WannaCryのKill Switch、亜種 #ssmjp /ssmjp1710-3

Transcript

1. WannaCryの
   Kill Switch、亜種
   @kitagawa_takuji
   

   View Slide

2. #ssmjp 2017/10 #1
   https://ssmjp.connpass.com/event/68090/
   で使用したスライドの一部です
   

   View Slide

3. Kill Switch
   

   View Slide

4. • マルウェア内にハードコードされたURLに接続を
   試みる
   • 接続が成功した場合 活動を停止
   • 接続が失敗した場合 活動（拡散、暗号化）を
   継続
   • 拡散開始当初は、URLが存在しなかった（ドメイ
   ン登録されてない）ため、接続は必ず失敗。
   WannaCryは活動を継続
   KillSwitch
   

   View Slide

5. • その後、セキュリティリサーチャMalwareTech氏
   がドメインを登録し、自らが管理するSinkHoleに
   誘導する様にしたため、接続が成功し、
   WannaCryは活動を停止するようになった
   • これにより新規の感染が大幅にスローダウンし沈
   静化
   • SinkHoleには2週間で72万のユニークなIPアドレ
   スからのアクセス
   • 既にWannaCryに感染している端末の活動を止め
   る事はできない
   KillSwitch
   

   View Slide

6. • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/12
   • www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/14
   • www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com 5/15
   • www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/15
   • www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com 5/15
   確認されているKillSwitch（５月末現在）
   

   View Slide

7. http://www.pandasecurity.com/mediacenter/src/uploads/2017/05/1705-Informe_WannaCry-v160-en.pdf
   KillSwitchのURLへの接続が成功すると処理終了
   

   View Slide

8. SMB Driver
   SRV2.sys
   Kernel mode
   MS17-010
   未適用
   LSASS.exe
   DoublePulsar
   User mode
   mssecsvc.exe
   Launcher.dll
   Injection
   mssecsvc.exe
   拡散処理
   tasksche.exe
   Drop
   www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
   Eternalblue
   SMB(445/tcp)
   Kill Switchが有効な場合
   

   View Slide

9. SMB Driver
   SRV2.sys
   Kernel mode
   MS17-010
   未適用
   LSASS.exe
   DoublePulsar
   User mode
   mssecsvc.exe
   Launcher.dll
   Injection
   mssecsvc.exe
   拡散処理
   tasksche.exe
   Drop
   www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
   Kill Switch
   Check
   Eternalblue
   SMB(445/tcp)
   Kill Switchが有効な場合
   

   View Slide

10. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch
    Check
    Eternalblue
    SMB(445/tcp)
    Kill Switchが有効な場合
    応答
    

    View Slide

11. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch
    Check
    Eternalblue
    SMB(445/tcp)
    Kill Switchが有効な場合
    応答
    処理終了
    

    View Slide

12. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch
    Check
    Eternalblue
    SMB(445/tcp)
    Kill Switchが有効な場合
    応答
    処理終了
    Kill Swicthが有効な場合、感染しても何も行わず処理終了
    

    View Slide

13. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EterenalBlue injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    Kill Switchが有効な場合
    Kill Switch
    Check
    応答
    処理終了
    

    View Slide

14. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EterenalBlue injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    Kill Switchが有効な場合
    Kill Switch
    Check
    応答
    処理終了
    

    View Slide

15. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EterenalBlue injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    Kill Switchが有効な場合
    Kill Switch
    Check
    応答
    処理終了
    

    View Slide

16. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EterenalBlue injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    Kill Switchが有効な場合
    Kill Switch
    Check
    応答
    処理終了
    

    View Slide

17. • KillSwitchを参照するのは感染直後の１度のみ
    • KillSwitchから応答があればプログラムを終了する
    • 定期的に参照（ポーリング）している訳ではない
    • KillSwitchへの接続が切れると活動を再開するとい
    うことはない
    • 既に感染した（拡散処理、暗号化処理が開始され
    ている）PCの活動を止めることは出来ない
    KillSwitch
    

    View Slide

18. • 既に感染したマシンの活動を止めることは出来ない
    が、感染から24時間経てばSMBでの拡散活動は停
    止する
    • 既に感染したマシンが再起動されるとKillSwitchを
    参照し、応答がなければ、スキャンを24時間継続す
    る（mssecsvc.exeがサービス登録されているた
    め）
    

    View Slide

19. • KillSwitchはProxyに対応していない
    • 企業などProxy経由でないとWebアクセス出来ない
    場合、KillSwitchが機能しない
    • セキュリティ製品でSinkHoleへのアクセスをブロッ
    クしている場合も、KillSwitchが機能しない
    Proxyには非対応
    

    View Slide

20. • KillSwitchのドメインへのProxyを経由しないアク
    セスを一時的に許可するように設定を行う
    • 内部向けDNSで、KillSwitchのドメイン名に内部
    WebサーバのIPアドレスを設定する
    • KillSwitchに接続するのは感染直後の1回のみなので
    専用のWebサーバを用意する必要はない（負荷は小
    さい）
    • インターネットから遮断されている環境でも、内部
    向けKillSwitchを設定すれば、KillSwitchは機能す
    る
    Proxy経由でしかWebアクセスできない組織の対応
    

    View Slide

21. 『ワナクライに感染したパソコンの場合、インターネットにつながって
    いる限りはキルスイッチが動作し、破壊が止まっている状態となってい
    る。そういう状態からネット接続を切り離すと、そのパソコンはたちま
    ち暗号化されることとなる。』
     KillSwitchのチェックは感染直後の一度のみ
     KillSwitchのチェックをして応答が返れば何も行わずプログラム
    終了
     定期的にチェックしている訳ではない
     ネット接続を切り離すと暗号化が再開されることはない
    『ワナクライに感染しているかもしれないパソコンを抱えている組織に
    おいては、「動作しているキルスイッチ」を止めないように、場合に
    よってはインターネットへの接続を確保しながら作業をするなど気を付
    けて対応を行ったところもある。』
     KillSwitchでは既に感染したPCの活動を止めることは出来ない
     感染端末はネットから切り離すのが正しい処置
     インターネットから遮断されている環境では、内部向け
    KillSwitchを設定するのが有効
    よくある誤解（実際の解説記事より）
    

    View Slide

22. Kill Switch
    の目的は？
    

    View Slide

23. • 拡散し過ぎて制御が効かなくなった場合の最終停止手段
    • 本来の意味のキルスイッチ
    • 犯人自身がドメインを取得していないと制御出来ない
    • 誰かがドメイン取得して停止してくれることを期待？
    • 特定の国や地域への感染を避ける
    • 接続元IPアドレスにより、応答・無応答を判断
    • 通常は、言語設定、キーボードなどで判断
    • 犯人自身がドメインを取得していないと制御出来ない
    • Sandboxによる解析回避
    • 最も有力な説
    KillSwitchの目的は何か？
    

    View Slide

24. • 実環境では存在しないドメインに接続しても応答が返らない
    が、Sandbox環境では存在しないドメインでも偽の応答を
    返す（ものが多い）ので、解析回避のために動作を停止する
    • WannaCryが最初ではない。同じような仕組みはNecurs
    trojanでも使用
    • Necursでは５つのランダムなドメインの名前問い合わせを
    行い、同じIPアドレスが返れば終了
    • Necursではランダムに生成したドメインだが、WannaCry
    ではプログラム内にハードコードされたドメインを使用して
    いたため、ドメイン登録することにより全世界で活動停止
    Sandboxによる解析回避
    

    View Slide

25. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EternalBlue Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch Check
    応答があれば処理終了
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    WannaCryはネットワーク感染なので
    サンドボック製品の検査対象にならない？
    サンドボッ
    クス製品の
    対象外
    ドロップされたファ
    イルをローカル又は
    クラウドでサンド
    ボックス検査
    

    View Slide

26. Kill Switch
    発見の経緯
    

    View Slide

27. KillSwitch発見の経緯
    https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
    

    View Slide

28. Marcus Hutchins氏(MalwareTech)
    Kryptos Logicでマルウェアリサーチャー
    

    View Slide

29. Botnet TrackerなどをMalwareTechとして作成
    

    View Slide

30. • WannaCryのサンプルを入手し動的解析した結果、あるド
    メインへのDNS問い合わせが発生していることを発見
    • 登録されていないドメインであったため、通常業務の一環
    としてドメイン登録し、Sinkhole化する
    • この時点では、ドメインがどのような役割を果たすのかわ
    からなかった
    • Sinkhole化し通信を監視することで感染数などの観測が出
    来るのではと考えた
    Kill Switch発見の経緯
    

    View Slide

31. • C&CサーバへのDNS問い合わせに対し、他のIPアドレス
    を返すことによりクライアントが不正なC&Cサーバに接
    続するのを防止する
    • 過去にC&Cサーバとして使用されたドメイン名でExpire
    したドメイン名を取得しリクエストを観測することによ
    り、マルウェアに感染した企業・組織を検出する
    • マルウェアの通信内容を観測する
    Sinkholeとは？
    

    View Slide

32. 5/13 0:35（日本時間） 可視化できた！
    

    View Slide

33. SinkHole化したことでWannaCry感染端末のIPアドレスが判明
    

    View Slide

34. Kill Switchが有効になったのは、
    5/12 15:28頃（日本時間 5/12 23:28頃）
    

    View Slide

35. Domain name: IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
    Registry Domain ID: 2123519849_DOMAIN_COM-VRSN
    Registrar WHOIS Server: whois.namecheap.com
    Registrar URL: http://www.namecheap.com
    Updated Date: 2017-06-22T16:05:38.00Z
    Creation Date: 2017-05-12T15:08:04.00Z
    Registrar Registration Expiration Date: 2023-05-12T15:08:04.00Z
    Registrar: NAMECHEAP INC
    Registrar IANA ID: 1068
    Registrar Abuse Contact Email:
    Registrar Abuse Contact Phone: +1.6613102107
    Reseller: NAMECHEAP INC
    Domain Status: clientTransferProhibited
    https://icann.org/epp#clientTransferProhibited
    Domain Status: renewPeriod https://icann.org/epp#renewPeriod
    Registry Registrant ID:
    Registrant Name: WhoisGuard Protected
    Registrant Organization: WhoisGuard, Inc.
    Registrant Street: P.O. Box 0823-03411
    Registrant City: Panama
    Registrant State/Province: Panama
    Registrant Postal Code:
    Registrant Country: PA
    Whois
    ドメイン登録 5/12 15:08（日本時間 5/12 23:08）
    

    View Slide

36. 5/13 01:15 WannaCryのLive感染マップを作成
    

    View Slide

37. これを作るのが目的だった
    

    View Slide

38. • 同僚から、ドメインを登録したことによって、ファイル
    の暗号化が加速することになったのではと疑われる
    • Malware研究者のKafeine氏に相談したところ、次のツ
    イートを示された
    Kill Switch発見の経緯
    

    View Slide

39. 5/13 2:29 MalwareTech氏が登録したドメインがKill Switchであることを最初に発見したのは
    Darien Huss氏（Proofpoint)
    

    View Slide

40. 5/13 3:23 Darien Huss氏のツイートを見て
    「あるアナリストがドメインをシンクホールしたことで感染がストップした
    と言っているが、誰か確認できた人いる？」とまだ信用していない様子
    

    View Slide

41. • ドメインを登録してシンクホールしたのは
    MalwareTech氏だが、そのドメインが
    KillSwitchであることを最初に発見し報告した
    のはDarien Huss氏
    KillSwitchを発見したのはMalwareTech氏か？
    

    View Slide

42. WannaCry Infection Mapで日本も被害が出ていると話題になったが
    KillSwitchへの接続が成功しているため実際には被害は出ていない
    

    View Slide

43. WannaCryの出現は
    いつ頃か？
    

    View Slide

44. http://blog.talosintelligence.com/2017/05/wannacry.html
    Cisco Umbrella（Open DNS)の観測によると、KillSwitchドメインへの接続は、
    7:24UTC(日本時間16:24)より観測されている
    

    View Slide

45. Symantecの観測によると、WannaCryの脆弱性悪用の件数は
    8:00GMT(日本時間17:00)より急増
    https://www.symantec.com/connect/ja/blogs/wannacry-1
    

    View Slide

46. Goolgeで”wana decrypt0r”の最初の検索
    6:18GMT(日本時間15:18)
    

    View Slide

47. Wanna Decrptor 1.0
    Wana Decrypt0r 2.0
    ”wana decrypt0r”の文字列は2.0で初めて出現
    

    View Slide

48. Goolgeで”wana decrypt0r”の最初の検索は、被害者（又は犯人）の可能性
    6:18GMT(日本時間15:18)
    

    View Slide

49. VirusTotalへのFirst submission（ランサムウェアモジュール）
    7:31GMT(日本時間16:31)
    

    View Slide

50. VirusTotalへのFirst submission（拡散モジュール）
    8:57GMT(日本時間17:57)
    

    View Slide

51. 最初のBitcoinの支払い
    11:07GMT(日本時間20:07)
    

    View Slide

52. • 5/12 15:18
    ”wana decrypt0r”文字列の最初のGoogle検索（台湾）
    • 5/12 16:24
    登録されていないドメイン
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    への最初のDNS問合せの観測（Cisco Umbrella)
    • 5/12 16:31
    VirusTotalへの最初の検体アップロード
    • 5/12 20:00頃
    脆弱性悪用の急増（Symantec)
    • 5/12 20:07
    最初のBitcoinの支払い
    タイムライン(日本時間）
    

    View Slide

53. • 5/12 23:08
    MalwareTech氏によりドメイン登録
    • 5/12 23:28
    SinkHole化
    • 5/13 01:12
    MalwareTech氏によりWannaCry Trackerが公開
    • 5/13 02:29
    Darien Huss氏がSinkHole化されたドメインはKill
    Switchであることをツイート
    タイムライン(日本時間）
    

    View Slide

54. • WannaCryの出現から半日以内にKill Switchのドメイン
    がシンクホール化
    • シンクホール化から約3時間後にKill Switchであることが
    判明
    • Kill Switchの有効化により新規の感染が激減（正確には
    感染しても活動しない）
    • 既に感染したマシンも24時間後にはSMBスキャンを停止
    するため、5/13中にはほぼ沈静化
    タイムライン(日本時間）
    

    View Slide

55. かなり早い段階で
    Kill SwitchがSinkHole化
    されたことが
    感染拡大の防止に
    大きく役立った
    

    View Slide

56. KillSwitchへのDDoS
    

    View Slide

57. Kill SwitchへのDDoS
    

    View Slide

58. Passive DNS
    

    View Slide

59. 5/24 DDoS対策としてCloudFlareのCDNを導入
    

    View Slide

60. ヒーローとなったご褒美で会社負担でラスベガス旅行（BlackHat,Defcon)
    別のマルウェア（Kronos)の開発、配布容疑でFBIに逮捕
    無罪を主張し裁判中
    http://japanese.engadget.com/2017/08/04/wannacry-fbi/
    https://pc.watch.impress.co.jp/docs/news/yajiuma/
    1074352.html
    

    View Slide

61. 異なるKill Switchのドメインの亜種
    

    View Slide

62. 5/14 21:19 異なるKill Switchのドメインの亜種を検出
    

    View Slide

63. in the wildで確認されているもの
    • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    • www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    • www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
    in the wildでは確認されていないが検体が確認されているもの
    • www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    • www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com
    • 桁数が全て同じ、共通する部分が多い
    • ソースを修正してリコンパイルしたのではなく、バイナリ
    にパッチを当てた可能性
    確認されているKill Switchのドメイン（5月末現在）
    

    View Slide

64. www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com
    Suiche氏のWannaCryとLazarus
    （北朝鮮のハッカー集団）の類似性
    の指摘のツイートの2時間半後に出現
    ジョークなのか、嫌がらせなのか？
    

    View Slide

65. Kill Switchが無効にされた亜種
    

    View Slide

66. • 5月下旬よりKill Switchのチェックが無効にされ、かつラ
    ンサムウェア（暗号化）機能が無効にされたWannaCry
    の亜種が観測されるようになった
    • 6月中旬。ホンダ、日本マクドナルド、ウエルシア薬局な
    どで、工場やPOSレジが停止するなどの被害が出る
    • 海外では、オーストラリアの速度違反カメラがKillSwitch
    のないWannaCry亜種の被害にあい、XPが再起動を繰り
    返す
    Kill Switchが無効にされた亜種
    

    View Slide

67. http://itpro.nikkeibp.co.jp/atcl/ncd/14/379244/062900072/
    

    View Slide

68. オーストラリアの速度違反カメラ
    http://cameracommissioner.vic.gov.au/wp-content/uploads/2017/07/Interim_report-
    Victorian_road_safety_camera_network_virus_infection-6_July_2017.pdf
    

    View Slide

69. 当初の報道「USBメモリから感染した」
    https://news.mynavi.jp/article/20170628-a059/
    

    View Slide

70. • 6/6にシステムがクラッシュすることで異変に気付く
    • 6/6以前のどこかでWannaCry亜種が、スピードカメラの
    ネットワークに感染。感染の方法は明らかではない。
    • 計110台のWindows7が感染。それらが内部に拡散を続
    けた結果、WindowsXPがクラッシュを続ける。
    • 身代金要求文の画面表示なし、ファイルも暗号化されて
    いない。Windows XPは感染していないが、クラッシュ、
    再起動を繰り返した。
    オーストラリアの速度違反カメラ
    

    View Slide

71. Kill Switchが無効にされた亜種
    出現の経緯
    

    View Slide

72. 誤 報
    

    View Slide

73. 5/14 6時 KillSwitchのない亜種が出現したとの情報が広がる
    日本でもかなり拡散され話題になっていた
    

    View Slide

74. SMB Driver
    SRV2.sys
    Kernel mode
    MS17-010
    未適用
    LSASS.exe
    DoublePulsar
    User mode
    mssecsvc.exe
    Launcher.dll
    EternalBlue Injection
    mssecsvc.exe
    拡散処理
    tasksche.exe
    tasksche.exe
    ランサムウェア処理
    Drop
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    Kill Switch Check
    応答があれば処理終了
    SMB scan(445/tcp)
    拡散活動
    Drop
    自身をサービス
    MSSECSVC2.0 として登録
    SMB(445/tcp)
    WannaCryの2つの検体
    検体① 拡散処理
    検体② ランサムウェア処理
    ランサムウェア処理を行う検体はKillSwitchのチェックを行わない
    

    View Slide

75. • WannaCryの検体は、SMBによる拡散を行う部分とランサ
    ムウェア処理を行う部分に別れる
    • ランサムウェア処理を行う検体はKillSwitchのチェックを
    行わない
    • ランサムウェア処理を行う検体を単独で実行しても、ラン
    サムウェア処理（ファイル暗号化、脅迫画面）は実行され
    る
    • ランサムウェア処理を行う検体のみを実行して、
    Kill Switchのチェックを行わない亜種だと誤認している人
    が多数
    Kill Switchのない亜種
    

    View Slide

76. KasperskyのCostin Raiu氏が
    「KillSwitchのない亜種が出現した」とThe Hacker Newsに語る
    https://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html
    

    View Slide

77. 5/14 11:49
    

    View Slide

78. 5/14 20:33 Costin Raiu氏による訂正のツイート
    「Kill Switchのないバージョンはなかった」
    

    View Slide

79. KillSwitchのチェックを行わないのは
    拡散を行わないランサムウェアのペイロードの方だった
    

    View Slide

80. The Hacker Newsでは
    Twitter、記事とも訂正なし
    

    View Slide

81. KillSwitchのない亜種が出現した
    との誤報により
    KillSwitchによる緩和策を
    行っても無意味との
    誤解が生じた可能性
    

    View Slide

82. VirusTotal上での出現
    

    View Slide

83. 5/14 23:19 バイナリにパッチを当てることにより
    KillSwitchを無効化した検体が確認される
    

    View Slide

84. ランサムウェア機能が無効にされている
    

    View Slide

85. ハニーポットなどでin the wildで捕獲されたものではなく、
    VirusTotalからYARAルールでのマッチングで取得されたもの
    

    View Slide

86. https://virustotal.com/en/file/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd/analysis/
    VirusTotalにUploadされたのは、5/14 22時頃（日本時間）
    

    View Slide

87. 5/17のWebセミナー
    の資料
    5/17時点でKill Switchを無効化した亜種のin the wildでの観測なし
    https://www.slideshare.net/KasperskyLabGlobal/how-to-protect-your-business-from-wannacry-ransomware
    

    View Slide

88. パッチを当てることによりKillSwitchが無効化されている
    https://www.renditioninfosec.com/2017/05/wanacrypt0r-worm-with-kill-switch-patched-out/
    

    View Slide

89. Kill SwitchのURLがNull（0x00）で埋められている
    

    View Slide

90. • KillSwitchがなく、ランサムウェア機能が無効にされた
    WannaCryは、初期の大量感染の2日後の5/14には既に
    報告されている
    • ハニーポットなどでin the wildで捕獲されたものではな
    く、VirusTotalからYARAルールでのマッチングで取得さ
    れたもの
    • KillSwitchの無効化は（ソースコードからリコンパイルし
    たのではなく）バイナリにパッチを当てることにより行
    われている
    • ランサムウェア機能の圧縮ファイルの展開に失敗するた
    めランサムウェア機能は動作しない。SMBの脆弱性を用
    いた拡散機能は動作する
    Kill Switchが無効化された亜種
    

    View Slide

91. • 週明け前で企業でのパッチ適用が進んでいない時点でもあ
    り、KillSwitchが無効なら爆発的な拡散が予想されたが、
    その後３日程経ってもin the wildで確認されなかった
    • そのため、どこかの研究者がジョークでVirusTotalに上げ
    たものではと言われていた
    Kill Switchが無効化された亜種
    

    View Slide

92. どんな意図があるかは分からないが
    亜種を作って
    VirusTotalにUPする人達が
    存在する
    

    View Slide

93. in the wildでの出現
    

    View Slide

94. 5/17 パッチを当てたWannaCryがhoneypotで捕獲された
    

    View Slide

95. KillSwitchドメインのチェックを行うが結果を無視する
    

    View Slide

96. • 5/14のmsuiche氏の検体は、URLがNullで埋めら
    れておりドメインのチェック自体を行わない
    • 5/17のsmgoreli氏の検体は、ドメインのチェッ
    クを行うが、結果を無視する
    Kill Switchが無効化された亜種の違い
    

    View Slide

97. https://twitter.com/GossiTheDog/status/864871408119283712
    5/18 KillSwitchがなく、ランサムウェア機能が無効にされた
    検体をSMB honeypotで1分間に800件検出
    

    View Slide

98. https://www.virustotal.com/en/file/dbf3890b782ac04136c3336814eef97e3c0f4133f9592e882c131c179161b27b/analysis/
    VirusTotalにUploadされたのは、5/16 5時頃（日本時間）
    

    View Slide

99. VirusTotalにUploadされてから
    Honeypotで検出される様になるまで1日半程
    

    View Slide

100. KillSwitchを無効化した
     WannaCry亜種について
     DoublePulsarの拡散が目的との説があるが
     

     View Slide

101. セキュリティ製品などのテストを行っている英企業 MRG Effitas
     MRG（Malware Research Group)
     

     View Slide

102. https://www.mrg-effitas.com/eternalblue-vs-internet-security-suites-and-nextgen-protections/
     WannaCryに対応済としている10のセキュリティ製品について
     Eternalblue/Doublepulsarによるshellcodeの実行をブロック出来るかのテスト
     

     View Slide

103. 5/18時点でブロック出来たのは10製品中、2製品のみ、6/26時点で6製品
     MS17-010の公開は3/14、EternalBlueは4/14
     

     View Slide

104. 2つの次世代エンドポイントプロテクション製品、１つのEDR（Endpoint Detection
     and Response）、1つのmicro-virtualization based solutionが検知できず
     

     View Slide

105. • DoublePulsarの拡散が目的ならば、余計なファイルをド
     ロップしない方が検知・ブロックされる確率が低い
     • ワーム機能による拡散スピード vs ブロック率
     DoublePulsarの拡散が目的か？
     

     View Slide

106. • VirusTotalに検体が最初にUploadされてから、各種のハ
     ニーポットで検出されるまでに約１日半
     • VirusTotalにUploadされた時点で、in the wildではな
     かった可能性もある
     • VirusTotalから取得した検体を意図的に拡散させた？
     • ワーム系の検体の扱いに慣れていないテスターが、他の
     ランサムウェアと同じように安易に検証環境で実行させ
     て、拡散させてしまった可能性？
     Kill Switchが無効化された亜種はどのように広まったか
     

     View Slide

107. • オリジナルのWannaCryの作成者
     • KillSwitchを無効化したWannaCry亜種の作成者
     • ソースコードを修正してリコンパイルしたのではなく、バイナ
     リにパッチを当てることによりKillSwitchを無効化
     • オリジナルWannaCryの作成者ならソースコードを修正できる
     • オリジナルWannaCryの作成者とは別人の可能性大
     • WannaCry亜種を拡散した者
     • VirusTotalへのアップロードからHoneypotなどでin the wildで
     検出されるまで1日半のタイムラグ
     • 亜種の作成者と拡散した者が別人の可能性
     • VirusTotalから取得した検体を意図的に拡散した？
     • 検体を検証環境で安易に実行して拡散させてしまった？
     オリジナルのWannaCryの作者、亜種の作者、拡散した者
     これらがすべて異なる可能性
     

     View Slide

108. • KillSwitchを無効化したWannaCry亜種により、工場や
     POSレジが停止するなどの被害が報告されている
     • オリジナルのWannaCryを作成したのは誰かだけが話題
     になるが、亜種を作成、拡散した者にも被害の責任があ
     るのではないか？
     亜種を作成、拡散した者にも責任
     

     View Slide

109. Kill Switchによる緩和策は
     有効だったのか？
     

     View Slide

110. Kill Switchによる緩和策
     • Kill Switchのない亜種がin the wildで確認されるのは5/17
     で、WannaCryの出現から約5日間の猶予
     • Kill Switchのない亜種は、ランサムウェア機能はない
     • すべてのPCにパッチが正しく適用されているかを確認する
     作業には時間が掛かる
     • パッチの適用や、445ポートのフィルタリング、ネット
     ワークのセグメンテーション、SMBv1の無効化などの根本
     的対策を実施するまでの時間稼ぎとしては、Kill Switchに
     よる緩和策は有効であった
     

     View Slide

111. Kill Switchによる緩和策
     • Proxy経由でしかWebアクセス出来ない企業などでは、Kill
     Switchへのアクセスを一時的に許可するか、内部向けの
     Kill Switchを設置するかなどの設定が必要
     • IPAなどの注意喚起にはKill Switchに関する情報なし
     • Kill Switchのない亜種出現などの誤報(5/14)
     • 誤報を信じたために緩和策として推奨しなかった可能性
     • 正確な情報収取、共有の必要性
     

     View Slide

112. 5/14 優先事項としてキルスイッチの接続をブロック
     しないことを推奨
     

     View Slide

113. View Slide

114. How to Accidentally Stop a Global Cyber Attacks
     https://www.malwaretech.com/2017/05/how-to-
     accidentally-stop-a-global-cyber-attacks.html
     WannaCry: Two Weeks and 16 Million Averted Ransoms
     Later
     https://blog.kryptoslogic.com/malware/2017/05/29/two
     -weeks-later.html
     ETERNALBLUE vs Internet Security Suites and nextgen
     protections
     https://www.mrg-effitas.com/eternalblue-vs-internet-
     security-suites-and-nextgen-protections/
     参考資料
     

     View Slide