未更新のシステム脆弱性を狙う WannaCrypt ランサムウェア

本記事は、Windows Security のブログ “WannaCrypt ransomware worm targets out-of-date systems” (2017 年 5 月 12 日 米国時間公開) を翻訳したものです。

(注: ランサムウェアに関するレポートの最新版は、「2017 年上半期のランサムウェアのレビュー: 世界規模で拡大するセキュリティ需要 (英語)」でお読みいただけます)

マイクロソフトは、2017 年 5 月 12 日に、修正済みの脆弱性を悪用してワームのように拡散する新しいランサムウェアを検出しました。ほとんどのコンピューターには自動的にセキュリティ更新プログラムが適用されていますが、修正プログラムの展開が遅れているユーザーや企業も少なからず存在します。WannaCrypt (英語) と呼ばれるランサムウェアは、このように脆弱性の対策がされていないコンピューターに影響を与えます。この攻撃は現在も拡大しています。まだ MS17-010をインストールしていないユーザーの皆様は、速やかにご対応いただけるよう再度お願いいたします。

マイクロソフトのマルウェア対策テレメトリは、この大規模な攻撃の兆候を即座に検出しました。エキスパート システムが新しい攻撃を発生と同時に可視化し情報を提供することで、Windows Defender Antivirus (英語) はリアルタイムに攻撃を防いでいます。このマルウェアに対する迅速な保護は、自動分析、機械学習、予測モデリングによって実現しています。

今回の記事では、エンドツーエンドのランサムウェア攻撃に関する初期分析の内容をお伝えします。この調査は現在も継続的に進められています。攻撃はいまだ収束しておらず、今後マイクロソフトの検出や対応に攻撃者が対抗措置をとる可能性もあります。

攻撃経路

一般的なランサムウェアの脅威は急速には拡散しません。WannaCrypt (別称 WannaCry、WanaCrypt0r、WCrypt、WCRY) のような脅威は、通常ソーシャル エンジニアリングやメールなどを主要な攻撃経路としているため、ユーザーが悪意のあるペイロードをダウンロードして実行しない限り影響はありません。しかし、今回の事例は特殊で、修正プログラムがリリースされていた SMB の「EternalBlue (英語)」と呼ばれる脆弱性 (CVE-2017-0145 (英語)) を狙う既知のエクスプロイト コードがランサムウェア侵入に使用されました。これは、特別に細工されたパケットを標的の SMBv1 サーバーに送信することでトリガーされます。この問題は、2017 年 3 月 14 日にリリースされたセキュリティ情報 MS17-010 で修正されています。

WannaCrypt の拡散メカニズムは一般的な SMB の脆弱性攻撃 (英語の参考情報はこちらとこちら) を流用したものであり、これによりランサムウェアでありながらワームのような機能を持ち、対象の修正プログラムが適用されていないコンピューターへの侵入経路を作成することができます。

WannaCrypt で使用されるエクスプロイト コードは、修正プログラムが適用されていない Windows 7 および Windows Server 2008 (またはそれ以前の OS) のシステムのみを標的としているため、Windows 10 PC がこの攻撃の影響を受けることはありません。

WannaCrypt が最初に侵入した経路は正確にはわかっていませんが、拡散の原因として考えられるシナリオには、以下の 2 つがあります。

• ソーシャル エンジニアリングのメールを通じて侵入する方法。ユーザーを誘導してマルウェアを実行させ、SMB の脆弱性を悪用してワームのように拡散する機能を有効化させる。
• 感染したコンピューターから、修正プログラムが適用されていないコンピューターを特定し、SMB の脆弱性を悪用して感染する方法。

ドロッパー

WannaCrypt は、以下の 2 つのコンポーネントで構成された、ドロッパー型のトロイとして侵入します。

1. 他のコンピューターに存在する SMB の脆弱性 (CVE-2017-0145) を攻撃するコンポーネント
2. WannaCrypt ランサムウェア本体

このドロッパーは、InternetOpenUrlA() という API を使用して、以下のドメインへの接続を試みます。

• www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
• www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
• www[x].iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]test

ドメインへの接続に成功するとドロッパーは実行を停止し、ランサムウェアをシステムに感染させたり、他のシステムを攻撃して感染を拡大したりすることはありません。しかし接続に失敗した場合は、ランサムウェアをドロップしてシステム上にサービスを作成します。

通常のマルウェア感染とは異なり、 IT 管理者はこれらのドメインへの接続をブロックしてはなりません 。マルウェアはプロキシ接続に対応していないため、ローカル DNS レコードが必要な場合があります。インターネットをポイントしている必要はありませんが、TCP ポート 80 での接続が可能なサーバーを指定する必要があります。

mssecsvc2.0 という名前のサービスが作成され、感染したシステムからアクセス可能な他のコンピューターに存在する SMB の脆弱性を攻撃します。

サービス名: mssecsvc2.0

サービスの説明: (Microsoft Security Center (2.0) Service)

サービスのパラメーター: “-m security”

WannaCrypt ランサムウェアについて

WannaCrypt ランサムウェアは、リソース セクションにパスワードで保護された .zip アーカイブを含んだドロッパーです。.zip アーカイブ内のドキュメントの暗号化ルーチンとファイルには、サポート ツール、暗号化解除ツール、身代金を要求するメッセージなどが含まれています。マイクロソフトが分析したサンプルでは、.zip アーカイブのパスワードは「WNcry@2ol7」であることがわかっています。

これが実行されると、WannaCrypt により以下のレジストリ キーが作成されます。

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\<ランダムな文字列> = “<マルウェアの作業ディレクトリ>\tasksche.exe”
• HKLM\SOFTWARE\WanaCrypt0r\\wd = “<マルウェアの作業ディレクトリ>”

以下のレジストリ キーが変更されると、壁紙が身代金を要求するメッセージに変わります。

• HKCU\Control Panel\Desktop\Wallpaper: “<マルウェアの作業ディレクトリ>\@WanaDecryptor@.bmp”

マルウェアの作業ディレクトリに以下のファイルが作成されます。

• 00000000.eky
• 00000000.pky
• 00000000.res
• 274901494632976.bat
• @Please_Read_Me@.txt
• @WanaDecryptor@.bmp
• @WanaDecryptor@.exe
• b.wnry
• c.wnry
• f.wnry
• m.vbs
• msg\m_bulgarian.wnry
• msg\m_chinese (simplified).wnry
• msg\m_chinese (traditional).wnry
• msg\m_croatian.wnry
• msg\m_czech.wnry
• msg\m_danish.wnry
• msg\m_dutch.wnry
• msg\m_english.wnry
• msg\m_filipino.wnry
• msg\m_finnish.wnry
• msg\m_french.wnry
• msg\m_german.wnry
• msg\m_greek.wnry
• msg\m_indonesian.wnry
• msg\m_italian.wnry
• msg\m_japanese.wnry
• msg\m_korean.wnry
• msg\m_latvian.wnry
• msg\m_norwegian.wnry
• msg\m_polish.wnry
• msg\m_portuguese.wnry
• msg\m_romanian.wnry
• msg\m_russian.wnry
• msg\m_slovak.wnry
• msg\m_spanish.wnry
• msg\m_swedish.wnry
• msg\m_turkish.wnry
• msg\m_vietnamese.wnry
• r.wnry
• s.wnry
• t.wnry
• TaskData\Tor\libeay32.dll
• TaskData\Tor\libevent-2-0-5.dll
• TaskData\Tor\libevent_core-2-0-5.dll
• TaskData\Tor\libevent_extra-2-0-5.dll
• TaskData\Tor\libgcc_s_sjlj-1.dll
• TaskData\Tor\libssp-0.dll
• TaskData\Tor\ssleay32.dll
• TaskData\Tor\taskhsvc.exe
• TaskData\Tor\tor.exe
• TaskData\Tor\zlib1.dll
• taskdl.exe
• taskse.exe
• u.wnry

また、以下のファイルが作成される場合があります。

• %SystemRoot%\tasksche.exe
• %SystemDrive%\intel\<ランダムなディレクトリ名>\tasksche.exe
• %ProgramData%\<ランダムなディレクトリ名>\tasksche.exe

以下の ImagePath に関連付けられた、ランダムな名前のサービスが作成される場合もあります。「cmd.exe /c “<マルウェアの作業ディレクトリ>\tasksche.exe”」

WannaCrypt は、コンピューター全体から以下の拡張子を持つすべてのファイルを検出します。

.123、.jpeg、.rb、.602、.jpg、.rtf、.doc、.js、.sch、.3dm、.jsp、.sh、.3ds、.key、.sldm、.3g2、.lay、.sldm、.3gp、 .lay6、.sldx、.7z、.ldf、.slk、.accdb、.m3u、.sln、.aes、.m4u、.snt、.ai、.max、.sql、.ARC、.mdb、.sqlite3、.asc、 .mdf、.sqlitedb、.asf、.mid、.stc、.asm、.mkv、.std、.asp、.mml、.sti、.avi、.mov、.stw、.backup、.mp3、.suo、.bak、 .mp4、.svg、.bat、.mpeg、.swf、.bmp、.mpg、.sxc、.brd、.msg、.sxd、.bz2、.myd、.sxi、.c、.myi、.sxm、.cgm、.nef、 .sxw、.class、.odb、.tar、.cmd、.odg、.tbk、.cpp、.odp、.tgz、.crt、.ods、.tif、.cs、.odt、.tiff、.csr、.onetoc2、 .txt、.csv、.ost、.uop、.db、.otg、.uot、.dbf、.otp、.vb、.dch、.ots、.vbs、.der、.ott、.vcd、.dif、.p12、.vdi、.dip、 .PAQ、.vmdk、.djvu、.pas、.vmx、.docb、.pdf、.vob、.docm、.pem、.vsd、.docx、.pfx、.vsdx、.dot、.php、.wav、.dotm、 .pl、.wb2、.dotx、.png、.wk1、.dwg、.pot、.wks、.edb、.potm、.wma、.eml、.potx、.wmv、.fla、.ppam、.xlc、.flv、.pps、 .xlm、.frm、.ppsm、.xls、.gif、.ppsx、.xlsb、.gpg、.ppt、.xlsm、.gz、.pptm、.xlsx、.h、.pptx、.xlt、.hwp、.ps1、.xltm、 .ibd、.psd、.xltx、.iso、.pst、.xlw、.jar、.rar、.zip、.java、.raw

その後、検出したすべてのファイルを暗号化し、ファイル名に .WNCRY という文字列を付与します。たとえば、picture.jpg という名前のファイルの場合、ランサムウェアはこのファイルを暗号化し名前を picture.jpg.WNCRY に変更します。

また、このランサムウェアは、ファイルを暗号化したフォルダーすべてに @Please_Read_Me@.txt というファイルを作成します。このファイルには、壁紙に表示される身代金要求メッセージが含まれます (スクリーンショットを参照)。

暗号化プロセスが完了した後、マルウェアは以下のコマンドを実行してボリュームのシャドウ コピーを削除します。

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

その後、デスクトップの背景画像が変更され、次のメッセージが表示されます。

また、身代金に関する説明を表示する実行可能ファイルを実行します。このファイルは、ビットコインで 300 ドルの身代金の支払いを要求するメッセージとタイマーを表示します。

このテキストは、以下の言語にローカライズされています。 ブルガリア語、中国語 (簡体字)、中国語 (繁体字)、クロアチア語、チェコ語、デンマーク語、オランダ語、英語、フィリピノ語、フィンランド語、フランス語、ドイツ語、ギリシャ語、インドネシア語、イタリア語、日本語、韓国語、ラトビア語、ノルウェー語、ポーランド語、ポルトガル語、ルーマニア語、ロシア語、スロバキア語、スペイン語、スウェーデン語、トルコ語、ベトナム語

また、ランダムに選んだ暗号化されたファイルを数個だけ無料で解除できる、暗号化解除機能のデモを流します。その後すぐに、残りのファイルの暗号化を解除するための身代金を要求するメッセージを表示します。

拡散機能

ワームの機能により、ローカル ネットワーク内の修正プログラムが適用されていない Windows マシンへの感染を試みます。同時に、インターネットの IP アドレスを大規模にスキャンし、他の脆弱なコンピューターを検出して感染させます。これにより、感染したホストからの大規模な SMB トラフィックが発生します。以下のようにセキュリティ運用担当者が確認することができます。

インターネットのスキャン ルーチンが、IPv4 アドレスを形成するオクテットをランダムに生成します。そしてその IP を標的に CVE-2017-0145 の悪用を試みます。ローカル ループバック インターフェイスを回避するために、最初のオクテットが 127、または値が 224 かそれ以上の IPv4 アドレスは、感染しないようになっています。脆弱性のあるマシンが検出され感染すると、このマシンが他のマシンへの新たな感染経路となります。この危険な感染サイクルは、スキャン ルーチンが修正を適用していないコンピューターを発見できなくなるまで継続されます。

脆弱性のあるコンピューターへの感染に成功すると、マルウェアはカーネル レベルのシェルコードを実行します。これは DOUBLEPULSAR という一般に公開されているバックドアからコピーされたコードだと思われますが、x86 と x64 のどちらのシステムでもランサムウェアのドロッパー ペイロードをドロップして実行するように、特別に調整されています。

WannaCrypt の攻撃からの保護

Windows 10 にアップグレードすると、マイクロソフトが提供する最新の保護機能を利用することができます。コンピューターを最新の状態 (英語) に保つことで、最新バージョンの Windows に組み込まれた新機能やプロアクティブな緩和策などのメリットを得ることができます。

セキュリティ更新プログラム MS17-010を適用していないお客様には、できるだけ早くインストールいただくことをお勧めします。また、プログラムを適用するまでの間は、以下の 2 つの回避策で攻撃表面を減少させることをお勧めします。

• マイクロソフトのサポート技術情報 2696547 および以前からの推奨方法 (英語) に従って SMBv1 を無効化する。
• ポート 445 からの SMB の受信トラフィックをブロックするように、ルーターまたはファイアウォールにルールを追加することを検討する。

Windows Defender Antivirus (英語) は、1.243.297.0 の更新の時点でこの脅威を Ransom:Win32/WannaCrypt (英語) として検出します。Windows Defender Antivirus は、クラウド ベースの保護機能により最新の脅威からマシンを保護します。

企業では、Device Guard でデバイスをロックダウンし、カーネル レベルでの仮想化ベースのセキュリティを利用することで、信頼されたアプリケーションのみが実行可能となり、マルウェアの実行を効率的に防止することができます。

Office 365 Advanced Threat Protection (英語) では、機械学習機能によりランサムウェアを含む電子メールなどの危険なメール脅威をブロックします。

Windows Defender Advanced Threat Protection のネットワーク監視では、不審なアクティビティを発見しセキュリティ運用チームに通知します。Windows Defender Advanced Threat Protection を使用してネットワークでランサムウェアの検出、調査、緩和を行う方法については、プレイブック「Windows Defender Advanced Threat Protection – Ransomware response playbook (英語)」をダウンロードしてください。

資料

英語版のセキュリティ更新プログラムのダウンロード: Windows Server 2003 SP2 x64、Windows Server 2003 SP2 x86、Windows XP SP2 x64、Windows XP SP3 x86、Windows XP Embedded SP3 x86、Windows 8 x86、Windows 8 x64

各言語版のセキュリティ更新プログラムのダウンロード: Windows Server 2003 SP2 x64、Windows Server 2003 SP2 x86、Windows XP SP2 x64、Windows XP SP3 x86、Windows XP Embedded SP3 x86、Windows 8 x86、Windows 8 x64

MS17-010 セキュリティ更新プログラム: https://docs.microsoft.com/ja-jp/security-updates/SecurityBulletins/2017/ms17-010 (英語)

WannaCrypt 攻撃に関するお客様ガイダンス: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ (英語)

ランサムウェアに関する一般情報: https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx (英語)

Windows 10 Creators Update で次世代のランサムウェア対策を: https://blogs.windows.com/japan/2017/08/15/windows-10-creators-update-hardens-security-with-next-gen-defense

侵入の痕跡

分析サンプルの SHA1

• 51e4307093f8ca8854359c0ac882ddca427a813c
• e889544aff85ffaf8b0d0da705105dee7c97fe26

作成されるファイル

• %SystemRoot%\mssecsvc.exe
• %SystemRoot%\tasksche.exe
• %SystemRoot%\qeriuwjhrf
• b.wnry
• c.wnry
• f.wnry
• r.wnry
• s.wnry
• t.wnry
• u.wnry
• taskdl.exe
• taskse.exe
• 00000000.eky
• 00000000.res
• 00000000.pky
• @WanaDecryptor@.exe
• @Please_Read_Me@.txt
• m.vbs
• @WanaDecryptor@.exe.lnk
• @WanaDecryptor@.bmp
• 274901494632976.bat
• taskdl.exe
• Taskse.exe
• 「.wnry」という拡張子のファイル
• 「.WNCRY」という拡張子のファイル

作成されるレジストリ キー

• HKLM\SOFTWARE\WanaCrypt0r\wd

Karthik Selvaraj、Elia Florio、Andrea Lelli、Tanmay Ganacharya (@tanmayg)

Microsoft マルウェア プロテクション センター (@msftmmpc)

関連ブログ記事

Windows 10 Creators Update で次世代のランサムウェア対策を

Shadow Brokers が公開した ETERNALBLUE および ETERNALROMANCE の脆弱性の分析 (英語)

更新情報

2017 年 6 月 20 日 - Shadow Brokers が公開した脆弱性の分析へのリンクを追加