WannaCryの概要・使用された脆弱性 #ssmjp /ssmjp1710-2

WannaCryの概要
使用された脆弱性
@kitagawa_takuji

View Slide

#ssmjp 2017/10 #1
https://ssmjp.connpass.com/event/68090/
で使用したスライドの一部です

View Slide

WannaCryの概要

View Slide

• ランサムウェアと呼ばれる身代金要求型のマル
ウェア
• Wanna Decryptor、Wana Cryptor 2.0、
WanaCrypt、Wcryなどの別名
• Officeファイル、画像ファイル、ソースコー
ドなど、166種類の拡張子のファイルを暗号
化
• ローカルドライブ、リムーバブルドライブ、
ネットワークドライブ（マウントされた共有
フォルダ）のファイルを暗号化
WannaCry

View Slide

• 身代金としてビットコインで$300を要求、3日
経つと要求額が倍になり、7日経つと永久に
ファイルを復元できないと脅す
• 身代金要求文は28言語に対応
WannaCry

View Slide

• WindowsのSMBv1の脆弱性を悪用しネットワーク
経由で感染を広げる
• 150カ国、20万台以上が感染（Europole発表)
• 警察庁は、25件の感染を確認（5/19現在）
• JPCERT/CCは、国内、約600か所、約2,000の
端末で感染を確認（5/14現在）
WannaCry

View Slide

WannaCryの特徴

View Slide

• ワーム機能（自己増殖能力）
• Windowsのファイル共有SMBv1の脆弱性を悪用し他の
マシンへの感染を広める
• ローカルネットワークだけでなく、ランダムに生成した
インターネットのIPアドレスについても感染拡大を行う
WannaCryの特徴

View Slide

• NSAから漏洩したExploitコードを使用 (後で詳しく）
• SMBv1の脆弱性を突いて任意のコードを実行する
「EternalBlue」
• EternalBlueによって仕掛けられるバックドア
「DoublePulsar」
• The Shadow Brokersが2017年4月に公開した
Equation Group(NSAのハッキング集団）のツールに含
まれる
• マイクロソフトは2017年3月にMS17-10で修正パッチ
を公開済み
WannaCryの特徴

View Slide

• Kill Switchを実装 (後で詳しく）
• マルウェア内にハードコードされたURLに接続を試みる
• 接続が成功した場合、活動を停止
• 接続が失敗した場合、活動（拡散、暗号化）を継続
• 拡散開始当初は、URLが存在しなかった（ドメイン登録
されてない）ため、接続は必ず失敗。WannaCryは活動
を継続
• その後、セキュリティリサーチャがドメインを登録し、
SinkHoleに誘導する様にしたため、接続が成功し、
WannaCryは活動を停止するようになった
WannaCryの特徴

View Slide

• Blaster 2003年8月
• RPCインターフェイスの脆弱性 MS03-026 135/tcp
• 感染数 800万台～1600万台(Microsoftの推計による)
• Confiker 2008年11月
• Serverサービスの脆弱性 MS08-067 445/tcp
• 感染数 1700万台（Microsoftの推計による）
• WannaCry 2017年5月
• SMBv1の脆弱性 MS17-010 445/tcp
• 感染数 20万台～30万台
ワームとして過去最大ではない

View Slide

身代金の支払額は他のランサムウェアに比べ少ない
338件、14万ドル（約1500万円）
Lockyの1/80、Cerberの1/70
https://www.blackhat.com/docs/us-17/wednesday/us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

View Slide

他のランサムウェアは数ヶ月～数年に渡り活動
https://www.blackhat.com/docs/us-17/wednesday/us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

View Slide

• WannaCry(Beta)
• 2/12頃
• 暗号化の処理はWannaCry 2.0とほぼ同じ
• 被害は1組織のみ 100台以上が感染（Symantecによる *1）
• WannaCry 1.0
• 3月下旬から4月
• メールのリンクよりDropboxのファイルをダウンロードさせ感染
• ID:Passwordの辞書攻撃によりSMBの共有にアクセスし暗号化
• 少なくとも5組織が被害（Symantecによる *1)
• WannaCry 2.0
• 5/12
• SMBの脆弱性を悪用した攻撃（EternalBlue/DoublePulsar)によ
り拡散を行う
• 150カ国、20万台以上が感染
WannaCryには複数のバージョンが存在
一般的にWannaCryと呼ばれているものは、WannaCry 2.0
*1 https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group

View Slide

3月下旬には既にWannaCryと呼ばれていた

View Slide

View Slide

本発表でも
WannaCryといえば
WannaCry 2.0のことを
指します

View Slide

WannaCryで
使用された脆弱性

View Slide

• The Shadow Brokersが2017年4月にリークしたEquation
Group（NSAのハッキング部隊）の攻撃ツールセット
Fuzzbunchに含まれる
• EternalBlue
SMBv1の脆弱性を突いて任意のコードを実行する
• DoublePulsar
カーネルモードで動作するバックドア
マルウェアのダウンローダー
他の永続的なバックドアをインストールするのに使われる
EternalBlue／DoublePulsar

View Slide

https://blog.comae.io/the-shadow-brokers-cyber-fear-game-changers-d143796f560f
The Shadow Brokersのタイムライン

View Slide

• 2016年8月 TheShadowBrokersが活動開始
#1 "Equation Group Cyber Weapons Auction - Invitation"
ファイアウォール製品のExploitコードを無料サンプルとし
て公開
• 2017年1月8日 #7 “Windows Warez” Windows Exploitの
販売を発表。FuzzBunchなどが含まれる
• 2017年1月12日 #8 “Farewell Message” 活動停止を宣言
タイムライン抜粋

View Slide

• 1月～2月 NSAがMSに脆弱性の情報を伝える
（ワシントン・ポスト紙による)
• 2月14日 MSが月例パッチを延期
• 3月14日 MSがMS17-10のパッチを公開
• 4月14日
#11 "Lost in Translation“ Windows Exploitを公開
• 5月12日 WannaCry
タイムライン抜粋

View Slide

• 出品物のディレクトリ構造のスクリーンショット画像を公開
• 無料サンプルとしてファイアウォール製品（Cisco、
Juniper、Fortigate)の攻撃コードを公開
• 最も高い金額を入金した者が落札する
• 2番目以降の者には返金されない
• 入金の合計金額が100万BTC（当時約600億円）に達したら、
全員にツールを提供する
2016年8月 ShadowBrokersのオークション #1

View Slide

• このルールでオークションが成立するとは思えない
• 金銭目的ではなく、なんらかの政治的目的
2016年8月 ShadowBrokersのオークション #1

View Slide

1/8 FuzzBunchの価格 650BTC = 約3億円(当時）

View Slide

TheShadowBrokersの1月のメッセージ以降に
NSAがMicrosoftにEternalBlueについて伝える
(ワシントン・ポストによる）
https://arstechnica.com/information-technology/2017/05/fearing-shadow-brokers-leak-nsa-reported-critical-flaw-to-microsoft/

View Slide

マイクロソフトが2月の月例パッチを延期
直前に問題を発見したが更新までに解決に至らなかった

View Slide

3/15 にセキュリティ更新プログラムをリリース

View Slide

4/14 FuzzBunchを公開

View Slide

FuzzBunchにはEternalBlue/DoublePulsarだけでなく
数十のツールが含まれる

View Slide

View Slide

• MS17-010の脆弱性の存在をチェック
• MS17-010の脆弱性が存在する
• DoublePulsarが存在
 DoublePulsarを用いてWannaCry自身を送り込み感染させる
• DoublePulsarが存在しない
 EternalBlueを用いてDoublePulsarをインストール、
DoublePulsarを用いてWannaCry自身を送り込み感染させる
• MS17-010の脆弱性が存在しない
• DoublePulsarが存在
 DoublePulsarを用いてWannaCry自身を送り込み感染させる
WannaCry感染の流れ

View Slide

• 簡単に言えば
• DoublePulsarが存在すれば、DoublePulsarを用
いてWannaCryを送り込み感染
• DoublePulsarが存在しなければ、 EternalBlueを
用いてDoublePulsarをインストールし、
DoublePulsarを用いてWannaCryを送り込み感染

View Slide

• （WannaCryのコード上は） MS17-010の脆弱性が
存在しなくてもDoublePulsarが存在すれば
DoublePulsarを通じて感染
• WannaCryによってインストールされた
DoublePulsarは再起動することによって消滅

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
User mode
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
User mode
Eternalblue
SMB(445/tcp)

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
DoublePulsar
User mode
Eternalblue
SMB(445/tcp)

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
DoublePulsar
User mode
mssecsvc.exe
Launcher.dll
Injection
Eternalblue
SMB(445/tcp)

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
DoublePulsar
User mode
mssecsvc.exe
Launcher.dll
Injection
mssecsvc.exe
拡散処理
tasksche.exe
Drop
Eternalblue
SMB(445/tcp)

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
DoublePulsar
User mode
mssecsvc.exe
Launcher.dll
Injection
mssecsvc.exe
拡散処理
tasksche.exe
Drop
Kill Switch Check
応答があれば処理終了
Eternalblue
SMB(445/tcp)

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
DoublePulsar
User mode
mssecsvc.exe
Launcher.dll
Injection
mssecsvc.exe
拡散処理
tasksche.exe
Drop
Kill Switch Check
自身をサービス
MSSECSVC2.0 として登録
Eternalblue
SMB(445/tcp)

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
DoublePulsar
User mode
mssecsvc.exe
Launcher.dll
Injection
mssecsvc.exe
拡散処理
tasksche.exe
tasksche.exe
ランサムウェア処理
Drop
Kill Switch Check
Drop
Eternalblue
SMB(445/tcp)

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
DoublePulsar
User mode
mssecsvc.exe
Launcher.dll
Injection
mssecsvc.exe
拡散処理
tasksche.exe
tasksche.exe
Drop
Kill Switch Check
SMB scan(445/tcp)
拡散活動
Drop
Eternalblue
SMB(445/tcp)

View Slide

tasksche.exe
パスワード付き
ZIP 展開
パスワード
WNcry@2ol7
b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
u.wnry
taskdl.exe
taskse.exe
msg
フォルダ
デスクトップ壁紙
設定ファイル
身代金要求文
Torクライアント
ファイル暗号化機能DLL
復号ツール
一時ファイル削除ツール
復号ツール起動用
多言語の身代金要求文

View Slide

WannaCry以前に既にDoublePulsarの感染端末が多数
• Below0Dayの調査
• 4/21時点（ShadowBrokersによるリークの1週間後）で、 445/tcpが
オープンのホストが519万台。その内、全世界で5万6千台、日本で約
1,500台にDoublePulsarがインストールされていた
https://below0day.com/2017/04/23/doublepulsar-global-implants/

View Slide

https://below0day.com/2017/04/23/doublepulsar-global-implants/

View Slide

Below0Dayの調査では4/21時点で日本国内に既に約1500台の
DoublePulsarの感染が確認されたが、
その後もEternalblueを使用した445/tcpへのアクセス数は増えていた
Below0Dayの調査 WannaCry

View Slide

• WannaCryのコード上は、MS17-010が適用済みでも、
DoublePulsarが存在すれば感染する
• IPA、JPCERTなどの注意喚起では、MS17-010の適用を呼び
かけるのみで、DoublePulsarに関する注意喚起はされてい
ない
• アンチウイルスベンダーでもDoublePulsarに関する注意喚
起を出したところは少ない

View Slide

• MS17-010適用時に再起動すれば、メモリ上の
DoublePulsarは消滅する
• MS17-010が適用済みで、 DoublePulsarが存在するケース
が実際にあるかどうかは不明
• MS17-010以外の脆弱性でDoublePulsarをインストールさ
れる可能性や、永続的なDoublePulsarが存在する可能性も
ない訳ではない
• 一度でもDoublePulsarが存在したマシンではDoublePulsar
により他のバックドアを仕掛けられている可能性

View Slide

DoublePulsarの感染数はWannaCryを境に減少
結果的に危険なバックドアが塞がれることに
https://blog.shodan.io/analyzing-post-wannacry-smb-exposure/
WannaCry

View Slide

EternalBlueの悪用はWannaCryが最初ではない
WannaCry以前の４月下旬から、少なくとも３つのグループが
EternalBlueを使った攻撃を行っていた。
https://blog.secdo.com/multiple-groups-exploiting-eternalblue-weeks-before-wannacry

View Slide

WannaCryは
Windows XPを狙ったものか？

View Slide

• MS17-10の脆弱性は、XP以降のOS全てに存在
• Windows XP / Windows Vista / Windows 7 / Windows 8 / Windows 8.1 / Windows 10
• Windows Server 2003 / Windows Server 2008 / Windows Server 2008 R2 / Windows
Server 2012 / Windows Server 2012 R2 / Windows Server 2016
• 脆弱性が存在する ≠ Exploit（攻撃）が成功する
MS17-010の脆弱性

View Slide

WannaCryに関する報道

View Slide

5/15「WindowsXPの脆弱性に付け込んだサイバー攻撃」

View Slide

5/15「XPの脆弱性、WannaCryが狙う」

View Slide

5/16「今回狙われたWindowsXP」

View Slide

5/17「WannaCryはWindows XPの脆弱性を突いたワームだ」

View Slide

6/15 米下院の公聴会で、シマンテックのCTOが、
WannaCryの初期大量感染時には、XPのパッチが提供されていなかった
その後、XPのパッチがリリースされたため感染は収束したと証言
https://www.emptywheel.net/2017/06/19/the-outdated-xp-testimony-to-congress/

View Slide

• WannaCryに大量感染した英医療機関NHSで、
９割のコンピュータがXPだったという報道
• マイクロソフトがXPに例外的な緊急パッチを提供
WannaCryはXPを狙ったものとの報道

View Slide

英国民保険サービス NHS（National Health Service）
英国の病院の大半はNHSに所属

View Slide

5/13 NHSの9割のコンピュータがXPを使い続けていた

View Slide

5/17 NHK 時事公論

View Slide

「イギリスの国営病院もウィンドウズXPを使い続けていた」

View Slide

9割がXPという報道の直後、5/13にNHSがプレスリリース
https://digital.nhs.uk/article/1493/UPDATED-Statement-on-reported-NHS-cyber-attack-13-May-

View Slide

• 実際にはWindows XPの台数は4.7％
• これらはMRIなど高額なため直ぐは更新出来ない
もので、ネットワークから隔離する等のリスク軽
減措置が取られている
5/13 NHSのプレスリリース

View Slide

2016年のCitrixの調査
1台でもXPが存在すると回答した病院が9割
台数ベースで9割ではない
https://www.theinquirer.net/inquirer/news/2479315/90-per-cent-of-nhs-trusts-are-still-running-windows-xp-machines

View Slide

• 医療機器の場合、制御するPCのOSも含め
て、人体に影響がないことの認定を受けて
いる
• OSだけ勝手にバージョンアップする訳には
いかない
• MRIは１台数億円。簡単にリプレースは出
来ない

View Slide

• 実際には、台数ベースでXPは4.7%
• 1台でもXPが存在する病院が9割という2016年の
調査結果を読み違えて報道
• XPが9割という英国での報道の直後にNHSがプレ
スリリースを発表
• 日本では訂正報道はなし
• それどころか、その後も「NHSではXPが大量に使
われていた」と報道
英医療機関NHSで９割がXPだったという報道は誤報

View Slide

MicrosoftのWannaCryに関する技術解説書
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

View Slide

MSもXPがWannaCryに感染するとは明確には言っていない
(or earlier OS)の部分が唯一、XPにも影響があることを示唆

View Slide

緊急パッチは、Windows XP、Windows 8、Server 2003に提供
(or earlier OS)には入らないWindows 8(2012年リリース）
にも緊急パッチが提供されている
＝＞緊急パッチは必ずしもWannaCryの為だけではない

View Slide

• 実験環境でXPへのSMB経由の感染を再現できない
• ハニーポットにXPを設置しても感染しない
• BSOD(Blue Screen of Death)を繰り返すのみ
• Kaspersky及びSophosは、感染端末の98％が
Windows 7と発表
WannaCryはXPを狙ったものか？

View Slide

View Slide

Windows 10 が 0.03%
Windows 10は影響ないはずだが？

View Slide

Windows 10 が 0.03%
Windows 10は影響ないはずだが？
テスターが手動で感染せさた

View Slide

XPの感染はテスト目的で手動で感染させたもののみ
https://arstechnica.com/information-technology/2017/05/windows-7-not-xp-was-the-reason-last-weeks-wcry-worm-spread-so-widely/

View Slide

Sophosも感染の98%がWindows7と発表
https://nakedsecurity.sophos.com/ja/2017/05/25/wannacry-the-rush-to-blame-xp-masked-bigger-problems/

View Slide

検証環境のテストでもXPにはSMB経由で感染しない
https://blog.kryptoslogic.com/malware/2017/05/30/two-weeks-later.html

View Slide

WannaCryの検体を手動で実行させれば、
XP、Win10を含めどのOSでも動作する

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
DoublePulsar
User mode
mssecsvc.exe
Launcher.dll
EternalBlue Injection
mssecsvc.exe
拡散処理
tasksche.exe
tasksche.exe
Drop
Kill Switch Check
SMB scan(445/tcp)
拡散活動
Drop
SMB(445/tcp)

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
User mode
WindowsXPの場合

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
User mode
Eternalblue
SMB(445/tcp)
WindowsXPの場合

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
User mode
Eternalblue
SMB(445/tcp)
WindowsXPの場合
BSoD

View Slide

SMB Driver
SRV2.sys
Kernel mode
MS17-010
未適用
LSASS.exe
User mode
Eternalblue
SMB(445/tcp)
WindowsXPの場合
BSoD
EternalBlueの時点でブルースクリーン

View Slide

MS17-010の脆弱性はWindows XPにも存在するが、
WannaCryの実装では安定的に感染させることは出来ない
WannaCryの感染環境
OS SMB経由での感染状況
Windows 7
Windows Server 2008 R2
感染（拡散、暗号化）
Windows XP
Windows Vista
Windows Server 2003
感染しないが
ブルースクリーン（DoS）
Windows 8.1
Windows 10
Windows Server 2012
感染しない

View Slide

感染するのはWin7,2008 R2 Serverのみ
それより古いOSはブルースクリーン
新しいOSは感染しない

View Slide

EternalBlueをWindows 10対応にポーティング
Exploitコードは未公開
https://www.risksense.com/_api/filesystem/466/EternalBlue_RiskSense-Exploit-Analysis-and-Port-to-Microsoft-Windows-10_v1_2.pdf

View Slide

• MS17-010の脆弱性はWindows XP以降の全て
のOSに存在する
• 脆弱性が存在する ≠ 攻撃コードが対応
• FuzzBunchのEternalBlueは、WindowsXP、
Windows7、Windows Server 2008R2に対応
• WannaCryの実装では、Windows7、Windows
Server 2008R2のみに対応
• EternalBlueをWindows10に対応させたとの報
告もある

View Slide

• WannaCryに大量感染した英医療機関NHSで、
９割のコンピュータがXPだったという報道
 誤報実際にはXPは、4.7%
• マイクロソフトがXPに例外的な緊急パッチを提供
 潜在的な脅威に対応
 XPに対応したWannaCry亜種や別のマルウェア
が出現する可能性
WannaCryはXPを狙ったもの？

View Slide

• ブルースクリーン（DoS）だけでも大きな被害
⁻ 医療機器や工場設備が止まる可能性
• XPに対応したWannaCry亜種や別のマルウェアが
出現する可能性
XP/2003向けに緊急パッチを出したのは
無駄だったのか？

View Slide

• XPを狙ったものと騒ぎすぎたために
• WannaCryは、XPにしか感染しないという誤
解を生じさせてしまった
初期段階でXPに対しても注意喚起を出すのは
間違いではなかったが

View Slide

View Slide

• XPを狙ったものと騒ぎすぎたために、WannaCry
は、XPにしか感染しないという誤解を生じさせて
しまった
• その結果、マイクロソフトが3月にXP向けの
MS17-010のパッチを提供しなかった事や、
• 企業やユーザがサポート切れのXPを使い続けてい
たことに批判が向けられ

View Slide

View Slide

• その結果、マイクロソフトが3月にXP向けの
MS17-010のパッチを提供しなかった事や、企
業やユーザがサポート切れのXPを使い続けてい
たことに批判が向けられ
• 2ヶ月前に提供済みのパッチが未適用の
Windows7/Windows Server 2008R2がイン
ターネット上にSMB（445ポート）をオープン
で晒されている問題への注目が薄れてしまった

View Slide

問題はサポート切れのOSを
使い続けていることではなく
パッチが提供されているのに
適用されていないことだった

View Slide

WannaCryが
Windows XPには感染しない理由

View Slide

その前に
さまざまな噂、勘違い

View Slide

• ShadowBrokersが公開したのは、 Win32の実
行ファイル(.exe)のみ
• Eternalblue／DoublePulsarのソースコードは流
出していない
WannaCryには、Eternalblue／DoublePulsar
のソースコードが流用された？

View Slide

WannaCryには、Metasploitのコードが流用された？
• 4月下旬にMetasploitの
eternalblue_doublepulsar.rb モジュールが公開
されている
• 5/12以前に、MetasploitによるEternalblueの
Exploit動画がYoutube,Twitterなどに多数公開さ
れている
• Twitter上にも、MetasploitのコードがWannaCry
に流用されたとの言説が多数

View Slide

4/24 Metasploitのeternalblue/doublepulsarモジュールを公開

View Slide

eternalblue_doublepulsar.rb のRubyのソース

View Slide

WineでEternalblue/DoublepulsarのPE32を実行
Wine： Linux/Macなどで仮想マシンなどを使わずにWindowsアプリを実行するソフト

View Slide

5/14 Wineを使用せず、すべてRubyで実装されたMetasploitモジュール
ms17_010_eternalblue.rb を公開（Win7/2008のみ対応）

View Slide

WannaCryには、Metasploitのコードが流用された？
• 4月下旬に公開されたMetasploitモジュールは、
Wineで、Eternalblue/DoublepulsarのWin32実
行ファイルを実行
• リバースエンジニアリングにより、すべてRuby
で実装されたMetasploitモジュールの公開は、
WannaCry出現の2日後の5/14

View Slide

Endgameの技術解説にも公開当初
MetasploitからSMB Exploitが用いられたと書かれていた

View Slide

良く書かれた技術解説だったため多くの人に読まれた
そのため、 Metasploitのコードが流用されたとの誤解が広がった

View Slide

Metasploit開発者などからの抗議を受け、サンプル疑似コードと修正

View Slide

FuzzBunchでのEternalblueの実行

View Slide

FuzzBunchからEternalBlueを実行

View Slide

EternalBlue自体はXPに対応しているが
ターゲットのOSを選択する必要がある

View Slide

FuzzBunchのEternalblueはXPにも対応
但し、ターゲットOSの選択で
XP or WIN7W2K8R2
を選択する必要がある

View Slide

WannaCryの特徴的な動作

View Slide

WannaCryは、ハードコードされた２つのIPアドレス
192.168.56.20、172.16.99.5 への接続を行う
https://securingtomorrow.mcafee.com/mcafee-labs/analysis-wannacry-ransomware/

View Slide

ハードコードされた２つのIPアドレスで振る舞い検知

View Slide

セキュリティリサーチャKrypt3ia氏のブログ
https://krypt3ia.wordpress.com/2017/05/16/wannacrypt0r-roundup/

View Slide

MetasploitのEternalBlueモジュール開発者ZeroSum0X0氏の
4月下旬のGithubへのポストにWannaCryにハードコードされたものと
同じIPアドレスがあることを見つける

View Slide

このポストは、その前に投稿されたFuzzbunchによる
EternalBlueのパケットキャプチャを解説したもの

View Slide

5/19 RiskSense(zerosum0x0氏が勤務）
からKrypt3ia氏への回答

View Slide

• EternalBlueのパケットキャプチャは、Metasploitモジュール開発の
研究の一環として、他の研究者との情報共有やフィードバックを得る
目的でGithubに投稿された
• そのデータが悪意ある者により利用された可能性がある
• パケットキャプチャに含まれていたIPアドレス
（192.168.56.20,172.16.99.5）はラボ環境のIPアドレス
• EternalBlueの通信はどの環境でキャプチャしても同じものになる。
攻撃者は調査の手間を省くため、たまたまそのpcapを使ったに過ぎな
い
• 今後も、他の者に悪用される可能性があるため、Githubの問題のキャ
プチャデータは削除する
• MetasploitのコードがWannaCryに流用されたことはないと考える
RiskSenseからKrypt3ia氏への回答

View Slide

Githubに投稿されたパケットキャプチャには
ラボ環境でExploitのターゲットとして使用されたIPが含まれていた

View Slide

zerosum0x0氏も「WannaCryはFuzzBunchの
トラフィックのレコーディングが用いられている」とコメント

View Slide

WannaCryのEternalBlue/DoublePulsar
部分は、Metasploit開発者がGithubに公
開したFuzzBunchのパケットキャプチャ
を再現する形で開発されている
ハードコードされた２つのIPアドレスに
接続するのはそのため

View Slide

FuzzBunchのEternalblueはXPにも対応
但し、ターゲットOSの選択で
XP or WIN7W2K8R2
を選択する必要がある

View Slide

公開されたパケットキャプチャは
Win7/2008R2をターゲットとしたもの
よって、WannaCryはXPでは
Exploitが成功しない

View Slide

zerosum0X0氏は、EternalBlue/Doublepulsar研究の
第一人者であるため、犯人はその動向を追っていた？

View Slide

zerosum0x0氏の解説（現在は削除）に、
「Also,SMB1 NT Trans request packet is needed」
と書いてあったので、この部分を残したのではないか？

View Slide

• The Shadow BrokersはEternalBlue/DoublePulsarの
ソースコードは公開していない
• 4月下旬に公開されたMetasplotモジュールは
EternalBlue/DoublePulsarのPE32をWineで実行
• 100%Rubyで実装したMetasplotモジュールはWannaCry
出現 (5/12)後の5/14に公開
• よって、Metasploitのコードが流用されたのではない
WannaCryにはMetasploitのコードが流用されたのか？

View Slide

• WannaCryのEternalBlue/DoublePulsar部分は、
Metasploit開発者がGithubに公開したFuzzBunchのパ
ケットキャプチャを再現する形で開発されている
• WannaCryがハードコードされた２つのIPアドレス
（192.168.56.20,172.16.99.5）に接続するのは、
Githubに公開したパケットキャプチャにラボ環境のIPアド
レスが含まれていたため
• このパケットキャプチャは、Win7/2008R2をターゲット
したもの。MetasploitのEternalBlueモジュールも
Win7/2008R2のみに対応
• よって、WannaCryはXPではExploitが成功しない
WannaCryがXPに感染しない理由

View Slide

WCry/WanaCry Ransomware Technical Analysis
https://www.endgame.com/blog/technical-
blog/wcrywanacry-ransomware-technical-analysis
WannaCry: Two Weeks and 16 Million Averted Ransoms
Later
https://blog.kryptoslogic.com/malware/2017/05/30/two
-weeks-later.html
WannaCrypt0r Roundup
https://krypt3ia.wordpress.com/2017/05/16/wannacrypt
0r-roundup/
参考資料

View Slide

WannaCryの概要・使用された脆弱性 #ssmjp /ssmjp1710-2

WannaCryの概要・使用された脆弱性 #ssmjp /ssmjp1710-2

Takuji Kitagawa

More Decks by Takuji Kitagawa

Other Decks in Technology

Featured

Transcript