« MNCTF2016 WriteUp 解答例 | メイン | 防衛装備に関連した調査報告書を偽装した攻撃 »

2017年5月17日 (水)

マルウェア解析奮闘記 WannaCryの解析

2017年5月12日夜間頃より世界規模で攻撃が観測されているWannaCryの解析結果をお知らせします。WannaCryの動作概要と、ランサムウェアとしては新しい動作となる、キルスイッチとMS17-010脆弱性をついた感染拡大の部分については、少し詳しく解説していきます。

今回調査に用いた検体は、VirusTotalよりダウンロードした以下のSHA256ハッシュ値を持つWannaCryのドロッパー検体です。亜種の存在の報告もあがっており、挙動が異なる可能性もあるため、最初にこの点に触れておきたいと思います。

SHA256 : 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

[概要]

WannaCryはドロッパーEXEの実行で開始され、開始直後に、キルスイッチと名付けられたURLにアクセスします。

http://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

現在このURLはシンクホールされており、アクセスに成功すると、その後の感染拡大と暗号化・身代金要求の処理は行いません。

20170515_205051

図1、WannaCryドロッパーのWinMain()処理直後のキルスイッチ

このURLにアクセスできない場合、またはシンクホールされる前はつぎのように処理を行います。

20170517_170020

図2、概要

[解説]

WannaCryドロッパー(mssecsve.exe)の中には、大まかに感染拡大するためのコードと、暗号・身代金要求を行うためのモジュール(tasksche.exe)が含まれています。図2では、感染拡大の処理をA、暗号・身代金要求の処理を処理Bとしています。
まず、暗号・身代金処理Bの部分について、感染した端末では、tasksche.exeが複数のモジュールをC:¥ProgramDataの下にドロップし、起動する処理を行います。簡単にいくつかのモジュールの役割を記載します。

[コマンドライン] : 処理説明
tasksche.exe : ファイルの暗号処理や身代金要求モジュールのドロップ
taskse.exe @WanaDecryptor@.exe : 身代金要求のメッセージ表示
@WanaDecryptor@.exe co : Torモジュールの準備
@WanaDecryptor@.exe vs : ボリュームシャドーコピーの削除、隠しファイル設定など

20170517_153647 図3、CrowdStrike Falconで可視化した暗号・身代金要求処理

つづいて感染拡大の処理Aの部分について、解説します。
処理Aの中では最初に、SMB(445)ポートのMS17-010脆弱性の確認(図4)とエクスプロイトを行い、SMBのセッションを確立します。ここで確立したセッションで、Base64でエンコードされたモジュール(WannaCryドロッパー)を送り込みます(図5)。
さらにこの後、MS17-010の脆弱性を攻撃するEternelBlueのエクスプロイトにDoublePulsarのバックドアをペイロード(図6)として、MS17-010を攻撃します。
その結果、攻撃された端末では、DoublePulsarのバックドアがオープン(図7)しますが、WannaCryによって感染拡大以外の目的には活用されていません。DoublePulsarのバックドアは、ShadowBrokerによって公開されたエクスプロイトをできるだけ早く再利用しようとしたため、含まれたものと思われます。

20170515_210303

20170515_210016

図4、WannaCryドロッパーに含まれるMS17-010のスキャンコード

WannaCryに含まれるMS17-010のスキャンコードは、以下のMetasploitのMS17-010のスキャンコードと同様のものです。

https://www.exploit-db.com/exploits/41891/

20170517_162053_2

図5、感染端末と2次感染端末のWannaCryドロッパーのバイナリ比較(同じ)

20170516_213643

図6、感染拡大時のSMBパケットに見られるDoublePulsarのExploitコード

20170516_213353

図7、感染端末をスキャン(MS17-010)、DoublePulsarバックドアがオープン

DoublePulsarのバックドアは、カーネルで動作しているlanmanserverサービス(MS17-010のSMBサービスと同じ)をエクプロイトし、そのメモリ上で、動作しています。そのため、プロセス単位で停止することが難しく、再起動が必要になってしまいます。また、感染端末に常駐するかたちでは配備されないため、端末の再起動でDoublePulsarのバックドアは消滅します。

[最後に]

先月Sporaランサムウェアの感染を身近に確認しました。Sporaランサムウェアは、パスワードの設定されていない共有フォルダ(SMB)に感染を拡大しますが、感染拡大先で実行するモジュールは、暗号化・身代金要求のモジュールだけでした。
今回観測されたWannaCryランサムウェアは、感染拡大先でも感染拡大コードと暗号・身代金要求のそれぞれを実行していくため、被害をより拡大した要因のひとつと考えています。

また、WannaCryによって感染した端末から、MS17-010脆弱性をつかれた端末では、もしWannaCryがウィルス対策に駆除されても、DoublePulsarのバックドアがオープンしていると思われる点にもご注意頂きたいと思います。
このDoublePulsarのバックドアを悪用して、更なるリモートからのコードが実行される恐れが考えられます。

« MNCTF2016 WriteUp 解答例 | メイン | 防衛装備に関連した調査報告書を偽装した攻撃 »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat