Petya-Likeランサムウェア リローデッド

By The Cylance Threat Research Team

概要

過去数時間のメディアのヘッドラインで注目されているPetya-Likeランサムウェア(別名 GoldenEye/PetyaWrap)は、日本時間6月28日夜頃から急速にin-the-wildで広がっています。このマルウェアはWannaCry(EternalBlue / DoublePulsar)と同じSMBエクスプロイトを使用してリモートから広がり、さらに社内ネットワーク内で横方向に広がるためにPsExecとWMICの両方を活用します。

多数の拡散メカニズムにより、このランサムウェアはWannaCryよりもはるかに汎用性があり、MS17-010の脆弱性に対してパッチを適用したリモートシステムに感染することができます。重要なのは、この攻撃にはWannaCryの影響と拡散を大幅に減らすことに寄与したリモートキルスイッチが存在しないことです。

注釈:今回のマルウェアをワイパーと呼ぶべきかランサムウェアと呼ぶべきなのかについては議論があります。我々はこの件についての調査を続けています。

感染経路、拡散および動作

当初の攻撃ベクトルについて様々な憶測があります。例えば、ウクライナの金融系ソフトウェアのアップデートパッケージの危殆化やフィッシング攻撃などです。マイクロソフトは、アップデータプロセスといくつかのアクティブな感染への直接的な関係性を確認しています。電子メールのフィッシング攻撃の文書とされるものは、我々の方でもその文書を分析しましたが、直接的に感染には関連していませんでした。

攻撃のベクトルにかかわらず、マルウェアはWildに存在し、我々はそれが複数のメカニズムで拡がっていくことを確認しました。マルウェアは、DHCP経由で設定されたサブネットを列挙し、それらのネットワークをスキャンし、見つかったホストをさまざまな手法で攻撃しようとします。

このマルウェアには、WannaCryワームと同様に、Shadow Brokersのツール公開で発見されたSMBエクスプロイトが含まれています。さらに、マルウェアは、感染したマシンからクレデンシャルを盗み出し、標準的な手法を使用して、サブネット上にあるホストにリモートログオンしようとします。これは、PCが企業ネットワークからホームネットワーク、パブリックネットワーク、共有ネットワークに移動した際に、このマルウェアがあるPCから別のPCにジャンプする方法が複数あることを意味します。

ランサムウェア自体は、ファイル名が「perfc.dat」でWin32 DLLファイルで届きます。perfc.datはサイズが353.9KBで、rundll32.exeを介して起動されます。DLLは、2017/06/18にコンパイルされたと主張し、検証に失敗する偽のMicrosoft証明書を使用して署名されています。

図1:署名が無効なランサムウェア

アクティブになると、 ランサムウェアは様々な特権(SeDebugPrivilege、SeTcbPrivilege、SeShutdownPrivilege)を有効にし、実行中のプロセスを列挙し、ヒープメモリに自身を読み取り、新しい実行中のインスタンスを作成するいくつかのインストール手順を実行します。そこから、Windowsディレクトリの下にperfcという名前のファイルを作成しようとします。ファイルがすでに存在する場合(いわゆる「ワクチン」)終了します。

インストール段階で、マルウェアは以下のアクティブプロセスをチェックします。

• avp.exe
• cCSvchst.exe
• NS.exe

図2:AVプロセス検出

システム上にavp.exeの存在が検出された場合、MBRの感染を諦めます。他のプロセスのいずれかが見つかった場合は、ネットワーク越しの拡散を諦めます。

次にランサムウェアは、ランダムな時間が経過した後(10分以上)、システムを再起動するように設計されたサービスを作成します。

図3:シャットダウンサービスを作成する

WMICとPsExecによる横方向の感染拡大を容易にするために、マルウェアは2つのパスワード取得ツール(32bit、64bitアーキテクチャの両方)にバンドルされ、ディスクにドロップされて(%TEMP%の下の.tmpファイルとして)実行されます。クレデンシャルはlsass.exeから取得され、名前付きパイプ経由で親プロセスにフィードバックされます。その後、DhcpEnumSubnets() APIを介してDHCPサーバー上で定義されたサブネットを列挙し、ポート139および445(TCP)に接続しようとすることでレスポンスを使用して各サブネットをスキャンします。接続に成功すると、システム上のリモート共有に自身をコピーしようとします。


図4:自分自身をadmin $ shareにコピーする

コピーが完了すると、PsExec(%WINDOWS%または%COMMONAPPDATA%のいずれかでdllhost.datとして削除されたもの)またはWMICとともに、採取されたクレデンシャルが使用され、リモートで実行されます。さらに、マルウェアは、EternalBlue(確認済)とEternalRomance(確定していないが、他の方々は注目しています。これについても調査を続ける予定です)を使用してシステムに横方向に広がっています。


図5:EternalBlueエクスプロイトを利用したSMBを介した広がり

図6:WMICによる広がり

その後、 ランサムウェアは、すべての固定ドライブ上のファイルを暗号化するスレッドを起動する前に、追加のコンポーネントをドロップし、マスターブートレコード(MBR)にインストールします。暗号化は、ランダム128ビットAESキーを使用して実行されます。このAESキーは、その後、格納される前に攻撃者の2048ビットRSA公開鍵で暗号化されます。ファイルは直接上書きされ、新しいファイル拡張子で置き換えられることはありません。次の拡張子が対象となります。

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

最後に、システムを再起動する前に、マルウェアがセットアップ、システム、セキュリティおよびアプリケーションのイベントログを消去し、NTFS USN変更ジャーナルを削除します。

システムが再起動すると、次の身代金メモが表示されます。

Bitcoin Wallet IDと個人用インストールキーを電子メールで送信してください。
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
あなたの重要なファイルは暗号化されています。
このテキストが表示された場合、ファイルにアクセスできなくなります。なぜならば暗号化されているからです。
それらは暗号化されています。おそらくあなたは回復する方法を探しているでしょう。
時間を無駄にしないでください。我々の復元サービス以外に、誰もあなたのファイルを回復することはできません
すべてのファイルを安全かつ簡単に、復元できることを保証します。
あなたがする必要があるのは、支払いを行って復号鍵を購入することだけです。
指示に従ってください:
次のアドレスに$300相当のBitcoinを送ってください:


図7:暗号化画面


図8:ランサムスクリーン

まとめ

WannaCryPetyaにヒントを得ていますが、マルウェアのペイロードには、それ以前のマルウェアとは違って、新しいマルウェアの種類と言えるだけの独自の機能が含まれていることが確認されています。

このマルウェアは、WannaCryの流行に見られるSMBの悪用や、Petyaが使用するMBRの感染技術を含む、これまでのランサムウェアの亜種で使用されているいくつかの技術を使用しています。さらに我々は、PSExecの組み込みバージョンで拡散しようとするマルウェアと、WMICを遠隔から呼び出すことによってマルウェアを監視しました。

我々、脅威ガイダンスチームは、このPetya-Likeランサムウェアを継続的に研究し、数日中にさらに詳細な技術情報を提供します。

エンドポイントプロテクションのCylancePROTECT®をご利用のお客様はこの攻撃からすでに保護されています。こちらのリンク先でCylancePROTECTがランサムウェアをブロックしている様子をご覧いただけます。CylancePROTECTをご利用でない場合は、当社のAIを活用したソリューションが未知の脅威や新たな脅威をどのように予測し防御するかについてお問い合わせください。

侵入の痕跡(IoC情報)

SHA-256ハッシュ:

027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745(ランサムウェア)
64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1(ランサムウェア)
02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f(x86パスワードダンパー)
eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998(x64パスワードダンパー)
f8dbabdfa03068130c277ce49c60e35c029ff29d9e3c74c362521f3fb02670d5(PsExec)

その他:

Threat Guidance Team(脅威ガイダンスチーム)について

サイランスのThreat Guidance teamはマルウェアの能力や機能、攻撃ベクトルの調査を行います。脅威ガイダンスは情報セキュリティの最前線として、これまで無かった悪意のあるソフトウェアなどの脅威情報を発信しています。

Tags: