$30 off During Our Annual Pro Sale. View Details »

WannaCryのKill Switch、亜種 #ssmjp /ssmjp1710-3

WannaCryのKill Switch、亜種 #ssmjp /ssmjp1710-3

Takuji Kitagawa

December 28, 2017
Tweet

More Decks by Takuji Kitagawa

Other Decks in Technology

Transcript

  1. WannaCryの
    Kill Switch、亜種
    @kitagawa_takuji

    View Slide

  2. #ssmjp 2017/10 #1
    https://ssmjp.connpass.com/event/68090/
    で使用したスライドの一部です

    View Slide

  3. Kill Switch

    View Slide

  4. • マルウェア内にハードコードされたURLに接続を
    試みる
    • 接続が成功した場合 活動を停止
    • 接続が失敗した場合 活動(拡散、暗号化)を
    継続
    • 拡散開始当初は、URLが存在しなかった(ドメイ
    ン登録されてない)ため、接続は必ず失敗。
    WannaCryは活動を継続
    KillSwitch

    View Slide

  5. • その後、セキュリティリサーチャMalwareTech氏
    がドメインを登録し、自らが管理するSinkHoleに
    誘導する様にしたため、接続が成功し、
    WannaCryは活動を停止するようになった
    • これにより新規の感染が大幅にスローダウンし沈
    静化
    • SinkHoleには2週間で72万のユニークなIPアドレ
    スからのアクセス
    • 既にWannaCryに感染している端末の活動を止め
    る事はできない
    KillSwitch

    View Slide

  6. • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/12
    • www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/14
    • www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com 5/15
    • www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/15
    • www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com 5/15
    確認されているKillSwitch(5月末現在)

    View Slide

  7. http://www.pandasecurity.com/mediacenter/src/uploads/2017/05/1705-Informe_WannaCry-v160-en.pdf
    KillSwitchのURLへの接続が成功すると処理終了

    View Slide

  8. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Eternalblue
    SMB(445/tcp)
    Kill Switchが有効な場合

    View Slide

  9. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch
    Check
    Eternalblue
    SMB(445/tcp)
    Kill Switchが有効な場合

    View Slide

  10. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch
    Check
    Eternalblue
    SMB(445/tcp)
    Kill Switchが有効な場合
    応答

    View Slide

  11. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch
    Check
    Eternalblue
    SMB(445/tcp)
    Kill Switchが有効な場合
    応答
    処理終了

    View Slide

  12. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch
    Check
    Eternalblue
    SMB(445/tcp)
    Kill Switchが有効な場合
    応答
    処理終了
    Kill Swicthが有効な場合、感染しても何も行わず処理終了

    View Slide

  13. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EterenalBlue injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    Kill Switchが有効な場合
    Kill Switch
    Check
    応答
    処理終了

    View Slide

  14. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EterenalBlue injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    Kill Switchが有効な場合
    Kill Switch
    Check
    応答
    処理終了

    View Slide

  15. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EterenalBlue injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    Kill Switchが有効な場合
    Kill Switch
    Check
    応答
    処理終了

    View Slide

  16. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EterenalBlue injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    Kill Switchが有効な場合
    Kill Switch
    Check
    応答
    処理終了

    View Slide

  17. • KillSwitchを参照するのは感染直後の1度のみ
    • KillSwitchから応答があればプログラムを終了する
    • 定期的に参照(ポーリング)している訳ではない
    • KillSwitchへの接続が切れると活動を再開するとい
    うことはない
    • 既に感染した(拡散処理、暗号化処理が開始され
    ている)PCの活動を止めることは出来ない
    KillSwitch

    View Slide

  18. • 既に感染したマシンの活動を止めることは出来ない
    が、感染から24時間経てばSMBでの拡散活動は停
    止する
    • 既に感染したマシンが再起動されるとKillSwitchを
    参照し、応答がなければ、スキャンを24時間継続す
    る(mssecsvc.exeがサービス登録されているた
    め)

    View Slide

  19. • KillSwitchはProxyに対応していない
    • 企業などProxy経由でないとWebアクセス出来ない
    場合、KillSwitchが機能しない
    • セキュリティ製品でSinkHoleへのアクセスをブロッ
    クしている場合も、KillSwitchが機能しない
    Proxyには非対応

    View Slide

  20. • KillSwitchのドメインへのProxyを経由しないアク
    セスを一時的に許可するように設定を行う
    • 内部向けDNSで、KillSwitchのドメイン名に内部
    WebサーバのIPアドレスを設定する
    • KillSwitchに接続するのは感染直後の1回のみなので
    専用のWebサーバを用意する必要はない(負荷は小
    さい)
    • インターネットから遮断されている環境でも、内部
    向けKillSwitchを設定すれば、KillSwitchは機能す

    Proxy経由でしかWebアクセスできない組織の対応

    View Slide

  21. 『ワナクライに感染したパソコンの場合、インターネットにつながって
    いる限りはキルスイッチが動作し、破壊が止まっている状態となってい
    る。そういう状態からネット接続を切り離すと、そのパソコンはたちま
    ち暗号化されることとなる。』
     KillSwitchのチェックは感染直後の一度のみ
     KillSwitchのチェックをして応答が返れば何も行わずプログラム
    終了
     定期的にチェックしている訳ではない
     ネット接続を切り離すと暗号化が再開されることはない
    『ワナクライに感染しているかもしれないパソコンを抱えている組織に
    おいては、「動作しているキルスイッチ」を止めないように、場合に
    よってはインターネットへの接続を確保しながら作業をするなど気を付
    けて対応を行ったところもある。』
     KillSwitchでは既に感染したPCの活動を止めることは出来ない
     感染端末はネットから切り離すのが正しい処置
     インターネットから遮断されている環境では、内部向け
    KillSwitchを設定するのが有効
    よくある誤解(実際の解説記事より)

    View Slide

  22. Kill Switch
    の目的は?

    View Slide

  23. • 拡散し過ぎて制御が効かなくなった場合の最終停止手段
    • 本来の意味のキルスイッチ
    • 犯人自身がドメインを取得していないと制御出来ない
    • 誰かがドメイン取得して停止してくれることを期待?
    • 特定の国や地域への感染を避ける
    • 接続元IPアドレスにより、応答・無応答を判断
    • 通常は、言語設定、キーボードなどで判断
    • 犯人自身がドメインを取得していないと制御出来ない
    • Sandboxによる解析回避
    • 最も有力な説
    KillSwitchの目的は何か?

    View Slide

  24. • 実環境では存在しないドメインに接続しても応答が返らない
    が、Sandbox環境では存在しないドメインでも偽の応答を
    返す(ものが多い)ので、解析回避のために動作を停止する
    • WannaCryが最初ではない。同じような仕組みはNecurs
    trojanでも使用
    • Necursでは5つのランダムなドメインの名前問い合わせを
    行い、同じIPアドレスが返れば終了
    • Necursではランダムに生成したドメインだが、WannaCry
    ではプログラム内にハードコードされたドメインを使用して
    いたため、ドメイン登録することにより全世界で活動停止
    Sandboxによる解析回避

    View Slide

  25. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EternalBlue Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch Check
    応答があれば処理終了
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    WannaCryはネットワーク感染なので
    サンドボック製品の検査対象にならない?
    サンドボッ
    クス製品の
    対象外
    ドロップされたファ
    イルをローカル又は
    クラウドでサンド
    ボックス検査

    View Slide

  26. Kill Switch
    発見の経緯

    View Slide

  27. KillSwitch発見の経緯
    https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

    View Slide

  28. Marcus Hutchins氏(MalwareTech)
    Kryptos Logicでマルウェアリサーチャー

    View Slide

  29. Botnet TrackerなどをMalwareTechとして作成

    View Slide

  30. • WannaCryのサンプルを入手し動的解析した結果、あるド
    メインへのDNS問い合わせが発生していることを発見
    • 登録されていないドメインであったため、通常業務の一環
    としてドメイン登録し、Sinkhole化する
    • この時点では、ドメインがどのような役割を果たすのかわ
    からなかった
    • Sinkhole化し通信を監視することで感染数などの観測が出
    来るのではと考えた
    Kill Switch発見の経緯

    View Slide

  31. • C&CサーバへのDNS問い合わせに対し、他のIPアドレス
    を返すことによりクライアントが不正なC&Cサーバに接
    続するのを防止する
    • 過去にC&Cサーバとして使用されたドメイン名でExpire
    したドメイン名を取得しリクエストを観測することによ
    り、マルウェアに感染した企業・組織を検出する
    • マルウェアの通信内容を観測する
    Sinkholeとは?

    View Slide

  32. 5/13 0:35(日本時間) 可視化できた!

    View Slide

  33. SinkHole化したことでWannaCry感染端末のIPアドレスが判明

    View Slide

  34. Kill Switchが有効になったのは、
    5/12 15:28頃(日本時間 5/12 23:28頃)

    View Slide

  35. Domain name: IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
    Registry Domain ID: 2123519849_DOMAIN_COM-VRSN
    Registrar WHOIS Server: whois.namecheap.com
    Registrar URL: http://www.namecheap.com
    Updated Date: 2017-06-22T16:05:38.00Z
    Creation Date: 2017-05-12T15:08:04.00Z
    Registrar Registration Expiration Date: 2023-05-12T15:08:04.00Z
    Registrar: NAMECHEAP INC
    Registrar IANA ID: 1068
    Registrar Abuse Contact Email:
    Registrar Abuse Contact Phone: +1.6613102107
    Reseller: NAMECHEAP INC
    Domain Status: clientTransferProhibited
    https://icann.org/epp#clientTransferProhibited
    Domain Status: renewPeriod https://icann.org/epp#renewPeriod
    Registry Registrant ID:
    Registrant Name: WhoisGuard Protected
    Registrant Organization: WhoisGuard, Inc.
    Registrant Street: P.O. Box 0823-03411
    Registrant City: Panama
    Registrant State/Province: Panama
    Registrant Postal Code:
    Registrant Country: PA
    Whois
    ドメイン登録 5/12 15:08(日本時間 5/12 23:08)

    View Slide

  36. 5/13 01:15 WannaCryのLive感染マップを作成

    View Slide

  37. これを作るのが目的だった

    View Slide

  38. • 同僚から、ドメインを登録したことによって、ファイル
    の暗号化が加速することになったのではと疑われる
    • Malware研究者のKafeine氏に相談したところ、次のツ
    イートを示された
    Kill Switch発見の経緯

    View Slide

  39. 5/13 2:29 MalwareTech氏が登録したドメインがKill Switchであることを最初に発見したのは
    Darien Huss氏(Proofpoint)

    View Slide

  40. 5/13 3:23 Darien Huss氏のツイートを見て
    「あるアナリストがドメインをシンクホールしたことで感染がストップした
    と言っているが、誰か確認できた人いる?」とまだ信用していない様子

    View Slide

  41. • ドメインを登録してシンクホールしたのは
    MalwareTech氏だが、そのドメインが
    KillSwitchであることを最初に発見し報告した
    のはDarien Huss氏
    KillSwitchを発見したのはMalwareTech氏か?

    View Slide

  42. WannaCry Infection Mapで日本も被害が出ていると話題になったが
    KillSwitchへの接続が成功しているため実際には被害は出ていない

    View Slide

  43. WannaCryの出現は
    いつ頃か?

    View Slide

  44. http://blog.talosintelligence.com/2017/05/wannacry.html
    Cisco Umbrella(Open DNS)の観測によると、KillSwitchドメインへの接続は、
    7:24UTC(日本時間16:24)より観測されている

    View Slide

  45. Symantecの観測によると、WannaCryの脆弱性悪用の件数は
    8:00GMT(日本時間17:00)より急増
    https://www.symantec.com/connect/ja/blogs/wannacry-1

    View Slide

  46. Goolgeで”wana decrypt0r”の最初の検索
    6:18GMT(日本時間15:18)

    View Slide

  47. Wanna Decrptor 1.0
    Wana Decrypt0r 2.0
    ”wana decrypt0r”の文字列は2.0で初めて出現

    View Slide

  48. Goolgeで”wana decrypt0r”の最初の検索は、被害者(又は犯人)の可能性
    6:18GMT(日本時間15:18)

    View Slide

  49. VirusTotalへのFirst submission(ランサムウェアモジュール)
    7:31GMT(日本時間16:31)

    View Slide

  50. VirusTotalへのFirst submission(拡散モジュール)
    8:57GMT(日本時間17:57)

    View Slide

  51. 最初のBitcoinの支払い
    11:07GMT(日本時間20:07)

    View Slide

  52. • 5/12 15:18
    ”wana decrypt0r”文字列の最初のGoogle検索(台湾)
    • 5/12 16:24
    登録されていないドメイン
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    への最初のDNS問合せの観測(Cisco Umbrella)
    • 5/12 16:31
    VirusTotalへの最初の検体アップロード
    • 5/12 20:00頃
    脆弱性悪用の急増(Symantec)
    • 5/12 20:07
    最初のBitcoinの支払い
    タイムライン(日本時間)

    View Slide

  53. • 5/12 23:08
    MalwareTech氏によりドメイン登録
    • 5/12 23:28
    SinkHole化
    • 5/13 01:12
    MalwareTech氏によりWannaCry Trackerが公開
    • 5/13 02:29
    Darien Huss氏がSinkHole化されたドメインはKill
    Switchであることをツイート
    タイムライン(日本時間)

    View Slide

  54. • WannaCryの出現から半日以内にKill Switchのドメイン
    がシンクホール化
    • シンクホール化から約3時間後にKill Switchであることが
    判明
    • Kill Switchの有効化により新規の感染が激減(正確には
    感染しても活動しない)
    • 既に感染したマシンも24時間後にはSMBスキャンを停止
    するため、5/13中にはほぼ沈静化
    タイムライン(日本時間)

    View Slide

  55. かなり早い段階で
    Kill SwitchがSinkHole化
    されたことが
    感染拡大の防止に
    大きく役立った

    View Slide

  56. KillSwitchへのDDoS

    View Slide

  57. Kill SwitchへのDDoS

    View Slide

  58. Passive DNS

    View Slide

  59. 5/24 DDoS対策としてCloudFlareのCDNを導入

    View Slide

  60. ヒーローとなったご褒美で会社負担でラスベガス旅行(BlackHat,Defcon)
    別のマルウェア(Kronos)の開発、配布容疑でFBIに逮捕
    無罪を主張し裁判中
    http://japanese.engadget.com/2017/08/04/wannacry-fbi/
    https://pc.watch.impress.co.jp/docs/news/yajiuma/
    1074352.html

    View Slide

  61. 異なるKill Switchのドメインの亜種

    View Slide

  62. 5/14 21:19 異なるKill Switchのドメインの亜種を検出

    View Slide

  63. in the wildで確認されているもの
    • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    • www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    • www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
    in the wildでは確認されていないが検体が確認されているもの
    • www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    • www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com
    • 桁数が全て同じ、共通する部分が多い
    • ソースを修正してリコンパイルしたのではなく、バイナリ
    にパッチを当てた可能性
    確認されているKill Switchのドメイン(5月末現在)

    View Slide

  64. www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com
    Suiche氏のWannaCryとLazarus
    (北朝鮮のハッカー集団)の類似性
    の指摘のツイートの2時間半後に出現
    ジョークなのか、嫌がらせなのか?

    View Slide

  65. Kill Switchが無効にされた亜種

    View Slide

  66. • 5月下旬よりKill Switchのチェックが無効にされ、かつラ
    ンサムウェア(暗号化)機能が無効にされたWannaCry
    の亜種が観測されるようになった
    • 6月中旬。ホンダ、日本マクドナルド、ウエルシア薬局な
    どで、工場やPOSレジが停止するなどの被害が出る
    • 海外では、オーストラリアの速度違反カメラがKillSwitch
    のないWannaCry亜種の被害にあい、XPが再起動を繰り
    返す
    Kill Switchが無効にされた亜種

    View Slide

  67. http://itpro.nikkeibp.co.jp/atcl/ncd/14/379244/062900072/

    View Slide

  68. オーストラリアの速度違反カメラ
    http://cameracommissioner.vic.gov.au/wp-content/uploads/2017/07/Interim_report-
    Victorian_road_safety_camera_network_virus_infection-6_July_2017.pdf

    View Slide

  69. 当初の報道「USBメモリから感染した」
    https://news.mynavi.jp/article/20170628-a059/

    View Slide

  70. • 6/6にシステムがクラッシュすることで異変に気付く
    • 6/6以前のどこかでWannaCry亜種が、スピードカメラの
    ネットワークに感染。感染の方法は明らかではない。
    • 計110台のWindows7が感染。それらが内部に拡散を続
    けた結果、WindowsXPがクラッシュを続ける。
    • 身代金要求文の画面表示なし、ファイルも暗号化されて
    いない。Windows XPは感染していないが、クラッシュ、
    再起動を繰り返した。
    オーストラリアの速度違反カメラ

    View Slide

  71. Kill Switchが無効にされた亜種
    出現の経緯

    View Slide

  72. 誤 報

    View Slide

  73. 5/14 6時 KillSwitchのない亜種が出現したとの情報が広がる
    日本でもかなり拡散され話題になっていた

    View Slide

  74. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EternalBlue Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch Check
    応答があれば処理終了
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    WannaCryの2つの検体
    検体① 拡散処理
    検体② ランサムウェア処理
    ランサムウェア処理を行う検体はKillSwitchのチェックを行わない

    View Slide

  75. • WannaCryの検体は、SMBによる拡散を行う部分とランサ
    ムウェア処理を行う部分に別れる
    • ランサムウェア処理を行う検体はKillSwitchのチェックを
    行わない
    • ランサムウェア処理を行う検体を単独で実行しても、ラン
    サムウェア処理(ファイル暗号化、脅迫画面)は実行され

    • ランサムウェア処理を行う検体のみを実行して、
    Kill Switchのチェックを行わない亜種だと誤認している人
    が多数
    Kill Switchのない亜種

    View Slide

  76. KasperskyのCostin Raiu氏が
    「KillSwitchのない亜種が出現した」とThe Hacker Newsに語る
    https://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

    View Slide

  77. 5/14 11:49

    View Slide

  78. 5/14 20:33 Costin Raiu氏による訂正のツイート
    「Kill Switchのないバージョンはなかった」

    View Slide

  79. KillSwitchのチェックを行わないのは
    拡散を行わないランサムウェアのペイロードの方だった

    View Slide

  80. The Hacker Newsでは
    Twitter、記事とも訂正なし

    View Slide

  81. KillSwitchのない亜種が出現した
    との誤報により
    KillSwitchによる緩和策を
    行っても無意味との
    誤解が生じた可能性

    View Slide

  82. VirusTotal上での出現

    View Slide

  83. 5/14 23:19 バイナリにパッチを当てることにより
    KillSwitchを無効化した検体が確認される

    View Slide

  84. ランサムウェア機能が無効にされている

    View Slide

  85. ハニーポットなどでin the wildで捕獲されたものではなく、
    VirusTotalからYARAルールでのマッチングで取得されたもの

    View Slide

  86. https://virustotal.com/en/file/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd/analysis/
    VirusTotalにUploadされたのは、5/14 22時頃(日本時間)

    View Slide

  87. 5/17のWebセミナー
    の資料
    5/17時点でKill Switchを無効化した亜種のin the wildでの観測なし
    https://www.slideshare.net/KasperskyLabGlobal/how-to-protect-your-business-from-wannacry-ransomware

    View Slide

  88. パッチを当てることによりKillSwitchが無効化されている
    https://www.renditioninfosec.com/2017/05/wanacrypt0r-worm-with-kill-switch-patched-out/

    View Slide

  89. Kill SwitchのURLがNull(0x00)で埋められている

    View Slide

  90. • KillSwitchがなく、ランサムウェア機能が無効にされた
    WannaCryは、初期の大量感染の2日後の5/14には既に
    報告されている
    • ハニーポットなどでin the wildで捕獲されたものではな
    く、VirusTotalからYARAルールでのマッチングで取得さ
    れたもの
    • KillSwitchの無効化は(ソースコードからリコンパイルし
    たのではなく)バイナリにパッチを当てることにより行
    われている
    • ランサムウェア機能の圧縮ファイルの展開に失敗するた
    めランサムウェア機能は動作しない。SMBの脆弱性を用
    いた拡散機能は動作する
    Kill Switchが無効化された亜種

    View Slide

  91. • 週明け前で企業でのパッチ適用が進んでいない時点でもあ
    り、KillSwitchが無効なら爆発的な拡散が予想されたが、
    その後3日程経ってもin the wildで確認されなかった
    • そのため、どこかの研究者がジョークでVirusTotalに上げ
    たものではと言われていた
    Kill Switchが無効化された亜種

    View Slide

  92. どんな意図があるかは分からないが
    亜種を作って
    VirusTotalにUPする人達が
    存在する

    View Slide

  93. in the wildでの出現

    View Slide

  94. 5/17 パッチを当てたWannaCryがhoneypotで捕獲された

    View Slide

  95. KillSwitchドメインのチェックを行うが結果を無視する

    View Slide

  96. • 5/14のmsuiche氏の検体は、URLがNullで埋めら
    れておりドメインのチェック自体を行わない
    • 5/17のsmgoreli氏の検体は、ドメインのチェッ
    クを行うが、結果を無視する
    Kill Switchが無効化された亜種の違い

    View Slide

  97. https://twitter.com/GossiTheDog/status/864871408119283712
    5/18 KillSwitchがなく、ランサムウェア機能が無効にされた
    検体をSMB honeypotで1分間に800件検出

    View Slide

  98. https://www.virustotal.com/en/file/dbf3890b782ac04136c3336814eef97e3c0f4133f9592e882c131c179161b27b/analysis/
    VirusTotalにUploadされたのは、5/16 5時頃(日本時間)

    View Slide

  99. VirusTotalにUploadされてから
    Honeypotで検出される様になるまで1日半程

    View Slide

  100. KillSwitchを無効化した
    WannaCry亜種について
    DoublePulsarの拡散が目的との説があるが

    View Slide

  101. セキュリティ製品などのテストを行っている英企業 MRG Effitas
    MRG(Malware Research Group)

    View Slide

  102. https://www.mrg-effitas.com/eternalblue-vs-internet-security-suites-and-nextgen-protections/
    WannaCryに対応済としている10のセキュリティ製品について
    Eternalblue/Doublepulsarによるshellcodeの実行をブロック出来るかのテスト

    View Slide

  103. 5/18時点でブロック出来たのは10製品中、2製品のみ、6/26時点で6製品
    MS17-010の公開は3/14、EternalBlueは4/14

    View Slide

  104. 2つの次世代エンドポイントプロテクション製品、1つのEDR(Endpoint Detection
    and Response)、1つのmicro-virtualization based solutionが検知できず

    View Slide

  105. • DoublePulsarの拡散が目的ならば、余計なファイルをド
    ロップしない方が検知・ブロックされる確率が低い
    • ワーム機能による拡散スピード vs ブロック率
    DoublePulsarの拡散が目的か?

    View Slide

  106. • VirusTotalに検体が最初にUploadされてから、各種のハ
    ニーポットで検出されるまでに約1日半
    • VirusTotalにUploadされた時点で、in the wildではな
    かった可能性もある
    • VirusTotalから取得した検体を意図的に拡散させた?
    • ワーム系の検体の扱いに慣れていないテスターが、他の
    ランサムウェアと同じように安易に検証環境で実行させ
    て、拡散させてしまった可能性?
    Kill Switchが無効化された亜種はどのように広まったか

    View Slide

  107. • オリジナルのWannaCryの作成者
    • KillSwitchを無効化したWannaCry亜種の作成者
    • ソースコードを修正してリコンパイルしたのではなく、バイナ
    リにパッチを当てることによりKillSwitchを無効化
    • オリジナルWannaCryの作成者ならソースコードを修正できる
    • オリジナルWannaCryの作成者とは別人の可能性大
    • WannaCry亜種を拡散した者
    • VirusTotalへのアップロードからHoneypotなどでin the wildで
    検出されるまで1日半のタイムラグ
    • 亜種の作成者と拡散した者が別人の可能性
    • VirusTotalから取得した検体を意図的に拡散した?
    • 検体を検証環境で安易に実行して拡散させてしまった?
    オリジナルのWannaCryの作者、亜種の作者、拡散した者
    これらがすべて異なる可能性

    View Slide

  108. • KillSwitchを無効化したWannaCry亜種により、工場や
    POSレジが停止するなどの被害が報告されている
    • オリジナルのWannaCryを作成したのは誰かだけが話題
    になるが、亜種を作成、拡散した者にも被害の責任があ
    るのではないか?
    亜種を作成、拡散した者にも責任

    View Slide

  109. Kill Switchによる緩和策は
    有効だったのか?

    View Slide

  110. Kill Switchによる緩和策
    • Kill Switchのない亜種がin the wildで確認されるのは5/17
    で、WannaCryの出現から約5日間の猶予
    • Kill Switchのない亜種は、ランサムウェア機能はない
    • すべてのPCにパッチが正しく適用されているかを確認する
    作業には時間が掛かる
    • パッチの適用や、445ポートのフィルタリング、ネット
    ワークのセグメンテーション、SMBv1の無効化などの根本
    的対策を実施するまでの時間稼ぎとしては、Kill Switchに
    よる緩和策は有効であった

    View Slide

  111. Kill Switchによる緩和策
    • Proxy経由でしかWebアクセス出来ない企業などでは、Kill
    Switchへのアクセスを一時的に許可するか、内部向けの
    Kill Switchを設置するかなどの設定が必要
    • IPAなどの注意喚起にはKill Switchに関する情報なし
    • Kill Switchのない亜種出現などの誤報(5/14)
    • 誤報を信じたために緩和策として推奨しなかった可能性
    • 正確な情報収取、共有の必要性

    View Slide

  112. 5/14 優先事項としてキルスイッチの接続をブロック
    しないことを推奨

    View Slide

  113. View Slide

  114. How to Accidentally Stop a Global Cyber Attacks
    https://www.malwaretech.com/2017/05/how-to-
    accidentally-stop-a-global-cyber-attacks.html
    WannaCry: Two Weeks and 16 Million Averted Ransoms
    Later
    https://blog.kryptoslogic.com/malware/2017/05/29/two
    -weeks-later.html
    ETERNALBLUE vs Internet Security Suites and nextgen
    protections
    https://www.mrg-effitas.com/eternalblue-vs-internet-
    security-suites-and-nextgen-protections/
    参考資料

    View Slide