WannaCryの概要・使用された脆弱性 #ssmjp /ssmjp1710-2

WannaCryの概要・使用された脆弱性 #ssmjp /ssmjp1710-2

015facb974cbb9ef9df2840aed8eba34?s=128

Takuji Kitagawa

December 24, 2017
Tweet

Transcript

  1. 4.

    • ランサムウェアと呼ばれる身代金要求型のマル ウェア • Wanna Decryptor、Wana Cryptor 2.0、 WanaCrypt、Wcryなどの別名 •

    Officeファイル、画像ファイル、ソースコー ドなど、166種類の拡張子のファイルを暗号 化 • ローカルドライブ、リムーバブルドライブ、 ネットワークドライブ(マウントされた共有 フォルダ)のファイルを暗号化 WannaCry
  2. 9.

    • NSAから漏洩したExploitコードを使用 (後で詳しく) • SMBv1の脆弱性を突いて任意のコードを実行する 「EternalBlue」 • EternalBlueによって仕掛けられるバックドア 「DoublePulsar」 •

    The Shadow Brokersが2017年4月に公開した Equation Group(NSAのハッキング集団)のツールに含 まれる • マイクロソフトは2017年3月にMS17-10で修正パッチ を公開済み WannaCryの特徴
  3. 10.

    • Kill Switchを実装 (後で詳しく) • マルウェア内にハードコードされたURLに接続を試みる • 接続が成功した場合、活動を停止 • 接続が失敗した場合、活動(拡散、暗号化)を継続

    • 拡散開始当初は、URLが存在しなかった(ドメイン登録 されてない)ため、接続は必ず失敗。WannaCryは活動 を継続 • その後、セキュリティリサーチャがドメインを登録し、 SinkHoleに誘導する様にしたため、接続が成功し、 WannaCryは活動を停止するようになった WannaCryの特徴
  4. 11.

    • Blaster 2003年8月 • RPCインターフェイスの脆弱性 MS03-026 135/tcp • 感染数 800万台~1600万台(Microsoftの推計による)

    • Confiker 2008年11月 • Serverサービスの脆弱性 MS08-067 445/tcp • 感染数 1700万台(Microsoftの推計による) • WannaCry 2017年5月 • SMBv1の脆弱性 MS17-010 445/tcp • 感染数 20万台~30万台 ワームとして過去最大ではない
  5. 14.

    • WannaCry(Beta) • 2/12頃 • 暗号化の処理はWannaCry 2.0とほぼ同じ • 被害は1組織のみ 100台以上が感染(Symantecによる

    *1) • WannaCry 1.0 • 3月下旬から4月 • メールのリンクよりDropboxのファイルをダウンロードさせ感染 • ID:Passwordの辞書攻撃によりSMBの共有にアクセスし暗号化 • 少なくとも5組織が被害(Symantecによる *1) • WannaCry 2.0 • 5/12 • SMBの脆弱性を悪用した攻撃(EternalBlue/DoublePulsar)によ り拡散を行う • 150カ国、20万台以上が感染 WannaCryには複数のバージョンが存在 一般的にWannaCryと呼ばれているものは、WannaCry 2.0 *1 https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group
  6. 16.
  7. 17.
  8. 20.

    • The Shadow Brokersが2017年4月にリークしたEquation Group(NSAのハッキング部隊)の攻撃ツールセット Fuzzbunchに含まれる • EternalBlue SMBv1の脆弱性を突いて任意のコードを実行する •

    DoublePulsar カーネルモードで動作するバックドア マルウェアのダウンローダー 他の永続的なバックドアをインストールするのに使われる EternalBlue/DoublePulsar
  9. 22.

    • 2016年8月 TheShadowBrokersが活動開始 #1 "Equation Group Cyber Weapons Auction -

    Invitation" ファイアウォール製品のExploitコードを無料サンプルとし て公開 • 2017年1月8日 #7 “Windows Warez” Windows Exploitの 販売を発表。FuzzBunchなどが含まれる • 2017年1月12日 #8 “Farewell Message” 活動停止を宣言 タイムライン抜粋
  10. 32.
  11. 33.

    • MS17-010の脆弱性の存在をチェック • MS17-010の脆弱性が存在する • DoublePulsarが存在  DoublePulsarを用いてWannaCry自身を送り込み感染させる • DoublePulsarが存在しない

     EternalBlueを用いてDoublePulsarをインストール、 DoublePulsarを用いてWannaCry自身を送り込み感染させる • MS17-010の脆弱性が存在しない • DoublePulsarが存在  DoublePulsarを用いてWannaCry自身を送り込み感染させる WannaCry感染の流れ
  12. 36.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com WannaCry感染の流れ
  13. 37.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ
  14. 38.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ
  15. 39.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ
  16. 40.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ
  17. 41.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 Eternalblue SMB(445/tcp) WannaCry感染の流れ
  18. 42.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 自身をサービス MSSECSVC2.0 として登録 Eternalblue SMB(445/tcp) WannaCry感染の流れ
  19. 43.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 Drop 自身をサービス MSSECSVC2.0 として登録 Eternalblue SMB(445/tcp) WannaCry感染の流れ
  20. 44.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 Eternalblue SMB(445/tcp) WannaCry感染の流れ
  21. 45.

    tasksche.exe ランサムウェア処理 パスワード付き ZIP 展開 パスワード WNcry@2ol7 b.wnry c.wnry r.wnry

    s.wnry t.wnry u.wnry taskdl.exe taskse.exe msg フォルダ デスクトップ壁紙 設定ファイル 身代金要求文 Torクライアント ファイル暗号化機能DLL 復号ツール 一時ファイル削除ツール 復号ツール起動用 多言語の身代金要求文
  22. 54.

    • MS17-10の脆弱性は、XP以降のOS全てに存在 • Windows XP / Windows Vista / Windows

    7 / Windows 8 / Windows 8.1 / Windows 10 • Windows Server 2003 / Windows Server 2008 / Windows Server 2008 R2 / Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016 • 脆弱性が存在する ≠ Exploit(攻撃)が成功する MS17-010の脆弱性
  23. 75.
  24. 82.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EternalBlue Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) WannaCry感染の流れ
  25. 83.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com WindowsXPの場合
  26. 84.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WindowsXPの場合
  27. 85.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WindowsXPの場合 BSoD
  28. 86.

    SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WindowsXPの場合 BSoD EternalBlueの時点でブルースクリーン
  29. 87.

    MS17-010の脆弱性はWindows XPにも存在するが、 WannaCryの実装では安定的に感染させることは出来ない WannaCryの感染環境 OS SMB経由での感染状況 Windows 7 Windows Server

    2008 R2 感染(拡散、暗号化) Windows XP Windows Vista Windows Server 2003 感染しないが ブルースクリーン(DoS) Windows 8.1 Windows 10 Windows Server 2012 感染しない
  30. 90.

    • MS17-010の脆弱性はWindows XP以降の全て のOSに存在する • 脆弱性が存在する ≠ 攻撃コードが対応 • FuzzBunchのEternalBlueは、WindowsXP、

    Windows7、Windows Server 2008R2に対応 • WannaCryの実装では、Windows7、Windows Server 2008R2のみに対応 • EternalBlueをWindows10に対応させたとの報 告もある
  31. 94.
  32. 95.
  33. 97.
  34. 98.
  35. 124.

    • EternalBlueのパケットキャプチャは、Metasploitモジュール開発の 研究の一環として、他の研究者との情報共有やフィードバックを得る 目的でGithubに投稿された • そのデータが悪意ある者により利用された可能性がある • パケットキャプチャに含まれていたIPアドレス (192.168.56.20,172.16.99.5)はラボ環境のIPアドレス •

    EternalBlueの通信はどの環境でキャプチャしても同じものになる。 攻撃者は調査の手間を省くため、たまたまそのpcapを使ったに過ぎな い • 今後も、他の者に悪用される可能性があるため、Githubの問題のキャ プチャデータは削除する • MetasploitのコードがWannaCryに流用されたことはないと考える RiskSenseからKrypt3ia氏への回答
  36. 134.

    WCry/WanaCry Ransomware Technical Analysis https://www.endgame.com/blog/technical- blog/wcrywanacry-ransomware-technical-analysis WannaCry: Two Weeks and

    16 Million Averted Ransoms Later https://blog.kryptoslogic.com/malware/2017/05/30/two -weeks-later.html WannaCrypt0r Roundup https://krypt3ia.wordpress.com/2017/05/16/wannacrypt 0r-roundup/ 参考資料