piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2016年11月にサウジアラビアで発生したインシデントについてまとめてみた

2016年11月にサウジアラビアの空港当局などでマルウェアによる大規模なインシデントが発生し、業務停止などの被害が発生したと報じられています。ここでは関連情報をまとめます。

インシデントタイムライン

日時 アクター 出来事
11月17日 20:45 不明 確認されたマルウェア(Shamoon)の起動がデフォルト設定されていた時間
サウジ民間航空総局 事務管理システムのPC数千台が破壊される被害、業務が数日間停止。
11月30日 サウジ国営通信 政府機関を狙ったサイバー攻撃が発生したと報道
12月1日 各社 サウジアラビアで発生したサイバー攻撃マルウェアに関連する報道、レポートが公開

サウジアラビアにおける被害の状況

Bloombergが報じたところによれば少なくとも8つの政府系組織で被害が確認されている模様。
被害を受けた組織として名前が報じられている組織は次の通り。

各組織における被害報道で確認できたものをまとめると次の通り。

(1) サウジアラビア民間航空総局(GACA:General Authority of Civil Aviation)

  • 本部の事務管理システムで被害が発生。
  • PC数千台が破壊、重要なデータが消去された。
  • この影響により、数日間の業務停止が発生した。
  • 運航や空港業務、航空システムには影響は出ていない。

(2) サウジアラビア通貨庁(SAMA: Saudi Arabian Monetary Agency)

  • どの情報システムが被害を受けたのかは明らかにされていない。
  • 電子決済システムや銀行関連の部門におけるシステム障害等の報告は確認されていない。

マルウェア Shamoonに関連する情報

セキュリティベンダ各社の情報をまとめるところ次のような特徴や挙動が確認されている。

Shamoonの検出名

各社の呼称は次の通り。2012年に確認されたShamoonと呼び分けるため、Shamoon 2.0等とも呼称されている。ここでも便宜的に2016年のマルウェアをShamoon2.0と呼称する。

セキュリティベンダ 呼称
Symantec W32.Disttrack
W32.Disttrack!gen1
W32.Disttrack!gen4
W32.Disttrack!gen6
W32.Disttrack!gen7
W32.Disttrack!gen8
W32.Disttrack.B
PaloAlto Disttrack
CrowdStrike Shamoon
FireEye Shamoon 2.0
McAfee W32/DistTrack
Artemis detection
DistTrack!sys
Trojan-FKIQ![hash]
Trojan-FKIR![hash]
Shamoon 2.0にハードコードされたパスワード
  • 標的となった組織(GACAと見られる)から盗み出されたパスワードがShamoonに設定されている。
  • パスワードは標的企業のネットワーク上での拡散を目的として利用された可能性がある。
  • ログイン情報がどのように盗み出されたのか等経緯は判明していない。

Shamoon2.0の起動タイミング
  • Shamoonの起動は現地時間で2016年11月17日 20時45分が設定されていた。
  • サウジアラビアでは木曜日は週末にあたる。多くの従業員の退勤後のタイミングが狙われた可能性が指摘されている。
Shamoon と Shamoon 2.0の比較
比較項目 Shamoon Shamoon2.0
起動タイミング 2012年8月15日 2016年11月17日 20時45分
被害組織 サウジアラムコ GACA
被害台数 約35,000台 数千台
感染後に残される画像 燃やされた米国国旗 シリア難民子供の地中海で溺死した遺体写真
Shamoon 2.0 コンポーネント郡 サンプル

セキュリティベンダの調査によるShamoon2.0のサンプルは次の通り。

ファイル名 コンポーネント Hash
ntssrvr32.exe ドロッパー 47bb36cd2832a18b5ae951cf5a7d44fba6d8f5dca0a372392d40f51d1fe1ac34
ntssrvr64.exe ドロッパー 394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b
ntssrvr32.bat ドロッパー 10de241bb7028788a8f278e27a4e335f
<複数パターン>.exe ワイパー c7fc1f9c2bed748b50a599ee2fa609eb7c9ddaeb9cd16633ba0d10cf66891d8a
<複数パターン>.exe ワイパー 128fa5815c6fee68463b18051c1a1ccdf28c599ce321691686b1efa4838a2acd
drdisk.sys ワイパー(Eldosドライバ) 5a826b4fa10891cf63aae832fc645ce680a483b915c608ca26cedbb173b1b80a
drdisk.sys ワイパー(Eldosドライバ) 4744df6ac02ff0a3f9ad0bf47b15854bbebb73c936dd02f7c79293a2828406f6
netinit.exe コミュニケーター 772ceedbc2cacf7b16ae967de310350e42aa47e5cef19f4423220d41501d86a5
netinit.exe コミュニケーター 61c1c8fc8b268127751ac565ed4abd6bdab8d2d0f2ff6074291b2d54b0228842
Shamoon 2.0 コンポーネント(1) ドロッパーの挙動
  • 接続された標的のシステムにおいて、CクラスのIPレンジを基にスキャンを試みる。
  • 確認が取れた接続端末に対し現行の権限で次の個所にアクセスを試行する。
ADMIN$
C$\Windows
D$\Windows
E$\Windows shares
  • 現行の権限でアクセスが出来ない場合、ハードコードされたドメイン特有の資格情報を使用してアクセスを再度試みる。
  • アクセス成功後は、リモートレジストリサービスが有効化される。その後、次のレジストリ値が0に変更され、共有アクセスも有効化される。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
  • ここまでの処理に成功した後は、%WINDIR%system32に「ntssrv32.exe」がコピーされ、無名タスク(At1.job等)でマルウェアの実行がその端末においてスケジューリングされる。
  • ドロッパーには32bit、64bit版それぞれが存在。
  • 最初のドロッパーが実行されると自身のコピーをtrksrv.exeというファイル名でsystem32配下に作成され、新しいサービスとして開始される。
  • サービス開始後、32bit版が64bit環境を検出した際に64bit版をドロップする。
  • 起動タイミングを迎えると次のいずれかのファイル名でsystem32配下に実行形式のファイルを作成する。
caclsrv
certutl
clean
ctrl
dfrag
dnslookup
dvdquery
event
findfile
gpget
ipsecure
iissrv
msinit
ntfrsutil
ntdsutl
power
rdsadmin
regsys
sigver
routeman
rrasrv
sacses
sfmsc
smbinit
wcscript
ntnw
netx
fsutl
extract
  • これらファイル名の一部は2012年のShamoonで使用されたものと同一である。
Shamoon 2.0 コンポーネント(2) ワイパーの挙動
  • Eldos社製のドライバ「drdisk.sys」をドロップする。
  • システム時刻を2012年8月のランダムの日付に設定をする。これはEldosドライバがトライアル版であり、2012年9月に有効期限が切れるためとみられる。
  • このEldosドライバを通じてユーザーモードから直接ハードディスクにアクセスが可能となる。
  • ハードディスクのMBRVBRを消去し、かつ写真で上書きをする。
Shamoon 2.0 コンポーネント(3) コミュニケーターの挙動
  • C2サーバーとの通信機能がある。
  • C2サーバーに対して次の情報を送信する。
システムチックカウント
ローカルIPアドレス
OSバージョン
キーボードレイアウト
%WINDOWS%\inf\netimm173.pnfのコンテンツ
  • 事前に設定されていた起動タイミングを変更することが出来る。
  • ハードディスクの消去を検証したレポート情報をC2に送信する機能がある。
  • 起動タイミングは「\inf\usbvideo324.pnf」というファイル名で保存され、次の構造を持つ。
BYTE year;
BYTE month;
BYTE day;
BYTE hour;
BYTE year;
BYTE minute;

更新履歴

  • 2016年12月2日 AM 新規作成
  • 2016年12月3日 AM Shamoonのマルウェア関連情報を追記

ー2016年12月4日 AM 続報追記