WannaCry ランサムウェアキャンペーンの 脅威の詳細とリスク対策について

アップデート#3 (5月17日 – 7:00 p.m. ET)

次のURLに対してインターネット接続確認を行うWannaCryの亜種が確認されました。
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]testing

コードロジックのバグによりマルウェアは
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]test
に対して実際のチェックを行います。ファイルが暗号化されるのはマルウェアがこのドメインに到達できない場合(厳密にはドメインを解決できずHTTPリクエストが成功しない場合)に限られます。これまでの亜種については、セキュリティ研究者が「キルスイッチ」のドメインを登録することで暗号化動作を停止できていましたが、IETF(インターネット技術タスクフォース)が.test TLDをテスト目的以外での使用を認めていないため、この特定のドメインについては登録できない状態となっています。そのため、この亜種がシステムに感染すると、これまでのインフラストラクチャ向けのキルスイッチ・アプローチが使用できないため、暗号化動作を停止できなくなってしまいます。

この最新の亜種の攻撃から防御したい場合は、DNSサーバーにAレコードを付け足し、このドメインを既存のシンクホールのIPアドレスのいずれかに変換させることで「ローカル」にシンクホールすることができます。

この亜種がどの程度広がっているかについては現在調査中です。SMBの脆弱性にさらされている膨大な数のマシンに到達できる能力がこの亜種に備わっているとしたら、5月12日に出現した亜種と同様、急速に広がる可能性はあります。

アップデート#2 (5月17日 – 12:45 p.m. ET)

ファイア・アイはWannaCryに感染したシステムを数多く分析しました。次の図では、EternalBlueというSMBの脆弱性を悪用するエクスプロイトを介してWannaCryに感染したWindows 7のシステムにおけるリアルタイムのプロセス実行履歴を表しています。中でも注目すべきは、mssecsvc.exeドロッパーの親プロセスがlsass.exe であるという点です(つまり、dllをlsass.exeにインジェクトするSMBのエクスプロイトによりシステムが危険にさらされるということ) 。また、マルウェアのプロセスは全てシステムのプライマリユーザーではなく、システムアカウント(例:NT AUTHORITY\SYSTEMとBUILTIN\Administrators) が所有しています。

正常にWannaCryに感染したシステムはランダムのIPアドレスを高速で(毎秒約25個のIPアドレス)スキャンし、TCP 445番のオープンポート(SMBの通信に使用されるポート) を探します。ポートがオープンだった場合、EternalBlueを利用してWannaCryの感染を拡散させようとします。次の図ではWannaCryに感染したWindows 7のシステムにおけるリアルタイムのTCPv4ネットワーク接続履歴を表しています。

アップデート#1 (5月16日 – 8:00 p.m. ET)

5月15日、新しいキルスイッチのドメインが少なくとも2つ見つかりました。
ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com

このドメインはWannaCry関連のドメインの形式と一致していますが、ある特定のサンプルと明白にリンクしているわけではありません。WannaCryの活動との関連が考えられるため、組織はこのドメインに注目しています。iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

どちらのドメインもシンクホールされていました。このドメイン変更が元のマルウェア配布者によるものなのか、もしくは第三者が修正したものなのか、いまだはっきりとしていません。

攻撃者について

WannaCry活動の発信元特定につながりそうなシナリオは現時点において複数あります。ファイア・アイは引き続き、特定につながる可能性のあるシナリオはすべて調査して参ります。

ランサムウェアによる攻撃は一般的に金銭目的のサイバー犯罪者によって行われ、そのような攻撃者は世界中に独立して存在しています。ところがWannaCryによるサイバー攻撃の犯人として有力候補となるグループはいまだ特定されていません。

WannaCryの攻撃はそれほど高度ではなく、攻撃者自身もこのように感染が広がることを予測していなかった可能性を示唆する点がいくつかあります。まず、前述のキルスイッチ機能です。セキュリティ対策ツールへの対策経験を持つ洗練されたマルウェアの開発者であれば、キルスイッチが感染成功の妨げになることを予測できた可能性があります。もう一つは、これまでに報告されている身代金として支払われた額が比較的少ないという点です。つまり、攻撃者の決済システムが世界規模の感染に対処できるように用意されたものではなかった可能性が考えられます。

数多くのオープンソースレポートが当キャンペーンについて北朝鮮の関与を主張しています。北朝鮮関連のマルウェアとWannaCry間のコードの類似性は手がかりとしての可能性があるため、引き続き検証を行っていくべきですが、明らかに同じ攻撃によるものであると裏付けるほどの証拠にはなっていない、というのがファイア・アイの初期分析です。

関連するMD5、URL、Torサイト、実行形式、レジストリキー、ファイル、ストリングス、プロセス、SNORTシグニチャを最下部に列挙しておりますのでご参照ください。

(以下、5月15日に当初公表されたブログの内容です)

2017年5月12日以降、世界中で組織に影響を与えている非常に多数のWannaCryランサムウェアキャンペーンが確認されています。 WannaCry(別名WCry、またはWanaCryptor)マルウェアは、Microsoftサーバーメッセージブロック(SMB)プロトコルの脆弱性を悪用して、内部ネットワークおよび公衆のインターネットを介して拡散するワーム型(自己増殖型)のランサムウェアです。マルウェアは.WCRY拡張子を持つ暗号化データファイルを付加し、解読ツールを削除して実行、データを解読するために300米ドルまたは600米ドルの身代金をビットコインで要求します。マルウェアは、コマンドと制御(C2)通信に暗号化されたTorチャネルを使用します。

ファイア・アイの分析では、WannaCryアクティビティに関連する悪意のあるバイナリは、2つの異なるコンポーネントで構成されています。一つは5月12日以前に報告されているWannaCryマルウェアサンプルと非常に類似した動きをする、ランサムウェア機能を提供するコンポーネントで、もう一つは拡散に使用されるコンポーネントで、スキャニングおよびSMB攻略の能力を可能にする機能を含んでいます。

FireEye iSIGHT脅威インテリジェンスでは、このランサムウェアが素早く大量に配布されていることを考えると、脆弱性のあるWindowsマシンを使用しているすべての組織に重大なリスクをもたらすと見ています。

感染経路

WannaCryは、Windows SMBの脆弱性を悪用して環境に足場を確立し、拡散を可能にします。 この拡散メカニズムは、侵入したネットワーク内と公衆インターネット上の両方でマルウェアを配布することができます。使用されたエクスプロイトは "EternalBlue"というコードネームで、ShadowBrokersによってリークされました。悪用された脆弱性は、マイクロソフト社のセキュリティパッチ「MS17-010」で修正されています。

ファイア・アイの分析では、マルウェアは2つのスレッドを生成します。最初のスレッドはネットワークアダプタを列挙し、システムがどのサブネット上にあるかを判断、それからマルウェアがサブネット上の各IPに対してスレッドを生成します。これらの各スレッドは、TCPポート445上のIPに接続しようと試み、成功した場合は、システムの攻略を試みます。リモートシステムを攻略しようとする攻撃の例を図1に示します。

図 1: SMB攻略を試みるWannaCry ネットワークトラフィック    

この悪用された脆弱性の使用に対応して、マイクロソフト社はWannaCryに対するリスク管理手順を提供しています。

WannaCryランサムウェアは主にSMB攻略を通じて拡散してきましたが、マルウェアの攻撃オペレーターは他の拡散方法も利用する可能性があります。初期のレポートによると、WannaCryはスパムメッセージの悪質なリンクを介して拡散したと示唆していましたが、ファイア・アイのこれまでの調査結果では、その情報を裏付けることができませんでした。

元の感染経路に関係なく、WannaCryのオペレーターは悪意のある文書、マルバタイジング(悪意のある広告)、トラフィックの多いサイトへの不正アクセスなど、ランサムウェアの活動で利用される共通の配信メカニズムを活用します。これまでの攻撃キャンペーンの影響力の高さと初期の配信経路の不明瞭さを考慮すると、企業や組織はWannaCry感染の可能性として、あらゆる一般的なマルウェア配信を考慮すべきです。

マルウェアの特徴

今までに特定されたワーム機能を持つWannaCryの亜種には、マルウェアによるファイル暗号化を防ぐために多数のセキュリティ研究者が使用していたキルスイッチ機能が含まれていました。しかし、攻撃のオペレーターは新しいドメインを持った複数の亜種の出現が示す通り、この機能を排除または変更することができます。

  • 5月12日に広がり始めたWannaCryがマシンに感染すると、以下の通信先へのアクセスを試みます:www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. マルウェアがこのドメインに正常に到達した場合、暗号化または自己増殖は行われません(一部の組織は、この場合でもマルウェアが自己増殖を続けると報告していますが、当社のテスト環境ではそのようなふるまいは確認されていません)。このドメインは5月12日にセキュリティプロフェッショナルによって登録され、多くの感染の暗号化動作が停止しているようです。WannaCryの開発者は、このキルスイッチ機能をアンチサンドボックス向けの手段として搭載している可能性があります。
  • 5月14日には、新しいキルスイッチ・ドメインを含む亜種が出現しました:
    www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
    このドメインもまた、キルスイッチとして動作し、ドメインに接続したWannaCryの感染を無効化してしました。このドメイン変更が元のマルウェア配布者によって実施されたのか、または第三者が修正したのかは不明です。
  • また、5月14日には、拡散を防ぐ「キルスイッチ」機能に接続するドメインを含まない亜種も特定されました。しかし、この変更は元の配布者ではなく、マルウェアがコンパイルされた後で、第三者によって実装された可能性があります。この亜種のランサムウェアコンポーネントは破損しているように見え、テスト環境では機能しません。

影響

脅威活動が減少しているという良い報告がある一方、WannaCryは大きなリスクを引き起こし続けています。増殖を繰り返すこのマルウェアの強力なメカニズムを考えると、マイクロソフト社が推奨する感染対策を適用していない組織は、WannaCry増殖の被害を受ける可能性があります。さらに、新しい亜種の登場により、WannaCryの攻撃オペレーターは必要に応じてWannaCryの感染を防ぐキルスイッチ機能を削除したり、これまでに講じられた対策を回避するような大幅な変更が可能なことを暗示しています。公開された報告書によると、WannaCry系のランサムウェアに関連するインシデントは多くの国で発生しています。

リスク対策

これらの脅威の被害を受けたくない組織は、マイクロソフト社のSMB攻略の解決についてのブログをご覧ください。

急速かつ広範囲に拡大したランサムウェアの流布により、ファイア・アイでは、検知技術、脅威インテリジェンス分析、対策の推奨およびコンサルティングサービスを含むファイア・アイのすべての製品ポートフォリオにおいて先を見通した更新を迅速に実施しました。

ファイア・アイが提供するネットワーク製品、Eメール製品およびエンドポイント製品には、ランサムウェアを能動的に検知する機能が搭載されています。製品が導入されているか、Exploit Guard機能が利用している場合、WebやEメールを通じて配信される(WannaCry含む)新たなランサムウェアを防ぐことができます。よく使われる配信メカニズムを、WannaCryのオペレーターが悪用する可能性は常にあります。万一感染した場合、ファイア・アイ製品を利用しているお客様は、以下の通知を受け取ります。

  • HX: WMIC SHADOWCOPY DELETE、WANNACRY RANSOWARE。Exploit GuardとAnti-Virusのアラート名は、配信メカニズムとその亜種によって異なります。
  • NX/EX: Malware.Binary.exe, Trojan.Ransomware.MVX, Ransomware.Wcry.*, FE_Ransomware_WannaCry.*, Trojan.SinkholeMalwareまたはMalicious.URL
  • EXのみ: Phish.URL or FE_EMAIL_MALICIOUS_EXM_*
  • TAP: WANNACRY RANSOMWARE

ファイア・アイ製品は、既存のWannaCry感染に対するコマンド&コントロール通信やホストインジケーターなど、後期のWannaCryのアクティビティも検出します。さらに、組織内で展開され、FireEye as a Service (FaaS)によって監視されているFireEye PX(ネットワーク・フォレンジック)センサーは、SMB拡散トラフィックを検出できます。お客様はインジケーターを活用して、感染の危険性を検知できます。これらのインジケーターは、FireEye HX(エンドポイント・セキュリティ製品)のお客様に導入されており、iSIGHTインテリジェンスのサブスクリプション・サービスをご契約のお客様は、MySIGHTのインテリジェントポータル経由で入手できます。

なお、ネットワークプロキシや企業ネットワーク向けセキュリティ機能の中には、マルウェアがキルスイッチ・ドメインに接続したり、暗号化を開始したりするのを防ごうとするものがあります。企業や組織は、この問題を回避するために、プロキシの構成やネットワーク構成を調整する必要があります。

関連するMD5サンプル:

0156edf6d8d35def2bf71f4d91a7dd22

0156edf6d8d35def2bf71f4d91a7dd22

0279e96244d8d8fa636c8f38baff99d7

05a00c320754934782ec5dec1d5c0476

06e235714dfa46e0ef3d15e45331ebe1

09431f379fc1914685f93f56c2400133

0cb40a8a51539e2c5727c3ec87af8a56

0fb1ce09b168987ce7f47bcd82fa034d

1177e33203cb8b1d71fe9147364328fe

13d702666bb8eadcd60d0c3940c39228

16aa3809de7a2a87d97de34ed7747638

18ad48cf2ed0cfeda8636187169ab181

1c615bf80a47848f17f935e689ae7ee2

246c2781b88f58bc6b0da24ec71dd028

2822abbaff89f989a4377b3c54067540

29365f675b69ffa0ec17ad00649ce026

2b4e8612d9f8cdcf520a8b2e42779ffa

2ca9ea7966269b22b5257f7a41817e1f

3175e4ba26e1e75e52935009a526002c

31dab68b11824153b4c975399df0354f

32f5d4bb6e967ac8c15950322b69975b

340a0e61c7f9b4e17e66e5114b1fffdb

3600607ab080736dd31859c02eaff188

36ebcf590480009be4c9c2259982a71a

38089fd3b6f1faa54cfe974fd1e29f0a

3c1ab42f5dd52f217ec57d270ffc8960

3c6375f586a49fc12a4de9328174f0c1

42fcf5f97f224c53a0434856016c706c

4362e287ca45a4862b7fe9ecaf46e985

468d1f5e0b048c16fd6d5364add58640

46d140a0eb13582852b5f778bb20cf0e

4e1f1183a31740618213f4e4c619b31c

4fef5e34143e646dbf9907c4374276f5

509c41ec97bb81b0567b059aa2f50fe8

546c1d3e78d9a0c676648e1230b8d454

54a116ff80df6e6031059fc3036464df

573a15b128431309c6af6caeb27dd44c

57aaa19f66b1eab6bea9891213ae9cf1

57b5c96abfd7ab5f33d9e3c20067687a

5902d0ea85b00f59a44c6d1c9174da56

59815ca85fa772753ca37fa0399c668c

59fc71209d74f2411580f6e1b6daf8d8

5bef35496fcbdbe841c82f4d1ab8b7c2

638f9235d038a0a001d5ea7f5c5dc4ae

6a4041616699ec27b42f98bbf111a448

707282fc5832e4674a2b5904b4115202

775a0631fb8229b2aa3d7621427085ad

7bf2b57f2a205768755c07f238fb32cc

7ecd842a3e9b1bcb3bb70b98220a563b

7f7ccaa16fb15eb1c7399d422f8363e8

80a2af99fd990567869e9cf4039edf73

82fc5885862b097be5ec9ec2176e30f1

82fd8635ff349f2f0d8d42c27d18bcb7

835fff032c51075c0c27946f6ebd64a3

8495400f199ac77853c53b5a3f278f3e

84a912cc30e697c4aab6978fb2fceb7c

84c82835a5d21bbcf75a61706d8ab549

86721e64ffbd69aa6944b9672bcabb6d

8d8e65121556519531ff64c1ed0bfe09

8dd63adb68ef053e044a5a2f46e0d2cd

8ff9c908dea430ce349cc922cee3b7dc

92cc807fa1ff0936ef7bcd59c76b123b

93ebec8b34a4894c34c54cca5039c089

947d69c0531504ee3f7821574ea405a7

9503af3b691e22149817edb246ea7791

96714005ac1ddd047a8eda781249d683

96dff36b5275c67e35097d77a120d0d4

998ea85d3e72824a8480d606d33540a6

a0a46b3ea8b643acd8b1b9220701d45d

a155e4564f9ec62d44bf3ea2351fd6ce

a2ded86d6ddc7d1fca74925c111d6a95

a6aad46f69d3ba3359e4343ab7234bb9

abcb7d4353abee5083ddd8057c7cd1ff

b0ad5902366f860f85b892867e5b1e87

b27f095f305cf940ba4e85f3cb848819

b6043ef3f8b238e4f5be6e2aa061c845

b675498639429b85af9d70be1e8a8782

b6ded2b8fe83be35341936e34aa433e5

b77288deb5e9ebced8a27c5ea533d029

b7f7ad4970506e8547e0f493c80ba441

b8a7b71bfbde9901d20ab179e4dead58

bdda04ebcc92840a64946fc222edc563

be70ee98253ae9ebbf91af35da829ee0

be74e91f1ef8b4cb9e3918911e429124

bec0b7aff4b107edd5b9276721137651

c2559b51cfd37bdbd5fdb978061c6c16

c39ed6f52aaa31ae0301c591802da24b

c61256583c6569ac13a136bfd440ca09

cb97641372f4e31670574cc4faa5df59

cee8d1683a187a477ee319c2ddd09d4d

cf1416074cd7791ab80a18f9e7e219d9

d545a745c4fc198798e590b00ba7dd59

d5dcd28612f4d6ffca0cfeaefd606bcf

d6114ba5f10ad67a4131ab72531f02da

d724d8cc6420f06e8a48752f0da11c66

db349b97c37d22f5ea1d1841e3c89eb4

df535dcb74ab9e2ba0a63b3519eee2bb

e16b903789e41697ecab21ba6e14fa2b

e372d07207b4da75b3434584cd9f3450

eb7009df4951e18ccbe4f035985b635c

efa8cda6aa188ef8564c94a58b75639f

f0d9ffefa20cdadf5b47b96b7f8d1f60

f107a717f76f4f910ae9cb4dc5290594

f351e1fcca0c4ea05fc44d15a17f8b36

f4856b368dc74f04adb9c4548993f148

f529f4556a5126bba499c26d67892240

f9992dfb56a9c6c20eb727e6a26b0172

f9cee5e75b7f1298aece9145ea80a1d2

fa44f2474ba1c807ad2aae6f841b8b09

fad4b98c046f693513880195c2bef2dd

ff81d72a277ff5a3d2e5a4777eb28b7b

関連URL:

iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com

このドメインはWannaCry関連のドメインの形式と一致していますが、ある特定のサンプルと明白にリンクしている訳ではありません。WannaCryの活動との関連が考えられるため組織はこのドメインに注目しています。

関連Torサイト:

57g7spgrzlojinas[.]onion

76jdd2ir2embyv47[.]onion

cwwnhwhlz52maqm7[.]onion

gx7ekbenv2riucmf[.]onion

sqjolphimrr7jqw6[.]onion

Xxlvbrloxvriy2c5[.]onion

Related Executables:

C:\Windows\mssecsvc.exe

C:\Windows\tasksche.exe

Related Registry Keys:

HKEY_LOCAL_MACHINE\Software\WanaCrypt0r

関連ファイル:

%TEMP%\m.vbs

%TEMP%\b.wrny

%TEMP%\c.wrny

taskse.exe

taskdl.exe

@Please_Read_Me@.txt

@WanaDecryptor@.exe

Related File Strings:

Wanna Decryptor 1.0

Wana Decrypt0r

Wana Decryptor

WANNACRY

WanaCrypt0r

WANACRY!

WNcry@2ol7

追記: .wncry 拡張を持った追加ファイルが作成される可能性があります。

関連プロセス:

cscript.exe //nologo m.vbs

関連SNORTシグニチャ:

次のSNORTシグニチャが、SMBを悪用する脅威活動を特定するのに役立ちます。

http://docs.emergingthreats.net/bin/view/Main/2024218

 

FireEye ® (ファイア・アイ)について

FireEyeはインテリジェンス主導型のセキュリティ企業です。顧客企業は、FireEyeの革新的セキュリティ技術、国家レベルの脅威インテリジェンス、世界的に著名なMandiant®コンサルティングの知見が統合された単一プラットフォームを、自社のセキュリティ対策の一部としてシームレスに組み込むことができます。このアプローチにより、FireEyeは準備、防御、インシデントレスポンスといった、組織がサイバー攻撃対策をするうえでの課題となっていた複雑性や負担を解消します。FireEyeは「Forbes Global 2000」企業の4割以上を含む、世界67か国以上の5,800を超える組織で利用されています。

FireEyeウェブサイト: https://www.fireeye.jp/                               

【報道関係の方からのお問い合せ先】

ファイア・アイ広報事務局
(ホフマンジャパン株式会社内)
担当: 小倉 / 上田 / 田中
Tel: 03-5159-5750
Email: FireEye_PR@hoffman.com

# # #

FireEyeはFireEye, Inc.の登録商標です。その他すべてのブランド、製品、またはサービスの名前は、それぞれ該当する所有者の商標またはサービスマークである可能性があります。