HIRT-PUB17008：ランサムウェアWannaCryに関する注意喚起

ランサムウェアWannaCryは、ネットワークワーム型の機能を有するランサムウェアで(図1)、感染によって、ファイルを暗号化し、その暗号解除と引き換えに金銭を要求する動作はしますが、5月16日時点で、情報漏えいを引き起こす動作は報告されていません。

(1)動作確認活動
WannaCryは、動作確認用サイトwww[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]comなどにアクセスします。アクセスに成功した場合には活動を停止します。このURLアクセスのことは、動作を停止することからキルスイッチとも呼ばれています。5月15日に入ってから、このキルスイッチを無効化した亜種も報告されています。

(2)生成活動
拡散活動、ランサム活動をしていくために必要な攻撃資源として、新たなexeなどを生成します。

(3)拡散活動
SMB1脆弱性攻撃を通して自己増殖を試みます。自己増殖の流れは、まず、感染先対象となるシステムとの間でSMB1コネクションを確立します。その後、MS17-010脆弱性有無の確認、攻撃ペイロードの準備、バックドアDouble Pulsar有無の確認、攻撃ペイロードの実行によって完了します。

図 1: 感染活動の概要

(4)ランサム活動
ランサム活動ではファイルを暗号化し、ファイル拡張子をWNCRYに変更します。さらに、図 2のような脅迫状ダイアログを表示します。

図 2: 脅迫状ダイアログ

2017年05月13日

• カスペルスキー：74か国から45,000件以上の攻撃を記録
  WannaCry ransomware used in widespread attacks all over the world
  https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
• US-CERT：米国、英国、スペイン、ロシア、台湾、フランス、日本など74か国で感染
  Indicators Associated With WannaCry Ransomware
  https://www.us-cert.gov/ncas/alerts/TA17-132A
• 英NHS(National Health Service)：少なくとも16組織が被害に
  Statement on reported NHS cyber attack
  https://digital.nhs.uk/article/1491/Statement-on-reported-NHS-cyber-attack
• Wcrypt Tracker
  https://intel.malwaretech.com/botnet/wcrypt/

図3: Wcrypt Tracker (1時間毎のオフライン＋オンラインIPアドレス数)(出典：malwaretech.com)

2017年05月17日

• 日立：ランサムウェアによる被害および復旧状況について
  https://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html

各所からの注意喚起は、次の通りです。

• US-CERT
  Multiple Ransomware Infections Reported (2017年05月12日)
  https://www.us-cert.gov/ncas/current-activity/2017/05/12/Multiple-Ransomware-Infections-Reported
• US-CERT
  TA17-132A: Indicators Associated With WannaCry Ransomware (2017年05月12日)
  https://www.us-cert.gov/ncas/alerts/TA17-132A
• JPCERT/CC
  JPCERT-AT-2017-0020: ランサムウエア "WannaCrypt" に関する注意喚起 (2017年05月14日)
  http://www.jpcert.or.jp/at/2017/at170020.html
• IPA
  世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について (2017年05月14日)
  http://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html
• 総務省
  世界的な不正プログラムの感染被害について (注意喚起) (2017年05月15日)
  http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000264.html
• 警察庁
  攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測について (2017年05月15日)
  http://www.npa.go.jp/cyberpolice/important/2017/201705151.html
• ICS-CERT
  ICS-ALERT-17-135-01: Indicators Associated With WannaCry Ransomware (2017年05月15日)
  https://ics-cert.us-cert.gov/alerts/ICS-ALERT-17-135-01

• WCry/WanaCry Ransomware Technical Analysis (2017年05月14日)
  https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
• WanaCryptor File Encryption and Decryption (2017年05月15日)
  https://modexp.wordpress.com/2017/05/15/wanacryptor/

定期的なバックアップの取得、オフラインでのバックアップ保存により、暗号化されてしまった場合のファイル復旧に備えてください。

マイクロソフトによれば、WannaCryは、Windows 7、Windows Server 2008ならびに、それ以前の脆弱なOSを攻撃対象にしていると報告しています。

• WannaCrypt ransomware worm targets out-of-date systems
  https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

Windows Vista、Windows Server 2008、Windows Server 2008 R2、Windows 7、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1、Windows 10、Windows Server 2016の場合

マイクソフトから3月にリリースされているセキュリティ更新プログラムMS17-010を適用してください。

• マイクロソフトセキュリティ情報 MS17-010: Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
  https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

Windows Server 2003、Windows XP、Windows XP Embedded、Windows 8の場合

マイクソフトから、緊急でリリースされたセキュリティ更新プログラムを適用してください。

• ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
  https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

セキュリティソフトを導入し、定義ファイルを常に最新の状態に保ってください。

• カスペルスキー
  WannaCry ransomware used in widespread attacks all over the world (2017年05月12日)
  https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
• シマンテック
  What you need to know about the WannaCry Ransomware (2017年05月12日)
  https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
• トレンドマイクロ
  大規模な暗号化型ランサムウェア「WannaCry／Wcry」の攻撃、世界各国で影響 (2017年05月13日)
  http://blog.trendmicro.co.jp/archives/14873
• RANSOM_WANA.A (2017年05月13日)
  https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/RANSOM_WANA.A
• RANSOM_WCRY.I (2017年05月13日)
  https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/RANSOM_WCRY.I
• マイクロソフト
  WannaCrypt ransomware worm targets out-of-date systems (2017年05月12日)
  https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
• Ransom:Win32/WannaCrypt (2017年05月12日)
  https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
• マカフィ
  Protecting against Ransom-WannaCry (May 2017) (2017年05月12日)
  https://kc.mcafee.com/corporate/index?page=content&id=KB89335
• ランサムウェアWannaCryに関するさらなる分析 (2017年05月14日)
  http://blogs.mcafee.jp/.s/mcafeeblog/2017/05/wannacry-651e.html

シマンテックのEndpoint Protectionが脆弱性(SMB1)への攻撃を検知すると、図3のようなアラームを表示します。

図4: シマンテックでの攻撃検知アラーム

WannaCryは、インターネット上のIPv4アドレスをランダムに探索し、感染活動を試みます。ネットワークからの攻撃(MS17-010、CVE-2017-0145の悪用)を防ぐ回避策は、次の通りです。

SMB1(Server Message Block v1)の無効化

• マイクロソフトセキュリティ情報 MS17-010: Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
  https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx#ID0E3SAG
• SMBv1、SMBv2、および WindowsとWindowsサーバーのSMBv3を無効にする方法
  https://support.microsoft.com/ja-jp/help/2696547

SMBボート番号(445)のブロック

• WannaCrypt ransomware worm targets out-of-date systems
  https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

Wannacry
SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
MD5:db349b97c37d22f5ea1d1841e3c89eb4

ランサムウェアWannaCryは、感染PCに設定されているDNSサーバに、動作確認用サイトのIPアドレスを問合せます。その後、動作確認用サイトへのHTTPアクセスに成功すれば活動(拡散活動、ランサム活動など)を停止します。ランサムウェアWannaCryで動作を追試し、HTTP応答が「HTTP/1.1 200 OK」「HTTP/1.1 403 Forbidden」のいずれの場合も、即時に活動を停止することを確認しました(図 5)。なお、追試では、図 6に示すネットワーク上に動作確認用のウェブサイト(192.168.20.80)を構築しました。

図 5: 動作確認用サイトへのHTTPアクセス

ランサムウェアWannaCryは、同一ネットワーク内の探索を開始し、並行してランダムにIPアドレス空間の探索を開始します。ランサムウェアWannaCryを、図 6に示すようなネットワーク構成の感染PCで実行し、ネットワークワームの特性である感染先の探索方法について調査した結果を紹介します。

図 6: 拡散活動の調査に利用したネットワーク構成

調査環境で使用したネットワークの場合には、稼働PCが2台(192.168.20.161, 192.168.20.162)のため、同一ネットワーク内の探索は、ARPパケットを使った探索として観測することになります。感染PC(192.168.20.161)は、ARPパケットを使って同一ネットワーク内の稼働PCの探索を開始します((3)(a))。次に、ARP応答のある稼働PC(192.168.20.162)に対して、TCPコネクションを確立し、SMB1脆弱性攻撃を仕掛けます((3)(b))。並行して、ランダムにIPアドレス空間を探索を開始します。ランサムウェアWannaCryは、イントラネットでの活動を想定した動作となっており、図 7に示すように、わずか1分程度で、ARP応答のある稼働PC(192.168.20.162)への感染活動を開始しています。

図 7: WannaCry拡散活動に伴う探索IPアドレスの発生分布

同様なネットワーク構成で2000年前半に流布したCodeRed3(2002年)、Slammer(2002年)のネットワーク探索の様子を観測開始から10,000パケットを対象にプロットしたものを図 8に示します。CodeRed3は、感染した端末の近接IPアドレスを中心に探索し、Slammerは全域をランダムに探索しています。

図 8: CodeRed3(左)、Slammer(右)拡散活動に伴う探索IPアドレスの発生分布

次に、図 9にWannaCry、CodeRed3、Slammerの新規IPアドレスの探索速度を示します。WannaCryの探査は決して早いわけではなく、イントラネットでの活動を想定した動作とすることで、拡散活動速度を上げようとしていると言えます。

図 9: IPアドレスの探索速度

なお、同一ネットワーク内の稼働PCを探索は、サブネットマスクが/24の場合には、x.x.x.1、x.x.x.2~x.x.x.254、/16の場合には、x.x.0.1、x.x.1.1~x.x.255.1、x.x.0.2、x.x.1.2~x.x.255.2のように探索することになるため、サブネットマスクが広い方が拡散活動効率を下げる可能性がある反面、大量の同報パケットが持続することにより正常通信を阻害する可能性が高くなります。

ランサムウェアWannaCryのSMB1脆弱性攻撃においては、3つのSMBコネクションが利用されています。1つは、感染PCのIPアドレス(192.168.20.161)を含み(図 10)、後続の2つは、マルウェア本体にハードコードされている2つのIPアドレス(192.168.56.20、172.16.99.5)(図 11、図 12)を含んでいます。

接続先がDouble Pulsarに感染していない場合には、図 11に示すように、2つ目のSMBコネクションのtrans2 SESSION_SETUPに対する応答パケットに格納されているMultiplex IDの値が65 (0x41)、感染している場合には81(0x51)となります。また、図 12の右側には、比較のためにMetasploit(ms17_010_eternalblue.rb)の送出パケットを記載しています。

図 10: 感染PCのIPアドレス(192.168.20.161)を含むSMBコネクション

図 11: マルウェア本体にハードコードされているIPアドレス(192.168.56.20)を含むSMBコネクション

図 12: マルウェア本体にハードコードされているIPアドレス(172.16.99.5)を含むSMBコネクション

WannaCry(*1)によるネットワーク感染の検証結果、Metasploit(*2)での検証結果、感染報告の状況(*3)を表 1に示します(2017年5月23日時点)。

表 1: 影響有無調査結果

*0)ー:未調査
*1)MD5: db349b97c37d22f5ea1d1841e3c89eb4
*2)モジュール名：ms17_010_eternalblue.rb
*3)カスペルスキー: Over 98% of All WannaCry Victims Were Using Windows 7
https://www.bleepingcomputer.com/news/security/over-98-percent-of-all-wannacry-victims-were-using-windows-7/
*4)smb_ms17_010.rbでは脆弱性ありと判定
*5)Anonymous loginでエラーが発生