Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WannaCryのKill Switch、亜種 #ssmjp /ssmjp1710-3

WannaCryのKill Switch、亜種 #ssmjp /ssmjp1710-3

Takuji Kitagawa

December 28, 2017
Tweet

More Decks by Takuji Kitagawa

Other Decks in Technology

Transcript

  1. • マルウェア内にハードコードされたURLに接続を 試みる • 接続が成功した場合 活動を停止 • 接続が失敗した場合 活動(拡散、暗号化)を 継続

    • 拡散開始当初は、URLが存在しなかった(ドメイ ン登録されてない)ため、接続は必ず失敗。 WannaCryは活動を継続 KillSwitch
  2. • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/12 • www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/14 • www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com 5/15 •

    www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com 5/15 • www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com 5/15 確認されているKillSwitch(5月末現在)
  3. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Eternalblue SMB(445/tcp) Kill Switchが有効な場合
  4. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合
  5. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合 応答
  6. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合 応答 処理終了
  7. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll Injection mssecsvc.exe 拡散処理 tasksche.exe Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check Eternalblue SMB(445/tcp) Kill Switchが有効な場合 応答 処理終了 Kill Swicthが有効な場合、感染しても何も行わず処理終了
  8. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EterenalBlue injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) Kill Switchが有効な場合 Kill Switch Check 応答 処理終了
  9. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EterenalBlue injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) Kill Switchが有効な場合 Kill Switch Check 応答 処理終了
  10. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EterenalBlue injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) Kill Switchが有効な場合 Kill Switch Check 応答 処理終了
  11. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EterenalBlue injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) Kill Switchが有効な場合 Kill Switch Check 応答 処理終了
  12. 『ワナクライに感染したパソコンの場合、インターネットにつながって いる限りはキルスイッチが動作し、破壊が止まっている状態となってい る。そういう状態からネット接続を切り離すと、そのパソコンはたちま ち暗号化されることとなる。』  KillSwitchのチェックは感染直後の一度のみ  KillSwitchのチェックをして応答が返れば何も行わずプログラム 終了 

    定期的にチェックしている訳ではない  ネット接続を切り離すと暗号化が再開されることはない 『ワナクライに感染しているかもしれないパソコンを抱えている組織に おいては、「動作しているキルスイッチ」を止めないように、場合に よってはインターネットへの接続を確保しながら作業をするなど気を付 けて対応を行ったところもある。』  KillSwitchでは既に感染したPCの活動を止めることは出来ない  感染端末はネットから切り離すのが正しい処置  インターネットから遮断されている環境では、内部向け KillSwitchを設定するのが有効 よくある誤解(実際の解説記事より)
  13. • 拡散し過ぎて制御が効かなくなった場合の最終停止手段 • 本来の意味のキルスイッチ • 犯人自身がドメインを取得していないと制御出来ない • 誰かがドメイン取得して停止してくれることを期待? • 特定の国や地域への感染を避ける

    • 接続元IPアドレスにより、応答・無応答を判断 • 通常は、言語設定、キーボードなどで判断 • 犯人自身がドメインを取得していないと制御出来ない • Sandboxによる解析回避 • 最も有力な説 KillSwitchの目的は何か?
  14. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EternalBlue Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) WannaCryはネットワーク感染なので サンドボック製品の検査対象にならない? サンドボッ クス製品の 対象外 ドロップされたファ イルをローカル又は クラウドでサンド ボックス検査
  15. Domain name: IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM Registry Domain ID: 2123519849_DOMAIN_COM-VRSN Registrar WHOIS Server:

    whois.namecheap.com Registrar URL: http://www.namecheap.com Updated Date: 2017-06-22T16:05:38.00Z Creation Date: 2017-05-12T15:08:04.00Z Registrar Registration Expiration Date: 2023-05-12T15:08:04.00Z Registrar: NAMECHEAP INC Registrar IANA ID: 1068 Registrar Abuse Contact Email: Registrar Abuse Contact Phone: +1.6613102107 Reseller: NAMECHEAP INC Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: renewPeriod https://icann.org/epp#renewPeriod Registry Registrant ID: Registrant Name: WhoisGuard Protected Registrant Organization: WhoisGuard, Inc. Registrant Street: P.O. Box 0823-03411 Registrant City: Panama Registrant State/Province: Panama Registrant Postal Code: Registrant Country: PA Whois ドメイン登録 5/12 15:08(日本時間 5/12 23:08)
  16. • 5/12 15:18 ”wana decrypt0r”文字列の最初のGoogle検索(台湾) • 5/12 16:24 登録されていないドメイン www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

    への最初のDNS問合せの観測(Cisco Umbrella) • 5/12 16:31 VirusTotalへの最初の検体アップロード • 5/12 20:00頃 脆弱性悪用の急増(Symantec) • 5/12 20:07 最初のBitcoinの支払い タイムライン(日本時間)
  17. • 5/12 23:08 MalwareTech氏によりドメイン登録 • 5/12 23:28 SinkHole化 • 5/13

    01:12 MalwareTech氏によりWannaCry Trackerが公開 • 5/13 02:29 Darien Huss氏がSinkHole化されたドメインはKill Switchであることをツイート タイムライン(日本時間)
  18. • WannaCryの出現から半日以内にKill Switchのドメイン がシンクホール化 • シンクホール化から約3時間後にKill Switchであることが 判明 • Kill

    Switchの有効化により新規の感染が激減(正確には 感染しても活動しない) • 既に感染したマシンも24時間後にはSMBスキャンを停止 するため、5/13中にはほぼ沈静化 タイムライン(日本時間)
  19. in the wildで確認されているもの • www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com • www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com • www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com in

    the wildでは確認されていないが検体が確認されているもの • www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com • www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com • 桁数が全て同じ、共通する部分が多い • ソースを修正してリコンパイルしたのではなく、バイナリ にパッチを当てた可能性 確認されているKill Switchのドメイン(5月末現在)
  20. SMB Driver SRV2.sys Kernel mode MS17-010 未適用 LSASS.exe DoublePulsar User

    mode mssecsvc.exe Launcher.dll EternalBlue Injection mssecsvc.exe 拡散処理 tasksche.exe tasksche.exe ランサムウェア処理 Drop www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Kill Switch Check 応答があれば処理終了 SMB scan(445/tcp) 拡散活動 Drop 自身をサービス MSSECSVC2.0 として登録 SMB(445/tcp) WannaCryの2つの検体 検体① 拡散処理 検体② ランサムウェア処理 ランサムウェア処理を行う検体はKillSwitchのチェックを行わない
  21. • KillSwitchがなく、ランサムウェア機能が無効にされた WannaCryは、初期の大量感染の2日後の5/14には既に 報告されている • ハニーポットなどでin the wildで捕獲されたものではな く、VirusTotalからYARAルールでのマッチングで取得さ れたもの

    • KillSwitchの無効化は(ソースコードからリコンパイルし たのではなく)バイナリにパッチを当てることにより行 われている • ランサムウェア機能の圧縮ファイルの展開に失敗するた めランサムウェア機能は動作しない。SMBの脆弱性を用 いた拡散機能は動作する Kill Switchが無効化された亜種
  22. • VirusTotalに検体が最初にUploadされてから、各種のハ ニーポットで検出されるまでに約1日半 • VirusTotalにUploadされた時点で、in the wildではな かった可能性もある • VirusTotalから取得した検体を意図的に拡散させた?

    • ワーム系の検体の扱いに慣れていないテスターが、他の ランサムウェアと同じように安易に検証環境で実行させ て、拡散させてしまった可能性? Kill Switchが無効化された亜種はどのように広まったか
  23. • オリジナルのWannaCryの作成者 • KillSwitchを無効化したWannaCry亜種の作成者 • ソースコードを修正してリコンパイルしたのではなく、バイナ リにパッチを当てることによりKillSwitchを無効化 • オリジナルWannaCryの作成者ならソースコードを修正できる •

    オリジナルWannaCryの作成者とは別人の可能性大 • WannaCry亜種を拡散した者 • VirusTotalへのアップロードからHoneypotなどでin the wildで 検出されるまで1日半のタイムラグ • 亜種の作成者と拡散した者が別人の可能性 • VirusTotalから取得した検体を意図的に拡散した? • 検体を検証環境で安易に実行して拡散させてしまった? オリジナルのWannaCryの作者、亜種の作者、拡散した者 これらがすべて異なる可能性
  24. Kill Switchによる緩和策 • Kill Switchのない亜種がin the wildで確認されるのは5/17 で、WannaCryの出現から約5日間の猶予 • Kill

    Switchのない亜種は、ランサムウェア機能はない • すべてのPCにパッチが正しく適用されているかを確認する 作業には時間が掛かる • パッチの適用や、445ポートのフィルタリング、ネット ワークのセグメンテーション、SMBv1の無効化などの根本 的対策を実施するまでの時間稼ぎとしては、Kill Switchに よる緩和策は有効であった
  25. How to Accidentally Stop a Global Cyber Attacks https://www.malwaretech.com/2017/05/how-to- accidentally-stop-a-global-cyber-attacks.html

    WannaCry: Two Weeks and 16 Million Averted Ransoms Later https://blog.kryptoslogic.com/malware/2017/05/29/two -weeks-later.html ETERNALBLUE vs Internet Security Suites and nextgen protections https://www.mrg-effitas.com/eternalblue-vs-internet- security-suites-and-nextgen-protections/ 参考資料