Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ランサムウェア vs アンチランサムウェア ガチンコ対決 ポロリもあるよ

8b87ad1460f4051001d3b70211f05576?s=47 hiro
July 07, 2017

ランサムウェア vs アンチランサムウェア ガチンコ対決 ポロリもあるよ

#ランサムウェア #アンチランサムウェア #四天王

8b87ad1460f4051001d3b70211f05576?s=128

hiro

July 07, 2017
Tweet

Transcript

  1. ゆるいセキュリティCafe LT枠 2017/07/06

  2. 目次 1 マルウェアの種類 2 世界的サイバー攻撃について 3 ランサムウェアの動作 4 アンチランサムウェア四天王 5

    ランサムウェア四種盛り 6 アンチランサムウェアまとめ 7 バックアップは大切 8 最後に(普段から心がけよう) hiro(Twitter:@ctrl_z3r0)
  3. マルウェアの種類 脆弱性の 悪用 目的 マルウェアの例 ランサムウェア あり・なし 金銭目的 Locky、Jaff、Cerber、 WannaCry,NotPetya

    ※脆弱性悪用の「あり・なし」は、個々のマルウェアにより異なる場合あり あり→脆弱性に対する修正パッチがあれば防げる なし→実行してしまうと感染(最新の修正パッチでも防げない) ランサムウェアの暗号処理自体には、脆弱性は悪用していない トロイ の木馬 (潜伏) バンキング トロージャン あり・なし 不正送金 (キーロガー等による 情報漏えい) Ursnif、Gozi Dreambot Rovnix リモートアクセス ツール(RAT) あり 特定の組織・個人が保有 する秘密情報の窃取 Emdivi PlugX ワーム あり DoS/DDoS攻撃 CodeRed、Nimda SQLSlammer ダウンローダ なし 別のマルウェアの ダウンロード JS.Downloader Nemucod ※脆弱性悪用の「あり・なし」は、個々のマルウェアにより異なる場合あり あり→脆弱性に対する修正パッチがあれば防げる なし→実行してしまうと感染(最新の修正パッチでも防げない) ランサムウェアの暗号処理自体には、脆弱性は悪用していない 3 マルウェアの種類 メールにダウンローダを添付・実行させ、Webアクセス(HTTP/HTTS経由)で 本体をダウンロードさせる手法が多い。 入口 SMTP(メールにダウンローダーを添付) 出口 HTTP/HTTPS(exeやdllをダウンロード) SMBv1 Flash Player IIS SQLServer
  4. 世間を騒がせたWannaCry(5/12~16) ◆EternalBlueの攻撃コードを利用したDoublePulsarとい うバックドアが4月中旬ごろから感染確認 ◆初期感染は、DoublePulsarでWannaCryptが送り込まれ た(メール添付での感染は確認されていない) ◆日本では、インターネットに接続しただけで感染した事例 が確認(メール開封など無し) ◆MS17-010(SMBv1)脆弱性を悪用(3月修正パッチ) ◆米国家安全保障局(NSA)が作成したEternalBlueという スパイツールが基

    ◆EternalBlueの攻撃コードを利用したDoublePulsarとい うバックドアが4月中旬ごろから感染確認 ◆初期感染は、DoublePulsarでWannaCryptが送り込まれ た(メール添付での感染は確認されていない) ◆日本では、インターネットに接続しただけで感染した事例 が確認(メール開封など無し) ◆MS17-010(SMBv1)脆弱性を悪用(3月修正パッチ) ◆米国家安全保障局(NSA)が作成したEternalBlueという スパイツールが基 複数の情報源から、正しい情報を見極めることが大事。 英語の情報でも、がんばって読もう! 4
  5. WannaCryの亜種(6/16~6/20) ◆ホンダ狭山工場、WannaCry亜種に感染(6/18~6/20) ⇒19日操業停止、1,000台分の生産に影響 ◆いずれも、感染経路は不明 ◆マクドナルドの店舗システムが、WannaCryの亜種に感染 ワームが感染を広げるために大量のパケットを送出し、 ネットワークが障害、暗号化は起動せず(6/16~6/21) ⇒電子マネーやポイントサービスが利用できなくなる ◆ちなみに、IPv6環境では拡散できないって知ってました? ◆ホンダ狭山工場、WannaCry亜種に感染(6/18~6/20)

    ⇒19日操業停止、1,000台分の生産に影響 ◆いずれも、感染経路は不明 ◆マクドナルドの店舗システムが、WannaCryの亜種に感染 ワームが感染を広げるために大量のパケットを送出し、 ネットワークが障害、暗号化は起動せず(6/16~6/21) ⇒電子マネーやポイントサービスが利用できなくなる 5
  6. ウクライナを襲ったNotPetya(6/27~) 6 ◆日本国内での感染報告なし ◆パスワードダンプツールを同梱、psexec経由で横展開 ◆税務会計ソフト「MeDoc」のソフトウェア更新機能の悪用 ※ウクライナで80%のシェアらしい その他、メール添付(Officeの脆弱性CVE-2017-0199)、 ウクライナ国内のWebサイトの水飲み場攻撃 との説あり ◆HDDのマスターブートレコードを暗号化、OSは起動せず、

    ランサムノートを表示 ◆復号に必要なIDがランダムで生成 ⇒金銭目的のランサムウェアではなく、 破壊目的のワイパー(ウクライナ政府の混乱が目的)
  7. 公開鍵暗号 共通鍵暗号 共通鍵暗号と公開鍵暗号 暗号方式 暗号 アルゴリズム 概要 暗号 処理 用途

    共通鍵暗号 AES・DES 暗号化に用いる鍵と、 復号に用いる鍵が同一 速い 無線LAN(WPA2) IPSec(IPv6) 公開鍵暗号 RSA 暗号化に用いる鍵と、 復号に用いる鍵が異なる 遅い HTTPS(SSL/TLS) 共通鍵の鍵交換 電子署名 参考:共通鍵暗号と公開鍵暗号の違い https://cspssl.jp/guide/key.php 「鍵ペア」と呼ばれる 7 鍵交換 電子署名
  8. ランサムウェアの動作(例) 攻撃者 受信した添付 ファイルを実行 ③ ダウンロードサイト(複数サイト) 複数のメールサーバ を悪用してバラマキ ドロッパー(.js/.docm/.docx/.pdf) が本体(ペイロード)をダウンロード

    ② C&Cサーバ ⑤ ① メールサーバ (アンチウイルス) 秘密鍵はC&C サーバで保存 RSA公開鍵でAES 共通鍵と感染IDを 暗号化してC&C サーバに送付 ⑥ 身代金支払用 サーバ 感染ID 公開鍵 秘密鍵 Tor ネット ワーク Proxyサーバ (URL/コンテンツフィルタ、認証プロキシ) ファイアウォール SPAM対策 メールゲートウェイ 危険度:低 危険度:中 危険度:高 ふるまい検知 サンドボックス ④ ランサムウェア がAES共通鍵 を生成、ファイ ルを暗号化 共通鍵 8 メールサーバ (アンチウイルス) Proxyサーバ (URL/コンテンツフィルタ、認証プロキシ) ファイアウォール SPAM対策 メールゲートウェイ ふるまい検知 サンドボックス 攻撃者 複数のメールサーバ を悪用してバラマキ ① 危険度:低 受信した添付 ファイルを実行 ② ダウンロードサイト(複数サイト) ③ドロッパー(.js/.docm/.docx/.pdf) が本体(ペイロード)をダウンロード 危険度:中 ④ ランサムウェア がAES共通鍵 を生成、ファイ ルを暗号化 公開鍵 共通鍵 危険度:高 C&Cサーバ ⑤秘密鍵はC&C サーバで保存 秘密鍵 RSA公開鍵でAES 共通鍵と感染IDを 暗号化してC&C サーバに送付 ⑥ 感染ID 身代金支払用 サーバ Tor ネット ワーク
  9. ◆Anti-Ransomwareに特化したAVは少ない アンチランサム ウェア四天王 アンチランサムウェア ベンダー 国 製品名 バージョン Bitdefender ルーマニア

    BDAntiRansomware 1,0,12,151 Malwarebytes アメリカ Anti-Ransomware Beta 1.1.46 Cybereason アメリカ Ransome Free 2.2.7.0 Kaspersky ロシア Anti-Ransomware Tool 1.1.31.0 ※いずれの製品も、フリーで利用可能、 Windows環境向け。 他のウイルス対策ソフトとも併用可能なので、不安な人はインスコ推奨 ※Kasperskeyのみ、インターネット接続がないと検知できない。 (ファイルレピュテーションをネットワーク経由KSNで確認するため) ※Cybereasonは、おとりフォルダー(隠し属性)を作成し、中のファイルが暗号化 されたら感知する仕組み 9
  10. ランサムウェア四種盛り 10 ランサムウェア ファイル名 ハッシュ値(SHA256) WannaCry wannacry.exe ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c 6e5babe8e080e41aa Osiris

    pitupi2.exe a592bb700028529e0fe828be1a7cf5c1726cb7fe08a4d2c 92fcea89cbcf0902a Jaff jaff.exe 341267f4794a49e566c9697c77e974a99e41445cf41d838 7040049ee1b8b2f3b Cerber 978924151024 0-eng.pdf.exe ce149224869575992b4b2764c50af6f4572bd8ab000cbd7 e0d41a60df7ccfd06
  11. 【デモ】BitDefender vs WannaCry 11

  12. ランサムウェア四種盛り vs BitDefender 12 Malwarebytes Kaspersky Cybereason ビ ッ ト

    デ ィ フ ェ ン ダ ー が や ら れ た よ う だ な フ フ フ ・ ・ ・ 奴 は 四 天 王 の 中 で も 最 弱 ・ ・ ・ ワ ナ ク ラ イ ご と き に 負 け る と は 、 セ キ ュ リ テ ィ の 面 汚 し よ ・ ・ ・
  13. Malwarebytesは、ヨーロッパでは評価が高いようですが 残念でしたね・・・。 ランサムウェア四種盛り vs Malwarebytes 13 Kaspersky Cybereason マ ル

    ウ ェ ア バ イ ツ も や ら れ た よ う だ な フ フ フ ・ ・ ・ 奴 は 三 銃 士 の 中 で も 最 弱 ・ ・ ・ ( 以 下 略 ) 最初、四人だっただろwww 三人でもこのネタ引っ張るとかワロス 勝手に三銃士のネタにすんなwww クマ、自重しろww
  14. 【デモ】Cybereason vs Jaff

  15. 【デモ】Cybereason vs Cerber 15 Cerberは、隠し属性フォルダーやルートフォルダは、暗号化の対象 外であることが判明 Cybereason RansomFreeは、隠し属性のおとりフォルダー中の ファイルが暗号化されたら感知する仕組みが仇に!

  16. 【デモ】Kaspersky vs Cerber(動画) 16

  17. 17 第五の刺客、McAfee参上! ベンダー 国 製品名 バージョン Bitdefender ルーマニア BDAntiRansomware 1,0,12,151

    Malwarebytes アメリカ Anti-Ransomware Beta 1.1.46 Cybereason アメリカ Ransome Free 2.2.7.0 Kaspersky ロシア Anti-Ransomware Tool 1.1.31.0 McAfee アメリカ McAfee Ransomware Interceptor 0.5.0.338 (Pilot)
  18. 【デモ】McAfee vs Cerber(動画) 18

  19. 対決結果 19 BitDiffen der Malware bytes Cybereason Kaspersky McAfee WannaCry

    突破 突破 阻止 阻止 阻止 Osiris 突破 突破 阻止 阻止 阻止 Jaff 突破 突破 阻止 阻止 阻止 Cerber 突破 突破 突破 阻止 突破
  20. アンチランサムウェアまとめ 20 ◆強そうに見えるやつが一番弱い Bitdefenderとかボウフラかよ ◆Cybereasonのやっつけ仕事 おとりフォルダーをスルーされると 検知できない ◆Kaspersky つおい

  21. 最後に(普段から心がけよう) ◆定期的にバックアップ ファイル履歴(シャドウコピー)を設定 オンラインストレージの履歴機能も便利 バックアップ媒体は、安全な場所(オフライン)に 21 ◆パッチは最新に ※Microsoft「緊急」、Adobe「緊急度1(72時間以内)」 →リモートコード実行RCE(RemoteCodeExecution)、 攻撃実証コードPoC(Proof

    of Concept)公開⇒即対応! ◆正しく怖がろう 「不審なメール、不審なサイトを見なければ感染しない」 という時代ではない。信頼できる情報から総合的に判断。
  22. ご清聴ありがとうございました。 ご質問をどうぞ! 22