報道

• サウジアラビアに大規模なサイバー攻撃、空港当局のＰＣ数千台を破壊,Bloomberg,2016年12月2日アクセス
• サウジにサイバー攻撃、ウイルス「シャムーン」　4年ぶりに新型,Reuters,2016年12月2日アクセス
• サウジ政府機関に時限式サイバー攻撃、システムを一斉破壊,CNN,2016年12月2日アクセス
• Saudi Central Bank Systems Said to Be Struck by Iran Malware,Bloomberg,2016年12月3日アクセス

セキュリティベンダのレポート等

• FireEye FIREEYE RESPONDS TO WAVE OF DESTRUCTIVE CYBER ATTACKS IN GULF REGION
• PaloAlto Shamoon 2: Return of the Disttrack Wiper
• Symantec 以前より破壊的になって復活した Shamoon
• CrowdStrike Shamoon Round 2 or the Power of Machine Learning
• McAfee Shamoon Rebooted?
• Fortinet Research: Furtive Malware Rises Again

その他

• "Sophisticated" and "Genius" Shamoon 2.0 Malware Analysis | Coding and Security

Shamoonの検出名

各社の呼称は次の通り。2012年に確認されたShamoonと呼び分けるため、Shamoon 2.0等とも呼称されている。ここでも便宜的に2016年のマルウェアをShamoon2.0と呼称する。

Shamoon 2.0にハードコードされたパスワード

• 標的となった組織(GACAと見られる)から盗み出されたパスワードがShamoonに設定されている。
• パスワードは標的企業のネットワーク上での拡散を目的として利用された可能性がある。
• ログイン情報がどのように盗み出されたのか等経緯は判明していない。

Shamoon2 malware samples: https://t.co/tsd6gsew6Z password: infect3d -has embedded creds for General Auth of Civil Aviation Saudi Arabia :/

— patrick wardle (@patrickwardle) 2016年12月1日

Shamoon2.0の起動タイミング

• Shamoonの起動は現地時間で2016年11月17日 20時45分が設定されていた。
• サウジアラビアでは木曜日は週末にあたる。多くの従業員の退勤後のタイミングが狙われた可能性が指摘されている。

Shamoon と Shamoon 2.0の比較

Shamoon 2.0 コンポーネント郡 サンプル

セキュリティベンダの調査によるShamoon2.0のサンプルは次の通り。

Shamoon 2.0 コンポーネント(1) ドロッパーの挙動

• 接続された標的のシステムにおいて、CクラスのIPレンジを基にスキャンを試みる。
• 確認が取れた接続端末に対し現行の権限で次の個所にアクセスを試行する。

ADMIN$
C$\Windows
D$\Windows
E$\Windows shares

• 現行の権限でアクセスが出来ない場合、ハードコードされたドメイン特有の資格情報を使用してアクセスを再度試みる。
• アクセス成功後は、リモートレジストリサービスが有効化される。その後、次のレジストリ値が0に変更され、共有アクセスも有効化される。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy

• ここまでの処理に成功した後は、%WINDIR%system32に「ntssrv32.exe」がコピーされ、無名タスク(At1.job等)でマルウェアの実行がその端末においてスケジューリングされる。

• ドロッパーには32bit、64bit版それぞれが存在。
• 最初のドロッパーが実行されると自身のコピーをtrksrv.exeというファイル名でsystem32配下に作成され、新しいサービスとして開始される。
• サービス開始後、32bit版が64bit環境を検出した際に64bit版をドロップする。
• 起動タイミングを迎えると次のいずれかのファイル名でsystem32配下に実行形式のファイルを作成する。

caclsrv
certutl
clean
ctrl
dfrag
dnslookup
dvdquery
event
findfile
gpget
ipsecure
iissrv
msinit
ntfrsutil
ntdsutl
power
rdsadmin
regsys
sigver
routeman
rrasrv
sacses
sfmsc
smbinit
wcscript
ntnw
netx
fsutl
extract

• これらファイル名の一部は2012年のShamoonで使用されたものと同一である。

Shamoon 2.0 コンポーネント(2) ワイパーの挙動

• Eldos社製のドライバ「drdisk.sys」をドロップする。
• システム時刻を2012年8月のランダムの日付に設定をする。これはEldosドライバがトライアル版であり、2012年9月に有効期限が切れるためとみられる。
• このEldosドライバを通じてユーザーモードから直接ハードディスクにアクセスが可能となる。
• ハードディスクのMBR、VBRを消去し、かつ写真で上書きをする。

Shamoon 2.0 コンポーネント(3) コミュニケーターの挙動

• C2サーバーとの通信機能がある。
• C2サーバーに対して次の情報を送信する。

システムチックカウント
ローカルIPアドレス
OSバージョン
キーボードレイアウト
%WINDOWS%\inf\netimm173.pnfのコンテンツ

• 事前に設定されていた起動タイミングを変更することが出来る。
• ハードディスクの消去を検証したレポート情報をC2に送信する機能がある。
• 起動タイミングは「\inf\usbvideo324.pnf」というファイル名で保存され、次の構造を持つ。

BYTE year;
BYTE month;
BYTE day;
BYTE hour;
BYTE year;
BYTE minute;