更新 (7 月 21 日): FireEye は引き続きこの脅威を追跡しています。この投稿の以前のバージョンは、新しい調査結果を反映するように更新されています。
2017 年 6 月 27 日、複数の組織 (多くはヨーロッパ) が、私たちが「EternalPetya」と呼んでいる Petya ランサムウェアの亜種に起因する重大な混乱を報告しました。このマルウェアは、最初に侵害されたソフトウェア更新システムを介して配布され、その後、2017 年 5 月のWannaCry攻撃で使用されたEternalBlue エクスプロイトを含む、盗まれた資格情報と SMB エクスプロイトを介して自己増殖しました。
このキャンペーンの最初の感染経路は、多くのウクライナの組織で使用されているソフトウェア パッケージである MeDoc ソフトウェア スイートの有害な更新プログラムでした。 6 月 27 日に行われた MeDoc ソフトウェア更新のタイミングは、ランサムウェア攻撃の最初の報告と一致しており、タイミングは、10:12 UTC 頃から被害者のネットワークで観察された PSExec を介したラテラル ムーブメントと相関しています。さらに、MeDoc の Web サイトには、ロシア語で次のような警告メッセージが表示されていました。
被害者のネットワークでアーティファクトとネットワーク トラフィックを分析したところ、EternalBlue と EternalRomance の SMB エクスプロイトの修正版が、少なくとも部分的に横方向に拡散するために使用されていたことがわかりました。ただし、拡散の多くは、マルウェアが WMI コマンド、MimiKatz、および PSExec を使用することによって発生したと考えられています。
FireEye では、この攻撃に関連する次の 2 つのサンプルを確認しています。
- 71b6a493388e7d0b40c83ce903bc6b04
- e285b6ce047015943e685e6638bd837e
FireEye は、コミュニティ保護イベントを動員して、脅威の活動を調査し、お客様の環境を保護しました。
FireEye の検出は悪意のある手法の動作分析を活用していますが、当社のチームは組織がこのマルウェアの環境をさかのぼって検索し、将来の活動を検出するのを支援する YARA ルールを作成しました。私たちのチームは、マルウェアの動作の中核となる悪意のある攻撃者の手法 (SMB ドライブの使用、身代金要求の言語、基盤となる機能と API、ラテラル ムーブメントに使用されるシステム ユーティリティ) に焦点を当ててきました。しきい値は、次の条件セクションで変更できます。
|
ルール CPE_MS17_010_RANSOMWARE {
メタ:バージョン=”1.1″
//filetype=”PE”
author=” Ian.Ahl@fireeye.com @ TekDefense、 Nicholas.Carr @mandiant.com @ItsReallyNick”
日付=”2017-06-27″
description=”ETERNALBLUE、WMIC、PsExec を使用した PETYA ランサムウェアの可能性”
文字列:
// ドライブの使用状況
$dmap01 = “\.PhysicalDrive” nocase ascii wide
$dmap02 = “\.PhysicalDrive0” nocase ascii wide
$dmap03 = “\.C:” nocase ascii wide
$dmap04 = “TERMSRV” nocase ascii wide
$dmap05 = “admin$” nocase ascii wide
$dmap06 = “GetLogicalDrives” nocase ascii wide
$dmap07 = “GetDriveTypeW” nocase ascii wide
// ランサムノート
$msg01 = “警告: PC の電源を切らないでください!” nocase ascii ワイド
$msg02 = “このプロセスを中止した場合” nocase ascii wide
$msg03 = “すべてのデータを破棄してください!” nocase ascii ワイド
$msg04 = “電源ケーブルが差し込まれていることを確認してください” nocase ascii wide
$msg05 = “あなたの重要なファイルは暗号化されています” アスキーワイド
$msg06 = “個人用インストール キー” nocase ascii wide
$msg07 = “次のアドレスへのビットコインの価値” nocase ascii wide
$msg08 = “CHKDSK はセクターを修復しています” nocase ascii wide
$msg09 = “ファイル システムを修復中” nocase ascii wide
$msg10 = “ビットコイン ウォレット ID” nocase ascii wide
$msg11 = ” wowsmith123456@posteo.net ” nocase ascii wide
$msg12 = “1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX” nocase ascii wide
$msg_pcre = /(en|de)crypt(ion|ed.)/
// 機能、API
$functions01 = “辞書が必要” nocase ascii wide
$functions02 = “comspec” nocase ascii wide
$functions03 = “OpenProcessToken” nocase ascii wide
$functions04 = “CloseHandle” nocase ascii wide
$functions05 = “EnterCriticalSection” nocase ascii wide
$functions06 = “ExitProcess” nocase ascii wide
$functions07 = “GetCurrentProcess” nocase ascii wide
$functions08 = “GetProcAddress” nocase ascii wide
$functions09 = “LeaveCriticalSection” nocase ascii wide
$functions10 = “MultiByteToWideChar” nocase ascii wide
$functions11 = “WideCharToMultiByte” nocase ascii wide
$functions12 = “WriteFile” nocase ascii wide
$functions13 = “CoTaskMemFree” nocase ascii wide
$functions14 = “NamedPipe” nocase ascii wide
$functions15 = “Sleep” nocase ascii wide // 文字列ではなくインポート
// コマンド
// — イベント ログと USNJrnl のクリア
$cmd01 = “wevtutil cl Setup” ascii wide nocase
$cmd02 = “wevtutil cl システム” ascii wide nocase
$cmd03 = “wevtutil cl Security” ascii wide nocase
$cmd04 = “wevtutil cl アプリケーション” ascii wide nocase
$cmd05 = “fsutil usn deletejournal” ascii wide nocase
// — スケジュールされたタスク
$cmd06 = “schtasks” nocase ascii wide
$cmd07 = “/Create /SC ” nocase ascii wide
$cmd08 = ” /TN ” nocase ascii wide
$cmd09 = “at %02d:%02d %ws” nocase ascii wide
$cmd10 = “shutdown.exe /r /f” nocase ascii wide
// — Sysinternals/PsExec と WMIC
$cmd11 = “-accepteula -s” nocase ascii wide
$cmd12 = “wmic”
$cmd13 = “/node:” nocase ascii wide
$cmd14 = “プロセス呼び出しの作成” nocase ascii wide
調子:
// (uint16(0) == 0x5A4D)
($dmap*) の 3
および ($msg*) の 2
および ($functions*) の 9
および ($cmd*) の 7
}
|
FireEye は、悪意のある Office ドキュメントの添付ファイルまたは CVE-2017-0199 を悪用する感染したドキュメントへのリンクを含む電子メール ルアーによってマルウェアが拡散されるという報告を読みました。このドキュメントは現在の活動の発生とは無関係であると確信しており、CVE-2017-0199 が関連していることを示す他の兆候は確認されていません。 FireEye はこれらのキャンペーンを検出しますが、Petya 攻撃の既知の被害者との相関関係は確認していません。
含意
この活動は、組織が SMB エクスプロイトやランサムウェア感染からシステムを保護することの重要性を浮き彫りにしています。 Microsoft は、WannaCry ランサムウェアのコンテキストで EternalBlue エクスプロイトから Windows システムを保護するためのガイドを提供しています。堅牢なバックアップ戦略、必要に応じてネットワークのセグメンテーションとエア ギャップ、およびランサムウェアに対するその他の防御は、組織がランサムウェアの配布操作から防御し、感染を迅速に修正するのに役立ちます。
Comments