piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「NotPetya」についてまとめてみた

2017年6月27日頃からウクライナ、ロシアの他、世界中でサイバー攻撃が発生したと現地メディア等により報じられています。各地で確認されたサイバー攻撃ランサムウェアによる影響を受けたものとみられています。ここでは関連情報をまとめます。

インシデントタイムライン

NotPetya、ウクライナ、M.E.docの動きをまとめると次の通り。

日時 出来事
2017年4月14日 M.E.docがアップデート(10.01.175-10.01.176)。アップデートファイルにバックドアが混入していた恐れ。
2017年5月15日 M.E.docがアップデート(10.01.180-10.01.181)。アップデートファイルにバックドアが混入していた恐れ。
2017年5月17日 何者かにより別のランサムウェア「XData」がM.E.docのサーバーを通じて拡散された。
2017年5月31日 M.E.docのサーバーにPHPのWebShellが設置された可能性。
2017年6月22日 M.E.docがアップデート(10.01.188-10.01.189)。アップデートファイルにバックドアが混入していた恐れ。
2017年6月26日 WannaCryに類似したランサムウェア「FakeCry」がM.E.docのサーバーを通じて拡散された。
2017年6月27日 M.E.docのサーバーの管理者権限が何者かにより奪取される。
同日 ウクライナ、ロシアを中心に世界各地でNotPetyaに感染し被害を受ける報告が多数。
2017年6月28日 ウクライナ警察がM.E.doc経由で感染が広まった可能性があると報告。
2017年7月1日 ウクライナ保安庁がNotPetyaに関連する攻撃にロシア政府が関与したと発表。
2017年7月4日 ウクライナ保安庁M.E.doc開発会社のサーバーを差し押さえ
同日 ランサムウェアの振込先アドレスからこれまで振り込まれていたBitcoinが移動される。
同日 NotPetyaで暗号化されたファイルの復号鍵を100Bitcoin支払えば公開する等とテキストサイトに掲載された。
同日 掲載文で示されていたチャットルーム上でMotherboardの記者がハッカーの一人と接触し、試験的に暗号化されたファイルの復号に成功したことを確認した。

確認されているマルウェア「NotPetya」

今回のマルウェアは過去に確認されていたNotPetyaとコードや挙動が似ていることから、そのまま、あるいは似た名前で呼ばれている。*1 一連の攻撃の詳細や被害の実態が明らかになってきたことから、ランサムウェアとは異なったもの(ワイパー)であると評価する組織もおり「Not」や別名で呼ぶ動きがある。

今回確認されているマルウェア呼称の一覧

NotPetyaに関連する呼称

  • Petya
  • Petna
  • Pnyetya
  • Petrwrap
  • ExPetr
  • NoPetya
  • NotPetya
  • Nyetya
  • SortaPetya
  • GoldenEye

バックドアに関連する呼称

  • Telebots
  • ZvitPublishedObjects.dll
NotPetyaの感染対象
復号ツール
  • 2017年6月28日時点で存在せず。

1.初期の感染経路

次の2つの感染経路に係る情報が出回っていたが、その後の調査によりM.E.doc経由によるものが有力とみられている。

メール経由の攻撃に係る情報
M.E.docの更新機能経由の攻撃に係る情報

M.E.docに係る基本情報

M.E.docのFacebook上で関連情報が投稿されている。

富士通UKがM.E.docのサーバーに対してPortScan等を行った結果を公開している。

  • FTP,SSHのサービスが稼働していた。
  • FTPProFTPD 1.3.4.c。2年以上経過したバージョンで脆弱性が存在する。
  • SSHはOpenSSH v.5.4。複数の脆弱性が存在する。

WebShellが稼働していた可能性

ウクライナ国内のWebサイトを通じた水飲み場型攻撃に係る情報

2.ランサムウェアの機能

実行から暗号されるまでの流れは次の通り。

  • 実行はrundll32.exeを使用して起動する。

rundll32 "NotPetya本体", #1


内包されたリソース

次の4つのリソースが存在し、Zlibにより圧縮されている。

  • Microsoftによりデジタル署名された実行ファイル
  • 32bit対応のパスワードダンプツール
  • 64bit対応のパスワードダンプツール
  • EternalBlue Exploitの改修版シェルコード
暗号対象の拡張子
  • 65種類の拡張子を対象に暗号化をする。
  • 暗号化したファイルの拡張子は変更しない。
  • 暗号化前のファイルは暗号化後のファイルにより上書きされる。

.3ds,.7z,.accdb,.ai,.asp,.aspx,.avhd,.back,.bak,.c,.cfg,.conf,.cpp,.cs,.ctl,
.dbf,.disk,.djvu,.doc,.docx,.dwg,.eml,.fdb,.gz,.h,.hdd,.kdbx,.mail,.mdb,.msg,
.nrg,.ora,.ost,.ova,.ovf,.pdf,.php,.pmf,.ppt,.pptx,.pst,.pvi,.py,.pyc,.rar,.rtf,
.sln,.sql,.tar,.vbox,.vbs,.vcb,.vdi,.vfd,.vmc,.vmdk,.vmsd,.vmx,.vsdx,.vsv,.work,.xls,.xlsx,.xvd,.zip

https://blog.comae.io/byata-enhanced-wannacry-a3ddd6c8dabb
暗号化方式
  • すべてのファイルに対して1つのAES-128のキーが生成される。
  • 生成されたキーは攻撃者の公開鍵(RSA-2048)で暗号化される。
  • 暗号化されたAESキーはREADMEファイルに保存される。
  • 暗号機能は過去確認されていたNotPetyaをバイナリから直接改造して作成されていた可能性がある。
身代金のやり取り

停止されたメールアドレスの他に連絡先が存在するとの情報がある。

3.ワームの機能

  • 実行時に自分がワークステーションか、ドメインコントローラかを識別する。
  • ドメインコントローラーであった場合、DHCPサービスに紹介をかけサーバー上に定義されたサブネット内のIPアドレスの一覧を取得する。
  • マルウェアはNetBIOS経由で全ての接続可能な端末を探索する。
  • LAN上で確認されたIPアドレスに対してTCP445/139がオープンしているかを確認する。
  • ポート開放が確認できたら拡散方法のいずれかを用いてリモート接続した他の端末にも攻撃を行う。
  • パスワードダンプツールを用いてlass.exeプロセスから管理者の資格情報の取得を試行する。ツールはMimikazやLSADumpに似ている。
  • CredEnumerateW関数を使用して資格情報ストアに格納されている他の全ての資格情報を取得する。
  • 資格名「TERMSRV/」で始まり汎用(タイプが1)に設定されている場合はその資格情報を使用する。
  • 対象はローカルエリアネットワークであり、WannaCryのようにインターネット上の端末にExploitを送出することはしない。
拡散方法

確認されている拡散方法は次の通り。

実行優先順位 名前 概要
PsExecによる拡散 現在のユーザーのWindowsトークンを使用して特定のコマンドを実行する。$admin共有を探査。マルウェア自身のコピーをネットワーク上で実行。新しくコピーしたマルウェアをPsExecを使用してリモート実行する。
WMIによる拡散 現在のユーザーのトークン(既に接続している場合)、またはユーザー名、パスワードを使用して特定のコマンドを実行する。
ETERNALBLUE /EternalRomanceによる拡散 WannaCry等で用いられていたETERNALBLUE Exploitを使用する。ETERNALROMANCE (CVE-2017-0145)も使用する。
実行されるコマンド

PsExec、WMIで実行されるコマンドは次の通り。

  • PsExec

C:\WINDOWS\dllhost.dat \\w.x.y.z -accepteula -s -d C:\Windows\System32\rundll32.exe C:\Windows\perfc.dat,#1

http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
  • WMI

Wbem\wmic.exe /node:"w.x.y.z" /user:"username" /password:"password" "process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\perfc.dat\" #1"

http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html

4. その他の機能、関連情報

ログ削除機能
  • マルウェアには感染させたWindowsのイベントログの削除機能がある。次のコマンドが呼び出され削除される。

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:v

削除されるイベントログ等は次の5つ。

  • システム
  • セットアップ
  • セキュリティ
  • アプリケーション
  • NTFSジャーナル情報
感染を防ぐ手段
  • 特定のフォルダ「C:\Windows」に特定のファイル名(perfc.)を読み取り専用で作成しておくことでマルウェアは動作せずに終了する。

関連ツイート

5.バックドアの関連情報

次の情報を窃取する。

  • EDRPOU番号(ウクライナ国内で利用される法人識別番号)
  • SMTPサーバー、ユーザー名、パスワード、メールアドレス
  • プロキシサーバー、ポート番号、ユーザー名、パスワード
  • M.E.docの公式サーバー「upd.me-doc.com[.]ua」に窃取した情報を送信する。

6. 報道、報告されている被害の状況

サイバー攻撃を受けたとして報道や情報が出ている組織は次の通り。但し、これらが全て同じランサムウェアによるものかは不明。

  • グループIBの調査によればロシア、ウクライナ両国で80以上の組織が感染した。*3
  • Microsoftの調査によれば、ウクライナが最初に確認された国。27日時点で全部で65か国で攻撃を確認している。
ウクライナ

ウクライナで影響が出たと名前が出ている個所は次の通り。

政府・自治 ウクライナ政府、エネルギー・石油産業省、総務省:Webサイトで接続障害発生。
キエフ市役所
金融 ウクライナ中央銀行:国内の金融機関で感染事例を確認。問題はその後すぐに対応されたとの見解。
・Oschadbank
・Sberbank
・TASKomertsbank
・Ukrgasbank
・Pivdenny
・OTP Bank
・Kredobank
交通 Boryspil国際空港:電光掲示板等で障害発生。28日もチェックイン、離着陸表示等手動対応。*4
キエフ地下鉄*5
ウクライナ鉄道
放送 ・Era-FM
・Football.ua
STB
・TV Channel 24
・Radio Lux
・Radio Maximum
・KP in Ukraine
・TV channel ATR
・Korrespondent.net
・Epicenter
・Arcelor Mittal
・Ukrposhta
電力 ・Kyivenergo:電力供給への影響は生じていない模様。
・Dniproenergo
・Zaporizhyaoblenergo
チェルノブイリ原子力発電所放射線自動監視システムの一部が停止したため手動切り替え。*6
流通 ・スーパー Kharkov*7:支払いに銀行カードが利用できなくなった。*8
他大手 ・航空機製造 Antonov
・Nova Poshta:ネットワーク内で感染が確認された後サービスが停止した。*9
・Naftogaz Ukraine DTEK
・Kyivvodocanal
・Novus
・Ukrposhta
通信 ・Ukrtelecom
・Lifecell
・Kyivstar
Vodafone Ukraine
医療 ・Farmak
Boris clinic
・Feofania Hospital Corporation Arterium
ガソリンスタンド ・WOG
・Klo
・TNK
その他

ウクライナ以外でも被害や影響を受けたと情報が出ている。

ロシア 国営石油 Rosnoft:生産工程管理を予備システムへ切り替え石油生産への影響なし。*10
石油中堅 Bashneft:Webサイトで接続障害発生
政府系ネットワークがダウン。
鉄鋼メーカー Evraz:ITシステムが被害を受けたが生産量への影響無し。
デンマーク 海運 A.P.モラー・マースク:顧客がオンライン予約不可。社内システムも停止。*11
アメリ 製薬 Merck*12 *13
法律事務所 DLA Piper ワシントンDC事務所*14
Heritage Valley Health System *15
イギリス 広告代理店 WPP *16:Webサイトで接続障害が発生。従業員向けに無線LAN利用禁止の指示。
Cadbury:オーストラリア タスマニア州のチョコレート工場に影響が及んだ。*17 *18 *19
Sea Containers
フランス 建材メーカー Saint-Gobain:ITシステムが攻撃を受けた。*20
フランス国鉄 SNCF:運行業務への影響なし。
小売 Auchan Group:ウクライナの子会社の決済端末が攻撃を受けた。店舗閉鎖などはしていない。
金融 BNPパリバ:不動産関連子会社が影響を受けていることを確認した。
フランス政府:攻撃を受けたが実害はなかった。*21
ドイツ Beiersdorf:IT、電話システムが攻撃を受けた。ハンブルグの本社の他、世界中の関連会社も影響を受けた。
オランダ 船会社 TNT:一部システムに影響が及び修復が必要。
スペイン 食品 Mondelez:世界的にIT関連機能が停止しているとの声明。*22
インド ジャワハルラール・ネルー港湾信託:ターミナルで積み出し、積み入れが不可。Maerskの施設の1つ。*23 *24
オランダ APMターミナル(Maersk所有):運営する17のターミナル(ニューヨーク、ニュージャージーロッテルダム等)で障害。一部港は27日終日の閉鎖。 *25 *26
ノルウェー 詳細不明 *27
アルゼンチン ロサリオ港:穀物ターミナルで一部配送停止。*28

この他に次の国で攻撃の影響を受けた可能性がある。

同時期に発生したカンタス航空の予約システム(Amadeus)障害はNotPetyaとは関係がないことが確認されている。*29

感染被害測定の状況

今回のマルウェアランサムウェア

一部のベンダ(Kaspersky等)は今回のマルウェアランサムウェアではなく、ワイパーの可能性があると指摘している。

Kasperskyがあげている理由
  • 身代金の支払いをしても復旧することが難しい実装となっている。
  • 身代金画面に表示されるID(Installation key)は単なるランダムなデータであり、これを使って復号することはできない。

メール経由の攻撃を修正したベンダ

While research is ongoing at this stage of the investigation, we can verify at this point that the ransomware exhibits worm-like (ransomworm) behavior due to its active probe for an SMB server, and that it appears to be spreading through EternalBlue and WMIC. Researchers initially believed that the Petya/NotPetya ransomworm was transmitted to its first victims through emails containing infected Microsoft Office documents that exploited CVE-2017-0199. While we are still working to confirm this, applying the appropriate MS Office patch to your system(s) will protect you from this attack vector.

分析レポート

検体関連情報

検体サンプル
通信先と見られるIPアドレス

次の通信先に接続しているとの情報があります。

  • 84[.]200[.]16[.]242
  • 95[.]141[.]115[.]108
  • 111[.]90[.]139[.]247
  • 185[.]165[.]29[.]78

更新履歴

  • 2017年6月28日 AM 新規作成
  • 2017年6月28日 PM 続報追記(記事は全面的に更新)
  • 2017年6月29日 AM 続報追記
  • 2017年6月29日 PM 続報追記、誤植修正
  • 2017年7月01日 PM 続報追記
  • 2017年7月03日 PM 続報追記
  • 2017年7月07日 AM PetyaをNotPetyaに変更、タイムライン追加、続報追記

*1:ここでも「NotPetya」として記述しています。

*2:https://twitter.com/dellcam/status/879744405040771072

*3:露企業など80以上ウイルス感染…サイバー攻撃,読売新聞,2017年6月28日アクセス

*4:サイバー攻撃の被害、ウクライナが最大か 過去にも標的,朝日新聞,2017年6月29日アクセス

*5:https://twitter.com/kyivmetroalerts/status/879670749149245440

*6:大規模サイバー攻撃、チェルノブイリ原発も被害,日本経済新聞,2017年6月28日アクセス

*7:https://twitter.com/golub/status/879707965179088896

*8:欧米で再び大規模なサイバー攻撃 ウイルス注意呼びかけ,NHK,2017年6月28日アクセス

*9:https://www.facebook.com/nova.poshta.official/photos/a.409208275835344.96865.405543306201841/1392073604215468/?type=3

*10:再び大規模サイバー攻撃、欧米企業など被害 先月の攻撃と類似も,Reuters,2017年6月28日アクセス

*11:https://twitter.com/Maersk/status/879689865184636928

*12:https://twitter.com/JackPosobiec/status/879734999196602369

*13:https://twitter.com/Merck/status/879716775021170689

*14:https://twitter.com/ericgeller/status/879738598244835328

*15:Heritage Valley Health System Targeted In Global Cyber Attack,CBS,2017年6月28日アクセス

*16:https://twitter.com/WPP/status/879813930901745664

*17:Cyberattack Hits Ukraine Then Spreads Internationally,NewYorkTimes,2017年6月28日アクセス

*18:Petya cyber attack: Cadbury chocolate factory in Tasmania hit by ransomware,ABC,2017年6月28日アクセス

*19:https://twitter.com/LeonCompton/status/879825013439725568

*20:https://twitter.com/AnimalDubz/status/879684389860454402

*21:チェルノブイリ原発も被害,毎日新聞,2017年6月29日アクセス

*22:大規模サイバー攻撃、米国に波及 メルクなど被害,日本経済新聞社,2017年6月28日アクセス

*23:大規模サイバー攻撃がアジアに拡大、インドの港湾施設で被害,Bloomberg,2017年6月28日アクセス

*24:https://twitter.com/mihirmodi/status/879678870471024640

*25:https://twitter.com/OpiniePaultje/status/879680984219779072

*26:https://twitter.com/PortNYNJ/status/879749788790435840

*27:欧州各国に大規模サイバー攻撃 銀行・空港など被害,朝日新聞,2017年6月28日アクセス

*28:欧米で新たな大規模サイバー攻撃−身代金要求型ウイルスが拡散,Bloomberg,2017年6月28日アクセス

*29:Australian businesses warned as ‘unprecedented’ cyber attack hits Europe,news.com.au,2017年6月29日アクセス

*30:ウクライナ“サイバー攻撃にロシア政府が関与”,NHK,2017年7月3日アクセス

*31:大規模サイバー攻撃「ロシアが関与」 ウクライナ保安局,朝日新聞,2017年7月4日アクセス