が身代金を払い、復号鍵を攻撃者から入手するために必要な経 路を、Torブラウザを介して確立します。 ⑤端末内に保存されているファイルおよびマウントされているネットワークドライ ブ上のファイルを暗号化します。また、システムの復元に用いられるボリュー ムシャドウコピーも削除します。 ⑥同じサブネット内の若いIPアドレスから順に、EternalBlueを用いた感染拡 大を行います。またランダムのIPアドレスに対する感染拡大も同時に行いま す。 ⑦⑥で仕掛けられたDoublePulsarを介してWannaCryを実行します。
①
②
③
④
⑤
⑥
⑦
・本資料に記載されている会社名、商品、サービス名等は各社の登録商標または商標です。なお、本資料中では、「™」、「®」は明記しておりません。 ・本資料は、出典元が記載されている資料、画像等を除き、弊社が著作権を有しています。
・著作権法上認められた「私的利用のための複製」や「引用」などの場合を除き、本資料の全部または一部について、無断で複製・転用等することを禁じます。 ・本資料は作成日現在における情報を元に作成されておりますが、その正確性、完全性を保証するものではありません。