WannaCryのKill Switch、亜種 #ssmjp /ssmjp1710-3

Slide 1

Slide 1 text

WannaCryの Kill Switch、亜種 @kitagawa_takuji

Slide 2

Slide 2 text

#ssmjp 2017/10 #1 https://ssmjp.connpass.com/event/68090/ で使用したスライドの一部です

Slide 3

Slide 3 text

Kill Switch

Slide 4

Slide 4 text

• マルウェア内にハードコードされたURLに接続を試みる • 接続が成功した場合活動を停止 • 接続が失敗した場合活動（拡散、暗号化）を継続 • 拡散開始当初は、URLが存在しなかった（ドメイン登録されてない）ため、接続は必ず失敗。 WannaCryは活動を継続 KillSwitch

Slide 5

Slide 5 text

• その後、セキュリティリサーチャMalwareTech氏がドメインを登録し、自らが管理するSinkHoleに誘導する様にしたため、接続が成功し、 WannaCryは活動を停止するようになった • これにより新規の感染が大幅にスローダウンし沈静化 • SinkHoleには2週間で72万のユニークなIPアドレスからのアクセス • 既にWannaCryに感染している端末の活動を止める事はできない KillSwitch

Slide 6

Slide 6 text

• www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/12 • www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/14 • www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com 5/15 • www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/15 • www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com 5/15 確認されているKillSwitch（５月末現在）

Slide 7

Slide 7 text

http://www.pandasecurity.com/mediacenter/src/uploads/2017/05/1705-Informe_WannaCry-v160-en.pdf KillSwitchのURLへの接続が成功すると処理終了

Slide 8

Slide 8 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) Kill Switchが有効な場合

Slide 9

Slide 9 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合

Slide 10

Slide 10 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合応答

Slide 11

Slide 11 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合応答処理終了

Slide 12

Slide 12 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合応答処理終了 Kill Swicthが有効な場合、感染しても何も行わず処理終了

Slide 13

Slide 13 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll EterenalBlue injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) Kill Switchが有効な場合 Kill Switch Check 応答処理終了

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

• KillSwitchを参照するのは感染直後の１度のみ • KillSwitchから応答があればプログラムを終了する • 定期的に参照（ポーリング）している訳ではない • KillSwitchへの接続が切れると活動を再開するということはない • 既に感染した（拡散処理、暗号化処理が開始されている）PCの活動を止めることは出来ない KillSwitch

Slide 18

Slide 18 text

• 既に感染したマシンの活動を止めることは出来ないが、感染から24時間経てばSMBでの拡散活動は停止する • 既に感染したマシンが再起動されるとKillSwitchを参照し、応答がなければ、スキャンを24時間継続する（mssecsvc.exeがサービス登録されているため）

Slide 19

Slide 19 text

• KillSwitchはProxyに対応していない • 企業などProxy経由でないとWebアクセス出来ない場合、KillSwitchが機能しない • セキュリティ製品でSinkHoleへのアクセスをブロックしている場合も、KillSwitchが機能しない Proxyには非対応

Slide 20

Slide 20 text

• KillSwitchのドメインへのProxyを経由しないアクセスを一時的に許可するように設定を行う • 内部向けDNSで、KillSwitchのドメイン名に内部 WebサーバのIPアドレスを設定する • KillSwitchに接続するのは感染直後の1回のみなので専用のWebサーバを用意する必要はない（負荷は小さい） • インターネットから遮断されている環境でも、内部向けKillSwitchを設定すれば、KillSwitchは機能する Proxy経由でしかWebアクセスできない組織の対応

Slide 21

Slide 21 text

『ワナクライに感染したパソコンの場合、インターネットにつながっている限りはキルスイッチが動作し、破壊が止まっている状態となっている。そういう状態からネット接続を切り離すと、そのパソコンはたちまち暗号化されることとなる。』  KillSwitchのチェックは感染直後の一度のみ  KillSwitchのチェックをして応答が返れば何も行わずプログラム終了  定期的にチェックしている訳ではない  ネット接続を切り離すと暗号化が再開されることはない『ワナクライに感染しているかもしれないパソコンを抱えている組織においては、「動作しているキルスイッチ」を止めないように、場合によってはインターネットへの接続を確保しながら作業をするなど気を付けて対応を行ったところもある。』  KillSwitchでは既に感染したPCの活動を止めることは出来ない  感染端末はネットから切り離すのが正しい処置  インターネットから遮断されている環境では、内部向け KillSwitchを設定するのが有効よくある誤解（実際の解説記事より）

Slide 22

Slide 22 text

Kill Switch の目的は？

Slide 23

Slide 23 text

• 拡散し過ぎて制御が効かなくなった場合の最終停止手段 • 本来の意味のキルスイッチ • 犯人自身がドメインを取得していないと制御出来ない • 誰かがドメイン取得して停止してくれることを期待？ • 特定の国や地域への感染を避ける • 接続元IPアドレスにより、応答・無応答を判断 • 通常は、言語設定、キーボードなどで判断 • 犯人自身がドメインを取得していないと制御出来ない • Sandboxによる解析回避 • 最も有力な説 KillSwitchの目的は何か？

Slide 24

Slide 24 text

• 実環境では存在しないドメインに接続しても応答が返らないが、Sandbox環境では存在しないドメインでも偽の応答を返す（ものが多い）ので、解析回避のために動作を停止する • WannaCryが最初ではない。同じような仕組みはNecurs trojanでも使用 • Necursでは５つのランダムなドメインの名前問い合わせを行い、同じIPアドレスが返れば終了 • Necursではランダムに生成したドメインだが、WannaCry ではプログラム内にハードコードされたドメインを使用していたため、ドメイン登録することにより全世界で活動停止 Sandboxによる解析回避

Slide 25

Slide 25 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll EternalBlue Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) WannaCryはネットワーク感染なのでサンドボック製品の検査対象にならない？サンドボックス製品の対象外ドロップされたファイルをローカル又はクラウドでサンドボックス検査

Slide 26

Slide 26 text

Kill Switch 発見の経緯

Slide 27

Slide 27 text

KillSwitch発見の経緯 https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

Slide 28

Slide 28 text

Marcus Hutchins氏(MalwareTech) Kryptos Logicでマルウェアリサーチャー

Slide 29

Slide 29 text

Botnet TrackerなどをMalwareTechとして作成

Slide 30

Slide 30 text

• WannaCryのサンプルを入手し動的解析した結果、あるドメインへのDNS問い合わせが発生していることを発見 • 登録されていないドメインであったため、通常業務の一環としてドメイン登録し、Sinkhole化する • この時点では、ドメインがどのような役割を果たすのかわからなかった • Sinkhole化し通信を監視することで感染数などの観測が出来るのではと考えた Kill Switch発見の経緯

Slide 31

Slide 31 text

• C&CサーバへのDNS問い合わせに対し、他のIPアドレスを返すことによりクライアントが不正なC&Cサーバに接続するのを防止する • 過去にC&Cサーバとして使用されたドメイン名でExpire したドメイン名を取得しリクエストを観測することにより、マルウェアに感染した企業・組織を検出する • マルウェアの通信内容を観測する Sinkholeとは？

Slide 32

Slide 32 text

5/13 0:35（日本時間）可視化できた！

Slide 33

Slide 33 text

SinkHole化したことでWannaCry感染端末のIPアドレスが判明

Slide 34

Slide 34 text

Kill Switchが有効になったのは、 5/12 15:28頃（日本時間 5/12 23:28頃）

Slide 35

Slide 35 text

Domain name: IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM Registry Domain ID: 2123519849_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.namecheap.com Registrar URL: http://www.namecheap.com Updated Date: 2017-06-22T16:05:38.00Z Creation Date: 2017-05-12T15:08:04.00Z Registrar Registration Expiration Date: 2023-05-12T15:08:04.00Z Registrar: NAMECHEAP INC Registrar IANA ID: 1068 Registrar Abuse Contact Email: Registrar Abuse Contact Phone: +1.6613102107 Reseller: NAMECHEAP INC Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: renewPeriod https://icann.org/epp#renewPeriod Registry Registrant ID: Registrant Name: WhoisGuard Protected Registrant Organization: WhoisGuard, Inc. Registrant Street: P.O. Box 0823-03411 Registrant City: Panama Registrant State/Province: Panama Registrant Postal Code: Registrant Country: PA Whois ドメイン登録 5/12 15:08（日本時間 5/12 23:08）

Slide 36

Slide 36 text

5/13 01:15 WannaCryのLive感染マップを作成

Slide 37

Slide 37 text

これを作るのが目的だった

Slide 38

Slide 38 text

• 同僚から、ドメインを登録したことによって、ファイルの暗号化が加速することになったのではと疑われる • Malware研究者のKafeine氏に相談したところ、次のツイートを示された Kill Switch発見の経緯

Slide 39

Slide 39 text

5/13 2:29 MalwareTech氏が登録したドメインがKill Switchであることを最初に発見したのは Darien Huss氏（Proofpoint)

Slide 40

Slide 40 text

5/13 3:23 Darien Huss氏のツイートを見て「あるアナリストがドメインをシンクホールしたことで感染がストップしたと言っているが、誰か確認できた人いる？」とまだ信用していない様子

Slide 41

Slide 41 text

• ドメインを登録してシンクホールしたのは MalwareTech氏だが、そのドメインが KillSwitchであることを最初に発見し報告したのはDarien Huss氏 KillSwitchを発見したのはMalwareTech氏か？

Slide 42

Slide 42 text

WannaCry Infection Mapで日本も被害が出ていると話題になったが KillSwitchへの接続が成功しているため実際には被害は出ていない

Slide 43

Slide 43 text

WannaCryの出現はいつ頃か？

Slide 44

Slide 44 text

http://blog.talosintelligence.com/2017/05/wannacry.html Cisco Umbrella（Open DNS)の観測によると、KillSwitchドメインへの接続は、 7:24UTC(日本時間16:24)より観測されている

Slide 45

Slide 45 text

Symantecの観測によると、WannaCryの脆弱性悪用の件数は 8:00GMT(日本時間17:00)より急増 https://www.symantec.com/connect/ja/blogs/wannacry-1

Slide 46

Slide 46 text

Goolgeで”wana decrypt0r”の最初の検索 6:18GMT(日本時間15:18)

Slide 47

Slide 47 text

Wanna Decrptor 1.0 Wana Decrypt0r 2.0 ”wana decrypt0r”の文字列は2.0で初めて出現

Slide 48

Slide 48 text

Goolgeで”wana decrypt0r”の最初の検索は、被害者（又は犯人）の可能性 6:18GMT(日本時間15:18)

Slide 49

Slide 49 text

VirusTotalへのFirst submission（ランサムウェアモジュール） 7:31GMT(日本時間16:31)

Slide 50

Slide 50 text

VirusTotalへのFirst submission（拡散モジュール） 8:57GMT(日本時間17:57)

Slide 51

Slide 51 text

最初のBitcoinの支払い 11:07GMT(日本時間20:07)

Slide 52

Slide 52 text

• 5/12 15:18 ”wana decrypt0r”文字列の最初のGoogle検索（台湾） • 5/12 16:24 登録されていないドメイン www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com への最初のDNS問合せの観測（Cisco Umbrella) • 5/12 16:31 VirusTotalへの最初の検体アップロード • 5/12 20:00頃脆弱性悪用の急増（Symantec) • 5/12 20:07 最初のBitcoinの支払いタイムライン(日本時間）

Slide 53

Slide 53 text

• 5/12 23:08 MalwareTech氏によりドメイン登録 • 5/12 23:28 SinkHole化 • 5/13 01:12 MalwareTech氏によりWannaCry Trackerが公開 • 5/13 02:29 Darien Huss氏がSinkHole化されたドメインはKill Switchであることをツイートタイムライン(日本時間）

Slide 54

Slide 54 text

• WannaCryの出現から半日以内にKill Switchのドメインがシンクホール化 • シンクホール化から約3時間後にKill Switchであることが判明 • Kill Switchの有効化により新規の感染が激減（正確には感染しても活動しない） • 既に感染したマシンも24時間後にはSMBスキャンを停止するため、5/13中にはほぼ沈静化タイムライン(日本時間）

Slide 55

Slide 55 text

かなり早い段階で Kill SwitchがSinkHole化されたことが感染拡大の防止に大きく役立った

Slide 56

Slide 56 text

KillSwitchへのDDoS

Slide 57

Slide 57 text

Kill SwitchへのDDoS

Slide 58

Slide 58 text

Passive DNS

Slide 59

Slide 59 text

5/24 DDoS対策としてCloudFlareのCDNを導入

Slide 60

Slide 60 text

ヒーローとなったご褒美で会社負担でラスベガス旅行（BlackHat,Defcon) 別のマルウェア（Kronos)の開発、配布容疑でFBIに逮捕無罪を主張し裁判中 http://japanese.engadget.com/2017/08/04/wannacry-fbi/ https://pc.watch.impress.co.jp/docs/news/yajiuma/ 1074352.html

Slide 61

Slide 61 text

異なるKill Switchのドメインの亜種

Slide 62

Slide 62 text

5/14 21:19 異なるKill Switchのドメインの亜種を検出

Slide 63

Slide 63 text

in the wildで確認されているもの • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com • www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com • www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com in the wildでは確認されていないが検体が確認されているもの • www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com • www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com • 桁数が全て同じ、共通する部分が多い • ソースを修正してリコンパイルしたのではなく、バイナリにパッチを当てた可能性確認されているKill Switchのドメイン（5月末現在）

Slide 64

Slide 64 text

www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com Suiche氏のWannaCryとLazarus （北朝鮮のハッカー集団）の類似性の指摘のツイートの2時間半後に出現ジョークなのか、嫌がらせなのか？

Slide 65

Slide 65 text

Kill Switchが無効にされた亜種

Slide 66

Slide 66 text

• 5月下旬よりKill Switchのチェックが無効にされ、かつランサムウェア（暗号化）機能が無効にされたWannaCry の亜種が観測されるようになった • 6月中旬。ホンダ、日本マクドナルド、ウエルシア薬局などで、工場やPOSレジが停止するなどの被害が出る • 海外では、オーストラリアの速度違反カメラがKillSwitch のないWannaCry亜種の被害にあい、XPが再起動を繰り返す Kill Switchが無効にされた亜種

Slide 67

Slide 67 text

http://itpro.nikkeibp.co.jp/atcl/ncd/14/379244/062900072/

Slide 68

Slide 68 text

オーストラリアの速度違反カメラ http://cameracommissioner.vic.gov.au/wp-content/uploads/2017/07/Interim_report- Victorian_road_safety_camera_network_virus_infection-6_July_2017.pdf

Slide 69

Slide 69 text

当初の報道「USBメモリから感染した」 https://news.mynavi.jp/article/20170628-a059/

Slide 70

Slide 70 text

• 6/6にシステムがクラッシュすることで異変に気付く • 6/6以前のどこかでWannaCry亜種が、スピードカメラのネットワークに感染。感染の方法は明らかではない。 • 計110台のWindows7が感染。それらが内部に拡散を続けた結果、WindowsXPがクラッシュを続ける。 • 身代金要求文の画面表示なし、ファイルも暗号化されていない。Windows XPは感染していないが、クラッシュ、再起動を繰り返した。オーストラリアの速度違反カメラ

Slide 71

Slide 71 text

Kill Switchが無効にされた亜種出現の経緯

Slide 72

Slide 72 text

誤報

Slide 73

Slide 73 text

5/14 6時 KillSwitchのない亜種が出現したとの情報が広がる日本でもかなり拡散され話題になっていた

Slide 74

Slide 74 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll EternalBlue Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) WannaCryの2つの検体検体① 拡散処理検体② ランサムウェア処理ランサムウェア処理を行う検体はKillSwitchのチェックを行わない

Slide 75

Slide 75 text

• WannaCryの検体は、SMBによる拡散を行う部分とランサムウェア処理を行う部分に別れる • ランサムウェア処理を行う検体はKillSwitchのチェックを行わない • ランサムウェア処理を行う検体を単独で実行しても、ランサムウェア処理（ファイル暗号化、脅迫画面）は実行される • ランサムウェア処理を行う検体のみを実行して、 Kill Switchのチェックを行わない亜種だと誤認している人が多数 Kill Switchのない亜種

Slide 76

Slide 76 text

KasperskyのCostin Raiu氏が「KillSwitchのない亜種が出現した」とThe Hacker Newsに語る https://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

Slide 77

Slide 77 text

5/14 11:49

Slide 78

Slide 78 text

5/14 20:33 Costin Raiu氏による訂正のツイート「Kill Switchのないバージョンはなかった」

Slide 79

Slide 79 text

KillSwitchのチェックを行わないのは拡散を行わないランサムウェアのペイロードの方だった

Slide 80

Slide 80 text

The Hacker Newsでは Twitter、記事とも訂正なし

Slide 81

Slide 81 text

KillSwitchのない亜種が出現したとの誤報により KillSwitchによる緩和策を行っても無意味との誤解が生じた可能性

Slide 82

Slide 82 text

VirusTotal上での出現

Slide 83

Slide 83 text

5/14 23:19 バイナリにパッチを当てることにより KillSwitchを無効化した検体が確認される

Slide 84

Slide 84 text

ランサムウェア機能が無効にされている

Slide 85

Slide 85 text

ハニーポットなどでin the wildで捕獲されたものではなく、 VirusTotalからYARAルールでのマッチングで取得されたもの

Slide 86

Slide 86 text

https://virustotal.com/en/file/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd/analysis/ VirusTotalにUploadされたのは、5/14 22時頃（日本時間）

Slide 87

Slide 87 text

5/17のWebセミナーの資料 5/17時点でKill Switchを無効化した亜種のin the wildでの観測なし https://www.slideshare.net/KasperskyLabGlobal/how-to-protect-your-business-from-wannacry-ransomware

Slide 88

Slide 88 text

パッチを当てることによりKillSwitchが無効化されている https://www.renditioninfosec.com/2017/05/wanacrypt0r-worm-with-kill-switch-patched-out/

Slide 89

Slide 89 text

Kill SwitchのURLがNull（0x00）で埋められている

Slide 90

Slide 90 text

• KillSwitchがなく、ランサムウェア機能が無効にされた WannaCryは、初期の大量感染の2日後の5/14には既に報告されている • ハニーポットなどでin the wildで捕獲されたものではなく、VirusTotalからYARAルールでのマッチングで取得されたもの • KillSwitchの無効化は（ソースコードからリコンパイルしたのではなく）バイナリにパッチを当てることにより行われている • ランサムウェア機能の圧縮ファイルの展開に失敗するためランサムウェア機能は動作しない。SMBの脆弱性を用いた拡散機能は動作する Kill Switchが無効化された亜種

Slide 91

Slide 91 text

• 週明け前で企業でのパッチ適用が進んでいない時点でもあり、KillSwitchが無効なら爆発的な拡散が予想されたが、その後３日程経ってもin the wildで確認されなかった • そのため、どこかの研究者がジョークでVirusTotalに上げたものではと言われていた Kill Switchが無効化された亜種

Slide 92

Slide 92 text

どんな意図があるかは分からないが亜種を作って VirusTotalにUPする人達が存在する

Slide 93

Slide 93 text

in the wildでの出現

Slide 94

Slide 94 text

5/17 パッチを当てたWannaCryがhoneypotで捕獲された

Slide 95

Slide 95 text

KillSwitchドメインのチェックを行うが結果を無視する

Slide 96

Slide 96 text

• 5/14のmsuiche氏の検体は、URLがNullで埋められておりドメインのチェック自体を行わない • 5/17のsmgoreli氏の検体は、ドメインのチェックを行うが、結果を無視する Kill Switchが無効化された亜種の違い

Slide 97

Slide 97 text

https://twitter.com/GossiTheDog/status/864871408119283712 5/18 KillSwitchがなく、ランサムウェア機能が無効にされた検体をSMB honeypotで1分間に800件検出

Slide 98

Slide 98 text

https://www.virustotal.com/en/file/dbf3890b782ac04136c3336814eef97e3c0f4133f9592e882c131c179161b27b/analysis/ VirusTotalにUploadされたのは、5/16 5時頃（日本時間）

Slide 99

Slide 99 text

VirusTotalにUploadされてから Honeypotで検出される様になるまで1日半程

Slide 100

Slide 100 text

KillSwitchを無効化した WannaCry亜種について DoublePulsarの拡散が目的との説があるが

Slide 101

Slide 101 text

セキュリティ製品などのテストを行っている英企業 MRG Effitas MRG（Malware Research Group)

Slide 102

Slide 102 text

https://www.mrg-effitas.com/eternalblue-vs-internet-security-suites-and-nextgen-protections/ WannaCryに対応済としている10のセキュリティ製品について Eternalblue/Doublepulsarによるshellcodeの実行をブロック出来るかのテスト

Slide 103

Slide 103 text

5/18時点でブロック出来たのは10製品中、2製品のみ、6/26時点で6製品 MS17-010の公開は3/14、EternalBlueは4/14

Slide 104

Slide 104 text

2つの次世代エンドポイントプロテクション製品、１つのEDR（Endpoint Detection and Response）、1つのmicro-virtualization based solutionが検知できず

Slide 105

Slide 105 text

• DoublePulsarの拡散が目的ならば、余計なファイルをドロップしない方が検知・ブロックされる確率が低い • ワーム機能による拡散スピード vs ブロック率 DoublePulsarの拡散が目的か？

Slide 106

Slide 106 text

• VirusTotalに検体が最初にUploadされてから、各種のハニーポットで検出されるまでに約１日半 • VirusTotalにUploadされた時点で、in the wildではなかった可能性もある • VirusTotalから取得した検体を意図的に拡散させた？ • ワーム系の検体の扱いに慣れていないテスターが、他のランサムウェアと同じように安易に検証環境で実行させて、拡散させてしまった可能性？ Kill Switchが無効化された亜種はどのように広まったか

Slide 107

Slide 107 text

• オリジナルのWannaCryの作成者 • KillSwitchを無効化したWannaCry亜種の作成者 • ソースコードを修正してリコンパイルしたのではなく、バイナリにパッチを当てることによりKillSwitchを無効化 • オリジナルWannaCryの作成者ならソースコードを修正できる • オリジナルWannaCryの作成者とは別人の可能性大 • WannaCry亜種を拡散した者 • VirusTotalへのアップロードからHoneypotなどでin the wildで検出されるまで1日半のタイムラグ • 亜種の作成者と拡散した者が別人の可能性 • VirusTotalから取得した検体を意図的に拡散した？ • 検体を検証環境で安易に実行して拡散させてしまった？オリジナルのWannaCryの作者、亜種の作者、拡散した者これらがすべて異なる可能性

Slide 108

Slide 108 text

• KillSwitchを無効化したWannaCry亜種により、工場や POSレジが停止するなどの被害が報告されている • オリジナルのWannaCryを作成したのは誰かだけが話題になるが、亜種を作成、拡散した者にも被害の責任があるのではないか？亜種を作成、拡散した者にも責任

Slide 109

Slide 109 text

Kill Switchによる緩和策は有効だったのか？

Slide 110

Slide 110 text

Kill Switchによる緩和策 • Kill Switchのない亜種がin the wildで確認されるのは5/17 で、WannaCryの出現から約5日間の猶予 • Kill Switchのない亜種は、ランサムウェア機能はない • すべてのPCにパッチが正しく適用されているかを確認する作業には時間が掛かる • パッチの適用や、445ポートのフィルタリング、ネットワークのセグメンテーション、SMBv1の無効化などの根本的対策を実施するまでの時間稼ぎとしては、Kill Switchによる緩和策は有効であった

Slide 111

Slide 111 text

Kill Switchによる緩和策 • Proxy経由でしかWebアクセス出来ない企業などでは、Kill Switchへのアクセスを一時的に許可するか、内部向けの Kill Switchを設置するかなどの設定が必要 • IPAなどの注意喚起にはKill Switchに関する情報なし • Kill Switchのない亜種出現などの誤報(5/14) • 誤報を信じたために緩和策として推奨しなかった可能性 • 正確な情報収取、共有の必要性

Slide 112

Slide 112 text

5/14 優先事項としてキルスイッチの接続をブロックしないことを推奨

Slide 113

Slide 113 text

No content

Slide 114

Slide 114 text

How to Accidentally Stop a Global Cyber Attacks https://www.malwaretech.com/2017/05/how-to- accidentally-stop-a-global-cyber-attacks.html WannaCry: Two Weeks and 16 Million Averted Ransoms Later https://blog.kryptoslogic.com/malware/2017/05/29/two -weeks-later.html ETERNALBLUE vs Internet Security Suites and nextgen protections https://www.mrg-effitas.com/eternalblue-vs-internet- security-suites-and-nextgen-protections/ 参考資料