ISC SANS Diaryより。金銭目的では無く、妨害目的は明らかだ。
これは2017-06-27(火曜日)に起こったランサムウェアの流行に関する以前のダイアリのフォローアップである。
はじめに
これまで、いろいろな人が昨日のランサムウェアの流行について何某か書いているようだ。多くの情報を入手できるようになった後に混乱が生じ、初期のレポートが更新された。このダイアリは、これまでにわかっていることのサマリの役目を果たす。
これまでに分かっていること
このランサムウェアは、Microsoft Windowsを実行しているシステムを対象にしている。初期の報告では、このランサムウェアPetyaあるいはPetyaの亜種(GoldenEye)と呼ばれていたが、カスペルスキの研究者はそれが新しいランサムウェアだと報告した。カスペルスキはマルウェアNotPetyaと呼んでおり、他の名前が広まっている。しかし、多くの人や組織は依然としてランサムウェアPetyaあるいはPetya亜種と呼んでいる。
このランサムウェアは、EternalBlue SMBエクスプロイトの修正バージョンを使用して、WMIコマンド、MimiKatz、PSExecのような他の手法を使って拡散する。EternalBlueの使用は比較的最近で、マルウェアはファイル共有やWMIを長年拡散のために使っているが、これらの古いテクニックは脆弱性を必要としない。
感染プロセス中、このランサムウェアは小さな悪意のあるカーネルを実装するカスタム・ブート・ローダでMBRを上書きする。その小さなカーネルは、マスター・ファイル・テーブル(MFT)を暗号化して、ファイルシステムを読めないようにする。その結果、それを復元するのに、身代金を要求する起動不能なシステムとなる。被害者は、ビットコインで300ドルを1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWXというビットコイン・ウォレットに送付するよう求められる。
公開されたレポートから、この攻撃はウクライナで発生したようだ。Krebs on Securityによれば、ウクライナのサイバー警察は、この攻撃はウクライナ政府と協力している企業が使用する会計プログラムM.E.Docに組み込まれているソフトウェア更新メカニズムを介して起動する可能性があるとツイートした。ウクライナから、Maerskのようにヨーロッパの主要企業に拡散した。
我々は、このランサムウェアに関連するファイルにある情報を見てきたが、実際のランサムウェアのサンプルとして2つのDLLファイルのみ確認できた。SHA256ファイルハッシュは、
- 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
- 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
この脅威に対して自分自身を守る方法は? 手順は次の通り:
- 最新のMicrosoftのパッチ、特にMS17-010をデプロイする
- SMBv1の無効化を考える
- ローカル管理者のアクセスを持つ人を制限する。ほとんど人は、管理者アカウントの代わりに標準ユーザのアカウントで操作できる
- 大規模あるいは複雑なインフラを持つ場合、ネットワークを分割する
- アンチウィルスソフトを最新状態に保つ。ベンダーは常に最新のマルウェアサンプルを対象にするため、定期的に定義を更新する
最も重要なのは、最悪の事態が発生して、感染した場合に備えて、重要なデータを確実にバックアップと復元の手順を実装していおく必要がある。
最後に
このランサムウェア攻撃の翌日、我々は初期の興奮が少し落ち着いた。影響を受けた組織は対応処置を実施しており、他の多くの機関が適切な対策を実施(または確認)しているところだ。
あなたの組織はベスト・セキュリティ・プラクティスに従い、この最新の脅威に対して守られることを願う。
Brad Duncan
brad [at] malware-traffic-analysis.net
更新: ウクライナ政府は裏にロシアが絡んでいると言っている(WIRED)。
更新(2017.7.2): WannaCryやNotPetyaの穴を見つけるため、nmapを使おう(SANS Diary)。"nmap -Pn -p445 <ip-netblock>"で検知できる。NSEスクリプトも用意されている。