Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ランサムウェア vs アンチランサムウェア ガチンコ対決 ポロリもあるよ
Search
hiro
July 07, 2017
Technology
2
740
ランサムウェア vs アンチランサムウェア ガチンコ対決 ポロリもあるよ
#ランサムウェア #アンチランサムウェア #四天王
hiro
July 07, 2017
Tweet
Share
More Decks by hiro
See All by hiro
Observe_C2Servers_Phorpiex_Avaddon_-20200630.pdf
ctrl_z3r0
1
1.2k
Observe_C2Servers_via_MonitoringService-20200330.pdf
ctrl_z3r0
2
980
Remove_obfuscation_in_Emotet_PowershellScript-20200129.pdf
ctrl_z3r0
2
2.4k
Honeypot-on-GCP-20191201.pdf
ctrl_z3r0
0
710
HackingDojo_De-Ice_1.110_-20191203.pdf
ctrl_z3r0
5
1.3k
Investigating-Malware-20191030
ctrl_z3r0
4
1.3k
Honeypot_on_GCP-20191006.pdf
ctrl_z3r0
4
1.3k
AntiPortscan-20190925
ctrl_z3r0
2
910
Honeypot on GCE (Google Compute Engine)
ctrl_z3r0
1
870
Other Decks in Technology
See All in Technology
知識と実践を紡ぐGenAI / Connecting Knowledge and experience with GenAI
aki_moon
2
170
kcp: Kubernetes APIs Are All You Need #techfeed_live / TechFeed Experts Night 28th
ytaka23
1
190
Taking Flight with Tailwind CSS
opdavies
0
4.3k
5分で分かる(かもしれない) Vector engine for OpenSearch Serverless
tsukuboshi
1
400
「できる!」を増やすGitHub Copilot活用法 / How to use GitHub Copilot to expand your possibilities
sansan_randd
1
240
拓展QA日常工作的邊界
line_developers_tw
PRO
0
550
本当のガバクラ基礎
toru_kubota
0
310
令和版ソフトウェアエンジニアの情報収集術 PHPカンファレンス香川2024
ysknsid25
4
870
TailwindCSSでUIライブラリを作る際のハマりどころ
shuta13
0
230
能動学習のいろは:書籍「Human-in-the-Loop機械学習」3〜5章
hiroyoshiito
0
290
株式会社EventHub・エンジニア採用資料
eventhub
0
2.1k
スクラムに出会って「できた」を実感できるようになってきた話 / Scrum makes me feel like I can do it
yayoi_dd
2
110
Featured
See All Featured
Music & Morning Musume
bryan
41
5.6k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
126
32k
BBQ
matthewcrist
80
8.8k
Debugging Ruby Performance
tmm1
70
11k
Creatively Recalculating Your Daily Design Routine
revolveconf
211
11k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
20
1.8k
It's Worth the Effort
3n
180
27k
Making the Leap to Tech Lead
cromwellryan
125
8.6k
Adopting Sorbet at Scale
ufuk
69
8.6k
What’s in a name? Adding method to the madness
productmarketing
PRO
17
2.7k
For a Future-Friendly Web
brad_frost
172
9k
The Mythical Team-Month
searls
217
42k
Transcript
ゆるいセキュリティCafe LT枠 2017/07/06
目次 1 マルウェアの種類 2 世界的サイバー攻撃について 3 ランサムウェアの動作 4 アンチランサムウェア四天王 5
ランサムウェア四種盛り 6 アンチランサムウェアまとめ 7 バックアップは大切 8 最後に(普段から心がけよう) hiro(Twitter:@ctrl_z3r0)
マルウェアの種類 脆弱性の 悪用 目的 マルウェアの例 ランサムウェア あり・なし 金銭目的 Locky、Jaff、Cerber、 WannaCry,NotPetya
※脆弱性悪用の「あり・なし」は、個々のマルウェアにより異なる場合あり あり→脆弱性に対する修正パッチがあれば防げる なし→実行してしまうと感染(最新の修正パッチでも防げない) ランサムウェアの暗号処理自体には、脆弱性は悪用していない トロイ の木馬 (潜伏) バンキング トロージャン あり・なし 不正送金 (キーロガー等による 情報漏えい) Ursnif、Gozi Dreambot Rovnix リモートアクセス ツール(RAT) あり 特定の組織・個人が保有 する秘密情報の窃取 Emdivi PlugX ワーム あり DoS/DDoS攻撃 CodeRed、Nimda SQLSlammer ダウンローダ なし 別のマルウェアの ダウンロード JS.Downloader Nemucod ※脆弱性悪用の「あり・なし」は、個々のマルウェアにより異なる場合あり あり→脆弱性に対する修正パッチがあれば防げる なし→実行してしまうと感染(最新の修正パッチでも防げない) ランサムウェアの暗号処理自体には、脆弱性は悪用していない 3 マルウェアの種類 メールにダウンローダを添付・実行させ、Webアクセス(HTTP/HTTS経由)で 本体をダウンロードさせる手法が多い。 入口 SMTP(メールにダウンローダーを添付) 出口 HTTP/HTTPS(exeやdllをダウンロード) SMBv1 Flash Player IIS SQLServer
世間を騒がせたWannaCry(5/12~16) ◆EternalBlueの攻撃コードを利用したDoublePulsarとい うバックドアが4月中旬ごろから感染確認 ◆初期感染は、DoublePulsarでWannaCryptが送り込まれ た(メール添付での感染は確認されていない) ◆日本では、インターネットに接続しただけで感染した事例 が確認(メール開封など無し) ◆MS17-010(SMBv1)脆弱性を悪用(3月修正パッチ) ◆米国家安全保障局(NSA)が作成したEternalBlueという スパイツールが基
◆EternalBlueの攻撃コードを利用したDoublePulsarとい うバックドアが4月中旬ごろから感染確認 ◆初期感染は、DoublePulsarでWannaCryptが送り込まれ た(メール添付での感染は確認されていない) ◆日本では、インターネットに接続しただけで感染した事例 が確認(メール開封など無し) ◆MS17-010(SMBv1)脆弱性を悪用(3月修正パッチ) ◆米国家安全保障局(NSA)が作成したEternalBlueという スパイツールが基 複数の情報源から、正しい情報を見極めることが大事。 英語の情報でも、がんばって読もう! 4
WannaCryの亜種(6/16~6/20) ◆ホンダ狭山工場、WannaCry亜種に感染(6/18~6/20) ⇒19日操業停止、1,000台分の生産に影響 ◆いずれも、感染経路は不明 ◆マクドナルドの店舗システムが、WannaCryの亜種に感染 ワームが感染を広げるために大量のパケットを送出し、 ネットワークが障害、暗号化は起動せず(6/16~6/21) ⇒電子マネーやポイントサービスが利用できなくなる ◆ちなみに、IPv6環境では拡散できないって知ってました? ◆ホンダ狭山工場、WannaCry亜種に感染(6/18~6/20)
⇒19日操業停止、1,000台分の生産に影響 ◆いずれも、感染経路は不明 ◆マクドナルドの店舗システムが、WannaCryの亜種に感染 ワームが感染を広げるために大量のパケットを送出し、 ネットワークが障害、暗号化は起動せず(6/16~6/21) ⇒電子マネーやポイントサービスが利用できなくなる 5
ウクライナを襲ったNotPetya(6/27~) 6 ◆日本国内での感染報告なし ◆パスワードダンプツールを同梱、psexec経由で横展開 ◆税務会計ソフト「MeDoc」のソフトウェア更新機能の悪用 ※ウクライナで80%のシェアらしい その他、メール添付(Officeの脆弱性CVE-2017-0199)、 ウクライナ国内のWebサイトの水飲み場攻撃 との説あり ◆HDDのマスターブートレコードを暗号化、OSは起動せず、
ランサムノートを表示 ◆復号に必要なIDがランダムで生成 ⇒金銭目的のランサムウェアではなく、 破壊目的のワイパー(ウクライナ政府の混乱が目的)
公開鍵暗号 共通鍵暗号 共通鍵暗号と公開鍵暗号 暗号方式 暗号 アルゴリズム 概要 暗号 処理 用途
共通鍵暗号 AES・DES 暗号化に用いる鍵と、 復号に用いる鍵が同一 速い 無線LAN(WPA2) IPSec(IPv6) 公開鍵暗号 RSA 暗号化に用いる鍵と、 復号に用いる鍵が異なる 遅い HTTPS(SSL/TLS) 共通鍵の鍵交換 電子署名 参考:共通鍵暗号と公開鍵暗号の違い https://cspssl.jp/guide/key.php 「鍵ペア」と呼ばれる 7 鍵交換 電子署名
ランサムウェアの動作(例) 攻撃者 受信した添付 ファイルを実行 ③ ダウンロードサイト(複数サイト) 複数のメールサーバ を悪用してバラマキ ドロッパー(.js/.docm/.docx/.pdf) が本体(ペイロード)をダウンロード
② C&Cサーバ ⑤ ① メールサーバ (アンチウイルス) 秘密鍵はC&C サーバで保存 RSA公開鍵でAES 共通鍵と感染IDを 暗号化してC&C サーバに送付 ⑥ 身代金支払用 サーバ 感染ID 公開鍵 秘密鍵 Tor ネット ワーク Proxyサーバ (URL/コンテンツフィルタ、認証プロキシ) ファイアウォール SPAM対策 メールゲートウェイ 危険度:低 危険度:中 危険度:高 ふるまい検知 サンドボックス ④ ランサムウェア がAES共通鍵 を生成、ファイ ルを暗号化 共通鍵 8 メールサーバ (アンチウイルス) Proxyサーバ (URL/コンテンツフィルタ、認証プロキシ) ファイアウォール SPAM対策 メールゲートウェイ ふるまい検知 サンドボックス 攻撃者 複数のメールサーバ を悪用してバラマキ ① 危険度:低 受信した添付 ファイルを実行 ② ダウンロードサイト(複数サイト) ③ドロッパー(.js/.docm/.docx/.pdf) が本体(ペイロード)をダウンロード 危険度:中 ④ ランサムウェア がAES共通鍵 を生成、ファイ ルを暗号化 公開鍵 共通鍵 危険度:高 C&Cサーバ ⑤秘密鍵はC&C サーバで保存 秘密鍵 RSA公開鍵でAES 共通鍵と感染IDを 暗号化してC&C サーバに送付 ⑥ 感染ID 身代金支払用 サーバ Tor ネット ワーク
◆Anti-Ransomwareに特化したAVは少ない アンチランサム ウェア四天王 アンチランサムウェア ベンダー 国 製品名 バージョン Bitdefender ルーマニア
BDAntiRansomware 1,0,12,151 Malwarebytes アメリカ Anti-Ransomware Beta 1.1.46 Cybereason アメリカ Ransome Free 2.2.7.0 Kaspersky ロシア Anti-Ransomware Tool 1.1.31.0 ※いずれの製品も、フリーで利用可能、 Windows環境向け。 他のウイルス対策ソフトとも併用可能なので、不安な人はインスコ推奨 ※Kasperskeyのみ、インターネット接続がないと検知できない。 (ファイルレピュテーションをネットワーク経由KSNで確認するため) ※Cybereasonは、おとりフォルダー(隠し属性)を作成し、中のファイルが暗号化 されたら感知する仕組み 9
ランサムウェア四種盛り 10 ランサムウェア ファイル名 ハッシュ値(SHA256) WannaCry wannacry.exe ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c 6e5babe8e080e41aa Osiris
pitupi2.exe a592bb700028529e0fe828be1a7cf5c1726cb7fe08a4d2c 92fcea89cbcf0902a Jaff jaff.exe 341267f4794a49e566c9697c77e974a99e41445cf41d838 7040049ee1b8b2f3b Cerber 978924151024 0-eng.pdf.exe ce149224869575992b4b2764c50af6f4572bd8ab000cbd7 e0d41a60df7ccfd06
【デモ】BitDefender vs WannaCry 11
ランサムウェア四種盛り vs BitDefender 12 Malwarebytes Kaspersky Cybereason ビ ッ ト
デ ィ フ ェ ン ダ ー が や ら れ た よ う だ な フ フ フ ・ ・ ・ 奴 は 四 天 王 の 中 で も 最 弱 ・ ・ ・ ワ ナ ク ラ イ ご と き に 負 け る と は 、 セ キ ュ リ テ ィ の 面 汚 し よ ・ ・ ・
Malwarebytesは、ヨーロッパでは評価が高いようですが 残念でしたね・・・。 ランサムウェア四種盛り vs Malwarebytes 13 Kaspersky Cybereason マ ル
ウ ェ ア バ イ ツ も や ら れ た よ う だ な フ フ フ ・ ・ ・ 奴 は 三 銃 士 の 中 で も 最 弱 ・ ・ ・ ( 以 下 略 ) 最初、四人だっただろwww 三人でもこのネタ引っ張るとかワロス 勝手に三銃士のネタにすんなwww クマ、自重しろww
【デモ】Cybereason vs Jaff
【デモ】Cybereason vs Cerber 15 Cerberは、隠し属性フォルダーやルートフォルダは、暗号化の対象 外であることが判明 Cybereason RansomFreeは、隠し属性のおとりフォルダー中の ファイルが暗号化されたら感知する仕組みが仇に!
【デモ】Kaspersky vs Cerber(動画) 16
17 第五の刺客、McAfee参上! ベンダー 国 製品名 バージョン Bitdefender ルーマニア BDAntiRansomware 1,0,12,151
Malwarebytes アメリカ Anti-Ransomware Beta 1.1.46 Cybereason アメリカ Ransome Free 2.2.7.0 Kaspersky ロシア Anti-Ransomware Tool 1.1.31.0 McAfee アメリカ McAfee Ransomware Interceptor 0.5.0.338 (Pilot)
【デモ】McAfee vs Cerber(動画) 18
対決結果 19 BitDiffen der Malware bytes Cybereason Kaspersky McAfee WannaCry
突破 突破 阻止 阻止 阻止 Osiris 突破 突破 阻止 阻止 阻止 Jaff 突破 突破 阻止 阻止 阻止 Cerber 突破 突破 突破 阻止 突破
アンチランサムウェアまとめ 20 ◆強そうに見えるやつが一番弱い Bitdefenderとかボウフラかよ ◆Cybereasonのやっつけ仕事 おとりフォルダーをスルーされると 検知できない ◆Kaspersky つおい
最後に(普段から心がけよう) ◆定期的にバックアップ ファイル履歴(シャドウコピー)を設定 オンラインストレージの履歴機能も便利 バックアップ媒体は、安全な場所(オフライン)に 21 ◆パッチは最新に ※Microsoft「緊急」、Adobe「緊急度1(72時間以内)」 →リモートコード実行RCE(RemoteCodeExecution)、 攻撃実証コードPoC(Proof
of Concept)公開⇒即対応! ◆正しく怖がろう 「不審なメール、不審なサイトを見なければ感染しない」 という時代ではない。信頼できる情報から総合的に判断。
ご清聴ありがとうございました。 ご質問をどうぞ! 22