重要な更新情報: WannaCryランサムウェア

2017年5月12日、WannaCryランサムウェアの攻撃によって多くの国々で数百の企業や組織が機能停止に陥りました。このランサムウェアは、個人およびビジネス用の重要な文書やファイルを暗号化し、元に戻すための身代金として被害者に約300米ドルのビットコインを要求します。

このような状況において、フォーティネットのソリューションこの攻撃のブロックに成功していることをお知らせします。

  1. FortiGateのIPSは、この脆弱性を利用する攻撃を防ぎます。
  2. FortiSandboxは、このランサムウェアの悪意ある振る舞いを検知します。
  3. 当社のAVエンジンは、このマルウェアとその亜種を同時に検知します。
  4. 当社のWebフィルターは、標的となったサイトを特定し、通信のブロックと許可を適切に実行します。
  5. FortiGate ISFW(内部セグメンテーションファイアウォール)は、マルウェアの拡散を防止します。

このマルウェアが示すワームのような振る舞いは、Backdoor.Double.Pulsarの存在を探し出そうとして実行する、ローカルLANのSMBv1サーバーポート445へのアクティブプローブによるものです。バックドアが存在する場合、このチャネルを介してペイロードが配信され、実行されます。バックドアが存在しなければ、より確実性の低い経路でエクスプロイトが行われます。

FortiGuard

このことからフォーティネットは、現時点においては445ポートをインターネットから遮断すること、さらにNGFW機能を利用してSMBプロトコルそのものをブロックすることを推奨します。

このマルウェアはモジュール形式のプログラムです。これは、感染したデバイス上で悪意のある攻撃者に管理者権限を与えてしまうため、別のマルウェアのダウンロードやURLの偽装が可能になってしまうことを意味しています。フォーティネットで観測したあるケースでは、マルウェアはシステムにアクセスするためにまずCVE-2017-0144の脆弱性を悪用していました。続いて、ファイルを暗号化するランサムウェアをダウンロードするために、あるドロッパーが使用されました。

この脆弱性は、SMBv1サーバーにおいて不正なTrans2 Requestを解析する時に整数のオーバーフローが起こることが原因で発生します。エクスプロイトが成功すると、アプリケーションのコンテンツ内でコードの実行が可能になります。この脆弱性を悪用するためには認証が不要であるため、ローカルエリアネットワークにおいて急速な感染拡大を引き起こす原因となっていました。

Backdoor.Double.Pulsar

システムにBackdoor.Double.Pulsarがインストールされていることを感知すると、マルウェアはこの手法を利用してペイロードのダウンロードと実行を試みます。興味深いことに、当社で分析した例においては、DoublePulsarを無効化するフラグが使用されていないケースが発見されています。

このマルウェアは、ドロッパーの内部に暗号化されて存在し、AESキーで暗号化されたDLLを攻撃します。一度実行されると、マルウェアは「t.wry.」という名前のファイルを生成します。次に、組み込まれているAESキーを利用してDLLをまずメモリ内に復号します。DLLは親プロセスにロードされるため、マルウェアがディスク上にさらされることはありません。この特性により、AVエンジンの検査が回避されることがあります。

このマルウェアは179のファイルタイプに対応し、キーは各ファイル用に個別に生成されます。

5月13日(土)、あるセキュリティ研究者はこのマルウェアのキルスイッチを発見しました。そのキルスイッチは、その時点で未登録のドメイン名に対するDNSチェック機能でした。ドメインが登録されると、マルウェアはそのドメインが存在していることを認識し、感染活動が停止しました。

アウトバウンドTOR

このマルウェアは、TORクライアントをダウンロードして、TORプロトコルを介してC&Cサーバーとの通信を開始します。このためフォーティネットは、アウトバウンドのTORトラフィックをブロックすることを推奨しました。FortiGateデバイスでアプリケーションコントロールシグネチャを使用することで、TORトラフィックをブロックできます。

下記に示すように、[Security Profile]、[Application Control]へ移動し、[Application Overrides]の下にある[Add Signatures]を選択します。

APT_Lab_FGT

続いて、Torプロトコルを追加します。

Add Signatures

これでTORトラフィックがブロックされたことが確認できます。

APT_Lab_FGT(added)

ファイアウォールポリシー内のアプリケーションポリシーを使用して、アプリケーションポリシーが有効化されていることを確認してください。

インバウンドTOR

これは必ずしも必要ではありませんが、TORネットワークから送信されるトラフィックの受信もブロックしたいとお考えの方もいらっしゃると思います。TORネットワークから送信される受信トラフィックは、他のインターネットトラフィックと同様にみえます。しかしながら、トラフィックの送信ポイントはTORの出口ノードに存在します。周知の出口ノードのリストは、Fortinet Internet Service Database(フォーティネットインターネットサービスデータベース)に掲載されており、随時更新されています。ファイアウォールポリシーの中で、事前作成済のこのリストを使用することができます。

Internet Service Databese

マルウェアによる通信が許可されている場合、マルウェアはいくつかの有害なドメインへの接続を試みます。フォーティネットのWebフィルタリングエンジンは、これらの既知の有害なドメインとして分類しており、正しく構成することでファイアウォールポリシーの一環としてこれらのドメインをブロックします。

キルスイッチ

このマルウェアは、ドメイン「www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com」が存在していることを認識すると動作を停止します。元々このドメインは存在していませんでしたが、英国のあるマルウェア研究者がドメイン登録したため、実際に存在するようになりました。

注:プロキシを使用している企業や組織では、このキルスイッチの効果がありません。マルウェアはプロキシを識別しないため、このキルスイッチドメインに接続することができず、マルウェアは動作を停止しません。

キルスイッチが有効に機能するためには、マルウェアがキルスイッチドメインと通信可能でなければなりません。フォーティネットは、このマルウェアの攻撃を停止させるすべての手段を保持することが最大の利益であると考え、このキルスイッチドメインを有害なドメインとして分類しないことを決定しました。しかしながら、2017年5月14日時点で報告されているように、このキルスイッチを回避するバージョンのマルウェアが確認されており、減災手段としての効力は失われています。

実際、攻撃は未だ継続中で、このような新種のマルウェアのサンプルには別のドメイン名が含まれており、キルスイッチとなるドメインを全く含んでいないものも確認されているため、このキルスイッチはすでに廃れてしまっています。

これまでのフォーティネットの保護対策

FortiGuard Labsは、すべての企業組織が正確な情報を入手してこの活発な脅威から確実に保護されるように、フォーティネットのCTAパートナー各社と積極的に連携して脅威インテリジェンスの共有を実施しています。

フォーティネットは、この攻撃を検知して阻止する2つの重要なIPSシグネチャを提供しています。提供中のIPSシグネチャは以下のとおりです。

アンチマルウェア

フォーティネットのアンチマルウェア/アンチウイルスエンジンでは、マルウェアを検知可能な優れた機能のシグネチャが使用されています。ビヘイビアベースのモデルでは、新たな亜種を検知することもできます。

AVシグネチャには以下のものがあります。

  • W32/Agent.AAPW!tr
  • W32/CVE_2017_0147.A!tr
  • W32/Farfli.ATVE!tr.bdr
  • W32/Filecoder_WannaCryptor.B!tr
  • W32/Filecoder_WannaCryptor.D!tr
  • W32/Gen.DKT!tr
  • W32/Gen.DLG!tr
  • W32/GenKryptik.1C25!tr
  • W32/Generic.AC.3EF991!tr
  • W32/Scatter.B!tr
  • W32/Wanna.A!tr
  • W32/Wanna.D!tr
  • W32/WannaCryptor.B!tr
  • W32/WannaCryptor.D!tr
  • W32/Zapchast.D!tr

High Security Alert

一部のAVシグネチャを使用するためには、拡張アンチウイルス定義を使用してFortiGateデバイスを構成する必要があります。下記のように、FortiGateデバイスの画面から[System]、[FortiGuard]を選択して拡張AVを、可能な場合は拡張IPSも同時に有効にします。拡張AV/拡張IPSが見つからない場合でも心配はいりません。フォーティネットのデバイスの多くは、デフォルトでこれらを使用します。

System/FortiGuard/Use extended IPS signature package

マルウェアの実行が許可されている場合、このマルウェアはicaclsコマンドの . /grant Everyone:F /T /C /Q を実行します。これは、マルウェアが保存されているフォルダ内の全てのファイルへのフルアクセスを与えるものです。さらに、Windowsのシャドウコピーの削除、Windowsスタートアップ修復の無効化、Windows Serverバックアップ履歴の削除を実行します。

この後、暗号化が行われてファイルにアクセスできなくなります。ランサムウェアが起動すると、下記に示すものと同様の警告メッセージが画面に表示されます。

Ooops, your files have been encrypted!

また、今後の対応を指示する「!Please Read Me!.txt」という名前のファイルを生成します。このファイル名は、感染状態によって若干異なる場合があります。

!Please Read Me!.txt

短時間の容易な金儲けの機会をもたらすことから、ランサムウェアが攻撃者にとって極めてうまみのあるツールとして使用され続けている理由がすぐに理解できます。では、どのくらいの数のユーザーが実際に身代金を払っているのでしょうか? マルウェアの作成者は複数のビットコインウォレットを使用して追跡から逃れ、そのようなウォレット間で常にビットコインを移動しているため、その数を確認することは困難です。

感染してしまった場合、被害者はバックアップからのファイルの復元やその他の手段を試みるか、身代金を支払うことになります。以下の3つのブロックチェーンサイトへのリンクでは、これまでに奪われた身代金の一部を確認することができます。本ブログ執筆時点で、1ビットコインの価値は1,784.90ドルに相当します。

Wannacryにリンクされた3つのビットコインウォレットだけでも、このランサムウェアは被害者から38,833.82米ドルを超える身代金を奪っていることがわかります。

マルウェアを発見する

フォーティネット セキュリティ ファブリックは、このマルウェアの発見、そして感染場所の特定に極めて有効で、企業や組織を強力にサポートします。

FortiGate 900D/Main

IOC(Indicator of Compromise:侵害指標)

発見されたC&CサーバーのIPアドレス

  • 188[.]166[.]23[.]127:443
  • 193[.]23[.]244[.]244:443
  • 2[.]3[.]69[.]209:9001
  • 146[.]0[.]32[.]144:9001
  • 50[.]7[.]161[.]218:9001
  • 217.79.179[.]77
  • 128.31.0[.]39
  • 213.61.66[.]116
  • 212.47.232[.]237
  • 81.30.158[.]223
  • 79.172.193[.]32
  • 89.45.235[.]21
  • 38.229.72[.]16
  • 188.138.33[.]220

発見されたSHA-256ハッシュ値
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こちらから毎週お届けするFortiGuard Labsの脅威インテリジェンス情報を購読ください。