マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

「WannaCry」を始めとしたランサムウェアの成り立ちと対策

2017年6月22日

株式会社Doctor Web Pacific


「WannaCry」は、米国国家安全保障局内部に存在すると疑われているハッカー集団が開発、使用していたとされる攻撃ツールをShadow Brokersが盗み、公開したツールの技術を使用して作成されていると言われています。

意外な広がりを見せる「WannaCry」:

  1. 通常のランサムウェアプログラムとは異なり、「WannaCry」はスパムメールによって広がるため、迷惑メールを送った量に比例して感染が拡大していきます。 他のプログラムとは対照的に、「WannaCry」はねずみ講に似ています。感染したすべてのマシンは、ローカルネットワークとインターネットの両方で他のホストに感染しようとします。今回の件は、2000年代初めに大流行した「メリッサ」の感染拡大状況に非常によく似ています。「メリッサ」は、わずか数時間で数百万のPCを感染させ、その感染率は世界中のコンピュータの20%にまで上りました。では、現在のインターネットは、当時に比べ安全に使用されるようになったのでしょうか?

    PCの18%以上が海賊版Windowsを搭載しており、また、23%のコンピュータはWindows Updateを無効にしている。

    では「WannaCry」はどうでしょうか。推計、20万台から40万台のコンピュータが感染しているとされています。

    MalwareHunterによると、5月19日、ウクライナでの「XData」による被害は、「WannaCry」が1週間で感染させたマシンの4倍に上ったと発表。

    http://www.securitylab.ru/news/486205.php

    Dr.Webメディア内、XData(Trojan.Encoder.11526)についてもお読みください。

  2. 中小企業への影響より、大企業と個人への影響大きかった。

    Dr.Webのパートナーによる、中小企業の顧客に影響があったかに関する質問への回答方法(企業名は非公開)

    M..:not yet А..:no А..:no В..:no В..:no one was affected, but everyone is scared :)

    マルウェアが高度な技術を使用して標的コンピュータに感染するという事実を考えると、それは奇妙なことではありませんか? 一方、世間からの注目は大きかったのです。

    何故、この特定の暗号化ランサムウェアがメディアで広く議論されたと思いますか? 陰謀論?

    ウェブセミナー中のDr. Webのパートナーへの質問

  3. 他のファイルを危殆化するために使用されるキーと、復旧が可能であることをユーザーに示すために使用される暗号化キーは異なるため、復号化は保証されていません。
  4. ランサムウェア感染で請求される身代金(ビットコインでは300米ドルから)はかなり手頃な金額でしたが、被害を受けたほとんどの企業は、評判を損なわないために支払いませんでした。

結局、「WannaCry」は、多くの報道と少数の感染、犯罪者に多少の収入を生み出しましたが、誰が最も利益を上げたのかは不明なままです。

しかし、被害がこれだけの最小限にとどまったのは、ビジネスにつなげたい人々が以下のように観察したからでした。

  1. 世界のコンピュータの少なくとも4分の1を攻撃する方法があること。
  2. ターゲットマシンに侵入するには、ユーザーがリンクをクリックすることに頼る必要はなく、トロイの木馬を使用すれば自動的に管理者権限を取得できること。

また、「WannaCry」は、複雑で悪質なプログラムではなく、その欠点が世界中のメディア機関によって議論されています。

  1. 再暗号化は使用しない。
  2. ウイルス対策ソフトで検出できる。
  3. コマンドとコントロール(C&C)サーバーと通信するのに脆弱な手順を使用する。

次に起こることを予測するために占い師になる必要はありません。

1:

セキュリティ研究者であるMiroslav Stamparは、NSAから漏えいしたとみられる7つのハッキングツール、「EternalBlue」、「EternalChampion」、「EternalRomance」、「EternalSynergy」、「Doublepulsar」、「Architouch」、「SMBtouch」を同時に使用するマルウェア「EternalRocks」を発見しました。

セキュリティ研究者を欺くために、「EternalRocks」は「WannaCry」と見せかけています。ただし、後者とは異なり、ターゲットマシンにはランサムソフトウェアをダウンロードせず、さらなる攻撃の標的となるシステムの準備に使用されています。

「EternalRocks」は匿名通信システムTorを介してC&Cサーバーと通信します。ワームから最初のクエリを受信した後、サーバーは24時間後に shadowbrokers.zip というファイルを送信します。ワームは、ファイルの内容を抽出すると、インターネット上のホストをスキャンして、ポート445が開いているシステムを検出します。「WannaCry」とは異なり、ドメイン名の形式でキルスイッチはありません。「EternalRocks」は、感染したシステムの管理者特権を取得し、後々脆弱性パッチがマシンに適用されても、ワームは引き続き動作します。

http://www.securitylab.ru/news/486210.php

Dr.WebによってTrojan.EternalRocks.1として検出されたマルウェアは、より洗練されたコード(7つのハッキングツール)を享受していることは明らかです。

2:

「WannaCry」が活用している「EternalBlue」の攻撃ベクトルは、ハッカーに仮想通貨を送金する「Adylkuzz」を広めるためにも使われました。

http://www.securitylab.ru/news/486210.php

3:(最も高度なオプション)

「UIWIX」は新しいマルウェアです。「WannaCry」と同様に、このマルウェアはMS17-010のセキュリティ情報に基づいて修正されたSMBの脆弱性を悪用しています。Shadow Brokersによって、一般市民が利用できるようになるまで、この脆弱性(EternalBlue)の悪用は、おそらくNSAの自由でした。

「UIWIX」と「WannaCry」には同じ脆弱性を利用する以外に、共通点はありません。「WannaCry」と違って、「UIWIX」はファイルとして存在しません。 悪用コードが適用された後、残りの悪意のあるコードはメモリ内でのみ実行されます。攻撃の過程で、コンポーネントファイルがハードドライブに書き込まれることはなく、悪質なプログラムの検出を複雑にします。「UIWIX」は「WannaCry」よりも潜んで活動をします。マルウェアが仮想マシンやあらゆる種類のサンドボックスで動作していることが判明した場合、マルウェアはそれを破壊します。また、ランサムウェアが、ロサンゼルス、カザフスタン、ベラルーシのコンピュータ上で終了すると、自己破壊メカニズムが起動されます。

「WannaCry」とは異なり、「UIWIX」は再起動後もシステムに残らず、コードにはドメイン名の強制終了スイッチが含まれていません。「UIWIX」の作者は、身代金として、300ドルから600ドルではなく、より少ない200ドルを要求しています。

「UIWIX」のコードを分析すると、ブラウザー、電子メール、インスタントメッセンジャー、FTPサーバーの承認データを収集できることが明らかになりました。

http://www.securitylab.ru/news/486177.php
http://www.securitylab.ru/blog/personal/aodugin/341866.php

Dr.Webは、このランサムウェアプログラムをTrojan.Encoder.11536として検出します。 アンチウィルスによる検出を回避し、仮想マシンとサンドボックスを検出します。

脆弱性の悪用が感染の一般的な手段になるかどうかは時が教えてくれます。

#encryption_ransomware #ransomware #Trojan.Encoder #cybercrime #cyber-crime #virus-maker #security_update #vulnerability #extortion

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments