Slide 1

Slide 1 text

WannaCryの概要 使用された脆弱性 @kitagawa_takuji

Slide 2

Slide 2 text

#ssmjp 2017/10 #1 https://ssmjp.connpass.com/event/68090/ で使用したスライドの一部です

Slide 3

Slide 3 text

WannaCryの概要

Slide 4

Slide 4 text

• ランサムウェアと呼ばれる身代金要求型のマル ウェア • Wanna Decryptor、Wana Cryptor 2.0、 WanaCrypt、Wcryなどの別名 • Officeファイル、画像ファイル、ソースコー ドなど、166種類の拡張子のファイルを暗号 化 • ローカルドライブ、リムーバブルドライブ、 ネットワークドライブ(マウントされた共有 フォルダ)のファイルを暗号化 WannaCry

Slide 5

Slide 5 text

• 身代金としてビットコインで$300を要求、3日 経つと要求額が倍になり、7日経つと永久に ファイルを復元できないと脅す • 身代金要求文は28言語に対応 WannaCry

Slide 6

Slide 6 text

• WindowsのSMBv1の脆弱性を悪用しネットワーク 経由で感染を広げる • 150カ国、20万台以上が感染(Europole発表) • 警察庁は、25件の感染を確認(5/19現在) • JPCERT/CCは、国内、約600か所、約2,000の 端末で感染を確認(5/14現在) WannaCry

Slide 7

Slide 7 text

WannaCryの特徴

Slide 8

Slide 8 text

• ワーム機能(自己増殖能力) • Windowsのファイル共有SMBv1の脆弱性を悪用し他の マシンへの感染を広める • ローカルネットワークだけでなく、ランダムに生成した インターネットのIPアドレスについても感染拡大を行う WannaCryの特徴

Slide 9

Slide 9 text

• NSAから漏洩したExploitコードを使用 (後で詳しく) • SMBv1の脆弱性を突いて任意のコードを実行する 「EternalBlue」 • EternalBlueによって仕掛けられるバックドア 「DoublePulsar」 • The Shadow Brokersが2017年4月に公開した Equation Group(NSAのハッキング集団)のツールに含 まれる • マイクロソフトは2017年3月にMS17-10で修正パッチ を公開済み WannaCryの特徴

Slide 10

Slide 10 text

• Kill Switchを実装 (後で詳しく) • マルウェア内にハードコードされたURLに接続を試みる • 接続が成功した場合、活動を停止 • 接続が失敗した場合、活動(拡散、暗号化)を継続 • 拡散開始当初は、URLが存在しなかった(ドメイン登録 されてない)ため、接続は必ず失敗。WannaCryは活動 を継続 • その後、セキュリティリサーチャがドメインを登録し、 SinkHoleに誘導する様にしたため、接続が成功し、 WannaCryは活動を停止するようになった WannaCryの特徴

Slide 11

Slide 11 text

• Blaster 2003年8月 • RPCインターフェイスの脆弱性 MS03-026 135/tcp • 感染数 800万台~1600万台(Microsoftの推計による) • Confiker 2008年11月 • Serverサービスの脆弱性 MS08-067 445/tcp • 感染数 1700万台(Microsoftの推計による) • WannaCry 2017年5月 • SMBv1の脆弱性 MS17-010 445/tcp • 感染数 20万台~30万台 ワームとして過去最大ではない

Slide 12

Slide 12 text

身代金の支払額は他のランサムウェアに比べ少ない 338件、14万ドル(約1500万円) Lockyの1/80、Cerberの1/70 https://www.blackhat.com/docs/us-17/wednesday/us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

Slide 13

Slide 13 text

他のランサムウェアは数ヶ月~数年に渡り活動 https://www.blackhat.com/docs/us-17/wednesday/us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

Slide 14

Slide 14 text

• WannaCry(Beta) • 2/12頃 • 暗号化の処理はWannaCry 2.0とほぼ同じ • 被害は1組織のみ 100台以上が感染(Symantecによる *1) • WannaCry 1.0 • 3月下旬から4月 • メールのリンクよりDropboxのファイルをダウンロードさせ感染 • ID:Passwordの辞書攻撃によりSMBの共有にアクセスし暗号化 • 少なくとも5組織が被害(Symantecによる *1) • WannaCry 2.0 • 5/12 • SMBの脆弱性を悪用した攻撃(EternalBlue/DoublePulsar)によ り拡散を行う • 150カ国、20万台以上が感染 WannaCryには複数のバージョンが存在 一般的にWannaCryと呼ばれているものは、WannaCry 2.0 *1 https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group

Slide 15

Slide 15 text

3月下旬には既にWannaCryと呼ばれていた

Slide 16

Slide 16 text

No content

Slide 17

Slide 17 text

No content

Slide 18

Slide 18 text

本発表でも WannaCryといえば WannaCry 2.0のことを 指します

Slide 19

Slide 19 text

WannaCryで 使用された脆弱性

Slide 20

Slide 20 text

• The Shadow Brokersが2017年4月にリークしたEquation Group(NSAのハッキング部隊)の攻撃ツールセット Fuzzbunchに含まれる • EternalBlue SMBv1の脆弱性を突いて任意のコードを実行する • DoublePulsar カーネルモードで動作するバックドア マルウェアのダウンローダー 他の永続的なバックドアをインストールするのに使われる EternalBlue/DoublePulsar

Slide 21

Slide 21 text

https://blog.comae.io/the-shadow-brokers-cyber-fear-game-changers-d143796f560f The Shadow Brokersのタイムライン

Slide 22

Slide 22 text

• 2016年8月 TheShadowBrokersが活動開始 #1 "Equation Group Cyber Weapons Auction - Invitation" ファイアウォール製品のExploitコードを無料サンプルとし て公開 • 2017年1月8日 #7 “Windows Warez” Windows Exploitの 販売を発表。FuzzBunchなどが含まれる • 2017年1月12日 #8 “Farewell Message” 活動停止を宣言 タイムライン抜粋

Slide 23

Slide 23 text

• 1月~2月 NSAがMSに脆弱性の情報を伝える (ワシントン・ポスト紙による) • 2月14日 MSが月例パッチを延期 • 3月14日 MSがMS17-10のパッチを公開 • 4月14日 #11 "Lost in Translation“ Windows Exploitを公開 • 5月12日 WannaCry タイムライン抜粋

Slide 24

Slide 24 text

• 出品物のディレクトリ構造のスクリーンショット画像を公開 • 無料サンプルとしてファイアウォール製品(Cisco、 Juniper、Fortigate)の攻撃コードを公開 • 最も高い金額を入金した者が落札する • 2番目以降の者には返金されない • 入金の合計金額が100万BTC(当時約600億円)に達したら、 全員にツールを提供する 2016年8月 ShadowBrokersのオークション #1

Slide 25

Slide 25 text

• このルールでオークションが成立するとは思えない • 金銭目的ではなく、なんらかの政治的目的 2016年8月 ShadowBrokersのオークション #1

Slide 26

Slide 26 text

1/8 FuzzBunchの価格 650BTC = 約3億円(当時)

Slide 27

Slide 27 text

TheShadowBrokersの1月のメッセージ以降に NSAがMicrosoftにEternalBlueについて伝える (ワシントン・ポストによる) https://arstechnica.com/information-technology/2017/05/fearing-shadow-brokers-leak-nsa-reported-critical-flaw-to-microsoft/

Slide 28

Slide 28 text

マイクロソフトが2月の月例パッチを延期 直前に問題を発見したが更新までに解決に至らなかった

Slide 29

Slide 29 text

3/15 にセキュリティ更新プログラムをリリース

Slide 30

Slide 30 text

4/14 FuzzBunchを公開

Slide 31

Slide 31 text

FuzzBunchにはEternalBlue/DoublePulsarだけでなく 数十のツールが含まれる

Slide 32

Slide 32 text

No content

Slide 33

Slide 33 text

• MS17-010の脆弱性の存在をチェック • MS17-010の脆弱性が存在する • DoublePulsarが存在  DoublePulsarを用いてWannaCry自身を送り込み感染させる • DoublePulsarが存在しない  EternalBlueを用いてDoublePulsarをインストール、 DoublePulsarを用いてWannaCry自身を送り込み感染させる • MS17-010の脆弱性が存在しない • DoublePulsarが存在  DoublePulsarを用いてWannaCry自身を送り込み感染させる WannaCry感染の流れ

Slide 34

Slide 34 text

• 簡単に言えば • DoublePulsarが存在すれば、DoublePulsarを用 いてWannaCryを送り込み感染 • DoublePulsarが存在しなければ、 EternalBlueを 用いてDoublePulsarをインストールし、 DoublePulsarを用いてWannaCryを送り込み感染 WannaCry感染の流れ

Slide 35

Slide 35 text

• (WannaCryのコード上は) MS17-010の脆弱性が 存在しなくてもDoublePulsarが存在すれば DoublePulsarを通じて感染 • WannaCryによってインストールされた DoublePulsarは再起動することによって消滅 WannaCry感染の流れ

Slide 36

Slide 36 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com WannaCry感染の流れ

Slide 37

Slide 37 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ

Slide 38

Slide 38 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ

Slide 39

Slide 39 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ

Slide 40

Slide 40 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ

Slide 41

Slide 41 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 Eternalblue SMB(445/tcp) WannaCry感染の流れ

Slide 42

Slide 42 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 自身をサービス MSSECSVC2.0 として登録 Eternalblue SMB(445/tcp) WannaCry感染の流れ

Slide 43

Slide 43 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 Drop 自身をサービス MSSECSVC2.0 として登録 Eternalblue SMB(445/tcp) WannaCry感染の流れ

Slide 44

Slide 44 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 Eternalblue SMB(445/tcp) WannaCry感染の流れ

Slide 45

Slide 45 text

tasksche.exe ランサムウェア処理 パスワード付き ZIP 展開 パスワード WNcry@2ol7 b.wnry c.wnry r.wnry s.wnry t.wnry u.wnry taskdl.exe taskse.exe msg フォルダ デスクトップ壁紙 設定ファイル 身代金要求文 Torクライアント ファイル暗号化機能DLL 復号ツール 一時ファイル削除ツール 復号ツール起動用 多言語の身代金要求文

Slide 46

Slide 46 text

WannaCry以前に既にDoublePulsarの感染端末が多数 • Below0Dayの調査 • 4/21時点(ShadowBrokersによるリークの1週間後)で、 445/tcpが オープンのホストが519万台。その内、全世界で5万6千台、日本で約 1,500台にDoublePulsarがインストールされていた https://below0day.com/2017/04/23/doublepulsar-global-implants/

Slide 47

Slide 47 text

https://below0day.com/2017/04/23/doublepulsar-global-implants/

Slide 48

Slide 48 text

Below0Dayの調査では4/21時点で日本国内に既に約1500台の DoublePulsarの感染が確認されたが、 その後もEternalblueを使用した445/tcpへのアクセス数は増えていた Below0Dayの調査 WannaCry

Slide 49

Slide 49 text

• WannaCryのコード上は、MS17-010が適用済みでも、 DoublePulsarが存在すれば感染する • IPA、JPCERTなどの注意喚起では、MS17-010の適用を呼び かけるのみで、DoublePulsarに関する注意喚起はされてい ない • アンチウイルスベンダーでもDoublePulsarに関する注意喚 起を出したところは少ない EternalBlue/DoublePulsar

Slide 50

Slide 50 text

• MS17-010適用時に再起動すれば、メモリ上の DoublePulsarは消滅する • MS17-010が適用済みで、 DoublePulsarが存在するケース が実際にあるかどうかは不明 • MS17-010以外の脆弱性でDoublePulsarをインストールさ れる可能性や、永続的なDoublePulsarが存在する可能性も ない訳ではない • 一度でもDoublePulsarが存在したマシンではDoublePulsar により他のバックドアを仕掛けられている可能性 EternalBlue/DoublePulsar

Slide 51

Slide 51 text

DoublePulsarの感染数はWannaCryを境に減少 結果的に危険なバックドアが塞がれることに https://blog.shodan.io/analyzing-post-wannacry-smb-exposure/ WannaCry

Slide 52

Slide 52 text

EternalBlueの悪用はWannaCryが最初ではない WannaCry以前の4月下旬から、少なくとも3つのグループが EternalBlueを使った攻撃を行っていた。 https://blog.secdo.com/multiple-groups-exploiting-eternalblue-weeks-before-wannacry

Slide 53

Slide 53 text

WannaCryは Windows XPを狙ったものか?

Slide 54

Slide 54 text

• MS17-10の脆弱性は、XP以降のOS全てに存在 • Windows XP / Windows Vista / Windows 7 / Windows 8 / Windows 8.1 / Windows 10 • Windows Server 2003 / Windows Server 2008 / Windows Server 2008 R2 / Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016 • 脆弱性が存在する ≠ Exploit(攻撃)が成功する MS17-010の脆弱性

Slide 55

Slide 55 text

WannaCryに関する報道

Slide 56

Slide 56 text

5/15「WindowsXPの脆弱性に付け込んだサイバー攻撃」

Slide 57

Slide 57 text

5/15「XPの脆弱性、WannaCryが狙う」

Slide 58

Slide 58 text

5/16「今回狙われたWindowsXP」

Slide 59

Slide 59 text

5/17「WannaCryはWindows XPの脆弱性を突いたワームだ」

Slide 60

Slide 60 text

6/15 米下院の公聴会で、シマンテックのCTOが、 WannaCryの初期大量感染時には、XPのパッチが提供されていなかった その後、XPのパッチがリリースされたため感染は収束したと証言 https://www.emptywheel.net/2017/06/19/the-outdated-xp-testimony-to-congress/

Slide 61

Slide 61 text

• WannaCryに大量感染した英医療機関NHSで、 9割のコンピュータがXPだったという報道 • マイクロソフトがXPに例外的な緊急パッチを提供 WannaCryはXPを狙ったものとの報道

Slide 62

Slide 62 text

英国民保険サービス NHS(National Health Service) 英国の病院の大半はNHSに所属

Slide 63

Slide 63 text

5/13 NHSの9割のコンピュータがXPを使い続けていた

Slide 64

Slide 64 text

5/17 NHK 時事公論

Slide 65

Slide 65 text

「イギリスの国営病院もウィンドウズXPを使い続けていた」

Slide 66

Slide 66 text

9割がXPという報道の直後、5/13にNHSがプレスリリース https://digital.nhs.uk/article/1493/UPDATED-Statement-on-reported-NHS-cyber-attack-13-May-

Slide 67

Slide 67 text

• 実際にはWindows XPの台数は4.7% • これらはMRIなど高額なため直ぐは更新出来ない もので、ネットワークから隔離する等のリスク軽 減措置が取られている 5/13 NHSのプレスリリース

Slide 68

Slide 68 text

2016年のCitrixの調査 1台でもXPが存在すると回答した病院が9割 台数ベースで9割ではない https://www.theinquirer.net/inquirer/news/2479315/90-per-cent-of-nhs-trusts-are-still-running-windows-xp-machines

Slide 69

Slide 69 text

• 医療機器の場合、制御するPCのOSも含め て、人体に影響がないことの認定を受けて いる • OSだけ勝手にバージョンアップする訳には いかない • MRIは1台数億円。簡単にリプレースは出 来ない

Slide 70

Slide 70 text

• 実際には、台数ベースでXPは4.7% • 1台でもXPが存在する病院が9割という2016年の 調査結果を読み違えて報道 • XPが9割という英国での報道の直後にNHSがプレ スリリースを発表 • 日本では訂正報道はなし • それどころか、その後も「NHSではXPが大量に使 われていた」と報道 英医療機関NHSで9割がXPだったという報道は誤報

Slide 71

Slide 71 text

MicrosoftのWannaCryに関する技術解説書 https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

Slide 72

Slide 72 text

MSもXPがWannaCryに感染するとは明確には言っていない (or earlier OS)の部分が唯一、XPにも影響があることを示唆

Slide 73

Slide 73 text

緊急パッチは、Windows XP、Windows 8、Server 2003に提供 (or earlier OS)には入らないWindows 8(2012年リリース) にも緊急パッチが提供されている => 緊急パッチは必ずしもWannaCryの為だけではない

Slide 74

Slide 74 text

• 実験環境でXPへのSMB経由の感染を再現できない • ハニーポットにXPを設置しても感染しない • BSOD(Blue Screen of Death)を繰り返すのみ • Kaspersky及びSophosは、感染端末の98%が Windows 7と発表 WannaCryはXPを狙ったものか?

Slide 75

Slide 75 text

No content

Slide 76

Slide 76 text

Windows 10 が 0.03% Windows 10は影響ないはずだが?

Slide 77

Slide 77 text

Windows 10 が 0.03% Windows 10は影響ないはずだが? テスターが手動で感染せさた

Slide 78

Slide 78 text

XPの感染はテスト目的で手動で感染させたもののみ https://arstechnica.com/information-technology/2017/05/windows-7-not-xp-was-the-reason-last-weeks-wcry-worm-spread-so-widely/

Slide 79

Slide 79 text

Sophosも感染の98%がWindows7と発表 https://nakedsecurity.sophos.com/ja/2017/05/25/wannacry-the-rush-to-blame-xp-masked-bigger-problems/

Slide 80

Slide 80 text

検証環境のテストでもXPにはSMB経由で感染しない https://blog.kryptoslogic.com/malware/2017/05/30/two-weeks-later.html

Slide 81

Slide 81 text

WannaCryの検体を手動で実行させれば、 XP、Win10を含めどのOSでも動作する

Slide 82

Slide 82 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User mode mssecsvc.exe Launcher.dll EternalBlue Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) WannaCry感染の流れ

Slide 83

Slide 83 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com WindowsXPの場合

Slide 84

Slide 84 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WindowsXPの場合

Slide 85

Slide 85 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WindowsXPの場合 BSoD

Slide 86

Slide 86 text

SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WindowsXPの場合 BSoD EternalBlueの時点でブルースクリーン

Slide 87

Slide 87 text

MS17-010の脆弱性はWindows XPにも存在するが、 WannaCryの実装では安定的に感染させることは出来ない WannaCryの感染環境 OS SMB経由での感染状況 Windows 7 Windows Server 2008 R2 感染(拡散、暗号化) Windows XP Windows Vista Windows Server 2003 感染しないが ブルースクリーン(DoS) Windows 8.1 Windows 10 Windows Server 2012 感染しない

Slide 88

Slide 88 text

感染するのはWin7,2008 R2 Serverのみ それより古いOSはブルースクリーン 新しいOSは感染しない

Slide 89

Slide 89 text

EternalBlueをWindows 10対応にポーティング Exploitコードは未公開 https://www.risksense.com/_api/filesystem/466/EternalBlue_RiskSense-Exploit-Analysis-and-Port-to-Microsoft-Windows-10_v1_2.pdf

Slide 90

Slide 90 text

• MS17-010の脆弱性はWindows XP以降の全て のOSに存在する • 脆弱性が存在する ≠ 攻撃コードが対応 • FuzzBunchのEternalBlueは、WindowsXP、 Windows7、Windows Server 2008R2に対応 • WannaCryの実装では、Windows7、Windows Server 2008R2のみに対応 • EternalBlueをWindows10に対応させたとの報 告もある

Slide 91

Slide 91 text

• WannaCryに大量感染した英医療機関NHSで、 9割のコンピュータがXPだったという報道  誤報 実際にはXPは、4.7% • マイクロソフトがXPに例外的な緊急パッチを提供  潜在的な脅威に対応  XPに対応したWannaCry亜種や別のマルウェア が出現する可能性 WannaCryはXPを狙ったもの?

Slide 92

Slide 92 text

• ブルースクリーン(DoS)だけでも大きな被害 ⁻ 医療機器や工場設備が止まる可能性 • XPに対応したWannaCry亜種や別のマルウェアが 出現する可能性 XP/2003向けに緊急パッチを出したのは 無駄だったのか?

Slide 93

Slide 93 text

• XPを狙ったものと騒ぎすぎたために • WannaCryは、XPにしか感染しないという誤 解を生じさせてしまった 初期段階でXPに対しても注意喚起を出すのは 間違いではなかったが

Slide 94

Slide 94 text

No content

Slide 95

Slide 95 text

No content

Slide 96

Slide 96 text

• XPを狙ったものと騒ぎすぎたために、WannaCry は、XPにしか感染しないという誤解を生じさせて しまった • その結果、マイクロソフトが3月にXP向けの MS17-010のパッチを提供しなかった事や、 • 企業やユーザがサポート切れのXPを使い続けてい たことに批判が向けられ

Slide 97

Slide 97 text

No content

Slide 98

Slide 98 text

No content

Slide 99

Slide 99 text

• その結果、マイクロソフトが3月にXP向けの MS17-010のパッチを提供しなかった事や、企 業やユーザがサポート切れのXPを使い続けてい たことに批判が向けられ • 2ヶ月前に提供済みのパッチが未適用の Windows7/Windows Server 2008R2がイン ターネット上にSMB(445ポート)をオープン で晒されている問題への注目が薄れてしまった

Slide 100

Slide 100 text

問題はサポート切れのOSを 使い続けていることではなく パッチが提供されているのに 適用されていないことだった

Slide 101

Slide 101 text

WannaCryが Windows XPには感染しない理由

Slide 102

Slide 102 text

その前に さまざまな噂、勘違い

Slide 103

Slide 103 text

• ShadowBrokersが公開したのは、 Win32の実 行ファイル(.exe)のみ • Eternalblue/DoublePulsarのソースコードは流 出していない WannaCryには、Eternalblue/DoublePulsar のソースコードが流用された?

Slide 104

Slide 104 text

WannaCryには、Metasploitのコードが流用された? • 4月下旬にMetasploitの eternalblue_doublepulsar.rb モジュールが公開 されている • 5/12以前に、MetasploitによるEternalblueの Exploit動画がYoutube,Twitterなどに多数公開さ れている • Twitter上にも、MetasploitのコードがWannaCry に流用されたとの言説が多数

Slide 105

Slide 105 text

4/24 Metasploitのeternalblue/doublepulsarモジュールを公開

Slide 106

Slide 106 text

eternalblue_doublepulsar.rb のRubyのソース

Slide 107

Slide 107 text

WineでEternalblue/DoublepulsarのPE32を実行 Wine: Linux/Macなどで仮想マシンなどを使わずにWindowsアプリを実行するソフト

Slide 108

Slide 108 text

5/14 Wineを使用せず、すべてRubyで実装されたMetasploitモジュール ms17_010_eternalblue.rb を公開(Win7/2008のみ対応)

Slide 109

Slide 109 text

WannaCryには、Metasploitのコードが流用された? • 4月下旬に公開されたMetasploitモジュールは、 Wineで、Eternalblue/DoublepulsarのWin32実 行ファイルを実行 • リバースエンジニアリングにより、すべてRuby で実装されたMetasploitモジュールの公開は、 WannaCry出現の2日後の5/14

Slide 110

Slide 110 text

Endgameの技術解説にも公開当初 MetasploitからSMB Exploitが用いられたと書かれていた

Slide 111

Slide 111 text

良く書かれた技術解説だったため多くの人に読まれた そのため、 Metasploitのコードが流用されたとの誤解が広がった

Slide 112

Slide 112 text

Metasploit開発者などからの抗議を受け、サンプル疑似コードと修正

Slide 113

Slide 113 text

FuzzBunchでのEternalblueの実行

Slide 114

Slide 114 text

FuzzBunchからEternalBlueを実行

Slide 115

Slide 115 text

EternalBlue自体はXPに対応しているが ターゲットのOSを選択する必要がある

Slide 116

Slide 116 text

FuzzBunchのEternalblueはXPにも対応 但し、ターゲットOSの選択で XP or WIN7W2K8R2 を選択する必要がある

Slide 117

Slide 117 text

WannaCryの特徴的な動作

Slide 118

Slide 118 text

WannaCryは、ハードコードされた2つのIPアドレス 192.168.56.20、172.16.99.5 への接続を行う https://securingtomorrow.mcafee.com/mcafee-labs/analysis-wannacry-ransomware/

Slide 119

Slide 119 text

ハードコードされた2つのIPアドレスで振る舞い検知

Slide 120

Slide 120 text

セキュリティリサーチャKrypt3ia氏のブログ https://krypt3ia.wordpress.com/2017/05/16/wannacrypt0r-roundup/

Slide 121

Slide 121 text

MetasploitのEternalBlueモジュール開発者ZeroSum0X0氏の 4月下旬のGithubへのポストにWannaCryにハードコードされたものと 同じIPアドレスがあることを見つける

Slide 122

Slide 122 text

このポストは、その前に投稿されたFuzzbunchによる EternalBlueのパケットキャプチャを解説したもの

Slide 123

Slide 123 text

5/19 RiskSense(zerosum0x0氏が勤務) からKrypt3ia氏への回答

Slide 124

Slide 124 text

• EternalBlueのパケットキャプチャは、Metasploitモジュール開発の 研究の一環として、他の研究者との情報共有やフィードバックを得る 目的でGithubに投稿された • そのデータが悪意ある者により利用された可能性がある • パケットキャプチャに含まれていたIPアドレス (192.168.56.20,172.16.99.5)はラボ環境のIPアドレス • EternalBlueの通信はどの環境でキャプチャしても同じものになる。 攻撃者は調査の手間を省くため、たまたまそのpcapを使ったに過ぎな い • 今後も、他の者に悪用される可能性があるため、Githubの問題のキャ プチャデータは削除する • MetasploitのコードがWannaCryに流用されたことはないと考える RiskSenseからKrypt3ia氏への回答

Slide 125

Slide 125 text

Githubに投稿されたパケットキャプチャには ラボ環境でExploitのターゲットとして使用されたIPが含まれていた

Slide 126

Slide 126 text

zerosum0x0氏も「WannaCryはFuzzBunchの トラフィックのレコーディングが用いられている」とコメント

Slide 127

Slide 127 text

WannaCryのEternalBlue/DoublePulsar 部分は、Metasploit開発者がGithubに公 開したFuzzBunchのパケットキャプチャ を再現する形で開発されている ハードコードされた2つのIPアドレスに 接続するのはそのため

Slide 128

Slide 128 text

FuzzBunchのEternalblueはXPにも対応 但し、ターゲットOSの選択で XP or WIN7W2K8R2 を選択する必要がある

Slide 129

Slide 129 text

公開されたパケットキャプチャは Win7/2008R2をターゲットとしたもの よって、WannaCryはXPでは Exploitが成功しない

Slide 130

Slide 130 text

zerosum0X0氏は、EternalBlue/Doublepulsar研究の 第一人者であるため、犯人はその動向を追っていた?

Slide 131

Slide 131 text

zerosum0x0氏の解説(現在は削除)に、 「Also,SMB1 NT Trans request packet is needed」 と書いてあったので、この部分を残したのではないか?

Slide 132

Slide 132 text

• The Shadow BrokersはEternalBlue/DoublePulsarの ソースコードは公開していない • 4月下旬に公開されたMetasplotモジュールは EternalBlue/DoublePulsarのPE32をWineで実行 • 100%Rubyで実装したMetasplotモジュールはWannaCry 出現 (5/12)後の5/14に公開 • よって、Metasploitのコードが流用されたのではない WannaCryにはMetasploitのコードが流用されたのか?

Slide 133

Slide 133 text

• WannaCryのEternalBlue/DoublePulsar部分は、 Metasploit開発者がGithubに公開したFuzzBunchのパ ケットキャプチャを再現する形で開発されている • WannaCryがハードコードされた2つのIPアドレス (192.168.56.20,172.16.99.5)に接続するのは、 Githubに公開したパケットキャプチャにラボ環境のIPアド レスが含まれていたため • このパケットキャプチャは、Win7/2008R2をターゲット したもの。MetasploitのEternalBlueモジュールも Win7/2008R2のみに対応 • よって、WannaCryはXPではExploitが成功しない WannaCryがXPに感染しない理由

Slide 134

Slide 134 text

WCry/WanaCry Ransomware Technical Analysis https://www.endgame.com/blog/technical- blog/wcrywanacry-ransomware-technical-analysis WannaCry: Two Weeks and 16 Million Averted Ransoms Later https://blog.kryptoslogic.com/malware/2017/05/30/two -weeks-later.html WannaCrypt0r Roundup https://krypt3ia.wordpress.com/2017/05/16/wannacrypt 0r-roundup/ 参考資料