2016年11月にサウジアラビアの空港当局などでマルウェアによる大規模なインシデントが発生し、業務停止などの被害が発生したと報じられています。ここでは関連情報をまとめます。
関連情報
報道
- サウジアラビアに大規模なサイバー攻撃、空港当局のPC数千台を破壊,Bloomberg,2016年12月2日アクセス
- サウジにサイバー攻撃、ウイルス「シャムーン」 4年ぶりに新型,Reuters,2016年12月2日アクセス
- サウジ政府機関に時限式サイバー攻撃、システムを一斉破壊,CNN,2016年12月2日アクセス
- Saudi Central Bank Systems Said to Be Struck by Iran Malware,Bloomberg,2016年12月3日アクセス
セキュリティベンダのレポート等
インシデントタイムライン
日時 | アクター | 出来事 |
---|---|---|
11月17日 20:45 | 不明 | 確認されたマルウェア(Shamoon)の起動がデフォルト設定されていた時間 |
: | サウジ民間航空総局 | 事務管理システムのPC数千台が破壊される被害、業務が数日間停止。 |
11月30日 | サウジ国営通信 | 政府機関を狙ったサイバー攻撃が発生したと報道 |
12月1日 | 各社 | サウジアラビアで発生したサイバー攻撃やマルウェアに関連する報道、レポートが公開 |
サウジアラビアにおける被害の状況
Bloombergが報じたところによれば少なくとも8つの政府系組織で被害が確認されている模様。
被害を受けた組織として名前が報じられている組織は次の通り。
各組織における被害報道で確認できたものをまとめると次の通り。
(1) サウジアラビア民間航空総局(GACA:General Authority of Civil Aviation)
- 本部の事務管理システムで被害が発生。
- PC数千台が破壊、重要なデータが消去された。
- この影響により、数日間の業務停止が発生した。
- 運航や空港業務、航空システムには影響は出ていない。
(2) サウジアラビア通貨庁(SAMA: Saudi Arabian Monetary Agency)
- どの情報システムが被害を受けたのかは明らかにされていない。
- 電子決済システムや銀行関連の部門におけるシステム障害等の報告は確認されていない。
マルウェア Shamoonに関連する情報
セキュリティベンダ各社の情報をまとめるところ次のような特徴や挙動が確認されている。
Shamoonの検出名
各社の呼称は次の通り。2012年に確認されたShamoonと呼び分けるため、Shamoon 2.0等とも呼称されている。ここでも便宜的に2016年のマルウェアをShamoon2.0と呼称する。
セキュリティベンダ | 呼称 |
---|---|
Symantec | W32.Disttrack W32.Disttrack!gen1 W32.Disttrack!gen4 W32.Disttrack!gen6 W32.Disttrack!gen7 W32.Disttrack!gen8 W32.Disttrack.B |
PaloAlto | Disttrack |
CrowdStrike | Shamoon |
FireEye | Shamoon 2.0 |
McAfee | W32/DistTrack Artemis detection DistTrack!sys Trojan-FKIQ![hash] Trojan-FKIR![hash] |
Shamoon 2.0にハードコードされたパスワード
- 標的となった組織(GACAと見られる)から盗み出されたパスワードがShamoonに設定されている。
- パスワードは標的企業のネットワーク上での拡散を目的として利用された可能性がある。
- ログイン情報がどのように盗み出されたのか等経緯は判明していない。
Shamoon2 malware samples: https://t.co/tsd6gsew6Z password: infect3d -has embedded creds for General Auth of Civil Aviation Saudi Arabia :/
— patrick wardle (@patrickwardle) 2016年12月1日
Shamoon2.0の起動タイミング
- Shamoonの起動は現地時間で2016年11月17日 20時45分が設定されていた。
- サウジアラビアでは木曜日は週末にあたる。多くの従業員の退勤後のタイミングが狙われた可能性が指摘されている。
Shamoon と Shamoon 2.0の比較
比較項目 | Shamoon | Shamoon2.0 |
---|---|---|
起動タイミング | 2012年8月15日 | 2016年11月17日 20時45分 |
被害組織 | サウジアラムコ | GACA |
被害台数 | 約35,000台 | 数千台 |
感染後に残される画像 | 燃やされた米国国旗 | シリア難民子供の地中海で溺死した遺体写真 |
Shamoon 2.0 コンポーネント郡 サンプル
セキュリティベンダの調査によるShamoon2.0のサンプルは次の通り。
ファイル名 | コンポーネント | Hash |
---|---|---|
ntssrvr32.exe | ドロッパー | 47bb36cd2832a18b5ae951cf5a7d44fba6d8f5dca0a372392d40f51d1fe1ac34 |
ntssrvr64.exe | ドロッパー | 394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b |
ntssrvr32.bat | ドロッパー | 10de241bb7028788a8f278e27a4e335f |
<複数パターン>.exe | ワイパー | c7fc1f9c2bed748b50a599ee2fa609eb7c9ddaeb9cd16633ba0d10cf66891d8a |
<複数パターン>.exe | ワイパー | 128fa5815c6fee68463b18051c1a1ccdf28c599ce321691686b1efa4838a2acd |
drdisk.sys | ワイパー(Eldosドライバ) | 5a826b4fa10891cf63aae832fc645ce680a483b915c608ca26cedbb173b1b80a |
drdisk.sys | ワイパー(Eldosドライバ) | 4744df6ac02ff0a3f9ad0bf47b15854bbebb73c936dd02f7c79293a2828406f6 |
netinit.exe | コミュニケーター | 772ceedbc2cacf7b16ae967de310350e42aa47e5cef19f4423220d41501d86a5 |
netinit.exe | コミュニケーター | 61c1c8fc8b268127751ac565ed4abd6bdab8d2d0f2ff6074291b2d54b0228842 |
Shamoon 2.0 コンポーネント(1) ドロッパーの挙動
- 接続された標的のシステムにおいて、CクラスのIPレンジを基にスキャンを試みる。
- 確認が取れた接続端末に対し現行の権限で次の個所にアクセスを試行する。
ADMIN$ C$\Windows D$\Windows E$\Windows shares
- 現行の権限でアクセスが出来ない場合、ハードコードされたドメイン特有の資格情報を使用してアクセスを再度試みる。
- アクセス成功後は、リモートレジストリサービスが有効化される。その後、次のレジストリ値が0に変更され、共有アクセスも有効化される。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
- ここまでの処理に成功した後は、%WINDIR%system32に「ntssrv32.exe」がコピーされ、無名タスク(At1.job等)でマルウェアの実行がその端末においてスケジューリングされる。
- ドロッパーには32bit、64bit版それぞれが存在。
- 最初のドロッパーが実行されると自身のコピーをtrksrv.exeというファイル名でsystem32配下に作成され、新しいサービスとして開始される。
- サービス開始後、32bit版が64bit環境を検出した際に64bit版をドロップする。
- 起動タイミングを迎えると次のいずれかのファイル名でsystem32配下に実行形式のファイルを作成する。
caclsrv certutl clean ctrl dfrag dnslookup dvdquery event findfile gpget ipsecure iissrv msinit ntfrsutil ntdsutl power rdsadmin regsys sigver routeman rrasrv sacses sfmsc smbinit wcscript ntnw netx fsutl extract
- これらファイル名の一部は2012年のShamoonで使用されたものと同一である。
Shamoon 2.0 コンポーネント(2) ワイパーの挙動
Shamoon 2.0 コンポーネント(3) コミュニケーターの挙動
- C2サーバーとの通信機能がある。
- C2サーバーに対して次の情報を送信する。
システムチックカウント ローカルIPアドレス OSバージョン キーボードレイアウト %WINDOWS%\inf\netimm173.pnfのコンテンツ
- 事前に設定されていた起動タイミングを変更することが出来る。
- ハードディスクの消去を検証したレポート情報をC2に送信する機能がある。
- 起動タイミングは「\inf\usbvideo324.pnf」というファイル名で保存され、次の構造を持つ。
BYTE year; BYTE month; BYTE day; BYTE hour; BYTE year; BYTE minute;