HIRT-PUB17008：ランサムウェアWannaCryに関する注意喚起

更新日: 2017年10月10日

2017年5月13日頃からランサムウェアWannaCry(WannaCrypt、WanaCrypt0r、WCrypt、WCRYとも呼ばれる)による感染活動が世界中で発生しています。WannaCryは、Windows SMBv1のリモートからコード実行を許してしまう脆弱性(MS17-010、CVE-2017-0145)を悪用して、他の脆弱なWindowsシステムに感染するネットワークワーム型のランサムウェアです。

1.1 動作概要

ランサムウェアWannaCryは、ネットワークワーム型の機能を有するランサムウェアで(図1)、感染によって、ファイルを暗号化し、その暗号解除と引き換えに金銭を要求する動作はしますが、5月16日時点で、情報漏えいを引き起こす動作は報告されていません。

(1)動作確認活動
WannaCryは、動作確認用サイトwww[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]comなどにアクセスします。アクセスに成功した場合には活動を停止します。このURLアクセスのことは、動作を停止することからキルスイッチとも呼ばれています。5月15日に入ってから、このキルスイッチを無効化した亜種も報告されています。

(2)生成活動
拡散活動、ランサム活動をしていくために必要な攻撃資源として、新たなexeなどを生成します。

(3)拡散活動
SMB1脆弱性攻撃を通して自己増殖を試みます。自己増殖の流れは、まず、感染先対象となるシステムとの間でSMB1コネクションを確立します。その後、MS17-010脆弱性有無の確認、攻撃ペイロードの準備、バックドアDouble Pulsar有無の確認、攻撃ペイロードの実行によって完了します。

(4)ランサム活動
ランサム活動ではファイルを暗号化し、ファイル拡張子をWNCRYに変更します。さらに、図 2のような脅迫状ダイアログを表示します。

1.2 被害

2017年05月13日

カスペルスキー：74か国から45,000件以上の攻撃を記録
WannaCry ransomware used in widespread attacks all over the world
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

US-CERT：米国、英国、スペイン、ロシア、台湾、フランス、日本など74か国で感染

Indicators Associated With WannaCry Ransomware
https://www.us-cert.gov/ncas/alerts/TA17-132A

英NHS(National Health Service)：少なくとも16組織が被害に

Statement on reported NHS cyber attack
https://digital.nhs.uk/article/1491/Statement-on-reported-NHS-cyber-attack

Wcrypt Tracker

https://intel.malwaretech.com/botnet/wcrypt/

2017年05月17日

日立：ランサムウェアによる被害および復旧状況について
https://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html

1.3 注意喚起

各所からの注意喚起は、次の通りです。

US-CERT
Multiple Ransomware Infections Reported (2017年05月12日)
https://www.us-cert.gov/ncas/current-activity/2017/05/12/Multiple-Ransomware-Infections-Reported

US-CERT

TA17-132A: Indicators Associated With WannaCry Ransomware (2017年05月12日)
https://www.us-cert.gov/ncas/alerts/TA17-132A

JPCERT/CC

JPCERT-AT-2017-0020: ランサムウエア "WannaCrypt" に関する注意喚起 (2017年05月14日)
http://www.jpcert.or.jp/at/2017/at170020.html

IPA

世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について (2017年05月14日)
http://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html

総務省

世界的な不正プログラムの感染被害について (注意喚起) (2017年05月15日)
http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000264.html

警察庁

攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測について (2017年05月15日)
http://www.npa.go.jp/cyberpolice/important/2017/201705151.html

ICS-CERT

ICS-ALERT-17-135-01: Indicators Associated With WannaCry Ransomware (2017年05月15日)
https://ics-cert.us-cert.gov/alerts/ICS-ALERT-17-135-01

1.4 解析情報

WCry/WanaCry Ransomware Technical Analysis (2017年05月14日)
https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

WanaCryptor File Encryption and Decryption (2017年05月15日)

https://modexp.wordpress.com/2017/05/15/wanacryptor/

2.1 暗号化されてしまった場合のファイルの復旧

定期的なバックアップの取得、オフラインでのバックアップ保存により、暗号化されてしまった場合のファイル復旧に備えてください。

2.2 ランサムウェア感染の抑止

2.2.1 脆弱性対策(OSおよびソフトウェアを常に最新の状態に保つ)

マイクロソフトによれば、WannaCryは、Windows 7、Windows Server 2008ならびに、それ以前の脆弱なOSを攻撃対象にしていると報告しています。

WannaCrypt ransomware worm targets out-of-date systems
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

Windows Vista、Windows Server 2008、Windows Server 2008 R2、Windows 7、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1、Windows 10、Windows Server 2016の場合

マイクソフトから3月にリリースされているセキュリティ更新プログラムMS17-010を適用してください。

マイクロソフトセキュリティ情報 MS17-010: Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

Windows Server 2003、Windows XP、Windows XP Embedded、Windows 8の場合

マイクソフトから、緊急でリリースされたセキュリティ更新プログラムを適用してください。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

2.2.2 マルウェア対策

セキュリティソフトを導入し、定義ファイルを常に最新の状態に保ってください。

カスペルスキー
WannaCry ransomware used in widespread attacks all over the world (2017年05月12日)
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

シマンテック

What you need to know about the WannaCry Ransomware (2017年05月12日)
https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware

トレンドマイクロ

大規模な暗号化型ランサムウェア「WannaCry／Wcry」の攻撃、世界各国で影響 (2017年05月13日)
http://blog.trendmicro.co.jp/archives/14873

RANSOM_WANA.A (2017年05月13日)

https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/RANSOM_WANA.A

RANSOM_WCRY.I (2017年05月13日)

https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/RANSOM_WCRY.I

マイクロソフト

WannaCrypt ransomware worm targets out-of-date systems (2017年05月12日)
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

Ransom:Win32/WannaCrypt (2017年05月12日)

https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt

マカフィ

Protecting against Ransom-WannaCry (May 2017) (2017年05月12日)
https://kc.mcafee.com/corporate/index?page=content&id=KB89335

ランサムウェアWannaCryに関するさらなる分析 (2017年05月14日)

http://blogs.mcafee.jp/.s/mcafeeblog/2017/05/wannacry-651e.html

シマンテックのEndpoint Protectionが脆弱性(SMB1)への攻撃を検知すると、図3のようなアラームを表示します。

2.2.3 回避策

WannaCryは、インターネット上のIPv4アドレスをランダムに探索し、感染活動を試みます。ネットワークからの攻撃(MS17-010、CVE-2017-0145の悪用)を防ぐ回避策は、次の通りです。

SMB1(Server Message Block v1)の無効化

マイクロソフトセキュリティ情報 MS17-010: Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx#ID0E3SAG

SMBv1、SMBv2、および WindowsとWindowsサーバーのSMBv3を無効にする方法

https://support.microsoft.com/ja-jp/help/2696547

SMBボート番号(445)のブロック

WannaCrypt ransomware worm targets out-of-date systems
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

3.1 検体情報

Wannacry
SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
MD5:db349b97c37d22f5ea1d1841e3c89eb4

3.2 動作確認活動について

ランサムウェアWannaCryは、感染PCに設定されているDNSサーバに、動作確認用サイトのIPアドレスを問合せます。その後、動作確認用サイトへのHTTPアクセスに成功すれば活動(拡散活動、ランサム活動など)を停止します。ランサムウェアWannaCryで動作を追試し、HTTP応答が「HTTP/1.1 200 OK」「HTTP/1.1 403 Forbidden」のいずれの場合も、即時に活動を停止することを確認しました(図 5)。なお、追試では、図 6に示すネットワーク上に動作確認用のウェブサイト(192.168.20.80)を構築しました。

3.3 拡散活動について

ランサムウェアWannaCryは、同一ネットワーク内の探索を開始し、並行してランダムにIPアドレス空間の探索を開始します。ランサムウェアWannaCryを、図 6に示すようなネットワーク構成の感染PCで実行し、ネットワークワームの特性である感染先の探索方法について調査した結果を紹介します。

調査環境で使用したネットワークの場合には、稼働PCが2台(192.168.20.161, 192.168.20.162)のため、同一ネットワーク内の探索は、ARPパケットを使った探索として観測することになります。感染PC(192.168.20.161)は、ARPパケットを使って同一ネットワーク内の稼働PCの探索を開始します((3)(a))。次に、ARP応答のある稼働PC(192.168.20.162)に対して、TCPコネクションを確立し、SMB1脆弱性攻撃を仕掛けます((3)(b))。並行して、ランダムにIPアドレス空間を探索を開始します。ランサムウェアWannaCryは、イントラネットでの活動を想定した動作となっており、図 7に示すように、わずか1分程度で、ARP応答のある稼働PC(192.168.20.162)への感染活動を開始しています。

同様なネットワーク構成で2000年前半に流布したCodeRed3(2002年)、Slammer(2002年)のネットワーク探索の様子を観測開始から10,000パケットを対象にプロットしたものを図 8に示します。CodeRed3は、感染した端末の近接IPアドレスを中心に探索し、Slammerは全域をランダムに探索しています。

次に、図 9にWannaCry、CodeRed3、Slammerの新規IPアドレスの探索速度を示します。WannaCryの探査は決して早いわけではなく、イントラネットでの活動を想定した動作とすることで、拡散活動速度を上げようとしていると言えます。

なお、同一ネットワーク内の稼働PCを探索は、サブネットマスクが/24の場合には、x.x.x.1、x.x.x.2~x.x.x.254、/16の場合には、x.x.0.1、x.x.1.1~x.x.255.1、x.x.0.2、x.x.1.2~x.x.255.2のように探索することになるため、サブネットマスクが広い方が拡散活動効率を下げる可能性がある反面、大量の同報パケットが持続することにより正常通信を阻害する可能性が高くなります。

3.4 SMB1脆弱性攻撃について

ランサムウェアWannaCryのSMB1脆弱性攻撃においては、3つのSMBコネクションが利用されています。1つは、感染PCのIPアドレス(192.168.20.161)を含み(図 10)、後続の2つは、マルウェア本体にハードコードされている2つのIPアドレス(192.168.56.20、172.16.99.5)(図 11、図 12)を含んでいます。

接続先がDouble Pulsarに感染していない場合には、図 11に示すように、2つ目のSMBコネクションのtrans2 SESSION_SETUPに対する応答パケットに格納されているMultiplex IDの値が65 (0x41)、感染している場合には81(0x51)となります。また、図 12の右側には、比較のためにMetasploit(ms17_010_eternalblue.rb)の送出パケットを記載しています。

3.5 影響有無調査結果

WannaCry(*1)によるネットワーク感染の検証結果、Metasploit(*2)での検証結果、感染報告の状況(*3)を表 1に示します(2017年5月23日時点)。

表 1: 影響有無調査結果

*0)

ー:未調査

*1)

MD5: db349b97c37d22f5ea1d1841e3c89eb4

*2)

モジュール名：ms17_010_eternalblue.rb

*3)

カスペルスキー: Over 98% of All WannaCry Victims Were Using Windows 7
https://www.bleepingcomputer.com/news/security/over-98-percent-of-all-wannacry-victims-were-using-windows-7/

*4)

smb_ms17_010.rbでは脆弱性ありと判定

*5)

Anonymous loginでエラーが発生

担当：寺田、大西