WannaCryのKill Switch、亜種 #ssmjp /ssmjp1710-3

015facb974cbb9ef9df2840aed8eba34?s=47 Takuji Kitagawa
December 28, 2017
Technology
1
460

WannaCryのKill Switch、亜種 #ssmjp /ssmjp1710-3

015facb974cbb9ef9df2840aed8eba34?s=128

Takuji Kitagawa

December 28, 2017
Tweet

More Decks by Takuji Kitagawa

See All by Takuji Kitagawa
015facb974cbb9ef9df2840aed8eba34?s=48 kitagawa
4
2.5k
015facb974cbb9ef9df2840aed8eba34?s=48 kitagawa
4
2.2k
015facb974cbb9ef9df2840aed8eba34?s=48 kitagawa
6
3.3k
015facb974cbb9ef9df2840aed8eba34?s=48 kitagawa
14
8.6k
015facb974cbb9ef9df2840aed8eba34?s=48 kitagawa
0
940

Other Decks in Technology

See All in Technology
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
3
770
Ac099b28fee346b831ba8afcdb9e7d06?s=48 ericgpks
0
130
2b4f9f20b554d4c77c46fe6a9930d6fe?s=48 south37
1
1.2k
4b2f3a64637b51e81813accbe8a98083?s=48 miura55
0
280
1f745ff900e1be51aedae18cae76593c?s=48 kurochan
0
1.7k
A64ac825509279a770c13c6fc517f11a?s=48 kawaguti
0
130
A645e7c3a6635ead8fa323c583769591?s=48 hololab
0
290
4615930de72ec08f99d3227761ace0d8?s=48 yenlung
2
460
C7f4bfa6a378cf43c3475716d1992efe?s=48 ishizuka427
0
220
C918bcbfa8df32567636c2d125a34fa1?s=48 sonnylazuardi
0
130
1dfa2bb34977b1db41d0d46d4505183f?s=48 osuke
2
1.8k
A645e7c3a6635ead8fa323c583769591?s=48 hololab
0
240

Featured

See All Featured
5f83ef806155b403c3393160ce51f955?s=48 jlugia
215
16k
Af6a12710770ad9a7cfd08c97efd40d3?s=48 pedronauck
648
110k
B47b288784fda77a94aeb234ca743c24?s=48 keavy
102
14k
E190023b66e2b8aa73a842b106920c93?s=48 zenorocha
295
39k
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
189
17k
E14f55d3f939977cecbf51b64ff6f861?s=48 keithpitt
398
20k
C44e1f7e22c3f23cff7bc130871047ef?s=48 eileencodes
110
24k
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
6
380
7653c7c449918ff6542880a8c284f5e7?s=48 jponch
101
4.8k
Bfd6b681ec6e8c9bef82ff0521c364f7?s=48 kastner
51
1.8k
5ce91fa49a613cbc3e20d5f96856473f?s=48 edds
55
9.2k
78b475797a14c84799063c7cd073962f?s=48 holman
458
270k

Transcript

  1. WannaCryの Kill Switch、亜種 @kitagawa_takuji

  2. #ssmjp 2017/10 #1 https://ssmjp.connpass.com/event/68090/ で使用したスライドの一部です

  3. Kill Switch

  4. • マルウェア内にハードコードされたURLに接続を 試みる • 接続が成功した場合 活動を停止 • 接続が失敗した場合 活動(拡散、暗号化)を 継続

    • 拡散開始当初は、URLが存在しなかった(ドメイ ン登録されてない)ため、接続は必ず失敗。 WannaCryは活動を継続 KillSwitch

  5. • その後、セキュリティリサーチャMalwareTech氏 がドメインを登録し、自らが管理するSinkHoleに 誘導する様にしたため、接続が成功し、 WannaCryは活動を停止するようになった • これにより新規の感染が大幅にスローダウンし沈 静化 • SinkHoleには2週間で72万のユニークなIPアドレ

    スからのアクセス • 既にWannaCryに感染している端末の活動を止め る事はできない KillSwitch

  6. • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/12 • www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/14 • www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com 5/15 •

    www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/15 • www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com 5/15 確認されているKillSwitch(5月末現在)

  7. http://www.pandasecurity.com/mediacenter/src/uploads/2017/05/1705-Informe_WannaCry-v160-en.pdf KillSwitchのURLへの接続が成功すると処理終了

  8. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) Kill Switchが有効な場合

  9. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合

  10. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合 応答

  11. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合 応答 処理終了

  12. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合 応答 処理終了 Kill Swicthが有効な場合、感染しても何も行わず処理終了

  13. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EterenalBlue injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) Kill Switchが有効な場合 Kill Switch Check 応答 処理終了

  14. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EterenalBlue injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) Kill Switchが有効な場合 Kill Switch Check 応答 処理終了

  15. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EterenalBlue injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) Kill Switchが有効な場合 Kill Switch Check 応答 処理終了

  16. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EterenalBlue injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) Kill Switchが有効な場合 Kill Switch Check 応答 処理終了

  17. • KillSwitchを参照するのは感染直後の1度のみ • KillSwitchから応答があればプログラムを終了する • 定期的に参照(ポーリング)している訳ではない • KillSwitchへの接続が切れると活動を再開するとい うことはない •

    既に感染した(拡散処理、暗号化処理が開始され ている)PCの活動を止めることは出来ない KillSwitch

  18. • 既に感染したマシンの活動を止めることは出来ない が、感染から24時間経てばSMBでの拡散活動は停 止する • 既に感染したマシンが再起動されるとKillSwitchを 参照し、応答がなければ、スキャンを24時間継続す る(mssecsvc.exeがサービス登録されているた め)

  19. • KillSwitchはProxyに対応していない • 企業などProxy経由でないとWebアクセス出来ない 場合、KillSwitchが機能しない • セキュリティ製品でSinkHoleへのアクセスをブロッ クしている場合も、KillSwitchが機能しない Proxyには非対応

  20. • KillSwitchのドメインへのProxyを経由しないアク セスを一時的に許可するように設定を行う • 内部向けDNSで、KillSwitchのドメイン名に内部 WebサーバのIPアドレスを設定する • KillSwitchに接続するのは感染直後の1回のみなので 専用のWebサーバを用意する必要はない(負荷は小 さい)

    • インターネットから遮断されている環境でも、内部 向けKillSwitchを設定すれば、KillSwitchは機能す る Proxy経由でしかWebアクセスできない組織の対応

  21. 『ワナクライに感染したパソコンの場合、インターネットにつながって いる限りはキルスイッチが動作し、破壊が止まっている状態となってい る。そういう状態からネット接続を切り離すと、そのパソコンはたちま ち暗号化されることとなる。』  KillSwitchのチェックは感染直後の一度のみ  KillSwitchのチェックをして応答が返れば何も行わずプログラム 終了 

    定期的にチェックしている訳ではない  ネット接続を切り離すと暗号化が再開されることはない 『ワナクライに感染しているかもしれないパソコンを抱えている組織に おいては、「動作しているキルスイッチ」を止めないように、場合に よってはインターネットへの接続を確保しながら作業をするなど気を付 けて対応を行ったところもある。』  KillSwitchでは既に感染したPCの活動を止めることは出来ない  感染端末はネットから切り離すのが正しい処置  インターネットから遮断されている環境では、内部向け KillSwitchを設定するのが有効 よくある誤解(実際の解説記事より)

  22. Kill Switch の目的は?

  23. • 拡散し過ぎて制御が効かなくなった場合の最終停止手段 • 本来の意味のキルスイッチ • 犯人自身がドメインを取得していないと制御出来ない • 誰かがドメイン取得して停止してくれることを期待? • 特定の国や地域への感染を避ける

    • 接続元IPアドレスにより、応答・無応答を判断 • 通常は、言語設定、キーボードなどで判断 • 犯人自身がドメインを取得していないと制御出来ない • Sandboxによる解析回避 • 最も有力な説 KillSwitchの目的は何か?

  24. • 実環境では存在しないドメインに接続しても応答が返らない が、Sandbox環境では存在しないドメインでも偽の応答を 返す(ものが多い)ので、解析回避のために動作を停止する • WannaCryが最初ではない。同じような仕組みはNecurs trojanでも使用 • Necursでは5つのランダムなドメインの名前問い合わせを 行い、同じIPアドレスが返れば終了

    • Necursではランダムに生成したドメインだが、WannaCry ではプログラム内にハードコードされたドメインを使用して いたため、ドメイン登録することにより全世界で活動停止 Sandboxによる解析回避

  25. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EternalBlue Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) WannaCryはネットワーク感染なので サンドボック製品の検査対象にならない? サンドボッ クス製品の 対象外 ドロップされたファ イルをローカル又は クラウドでサンド ボックス検査

  26. Kill Switch 発見の経緯

  27. KillSwitch発見の経緯 https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

  28. Marcus Hutchins氏(MalwareTech) Kryptos Logicでマルウェアリサーチャー

  29. Botnet TrackerなどをMalwareTechとして作成

  30. • WannaCryのサンプルを入手し動的解析した結果、あるド メインへのDNS問い合わせが発生していることを発見 • 登録されていないドメインであったため、通常業務の一環 としてドメイン登録し、Sinkhole化する • この時点では、ドメインがどのような役割を果たすのかわ からなかった •

    Sinkhole化し通信を監視することで感染数などの観測が出 来るのではと考えた Kill Switch発見の経緯

  31. • C&CサーバへのDNS問い合わせに対し、他のIPアドレス を返すことによりクライアントが不正なC&Cサーバに接 続するのを防止する • 過去にC&Cサーバとして使用されたドメイン名でExpire したドメイン名を取得しリクエストを観測することによ り、マルウェアに感染した企業・組織を検出する • マルウェアの通信内容を観測する

    Sinkholeとは?

  32. 5/13 0:35(日本時間) 可視化できた!

  33. SinkHole化したことでWannaCry感染端末のIPアドレスが判明

  34. Kill Switchが有効になったのは、 5/12 15:28頃(日本時間 5/12 23:28頃)

  35. Domain name: IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM Registry Domain ID: 2123519849_DOMAIN_COM-VRSN Registrar WHOIS Server:

    whois.namecheap.com Registrar URL: http://www.namecheap.com Updated Date: 2017-06-22T16:05:38.00Z Creation Date: 2017-05-12T15:08:04.00Z Registrar Registration Expiration Date: 2023-05-12T15:08:04.00Z Registrar: NAMECHEAP INC Registrar IANA ID: 1068 Registrar Abuse Contact Email: Registrar Abuse Contact Phone: +1.6613102107 Reseller: NAMECHEAP INC Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: renewPeriod https://icann.org/epp#renewPeriod Registry Registrant ID: Registrant Name: WhoisGuard Protected Registrant Organization: WhoisGuard, Inc. Registrant Street: P.O. Box 0823-03411 Registrant City: Panama Registrant State/Province: Panama Registrant Postal Code: Registrant Country: PA Whois ドメイン登録 5/12 15:08(日本時間 5/12 23:08)

  36. 5/13 01:15 WannaCryのLive感染マップを作成

  37. これを作るのが目的だった

  38. • 同僚から、ドメインを登録したことによって、ファイル の暗号化が加速することになったのではと疑われる • Malware研究者のKafeine氏に相談したところ、次のツ イートを示された Kill Switch発見の経緯

  39. 5/13 2:29 MalwareTech氏が登録したドメインがKill Switchであることを最初に発見したのは Darien Huss氏(Proofpoint)

  40. 5/13 3:23 Darien Huss氏のツイートを見て 「あるアナリストがドメインをシンクホールしたことで感染がストップした と言っているが、誰か確認できた人いる?」とまだ信用していない様子

  41. • ドメインを登録してシンクホールしたのは MalwareTech氏だが、そのドメインが KillSwitchであることを最初に発見し報告した のはDarien Huss氏 KillSwitchを発見したのはMalwareTech氏か?

  42. WannaCry Infection Mapで日本も被害が出ていると話題になったが KillSwitchへの接続が成功しているため実際には被害は出ていない

  43. WannaCryの出現は いつ頃か?

  44. http://blog.talosintelligence.com/2017/05/wannacry.html Cisco Umbrella(Open DNS)の観測によると、KillSwitchドメインへの接続は、 7:24UTC(日本時間16:24)より観測されている

  45. Symantecの観測によると、WannaCryの脆弱性悪用の件数は 8:00GMT(日本時間17:00)より急増 https://www.symantec.com/connect/ja/blogs/wannacry-1

  46. Goolgeで”wana decrypt0r”の最初の検索 6:18GMT(日本時間15:18)

  47. Wanna Decrptor 1.0 Wana Decrypt0r 2.0 ”wana decrypt0r”の文字列は2.0で初めて出現

  48. Goolgeで”wana decrypt0r”の最初の検索は、被害者(又は犯人)の可能性 6:18GMT(日本時間15:18)

  49. VirusTotalへのFirst submission(ランサムウェアモジュール) 7:31GMT(日本時間16:31)

  50. VirusTotalへのFirst submission(拡散モジュール) 8:57GMT(日本時間17:57)

  51. 最初のBitcoinの支払い 11:07GMT(日本時間20:07)

  52. • 5/12 15:18 ”wana decrypt0r”文字列の最初のGoogle検索(台湾) • 5/12 16:24 登録されていないドメイン www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

    への最初のDNS問合せの観測(Cisco Umbrella) • 5/12 16:31 VirusTotalへの最初の検体アップロード • 5/12 20:00頃 脆弱性悪用の急増(Symantec) • 5/12 20:07 最初のBitcoinの支払い タイムライン(日本時間)

  53. • 5/12 23:08 MalwareTech氏によりドメイン登録 • 5/12 23:28 SinkHole化 • 5/13

    01:12 MalwareTech氏によりWannaCry Trackerが公開 • 5/13 02:29 Darien Huss氏がSinkHole化されたドメインはKill Switchであることをツイート タイムライン(日本時間)

  54. • WannaCryの出現から半日以内にKill Switchのドメイン がシンクホール化 • シンクホール化から約3時間後にKill Switchであることが 判明 • Kill

    Switchの有効化により新規の感染が激減(正確には 感染しても活動しない) • 既に感染したマシンも24時間後にはSMBスキャンを停止 するため、5/13中にはほぼ沈静化 タイムライン(日本時間)

  55. かなり早い段階で Kill SwitchがSinkHole化 されたことが 感染拡大の防止に 大きく役立った

  56. KillSwitchへのDDoS

  57. Kill SwitchへのDDoS

  58. Passive DNS

  59. 5/24 DDoS対策としてCloudFlareのCDNを導入

  60. ヒーローとなったご褒美で会社負担でラスベガス旅行(BlackHat,Defcon) 別のマルウェア(Kronos)の開発、配布容疑でFBIに逮捕 無罪を主張し裁判中 http://japanese.engadget.com/2017/08/04/wannacry-fbi/ https://pc.watch.impress.co.jp/docs/news/yajiuma/ 1074352.html

  61. 異なるKill Switchのドメインの亜種

  62. 5/14 21:19 異なるKill Switchのドメインの亜種を検出

  63. in the wildで確認されているもの • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com • www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com • www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com in

    the wildでは確認されていないが検体が確認されているもの • www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com • www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com • 桁数が全て同じ、共通する部分が多い • ソースを修正してリコンパイルしたのではなく、バイナリ にパッチを当てた可能性 確認されているKill Switchのドメイン(5月末現在)

  64. www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com Suiche氏のWannaCryとLazarus (北朝鮮のハッカー集団)の類似性 の指摘のツイートの2時間半後に出現 ジョークなのか、嫌がらせなのか?

  65. Kill Switchが無効にされた亜種

  66. • 5月下旬よりKill Switchのチェックが無効にされ、かつラ ンサムウェア(暗号化)機能が無効にされたWannaCry の亜種が観測されるようになった • 6月中旬。ホンダ、日本マクドナルド、ウエルシア薬局な どで、工場やPOSレジが停止するなどの被害が出る • 海外では、オーストラリアの速度違反カメラがKillSwitch

    のないWannaCry亜種の被害にあい、XPが再起動を繰り 返す Kill Switchが無効にされた亜種

  67. http://itpro.nikkeibp.co.jp/atcl/ncd/14/379244/062900072/

  68. オーストラリアの速度違反カメラ http://cameracommissioner.vic.gov.au/wp-content/uploads/2017/07/Interim_report- Victorian_road_safety_camera_network_virus_infection-6_July_2017.pdf

  69. 当初の報道「USBメモリから感染した」 https://news.mynavi.jp/article/20170628-a059/

  70. • 6/6にシステムがクラッシュすることで異変に気付く • 6/6以前のどこかでWannaCry亜種が、スピードカメラの ネットワークに感染。感染の方法は明らかではない。 • 計110台のWindows7が感染。それらが内部に拡散を続 けた結果、WindowsXPがクラッシュを続ける。 • 身代金要求文の画面表示なし、ファイルも暗号化されて

    いない。Windows XPは感染していないが、クラッシュ、 再起動を繰り返した。 オーストラリアの速度違反カメラ

  71. Kill Switchが無効にされた亜種 出現の経緯

  72. 誤 報

  73. 5/14 6時 KillSwitchのない亜種が出現したとの情報が広がる 日本でもかなり拡散され話題になっていた

  74. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EternalBlue Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) WannaCryの2つの検体 検体① 拡散処理 検体② ランサムウェア処理 ランサムウェア処理を行う検体はKillSwitchのチェックを行わない

  75. • WannaCryの検体は、SMBによる拡散を行う部分とランサ ムウェア処理を行う部分に別れる • ランサムウェア処理を行う検体はKillSwitchのチェックを 行わない • ランサムウェア処理を行う検体を単独で実行しても、ラン サムウェア処理(ファイル暗号化、脅迫画面)は実行され る

    • ランサムウェア処理を行う検体のみを実行して、 Kill Switchのチェックを行わない亜種だと誤認している人 が多数 Kill Switchのない亜種

  76. KasperskyのCostin Raiu氏が 「KillSwitchのない亜種が出現した」とThe Hacker Newsに語る https://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

  77. 5/14 11:49

  78. 5/14 20:33 Costin Raiu氏による訂正のツイート 「Kill Switchのないバージョンはなかった」

  79. KillSwitchのチェックを行わないのは 拡散を行わないランサムウェアのペイロードの方だった

  80. The Hacker Newsでは Twitter、記事とも訂正なし

  81. KillSwitchのない亜種が出現した との誤報により KillSwitchによる緩和策を 行っても無意味との 誤解が生じた可能性

  82. VirusTotal上での出現

  83. 5/14 23:19 バイナリにパッチを当てることにより KillSwitchを無効化した検体が確認される

  84. ランサムウェア機能が無効にされている

  85. ハニーポットなどでin the wildで捕獲されたものではなく、 VirusTotalからYARAルールでのマッチングで取得されたもの

  86. https://virustotal.com/en/file/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd/analysis/ VirusTotalにUploadされたのは、5/14 22時頃(日本時間)

  87. 5/17のWebセミナー の資料 5/17時点でKill Switchを無効化した亜種のin the wildでの観測なし https://www.slideshare.net/KasperskyLabGlobal/how-to-protect-your-business-from-wannacry-ransomware

  88. パッチを当てることによりKillSwitchが無効化されている https://www.renditioninfosec.com/2017/05/wanacrypt0r-worm-with-kill-switch-patched-out/

  89. Kill SwitchのURLがNull(0x00)で埋められている

  90. • KillSwitchがなく、ランサムウェア機能が無効にされた WannaCryは、初期の大量感染の2日後の5/14には既に 報告されている • ハニーポットなどでin the wildで捕獲されたものではな く、VirusTotalからYARAルールでのマッチングで取得さ れたもの

    • KillSwitchの無効化は(ソースコードからリコンパイルし たのではなく)バイナリにパッチを当てることにより行 われている • ランサムウェア機能の圧縮ファイルの展開に失敗するた めランサムウェア機能は動作しない。SMBの脆弱性を用 いた拡散機能は動作する Kill Switchが無効化された亜種

  91. • 週明け前で企業でのパッチ適用が進んでいない時点でもあ り、KillSwitchが無効なら爆発的な拡散が予想されたが、 その後3日程経ってもin the wildで確認されなかった • そのため、どこかの研究者がジョークでVirusTotalに上げ たものではと言われていた Kill

    Switchが無効化された亜種

  92. どんな意図があるかは分からないが 亜種を作って VirusTotalにUPする人達が 存在する

  93. in the wildでの出現

  94. 5/17 パッチを当てたWannaCryがhoneypotで捕獲された

  95. KillSwitchドメインのチェックを行うが結果を無視する

  96. • 5/14のmsuiche氏の検体は、URLがNullで埋めら れておりドメインのチェック自体を行わない • 5/17のsmgoreli氏の検体は、ドメインのチェッ クを行うが、結果を無視する Kill Switchが無効化された亜種の違い

  97. https://twitter.com/GossiTheDog/status/864871408119283712 5/18 KillSwitchがなく、ランサムウェア機能が無効にされた 検体をSMB honeypotで1分間に800件検出

  98. https://www.virustotal.com/en/file/dbf3890b782ac04136c3336814eef97e3c0f4133f9592e882c131c179161b27b/analysis/ VirusTotalにUploadされたのは、5/16 5時頃(日本時間)

  99. VirusTotalにUploadされてから Honeypotで検出される様になるまで1日半程

  100. KillSwitchを無効化した WannaCry亜種について DoublePulsarの拡散が目的との説があるが

  101. セキュリティ製品などのテストを行っている英企業 MRG Effitas MRG(Malware Research Group)

  102. https://www.mrg-effitas.com/eternalblue-vs-internet-security-suites-and-nextgen-protections/ WannaCryに対応済としている10のセキュリティ製品について Eternalblue/Doublepulsarによるshellcodeの実行をブロック出来るかのテスト

  103. 5/18時点でブロック出来たのは10製品中、2製品のみ、6/26時点で6製品 MS17-010の公開は3/14、EternalBlueは4/14

  104. 2つの次世代エンドポイントプロテクション製品、1つのEDR(Endpoint Detection and Response)、1つのmicro-virtualization based solutionが検知できず

  105. • DoublePulsarの拡散が目的ならば、余計なファイルをド ロップしない方が検知・ブロックされる確率が低い • ワーム機能による拡散スピード vs ブロック率 DoublePulsarの拡散が目的か?

  106. • VirusTotalに検体が最初にUploadされてから、各種のハ ニーポットで検出されるまでに約1日半 • VirusTotalにUploadされた時点で、in the wildではな かった可能性もある • VirusTotalから取得した検体を意図的に拡散させた?

    • ワーム系の検体の扱いに慣れていないテスターが、他の ランサムウェアと同じように安易に検証環境で実行させ て、拡散させてしまった可能性? Kill Switchが無効化された亜種はどのように広まったか

  107. • オリジナルのWannaCryの作成者 • KillSwitchを無効化したWannaCry亜種の作成者 • ソースコードを修正してリコンパイルしたのではなく、バイナ リにパッチを当てることによりKillSwitchを無効化 • オリジナルWannaCryの作成者ならソースコードを修正できる •

    オリジナルWannaCryの作成者とは別人の可能性大 • WannaCry亜種を拡散した者 • VirusTotalへのアップロードからHoneypotなどでin the wildで 検出されるまで1日半のタイムラグ • 亜種の作成者と拡散した者が別人の可能性 • VirusTotalから取得した検体を意図的に拡散した? • 検体を検証環境で安易に実行して拡散させてしまった? オリジナルのWannaCryの作者、亜種の作者、拡散した者 これらがすべて異なる可能性

  108. • KillSwitchを無効化したWannaCry亜種により、工場や POSレジが停止するなどの被害が報告されている • オリジナルのWannaCryを作成したのは誰かだけが話題 になるが、亜種を作成、拡散した者にも被害の責任があ るのではないか? 亜種を作成、拡散した者にも責任

  109. Kill Switchによる緩和策は 有効だったのか?

  110. Kill Switchによる緩和策 • Kill Switchのない亜種がin the wildで確認されるのは5/17 で、WannaCryの出現から約5日間の猶予 • Kill

    Switchのない亜種は、ランサムウェア機能はない • すべてのPCにパッチが正しく適用されているかを確認する 作業には時間が掛かる • パッチの適用や、445ポートのフィルタリング、ネット ワークのセグメンテーション、SMBv1の無効化などの根本 的対策を実施するまでの時間稼ぎとしては、Kill Switchに よる緩和策は有効であった

  111. Kill Switchによる緩和策 • Proxy経由でしかWebアクセス出来ない企業などでは、Kill Switchへのアクセスを一時的に許可するか、内部向けの Kill Switchを設置するかなどの設定が必要 • IPAなどの注意喚起にはKill Switchに関する情報なし

    • Kill Switchのない亜種出現などの誤報(5/14) • 誤報を信じたために緩和策として推奨しなかった可能性 • 正確な情報収取、共有の必要性

  112. 5/14 優先事項としてキルスイッチの接続をブロック しないことを推奨

  113. None

  114. How to Accidentally Stop a Global Cyber Attacks https://www.malwaretech.com/2017/05/how-to- accidentally-stop-a-global-cyber-attacks.html

    WannaCry: Two Weeks and 16 Million Averted Ransoms Later https://blog.kryptoslogic.com/malware/2017/05/29/two -weeks-later.html ETERNALBLUE vs Internet Security Suites and nextgen protections https://www.mrg-effitas.com/eternalblue-vs-internet- security-suites-and-nextgen-protections/ 参考資料