ランサムウェアWannaCryに関するさらなる分析

※この内容は2017年5月14日のMcAfee Blogの抄訳です。

McAfee Labsは、ランサムウェア WannaCryの状況を詳細に監視しています。 この攻撃とその行動については多くの情報ソースにより報告されていますが、当社のRaj SamaniとChristiaan BeekGary DavisSteve Grobmanによるブログ投稿でも報告されています。私たちはこれまでの24時間で、このマルウェアの詳細についてより多くの分析結果を得ました。その分析によって判明したことは、マルウェアのネットワークにおける拡散、身代金の支払いに利用されるビットコイン関連情報、調査した亜種の違いに主に関するものです。

マルウェアのネットワーク動作

WannaCryは、MS17-010エクスプロイトを利用して、NetBIOSを通じて他のシステムに広がります。 マルウェアには、利用段階で使用されるエクスプロイトが含まれています。これらはCVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、およびCVE-2017-0148に関連しています。これらはすべてMS17-10セキュリティ情報に基づいています 。
多くのレポートで、マルウェアが内部IPのリストを生成することを確認しました。 私たちは、マルウェアがローカルネットワークに限らず、ランダムなIPアドレスを生成することを発見しました。 拡散の試行例を以下に示します。

20170514wannacry1

これにより、同ネットワーク内の他のシステムだけでなく、サイトが外部ネットワークからのNetBIOSパケットを許可する場合、マルウェアがインターネット全体に広がる可能性があります。これは、この大流行に見られる広範な感染の1つの理由であり、多くの人々がマルウェアの初期感染の兆候について気づかなかった理由です。

マルウェアのもう一つの興味深い特徴は、開いているNetBIOSポートを持つシステムが見つかると、マルウェアが3つのNetBIOSセッションセットアップパケットをそこに送信することです。 1つは悪用されるシステムの適切なIPを持ち、他の2つはマルウェア本体にハードコードされた2つのIPアドレスを含んでいます:

20170514wannacry2

先行パケットは、利用されているシステムのIPを含み、テストネットワーク192.168.0.0/24を使用します。以下の他の2つのパケットには、マルウェアがコード内に持つさまざまなIPが含まれています。

20170514wannacry3_2

20170514wannacry4

この動きと2つのハードコードされたIPアドレス(192.168.56.20,172.16.99.5)の存在は、ネットワーク侵入防止システムを使用して悪用を検出するために使用できます。
Server Message Block(SMB)パケットには、暗号化されたペイロードも含まれています。このペイロードは、エクスプロイトシェルコードとファイルlauncher.dllで構成されています。 分析中、マルウェアは4バイトのXORキー0x45BF6313を使用して暗号化されています。

20170514wannacry5_2

0x45BF6313で暗号化されたペイロード

20170514wannacry6_3

 

 

解読されたlauncher.dllペイロード

また、SMB上のネットワーク通信中にx64シェルコードが転送されていることが判明しました。

20170514wannacry7

EternalBlue コード

20170514wannacry8

DoublePulsar コード

ワームの動作

脆弱なホスト(システムB)への感染フロー

20170514wannacrya_2

 左:システムA、右:システムB

20170514wannacryb_2

左:カーネルモード 右:ユーザーモード

カーネルエクスプロイトを使用した感染

私たちの分析では、感染システムでは、SMBドライバsrv2.sysがカーネルモジュールで脆弱であり、SMB通信を使用して拡散するマルウェアによって悪用されることがわかりました。
感染したsrv2.sysは、launcher.dllをmssecsvc.exeのローダーとして機能するユーザーモードプロセスlsass.exeに注入します。このDLLには、PlayGameが1つだけ含まれています。

20170514wannacry9

このコードは、以前に示したリソースからランサムウェアドロッパーを造作なく抽出し、CreateProcessの機能を使用して起動します。

20170514wannacry10

20170514wannacry11lsass.exeのアドレススペースにlauncher.dllが挿入されている

野生のマルウェアの亜種

いくつかのソースから報告されているように、マルウェアドロッパーには、そのトランスクリプトやネットワークエクスプロイトコードを実行する前に、2つの特定のドメインをチェックするコードが含まれています。

  • hxxp://www[dot]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com
  • hxxp://www[dot]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com

またマルウェアデータベースのサンプルを探しているうちに、同じような動作をしない他のドロッパー(MD5:509C41EC97BB81B0567B059AA2F50FE8)がいくつか見つかりました。これらの他のドロッパーには、NetBIOSを通じてシステムを悪用するコードや、キルスイッチドメインをチェックするコードはありませんでした。これらのサンプルでは、すべての場合において、ランサムウェアコードが実行されます。

これらのサンプルは野生で見つかりました。つまり、それらは感染して広がる可能性がありますが、積極的に攻撃してくるものではありません。ランサムウェアがシステムに感染すると、ローカルディスクとしてマウントされた共有ネットワーク上のリソースにも感染しようとします。これらの共有にアクセスすると、マルウェアのサンプルを誤って実行して感染する可能性があります。このタイプの感染方法は、ネットワークへの攻撃と比較して効果的ではありませんが、それでもビジネス環境で大きな影響をもたらす可能性があります。

また、他のサンプルと比較のためにエクスプロイトコードを持つドロッパー(MD5:DB349B97C37D22F5EA1D1841E3C89EB4等)を分析したところ、このエクスプロイトの悪用を狙ったドロッパーは、その他のドロッパーを包含するものであることがわかりました。
エクスプロイト対応のサンプルを見ると、リソースの1つに3.4MBの.exeファイルが含まれていて、他の種類のドロッパーと同じであることがわかりました。

20170514wannacry12_2

直前のリソースは、リモートホストが悪用されて被害者に送信され、サービスとしてインストールされた後に抽出されます。このイベントは、リモートマシン上で感染を開始します。

ファイル解読

WannaCryは、C:\ Intel \ <ランダムなフォルダー名> \ f.wnry内のいくつかのランダムな数のファイルの解読を無料で提供します。私たちは無料で解読された10個のファイルを確認しました。
最初のステップで、マルウェアは各暗号化されたファイルのヘッダをチェックします。 成功すると、復号化ルーチンを呼び出し、C:\ Intel \ <ランダムなフォルダ名> \ f.wnryにリストされているすべてのファイルを復号化します。

ヘッダーチェックのコードスニペット:

20170514wannacry13

暗号化されたファイルの形式:

20170514wannacry14

感染システム上のすべてのファイルを解読するには、解読キーを含むファイル00000000.skyが必要です。 キーとオリジナルファイルの解読ルーチンは次のとおりです。

20170514wannacry15_2

 

ビットコイン関連情報

WannaCryは、3つのビットコインウォレットを使用して、被害者から支払いを受けます。これらのウォレットの支払い状況を見ると、攻撃者がどれくらいの金額を稼いだかを知ることができます。
5月13日現在の統計によると、ファイルを復号するために支払った被害者の数は未だあまり多くありません。

  • Wallet 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

    20170514wannacry16_2

  • Wallet 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

    20170514wannacry17_2

  • Wallet 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

    20170514wannacry18_2

攻撃者はBTC 15.44(27,724.22米ドル)を少し上回っているようです。(感染したシステムの数はあまり考慮していませんが)その数は増加しており、数日後にはさらに大きくなる可能性があります。本マルウェアは以下の2つのサイトに接続すると、動作を停止することが確認されており、
これらのサイトが感染の勢いを低下させている可能性があります。

  • hxxp://www[dot]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com
  • hxxp://www[dot]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com

レポートによると、90カ国以上の複数の組織が影響を受けています。

さらなる詳細が判明次第、このブログを更新します

[マカフィーの対応について]

マカフィーでは、当インシデントを受け、速やかにランサムウェアのサンプルを分析し、ランサムウェアの被害を軽減するためのガイダンスと検出のためのアップデートを提供しています。
そして、順次すべての顧客向けのDATのアップデートを提供するとともに、このランサムウェア攻撃のさらなる分析結果も顧客と一般向けに提供しています。

マカフィーでは、すべての顧客に提供するDATのアップデートを適用するよう推奨しています。さらに、顧客が使用するすべてのソフトウェアのセキュリティ アップデートを適用することも推奨しています。

詳細はRansom-WannaCry への対応について (2017 年 5 月)(Knowledge Center(日本語))もご参照ください。


※本ページの内容は 2017年5月14日更新のMcAfee Blog の抄訳です。 
原文: Further Analysis of WannaCry Ransomware

【関連記事】

ランサムウェア WannaCryとこれから

WannaCry: 旧来のワームと新しいワーム

拡大するWannaCryランサムウェアの分析

WannaCryランサムウェアが世界中で拡大、74ヵ国を攻撃