WannaCryの概要・使用された脆弱性 #ssmjp /ssmjp1710-2

Transcript

1. WannaCryの概要 使用された脆弱性 @kitagawa_takuji

2. #ssmjp 2017/10 #1 https://ssmjp.connpass.com/event/68090/ で使用したスライドの一部です

3. WannaCryの概要

4. • ランサムウェアと呼ばれる身代金要求型のマル ウェア • Wanna Decryptor、Wana Cryptor 2.0、 WanaCrypt、Wcryなどの別名 •

   Officeファイル、画像ファイル、ソースコー ドなど、166種類の拡張子のファイルを暗号 化 • ローカルドライブ、リムーバブルドライブ、 ネットワークドライブ（マウントされた共有 フォルダ）のファイルを暗号化 WannaCry

5. • 身代金としてビットコインで$300を要求、3日 経つと要求額が倍になり、7日経つと永久に ファイルを復元できないと脅す • 身代金要求文は28言語に対応 WannaCry

6. • WindowsのSMBv1の脆弱性を悪用しネットワーク 経由で感染を広げる • 150カ国、20万台以上が感染（Europole発表) • 警察庁は、25件の感染を確認（5/19現在） • JPCERT/CCは、国内、約600か所、約2,000の 端末で感染を確認（5/14現在）

   WannaCry

7. WannaCryの特徴

8. • ワーム機能（自己増殖能力） • Windowsのファイル共有SMBv1の脆弱性を悪用し他の マシンへの感染を広める • ローカルネットワークだけでなく、ランダムに生成した インターネットのIPアドレスについても感染拡大を行う WannaCryの特徴

9. • NSAから漏洩したExploitコードを使用 (後で詳しく） • SMBv1の脆弱性を突いて任意のコードを実行する 「EternalBlue」 • EternalBlueによって仕掛けられるバックドア 「DoublePulsar」 •

   The Shadow Brokersが2017年4月に公開した Equation Group(NSAのハッキング集団）のツールに含 まれる • マイクロソフトは2017年3月にMS17-10で修正パッチ を公開済み WannaCryの特徴

10. • Kill Switchを実装 (後で詳しく） • マルウェア内にハードコードされたURLに接続を試みる • 接続が成功した場合、活動を停止 • 接続が失敗した場合、活動（拡散、暗号化）を継続

    • 拡散開始当初は、URLが存在しなかった（ドメイン登録 されてない）ため、接続は必ず失敗。WannaCryは活動 を継続 • その後、セキュリティリサーチャがドメインを登録し、 SinkHoleに誘導する様にしたため、接続が成功し、 WannaCryは活動を停止するようになった WannaCryの特徴

11. • Blaster 2003年8月 • RPCインターフェイスの脆弱性 MS03-026 135/tcp • 感染数 800万台～1600万台(Microsoftの推計による)

    • Confiker 2008年11月 • Serverサービスの脆弱性 MS08-067 445/tcp • 感染数 1700万台（Microsoftの推計による） • WannaCry 2017年5月 • SMBv1の脆弱性 MS17-010 445/tcp • 感染数 20万台～30万台 ワームとして過去最大ではない

12. 身代金の支払額は他のランサムウェアに比べ少ない 338件、14万ドル（約1500万円） Lockyの1/80、Cerberの1/70 https://www.blackhat.com/docs/us-17/wednesday/us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

13. 他のランサムウェアは数ヶ月～数年に渡り活動 https://www.blackhat.com/docs/us-17/wednesday/us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

14. • WannaCry(Beta) • 2/12頃 • 暗号化の処理はWannaCry 2.0とほぼ同じ • 被害は1組織のみ 100台以上が感染（Symantecによる

    *1） • WannaCry 1.0 • 3月下旬から4月 • メールのリンクよりDropboxのファイルをダウンロードさせ感染 • ID:Passwordの辞書攻撃によりSMBの共有にアクセスし暗号化 • 少なくとも5組織が被害（Symantecによる *1) • WannaCry 2.0 • 5/12 • SMBの脆弱性を悪用した攻撃（EternalBlue/DoublePulsar)によ り拡散を行う • 150カ国、20万台以上が感染 WannaCryには複数のバージョンが存在 一般的にWannaCryと呼ばれているものは、WannaCry 2.0 *1 https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group

15. 3月下旬には既にWannaCryと呼ばれていた

16. None
17. None

18. 本発表でも WannaCryといえば WannaCry 2.0のことを 指します

19. WannaCryで 使用された脆弱性

20. • The Shadow Brokersが2017年4月にリークしたEquation Group（NSAのハッキング部隊）の攻撃ツールセット Fuzzbunchに含まれる • EternalBlue SMBv1の脆弱性を突いて任意のコードを実行する •

    DoublePulsar カーネルモードで動作するバックドア マルウェアのダウンローダー 他の永続的なバックドアをインストールするのに使われる EternalBlue／DoublePulsar

21. https://blog.comae.io/the-shadow-brokers-cyber-fear-game-changers-d143796f560f The Shadow Brokersのタイムライン

22. • 2016年8月 TheShadowBrokersが活動開始 #1 "Equation Group Cyber Weapons Auction -

    Invitation" ファイアウォール製品のExploitコードを無料サンプルとし て公開 • 2017年1月8日 #7 “Windows Warez” Windows Exploitの 販売を発表。FuzzBunchなどが含まれる • 2017年1月12日 #8 “Farewell Message” 活動停止を宣言 タイムライン抜粋

23. • 1月～2月 NSAがMSに脆弱性の情報を伝える （ワシントン・ポスト紙による) • 2月14日 MSが月例パッチを延期 • 3月14日 MSがMS17-10のパッチを公開

    • 4月14日 #11 "Lost in Translation“ Windows Exploitを公開 • 5月12日 WannaCry タイムライン抜粋

24. • 出品物のディレクトリ構造のスクリーンショット画像を公開 • 無料サンプルとしてファイアウォール製品（Cisco、 Juniper、Fortigate)の攻撃コードを公開 • 最も高い金額を入金した者が落札する • 2番目以降の者には返金されない •

    入金の合計金額が100万BTC（当時約600億円）に達したら、 全員にツールを提供する 2016年8月 ShadowBrokersのオークション #1

25. • このルールでオークションが成立するとは思えない • 金銭目的ではなく、なんらかの政治的目的 2016年8月 ShadowBrokersのオークション #1

26. 1/8 FuzzBunchの価格 650BTC = 約3億円(当時）

27. TheShadowBrokersの1月のメッセージ以降に NSAがMicrosoftにEternalBlueについて伝える (ワシントン・ポストによる） https://arstechnica.com/information-technology/2017/05/fearing-shadow-brokers-leak-nsa-reported-critical-flaw-to-microsoft/

28. マイクロソフトが2月の月例パッチを延期 直前に問題を発見したが更新までに解決に至らなかった

29. 3/15 にセキュリティ更新プログラムをリリース

30. 4/14 FuzzBunchを公開

31. FuzzBunchにはEternalBlue/DoublePulsarだけでなく 数十のツールが含まれる

32. None

33. • MS17-010の脆弱性の存在をチェック • MS17-010の脆弱性が存在する • DoublePulsarが存在  DoublePulsarを用いてWannaCry自身を送り込み感染させる • DoublePulsarが存在しない

     EternalBlueを用いてDoublePulsarをインストール、 DoublePulsarを用いてWannaCry自身を送り込み感染させる • MS17-010の脆弱性が存在しない • DoublePulsarが存在  DoublePulsarを用いてWannaCry自身を送り込み感染させる WannaCry感染の流れ

34. • 簡単に言えば • DoublePulsarが存在すれば、DoublePulsarを用 いてWannaCryを送り込み感染 • DoublePulsarが存在しなければ、 EternalBlueを 用いてDoublePulsarをインストールし、 DoublePulsarを用いてWannaCryを送り込み感染

    WannaCry感染の流れ

35. • （WannaCryのコード上は） MS17-010の脆弱性が 存在しなくてもDoublePulsarが存在すれば DoublePulsarを通じて感染 • WannaCryによってインストールされた DoublePulsarは再起動することによって消滅 WannaCry感染の流れ

36. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com WannaCry感染の流れ

37. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ

38. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ

39. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ

40. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WannaCry感染の流れ

41. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 Eternalblue SMB(445/tcp) WannaCry感染の流れ

42. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 自身をサービス MSSECSVC2.0 として登録 Eternalblue SMB(445/tcp) WannaCry感染の流れ

43. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 Drop 自身をサービス MSSECSVC2.0 として登録 Eternalblue SMB(445/tcp) WannaCry感染の流れ

44. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 Eternalblue SMB(445/tcp) WannaCry感染の流れ

45. tasksche.exe ランサムウェア処理 パスワード付き ZIP 展開 パスワード WNcry@2ol7 b.wnry c.wnry r.wnry

    s.wnry t.wnry u.wnry taskdl.exe taskse.exe msg フォルダ デスクトップ壁紙 設定ファイル 身代金要求文 Torクライアント ファイル暗号化機能DLL 復号ツール 一時ファイル削除ツール 復号ツール起動用 多言語の身代金要求文

46. WannaCry以前に既にDoublePulsarの感染端末が多数 • Below0Dayの調査 • 4/21時点（ShadowBrokersによるリークの1週間後）で、 445/tcpが オープンのホストが519万台。その内、全世界で5万6千台、日本で約 1,500台にDoublePulsarがインストールされていた https://below0day.com/2017/04/23/doublepulsar-global-implants/

47. https://below0day.com/2017/04/23/doublepulsar-global-implants/

48. Below0Dayの調査では4/21時点で日本国内に既に約1500台の DoublePulsarの感染が確認されたが、 その後もEternalblueを使用した445/tcpへのアクセス数は増えていた Below0Dayの調査 WannaCry

49. • WannaCryのコード上は、MS17-010が適用済みでも、 DoublePulsarが存在すれば感染する • IPA、JPCERTなどの注意喚起では、MS17-010の適用を呼び かけるのみで、DoublePulsarに関する注意喚起はされてい ない • アンチウイルスベンダーでもDoublePulsarに関する注意喚 起を出したところは少ない

    EternalBlue／DoublePulsar

50. • MS17-010適用時に再起動すれば、メモリ上の DoublePulsarは消滅する • MS17-010が適用済みで、 DoublePulsarが存在するケース が実際にあるかどうかは不明 • MS17-010以外の脆弱性でDoublePulsarをインストールさ れる可能性や、永続的なDoublePulsarが存在する可能性も

    ない訳ではない • 一度でもDoublePulsarが存在したマシンではDoublePulsar により他のバックドアを仕掛けられている可能性 EternalBlue／DoublePulsar

51. DoublePulsarの感染数はWannaCryを境に減少 結果的に危険なバックドアが塞がれることに https://blog.shodan.io/analyzing-post-wannacry-smb-exposure/ WannaCry

52. EternalBlueの悪用はWannaCryが最初ではない WannaCry以前の４月下旬から、少なくとも３つのグループが EternalBlueを使った攻撃を行っていた。 https://blog.secdo.com/multiple-groups-exploiting-eternalblue-weeks-before-wannacry

53. WannaCryは Windows XPを狙ったものか？

54. • MS17-10の脆弱性は、XP以降のOS全てに存在 • Windows XP / Windows Vista / Windows

    7 / Windows 8 / Windows 8.1 / Windows 10 • Windows Server 2003 / Windows Server 2008 / Windows Server 2008 R2 / Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016 • 脆弱性が存在する ≠ Exploit（攻撃）が成功する MS17-010の脆弱性

55. WannaCryに関する報道

56. 5/15「WindowsXPの脆弱性に付け込んだサイバー攻撃」

57. 5/15「XPの脆弱性、WannaCryが狙う」

58. 5/16「今回狙われたWindowsXP」

59. 5/17「WannaCryはWindows XPの脆弱性を突いたワームだ」

60. 6/15 米下院の公聴会で、シマンテックのCTOが、 WannaCryの初期大量感染時には、XPのパッチが提供されていなかった その後、XPのパッチがリリースされたため感染は収束したと証言 https://www.emptywheel.net/2017/06/19/the-outdated-xp-testimony-to-congress/

61. • WannaCryに大量感染した英医療機関NHSで、 ９割のコンピュータがXPだったという報道 • マイクロソフトがXPに例外的な緊急パッチを提供 WannaCryはXPを狙ったものとの報道

62. 英国民保険サービス NHS（National Health Service） 英国の病院の大半はNHSに所属

63. 5/13 NHSの9割のコンピュータがXPを使い続けていた

64. 5/17 NHK 時事公論

65. 「イギリスの国営病院もウィンドウズXPを使い続けていた」

66. 9割がXPという報道の直後、5/13にNHSがプレスリリース https://digital.nhs.uk/article/1493/UPDATED-Statement-on-reported-NHS-cyber-attack-13-May-

67. • 実際にはWindows XPの台数は4.7％ • これらはMRIなど高額なため直ぐは更新出来ない もので、ネットワークから隔離する等のリスク軽 減措置が取られている 5/13 NHSのプレスリリース

68. 2016年のCitrixの調査 1台でもXPが存在すると回答した病院が9割 台数ベースで9割ではない https://www.theinquirer.net/inquirer/news/2479315/90-per-cent-of-nhs-trusts-are-still-running-windows-xp-machines

69. • 医療機器の場合、制御するPCのOSも含め て、人体に影響がないことの認定を受けて いる • OSだけ勝手にバージョンアップする訳には いかない • MRIは１台数億円。簡単にリプレースは出 来ない

70. • 実際には、台数ベースでXPは4.7% • 1台でもXPが存在する病院が9割という2016年の 調査結果を読み違えて報道 • XPが9割という英国での報道の直後にNHSがプレ スリリースを発表 • 日本では訂正報道はなし

    • それどころか、その後も「NHSではXPが大量に使 われていた」と報道 英医療機関NHSで９割がXPだったという報道は誤報

71. MicrosoftのWannaCryに関する技術解説書 https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

72. MSもXPがWannaCryに感染するとは明確には言っていない (or earlier OS)の部分が唯一、XPにも影響があることを示唆

73. 緊急パッチは、Windows XP、Windows 8、Server 2003に提供 (or earlier OS)には入らないWindows 8(2012年リリース） にも緊急パッチが提供されている ＝＞

    緊急パッチは必ずしもWannaCryの為だけではない

74. • 実験環境でXPへのSMB経由の感染を再現できない • ハニーポットにXPを設置しても感染しない • BSOD(Blue Screen of Death)を繰り返すのみ •

    Kaspersky及びSophosは、感染端末の98％が Windows 7と発表 WannaCryはXPを狙ったものか？
75. None

76. Windows 10 が 0.03% Windows 10は影響ないはずだが？

77. Windows 10 が 0.03% Windows 10は影響ないはずだが？ テスターが手動で感染せさた

78. XPの感染はテスト目的で手動で感染させたもののみ https://arstechnica.com/information-technology/2017/05/windows-7-not-xp-was-the-reason-last-weeks-wcry-worm-spread-so-widely/

79. Sophosも感染の98%がWindows7と発表 https://nakedsecurity.sophos.com/ja/2017/05/25/wannacry-the-rush-to-blame-xp-masked-bigger-problems/

80. 検証環境のテストでもXPにはSMB経由で感染しない https://blog.kryptoslogic.com/malware/2017/05/30/two-weeks-later.html

81. WannaCryの検体を手動で実行させれば、 XP、Win10を含めどのOSでも動作する

82. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EternalBlue Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) WannaCry感染の流れ

83. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com WindowsXPの場合

84. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WindowsXPの場合

85. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WindowsXPの場合 BSoD

86. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe User mode

    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) WindowsXPの場合 BSoD EternalBlueの時点でブルースクリーン

87. MS17-010の脆弱性はWindows XPにも存在するが、 WannaCryの実装では安定的に感染させることは出来ない WannaCryの感染環境 OS SMB経由での感染状況 Windows 7 Windows Server

    2008 R2 感染（拡散、暗号化） Windows XP Windows Vista Windows Server 2003 感染しないが ブルースクリーン（DoS） Windows 8.1 Windows 10 Windows Server 2012 感染しない

88. 感染するのはWin7,2008 R2 Serverのみ それより古いOSはブルースクリーン 新しいOSは感染しない

89. EternalBlueをWindows 10対応にポーティング Exploitコードは未公開 https://www.risksense.com/_api/filesystem/466/EternalBlue_RiskSense-Exploit-Analysis-and-Port-to-Microsoft-Windows-10_v1_2.pdf

90. • MS17-010の脆弱性はWindows XP以降の全て のOSに存在する • 脆弱性が存在する ≠ 攻撃コードが対応 • FuzzBunchのEternalBlueは、WindowsXP、

    Windows7、Windows Server 2008R2に対応 • WannaCryの実装では、Windows7、Windows Server 2008R2のみに対応 • EternalBlueをWindows10に対応させたとの報 告もある

91. • WannaCryに大量感染した英医療機関NHSで、 ９割のコンピュータがXPだったという報道  誤報 実際にはXPは、4.7% • マイクロソフトがXPに例外的な緊急パッチを提供  潜在的な脅威に対応

     XPに対応したWannaCry亜種や別のマルウェア が出現する可能性 WannaCryはXPを狙ったもの？

92. • ブルースクリーン（DoS）だけでも大きな被害 ⁻ 医療機器や工場設備が止まる可能性 • XPに対応したWannaCry亜種や別のマルウェアが 出現する可能性 XP/2003向けに緊急パッチを出したのは 無駄だったのか？

93. • XPを狙ったものと騒ぎすぎたために • WannaCryは、XPにしか感染しないという誤 解を生じさせてしまった 初期段階でXPに対しても注意喚起を出すのは 間違いではなかったが

94. None
95. None

96. • XPを狙ったものと騒ぎすぎたために、WannaCry は、XPにしか感染しないという誤解を生じさせて しまった • その結果、マイクロソフトが3月にXP向けの MS17-010のパッチを提供しなかった事や、 • 企業やユーザがサポート切れのXPを使い続けてい たことに批判が向けられ

97. None
98. None

99. • その結果、マイクロソフトが3月にXP向けの MS17-010のパッチを提供しなかった事や、企 業やユーザがサポート切れのXPを使い続けてい たことに批判が向けられ • 2ヶ月前に提供済みのパッチが未適用の Windows7/Windows Server 2008R2がイン

    ターネット上にSMB（445ポート）をオープン で晒されている問題への注目が薄れてしまった

100. 問題はサポート切れのOSを 使い続けていることではなく パッチが提供されているのに 適用されていないことだった

101. WannaCryが Windows XPには感染しない理由

102. その前に さまざまな噂、勘違い

103. • ShadowBrokersが公開したのは、 Win32の実 行ファイル(.exe)のみ • Eternalblue／DoublePulsarのソースコードは流 出していない WannaCryには、Eternalblue／DoublePulsar のソースコードが流用された？

104. WannaCryには、Metasploitのコードが流用された？ • 4月下旬にMetasploitの eternalblue_doublepulsar.rb モジュールが公開 されている • 5/12以前に、MetasploitによるEternalblueの Exploit動画がYoutube,Twitterなどに多数公開さ れている

     • Twitter上にも、MetasploitのコードがWannaCry に流用されたとの言説が多数

105. 4/24 Metasploitのeternalblue/doublepulsarモジュールを公開

106. eternalblue_doublepulsar.rb のRubyのソース

107. WineでEternalblue/DoublepulsarのPE32を実行 Wine： Linux/Macなどで仮想マシンなどを使わずにWindowsアプリを実行するソフト

108. 5/14 Wineを使用せず、すべてRubyで実装されたMetasploitモジュール ms17_010_eternalblue.rb を公開（Win7/2008のみ対応）

109. WannaCryには、Metasploitのコードが流用された？ • 4月下旬に公開されたMetasploitモジュールは、 Wineで、Eternalblue/DoublepulsarのWin32実 行ファイルを実行 • リバースエンジニアリングにより、すべてRuby で実装されたMetasploitモジュールの公開は、 WannaCry出現の2日後の5/14

110. Endgameの技術解説にも公開当初 MetasploitからSMB Exploitが用いられたと書かれていた

111. 良く書かれた技術解説だったため多くの人に読まれた そのため、 Metasploitのコードが流用されたとの誤解が広がった

112. Metasploit開発者などからの抗議を受け、サンプル疑似コードと修正

113. FuzzBunchでのEternalblueの実行

114. FuzzBunchからEternalBlueを実行

115. EternalBlue自体はXPに対応しているが ターゲットのOSを選択する必要がある

116. FuzzBunchのEternalblueはXPにも対応 但し、ターゲットOSの選択で XP or WIN7W2K8R2 を選択する必要がある

117. WannaCryの特徴的な動作

118. WannaCryは、ハードコードされた２つのIPアドレス 192.168.56.20、172.16.99.5 への接続を行う https://securingtomorrow.mcafee.com/mcafee-labs/analysis-wannacry-ransomware/

119. ハードコードされた２つのIPアドレスで振る舞い検知

120. セキュリティリサーチャKrypt3ia氏のブログ https://krypt3ia.wordpress.com/2017/05/16/wannacrypt0r-roundup/

121. MetasploitのEternalBlueモジュール開発者ZeroSum0X0氏の 4月下旬のGithubへのポストにWannaCryにハードコードされたものと 同じIPアドレスがあることを見つける

122. このポストは、その前に投稿されたFuzzbunchによる EternalBlueのパケットキャプチャを解説したもの

123. 5/19 RiskSense(zerosum0x0氏が勤務） からKrypt3ia氏への回答

124. • EternalBlueのパケットキャプチャは、Metasploitモジュール開発の 研究の一環として、他の研究者との情報共有やフィードバックを得る 目的でGithubに投稿された • そのデータが悪意ある者により利用された可能性がある • パケットキャプチャに含まれていたIPアドレス （192.168.56.20,172.16.99.5）はラボ環境のIPアドレス •

     EternalBlueの通信はどの環境でキャプチャしても同じものになる。 攻撃者は調査の手間を省くため、たまたまそのpcapを使ったに過ぎな い • 今後も、他の者に悪用される可能性があるため、Githubの問題のキャ プチャデータは削除する • MetasploitのコードがWannaCryに流用されたことはないと考える RiskSenseからKrypt3ia氏への回答

125. Githubに投稿されたパケットキャプチャには ラボ環境でExploitのターゲットとして使用されたIPが含まれていた

126. zerosum0x0氏も「WannaCryはFuzzBunchの トラフィックのレコーディングが用いられている」とコメント

127. WannaCryのEternalBlue/DoublePulsar 部分は、Metasploit開発者がGithubに公 開したFuzzBunchのパケットキャプチャ を再現する形で開発されている ハードコードされた２つのIPアドレスに 接続するのはそのため

128. FuzzBunchのEternalblueはXPにも対応 但し、ターゲットOSの選択で XP or WIN7W2K8R2 を選択する必要がある

129. 公開されたパケットキャプチャは Win7/2008R2をターゲットとしたもの よって、WannaCryはXPでは Exploitが成功しない

130. zerosum0X0氏は、EternalBlue/Doublepulsar研究の 第一人者であるため、犯人はその動向を追っていた？

131. zerosum0x0氏の解説（現在は削除）に、 「Also,SMB1 NT Trans request packet is needed」 と書いてあったので、この部分を残したのではないか？

132. • The Shadow BrokersはEternalBlue/DoublePulsarの ソースコードは公開していない • 4月下旬に公開されたMetasplotモジュールは EternalBlue/DoublePulsarのPE32をWineで実行 • 100%Rubyで実装したMetasplotモジュールはWannaCry

     出現 (5/12)後の5/14に公開 • よって、Metasploitのコードが流用されたのではない WannaCryにはMetasploitのコードが流用されたのか？

133. • WannaCryのEternalBlue/DoublePulsar部分は、 Metasploit開発者がGithubに公開したFuzzBunchのパ ケットキャプチャを再現する形で開発されている • WannaCryがハードコードされた２つのIPアドレス （192.168.56.20,172.16.99.5）に接続するのは、 Githubに公開したパケットキャプチャにラボ環境のIPアド レスが含まれていたため •

     このパケットキャプチャは、Win7/2008R2をターゲット したもの。MetasploitのEternalBlueモジュールも Win7/2008R2のみに対応 • よって、WannaCryはXPではExploitが成功しない WannaCryがXPに感染しない理由

134. WCry/WanaCry Ransomware Technical Analysis https://www.endgame.com/blog/technical- blog/wcrywanacry-ransomware-technical-analysis WannaCry: Two Weeks and

     16 Million Averted Ransoms Later https://blog.kryptoslogic.com/malware/2017/05/30/two -weeks-later.html WannaCrypt0r Roundup https://krypt3ia.wordpress.com/2017/05/16/wannacrypt 0r-roundup/ 参考資料