ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

WannaCry:私たちは泣きたい

貢献者: Phil Hay、Rodel Mendrez、Gerald Carsula、Nicholas Ramos、Homer Pacag

ここ数日間 WannaCryのランサムウェア イベントは、騒乱を引き起こしました。世界中の組織が、主に自己伝播型のワームメカニズムを介して素早く拡散するランサムウェアにより打撃をうけました。2か月前にパッチがリリースされたにもかかわらず、脆弱なバージョンのWindowsが悪用されました。多くの組織が、サポートされているバージョンのWindowsを使用し、十分に迅速にパッチを適用することで、このような状況を回避するべきでした。ここでは、この脅威に瀕しているものを要約して分析します。

すべてをキックした最初の感染ベクターはまだはっきりしていません。最初のマルウェアがダウンロードされるように導くURLリンクを含む小規模のメールシードキャンペーンがいくつか示されています。これを独立して確認することはできませんでしたが、可能性は残っています。1つ明らかなのは、いつでも変更できるものの、これまでにマルウェアを配布している大規模なメールキャンペーンは見られなかったということです。

要約:悪を拡げる

最初の感染とは無関係に、このマルウェアはネットワーク経由ですぐに拡がります。

  • 投下されたマルウェアバイナリにはワームコンポーネントが含まれ、WannaCryランサムウェア・コンポーネントはこのバイナリのリソースセクションに含まれます。
  • 投下されたマルウェアが実行されると、WannaCryランサムウェアが抽出されて実行され、Microsoft Windows SMB Server (MS17-010)の「Eternal Blue」脆弱性を介して拡散しようとします。
  • 拡がるために、ワームはローカルネットワーク上のIPアドレスを列挙し、これらのホストはポート445を介して脆弱性をスキャンします。さらに、インターネットをスキャンするためのランダムIPアドレスも生成されます。成功した「ヒット」が発生した場合、そのサブネットのさらなるスキャンが行われます。これがマルウェアが急速に拡散する方法です。

Wcry18

詳細な分析

メインランチャー:キルスイッチ効果

メインランチャーには、何かをする前に特定のドメインへの接続をチェックする変わった機能があります。そのドメイン解決ができると、バイナリは終了し、それ以上は何もしません。これはキルスイッチと呼ばれています。これまでに発見されたキルスイッチ・ドメインは、セキュリティ研究者によって登録されています。ここここを参照してください。これは、マルウェアの拡散を妨げる効果があります。ヒント:これらのドメインをブロックしないでください。

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com

ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com

ランサムウェアの抽出

キルスイッチ・ドメインからの応答がない場合、コマンドライン引数が2未満の場合は、表示名が「Microsoft Security Center(2.0)Service」、サービス名が「mssecsvc2.0」の新しいサービスを作成します。 "

Wcry1

次に、WannaCryランサムウェアがリソースセクションから抽出され、C:¥Windowsにドロップされ、新しいプロセスがC:\WINDOWS\tasksche.exeに生成されます。

Wcry2

コマンドライン引数が2つ以上の場合は、 "mssecsvc2.0"というマルウェアサービスを開き、サービス設定を "SERVICE_CONFIG_FAILURE_ACTIONS"に変更してから、SMBエクスプロイトを使用して伝播機能を実行しているサービスを開始します。

Wcry3

ネットワークをスキャンする

次にローカルIPをスキャンするために1つのスレッドが実行され、パブリックIPをスキャンするために128のスレッドが実行されます。

Wcry4

ローカルIPをスキャンする場合、GetAdaptersInfo()APIを使用してIPアドレスを収集し、MS17-010のターゲットIPをスキャンし、IPが脆弱な場合はペイロードを転送します。

Wcry5

パブリックIPアドレスをスキャンする場合、マルウェアはデフォルトでCryptGenRandom()APIを使用してターゲットIPアドレスを生成し、それ以外の場合はrand()関数を使用します。ランダムに生成されたIPアドレスの最初のオクテットは、127または224以上になることはできません。2番目、3番目、および4番目のオクテットもランダムに生成されます。次に、ターゲットIPのポート445が開いているかどうかをチェックします。

Wcry6

ポート445が開いていると判断した場合は、/24のIPレンジ全体をスキャンし始め、ターゲットIPごとにスレッドを作成し、それを悪用しようとします。

Wcry7

ランチャーからPEファイルを解凍する

PEファイルをマニュアルで解凍してみました。これはいくつかのレイヤーを示していました。PEファイルのリソース(.rsrc)セクションをダンプするツールはすべて使用できます。この場合、内部ツールを使用しました。

Wcry8

ファイル "R-1381"はランチャーの埋め込みPEファイルです。

Wcry9

.rsrcダンパーに対して "R-1381"を実行すると、次のファイルがあることがわかります。

Wcry10

「XIA-2058」は実際にはパスワードで保護されたzipファイルです。PW:「WNcry@2ol7」 解凍すると、以下が含まれています。

Wcry11

R-1831ファイルは、"t.wnry"という暗号化されたDLLファイルを投下します。そのDLLファイルが復号化されると、WannaCryランサムウェア自体が実行されます。

Wcry12

"b.wnry"は、身代金ノートデスクトップの壁紙に使用されるBMPファイルです。

Wcry13

"c.wnry"はTORサイト(* .onion)のリストを保持し、

Wcry14

"r.wnry"は、単純なテキスト "readme ransom note"を含んでいます。

Wcry15

msgフォルダには、異なる言語の身代金メモメッセージが格納されています。

"s.wnry"というファイルはTor関連のバイナリを含む別のZIPファイルで、後にC2ビーコンに使用されます:

Wcry16

ランサムウェア自体は典型的

実際のランサムウェア・コンポーネント自体はそれほど驚くべきものではなく、ランサムウェアの機能を果たし、幅広いファイルを暗号化して身代金を要求し、最も堅実にビットコインで支払われるようにします。以下に暗号化されたファイルのリストを示します。

Wcry17

 

より多くのものが来ると予想される

私たちが今日まで見てきたことは、ほんの始まりに過ぎないでしょう。この脅威の新しい変種が急速に出現することを予想してください。これらは、異なるキルスイッチ・ドメインまたはキルスイッチ・ドメインを全く持たない可能性があります。システムにパッチを当てているかもしれませんが、今後WannaCry ランサムウェア自体がメールやWeb経由で配布されている場合、影響を受ける可能性があります。ただし最新のパッチを当て、以下に示す緩和策を講じた場合には、その影響と拡散は十分に抑えられるでしょう。

  • まだ実行していない場合は、すべてのシステムでこの脆弱性(MS17-010 を参照)にパッチを当ててください!
  • AVが最新のシグネチャになっていることを再確認してください
  • ゲートウェイで既知のキルスイッチ・ドメインをブロックしないでください
  • LAN内のSMBv1トラフィックを無効にすることを検討してください
  • 境界のファイアウォールでポート445 SMBトラフィックをブロックしてください

Trustwaveのお客様は、次のような当社のセキュリティ製品において、このキャンペーンに対する積極的な防御策を見出すことができます。

  • Trustwave Secure Email Gateway(SEG)
  • Trustwave Secure Web Gateway(SWG)
    (デフォルトでは、マルウェアが使用しようとしているTorベースの通信はすべて遮断されます)
  • エンドポイント用のTrustwave Managed Detection&Response(MDR)
  • Trustwave AV(ランサムウェア自体を検出できる)
  • Trustwave UTM(MS17-010の利用をブロックする)
  • Trustwave 脆弱性スキャナー(システムにMS17-010パッチがない場合に検出されます)

最後に、あなた自身またはあなたの組織が感染していることが判明した場合はTrustwaveインシデント・レスポンスチームがお手伝いします。詳細については次のURLに訪問していただくか https://www.trustwave.com/en-us/services/consulting/digital-forensic-and-incident-response/ 、当社の24時間対応のインシデント・レスポンス・ホットラインに電話してください:+1(866)659-9097に電話し、"オプション5 "を選択してください。