2017年6月27日頃からウクライナ、ロシアの他、世界中でサイバー攻撃が発生したと現地メディア等により報じられています。各地で確認されたサイバー攻撃はランサムウェアによる影響を受けたものとみられています。ここでは関連情報をまとめます。
注意喚起等
インシデントタイムライン
NotPetya、ウクライナ、M.E.docの動きをまとめると次の通り。
| 日時 | 出来事 |
|---|---|
| 2017年4月14日 | M.E.docがアップデート(10.01.175-10.01.176)。アップデートファイルにバックドアが混入していた恐れ。 |
| 2017年5月15日 | M.E.docがアップデート(10.01.180-10.01.181)。アップデートファイルにバックドアが混入していた恐れ。 |
| 2017年5月17日 | 何者かにより別のランサムウェア「XData」がM.E.docのサーバーを通じて拡散された。 |
| 2017年5月31日 | M.E.docのサーバーにPHPのWebShellが設置された可能性。 |
| 2017年6月22日 | M.E.docがアップデート(10.01.188-10.01.189)。アップデートファイルにバックドアが混入していた恐れ。 |
| 2017年6月26日 | WannaCryに類似したランサムウェア「FakeCry」がM.E.docのサーバーを通じて拡散された。 |
| 2017年6月27日 | M.E.docのサーバーの管理者権限が何者かにより奪取される。 |
| 同日 | ウクライナ、ロシアを中心に世界各地でNotPetyaに感染し被害を受ける報告が多数。 |
| 2017年6月28日 | ウクライナ警察がM.E.doc経由で感染が広まった可能性があると報告。 |
| 2017年7月1日 | ウクライナ保安庁がNotPetyaに関連する攻撃にロシア政府が関与したと発表。 |
| 2017年7月4日 | ウクライナ保安庁がM.E.doc開発会社のサーバーを差し押さえ。 |
| 同日 | ランサムウェアの振込先アドレスからこれまで振り込まれていたBitcoinが移動される。 |
| 同日 | NotPetyaで暗号化されたファイルの復号鍵を100Bitcoin支払えば公開する等とテキストサイトに掲載された。 |
| 同日 | 掲載文で示されていたチャットルーム上でMotherboardの記者がハッカーの一人と接触し、試験的に暗号化されたファイルの復号に成功したことを確認した。 |
確認されているマルウェア「NotPetya」
今回のマルウェアは過去に確認されていたNotPetyaとコードや挙動が似ていることから、そのまま、あるいは似た名前で呼ばれている。*1 一連の攻撃の詳細や被害の実態が明らかになってきたことから、ランサムウェアとは異なったもの(ワイパー)であると評価する組織もおり「Not」や別名で呼ぶ動きがある。
今回確認されているマルウェア呼称の一覧
NotPetyaに関連する呼称
- Petya
- Petna
- Pnyetya
- Petrwrap
- ExPetr
- NoPetya
- NotPetya
- Nyetya
- SortaPetya
- GoldenEye
バックドアに関連する呼称
- Telebots
- ZvitPublishedObjects.dll
NotPetyaの感染対象
- Windows系OS
復号ツール
- 2017年6月28日時点で存在せず。
1.初期の感染経路
次の2つの感染経路に係る情報が出回っていたが、その後の調査によりM.E.doc経由によるものが有力とみられている。
- Microsoft Officeの脆弱性(CVE-2017-0199)を用いたメールベースの攻撃
- ウクライナの税務会計ソフト「M.E.Doc」のソフトウェア更新機能の悪用
- ウクライナ国内のWebサイトを通じた水飲み場型攻撃
メール経由の攻撃に係る情報
- メールに添付された攻撃が確認されているとの報告があった。
- CERT-UAもCVE-2017-0199を用いたメールによる攻撃事例の報告をしている。
- Ciscoはメール経由の攻撃について少なくとも初期段階では確認されていなかったとコメントしている。
- その後、別のマルウェア(Loki)の可能性があると複数から報告が上がっている。*2
- 当初メール経由の攻撃の可能性を指摘していたベンダの一部はこれの取り下げ、修正を行っている。
M.E.docの更新機能経由の攻撃に係る情報
M.E.docに係る基本情報
- ウクライナで指定されている会計ソフトの1つ。(他に1種類存在する。)
- ウクライナ国内の8割のシェアを持つ。インストールされている端末数は100万台以上と報じられている。
- ウクライナ警察がM.E.docのソフトウェア脆弱性に起因することを報告している。
- MicrosoftがNotPetyaの感染がM.E.docのアップデートプロセスより開始されたエビデンスを確認している。
M.E.docのFacebook上で関連情報が投稿されている。
- https://www.facebook.com/medoc.ua/posts/1903846053236306
- https://www.facebook.com/medoc.ua/photos/a.1576040172683564.1073741829.1573087746312140/1903975596556685/?type=3
- https://www.facebook.com/medoc.ua/photos/a.1576040172683564.1073741829.1573087746312140/1903984759889102/?type=3
- https://www.facebook.com/medoc.ua/posts/1904044929883085
- https://www.facebook.com/medoc.ua/posts/1904659213154990
- https://www.facebook.com/medoc.ua/photos/a.1576040172683564.1073741829.1573087746312140/1904707476483497/?type=3
- https://www.facebook.com/medoc.ua/posts/1905041566450088
富士通UKがM.E.docのサーバーに対してPortScan等を行った結果を公開している。
WebShellが稼働していた可能性
- 5月31日にオープンソースのPHP Webshellが設置されていたとみられている。
- 設置されていたとみられる個所は「http://www.me-doc[.]com[.]ua/TESTUpdate/medoc_online.php」
ウクライナ国内のWebサイトを通じた水飲み場型攻撃に係る情報
In addition to known vectors, ExPetr/PetrWrap/Petya was also distributed through a waterhole attack on https://t.co/j9DvYcEgW7
— Costin Raiu (@craiu) 2017年6月28日
It is clean - we do not see any attacks at the moment. Most likely it's also targeting visitors geographically (my guess, UA only).
— Costin Raiu (@craiu) 2017年6月28日
2.ランサムウェアの機能
実行から暗号されるまでの流れは次の通り。
- 実行はrundll32.exeを使用して起動する。
rundll32 "NotPetya本体", #1
- 感染後10分〜60分を経過するとシステムを再起動する。
- 再起動はat、schtasks、及びshutdown.exeを使用してスケジュールされる。
- 再起動後はNTFSパーティションのMFTテーブル領域が暗号化(Salsa20アルゴリズム)される。
- MFTテーブルの暗号に使われたSalsa20のキーは使用後消去される。
- 暗号化が開始されるとCHKDSKを偽装した表示が行われる。(ウクライナ副首相がその画面をツイートしている。)
- MBRが脅迫画面を表示するカスタムローダーで上書きされOSの起動が出来なくなる。
内包されたリソース
次の4つのリソースが存在し、Zlibにより圧縮されている。
- Microsoftによりデジタル署名された実行ファイル
- 32bit対応のパスワードダンプツール
- 64bit対応のパスワードダンプツール
- EternalBlue Exploitの改修版シェルコード
暗号対象の拡張子
- 65種類の拡張子を対象に暗号化をする。
- 暗号化したファイルの拡張子は変更しない。
- 暗号化前のファイルは暗号化後のファイルにより上書きされる。
.3ds,.7z,.accdb,.ai,.asp,.aspx,.avhd,.back,.bak,.c,.cfg,.conf,.cpp,.cs,.ctl,
https://blog.comae.io/byata-enhanced-wannacry-a3ddd6c8dabb
.dbf,.disk,.djvu,.doc,.docx,.dwg,.eml,.fdb,.gz,.h,.hdd,.kdbx,.mail,.mdb,.msg,
.nrg,.ora,.ost,.ova,.ovf,.pdf,.php,.pmf,.ppt,.pptx,.pst,.pvi,.py,.pyc,.rar,.rtf,
.sln,.sql,.tar,.vbox,.vbs,.vcb,.vdi,.vfd,.vmc,.vmdk,.vmsd,.vmx,.vsdx,.vsv,.work,.xls,.xlsx,.xvd,.zip
暗号化方式
- すべてのファイルに対して1つのAES-128のキーが生成される。
- 生成されたキーは攻撃者の公開鍵(RSA-2048)で暗号化される。
- 暗号化されたAESキーはREADMEファイルに保存される。
- 暗号機能は過去確認されていたNotPetyaをバイナリから直接改造して作成されていた可能性がある。
身代金のやり取り
- $300相当のBitcoinが要求される。
- 電子メールでウォレット番号を指定のメールアドレス(wowsmith123456@posteo.net)に送信する。
- posteo.netにより連絡先のメールアドレスアカウントはシャットダウンされた。
- そのため、例え身代金を支払っても連絡先がなく復号する手段が得られない可能性がある。
停止されたメールアドレスの他に連絡先が存在するとの情報がある。
3.ワームの機能
- 実行時に自分がワークステーションか、ドメインコントローラかを識別する。
- ドメインコントローラーであった場合、DHCPサービスに紹介をかけサーバー上に定義されたサブネット内のIPアドレスの一覧を取得する。
- マルウェアはNetBIOS経由で全ての接続可能な端末を探索する。
- LAN上で確認されたIPアドレスに対してTCP445/139がオープンしているかを確認する。
- ポート開放が確認できたら拡散方法のいずれかを用いてリモート接続した他の端末にも攻撃を行う。
- パスワードダンプツールを用いてlass.exeプロセスから管理者の資格情報の取得を試行する。ツールはMimikazやLSADumpに似ている。
- CredEnumerateW関数を使用して資格情報ストアに格納されている他の全ての資格情報を取得する。
- 資格名「TERMSRV/」で始まり汎用(タイプが1)に設定されている場合はその資格情報を使用する。
- 対象はローカルエリアネットワークであり、WannaCryのようにインターネット上の端末にExploitを送出することはしない。
拡散方法
確認されている拡散方法は次の通り。
| 実行優先順位 | 名前 | 概要 |
|---|---|---|
| 1 | PsExecによる拡散 | 現在のユーザーのWindowsトークンを使用して特定のコマンドを実行する。$admin共有を探査。マルウェア自身のコピーをネットワーク上で実行。新しくコピーしたマルウェアをPsExecを使用してリモート実行する。 |
| 2 | WMIによる拡散 | 現在のユーザーのトークン(既に接続している場合)、またはユーザー名、パスワードを使用して特定のコマンドを実行する。 |
| 3 | ETERNALBLUE /EternalRomanceによる拡散 | WannaCry等で用いられていたETERNALBLUE Exploitを使用する。ETERNALROMANCE (CVE-2017-0145)も使用する。 |
実行されるコマンド
PsExec、WMIで実行されるコマンドは次の通り。
- PsExec
C:\WINDOWS\dllhost.dat \\w.x.y.z -accepteula -s -d C:\Windows\System32\rundll32.exe C:\Windows\perfc.dat,#1
http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
- WMI
Wbem\wmic.exe /node:"w.x.y.z" /user:"username" /password:"password" "process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\perfc.dat\" #1"
http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
4. その他の機能、関連情報
ログ削除機能
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:v
削除されるイベントログ等は次の5つ。
- システム
- セットアップ
- セキュリティ
- アプリケーション
- NTFSジャーナル情報
感染を防ぐ手段
関連ツイート
6. 報道、報告されている被害の状況
サイバー攻撃を受けたとして報道や情報が出ている組織は次の通り。但し、これらが全て同じランサムウェアによるものかは不明。
ウクライナ
| 政府・自治体 | ・ウクライナ政府、エネルギー・石油産業省、総務省:Webサイトで接続障害発生。 キエフ市役所 |
|---|---|
| 金融 | ・ウクライナ中央銀行:国内の金融機関で感染事例を確認。問題はその後すぐに対応されたとの見解。 ・Oschadbank ・Sberbank ・TASKomertsbank ・Ukrgasbank ・Pivdenny ・OTP Bank ・Kredobank |
| 交通 | ・Boryspil国際空港:電光掲示板等で障害発生。28日もチェックイン、離着陸表示等手動対応。*4 ・キエフ地下鉄*5 ・ウクライナ鉄道 |
| 放送 | ・Era-FM ・Football.ua ・STB ・TV Channel 24 ・Radio Lux ・Radio Maximum ・KP in Ukraine ・TV channel ATR ・Korrespondent.net ・Epicenter ・Arcelor Mittal ・Ukrposhta |
| 電力 | ・Kyivenergo:電力供給への影響は生じていない模様。 ・Dniproenergo ・Zaporizhyaoblenergo ・チェルノブイリ原子力発電所:放射線自動監視システムの一部が停止したため手動切り替え。*6 |
| 流通 | ・スーパー Kharkov*7:支払いに銀行カードが利用できなくなった。*8 |
| 他大手 | ・航空機製造 Antonov ・Nova Poshta:ネットワーク内で感染が確認された後サービスが停止した。*9 ・Naftogaz Ukraine DTEK ・Kyivvodocanal ・Novus ・Ukrposhta |
| 通信 | ・Ukrtelecom ・Lifecell ・Kyivstar ・Vodafone Ukraine |
| 医療 | ・Farmak ・Boris clinic ・Feofania Hospital Corporation Arterium |
| ガソリンスタンド | ・WOG ・Klo ・TNK |
その他
ウクライナ以外でも被害や影響を受けたと情報が出ている。
| ロシア | 国営石油 Rosnoft:生産工程管理を予備システムへ切り替え石油生産への影響なし。*10 石油中堅 Bashneft:Webサイトで接続障害発生 政府系ネットワークがダウン。 鉄鋼メーカー Evraz:ITシステムが被害を受けたが生産量への影響無し。 |
|---|---|
| デンマーク | 海運 A.P.モラー・マースク:顧客がオンライン予約不可。社内システムも停止。*11 |
| アメリカ | 製薬 Merck*12 *13 法律事務所 DLA Piper ワシントンDC事務所*14 Heritage Valley Health System *15 |
| イギリス | 広告代理店 WPP *16:Webサイトで接続障害が発生。従業員向けに無線LAN利用禁止の指示。 Cadbury:オーストラリア タスマニア州のチョコレート工場に影響が及んだ。*17 *18 *19 Sea Containers |
| フランス | 建材メーカー Saint-Gobain:ITシステムが攻撃を受けた。*20 フランス国鉄 SNCF:運行業務への影響なし。 小売 Auchan Group:ウクライナの子会社の決済端末が攻撃を受けた。店舗閉鎖などはしていない。 金融 BNPパリバ:不動産関連子会社が影響を受けていることを確認した。 フランス政府:攻撃を受けたが実害はなかった。*21 |
| ドイツ | Beiersdorf:IT、電話システムが攻撃を受けた。ハンブルグの本社の他、世界中の関連会社も影響を受けた。 |
| オランダ | 船会社 TNT:一部システムに影響が及び修復が必要。 |
| スペイン | 食品 Mondelez:世界的にIT関連機能が停止しているとの声明。*22 |
| インド | ジャワハルラール・ネルー港湾信託:ターミナルで積み出し、積み入れが不可。Maerskの施設の1つ。*23 *24 |
| オランダ | APMターミナル(Maersk所有):運営する17のターミナル(ニューヨーク、ニュージャージー、ロッテルダム等)で障害。一部港は27日終日の閉鎖。 *25 *26 |
| ノルウェー | 詳細不明 *27 |
| アルゼンチン | ロサリオ港:穀物ターミナルで一部配送停止。*28 |
この他に次の国で攻撃の影響を受けた可能性がある。
同時期に発生したカンタス航空の予約システム(Amadeus)障害はNotPetyaとは関係がないことが確認されている。*29
感染被害測定の状況
At the end of an eventful week #petya #nonpetya infections have all but disappeared pic.twitter.com/xSyAkT9aZY
— Security Response (@threatintel) 2017年6月30日
今回のマルウェアはランサムウェアか
一部のベンダ(Kaspersky等)は今回のマルウェアはランサムウェアではなく、ワイパーの可能性があると指摘している。
Kasperskyがあげている理由
- 身代金の支払いをしても復旧することが難しい実装となっている。
- 身代金画面に表示されるID(Installation key)は単なるランダムなデータであり、これを使って復号することはできない。
被害報告の関連ツイート
メール経由の攻撃を修正したベンダ
While research is ongoing at this stage of the investigation, we can verify at this point that the ransomware exhibits worm-like (ransomworm) behavior due to its active probe for an SMB server, and that it appears to be spreading through EternalBlue and WMIC. Researchers initially believed that the Petya/NotPetya ransomworm was transmitted to its first victims through emails containing infected Microsoft Office documents that exploited CVE-2017-0199. While we are still working to confirm this, applying the appropriate MS Office patch to your system(s) will protect you from this attack vector.
各国・関連組織の動き
分析レポート
- Avast Things we have learned about Petna, the Petya-based malware
- ALIEN VAULT New Variant of Petya / PetrWrap Ransomware Strikes
- BitDenfender Massive GoldenEye Ransomware Campaign Slams worldwide users
- Carbon Black Threat Research Technical Analysis: Petya / NotPetya Ransomware
- Cisco New Ransomware Variant "Nyetya" Compromises Systems Worldwide
- Cisco Ransomware: First WannaCry, now Nyetya
- comaeio Petya— Enhanced WannaCry ?
- comaeio Petya.2017 is a wiper not a ransomware
- Cyphort PetrWrap: A Ransomware Wave on the Wake of WannaCry
- ESET New WannaCryptor-like ransomware attack hits globally: all you need to know
- ESET TeleBots are back: Supply-chain attacks against Ukraine
- ESET Analysis of TeleBots’ cunning backdoor
- Emisoft Petya ransomware variant attacks computers worldwide
- Fortinet New Ransomworm Follows WannaCry Exploits
- Fortinet A Technical Analysis of the Petya Ransomworm
- F-Secure Petya: “I Want To Believe”
- ISC Checking out the new Petya variant
- Kaspersky Schroedinger’s Pet(ya)
- Kaspersky ExPetr/Petya/NotPetya is a Wiper, Not Ransomware
- Kaspersky From BlackEnergy to ExPetr
- Kaspersky In ExPetr/Petya’s shadow, FakeCry ransomware wave hits Ukraine
- Malwarebytes EternalPetya and the lost Salsa20 key
- Malwarebytes EternalPetya – yet another stolen piece in the package?
- McAfee New Variant of Petya Ransomware Spreading Like Wildfire
- McAfee Petya More Effective at Destruction Than as Ransomware
- Microsoft New ransomware, old techniques: Petya adds worm capabilities
- Symantec Petya ransomware outbreak: Here’s what you need to know
- Symantec Petya ランサムウェアの猛威: 現時点で知っておくべきこと
- TrendMicro Large-Scale Ransomware Attack In Progress, Hits Europe Hard
- Webroot Petya-based Ransomware Assaults Global Networks
- Wordfence PSA: Petya Ransomware Affecting Critical Systems Globally: Here’s What to Do.
- Petya Ransomware Attack – What’s Known
- MBSD 話題のMBR破壊型ワームランサムウェアの内部構造を紐解く
- NTT DATA [PDF]【緊急レポート】ランサムウエア「Petya」亜種の大規模感染について v1.1
検体関連情報
検体サンプル
- 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
- 二次検体等のHash https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
通信先と見られるIPアドレス
次の通信先に接続しているとの情報があります。
- 84[.]200[.]16[.]242
- 95[.]141[.]115[.]108
- 111[.]90[.]139[.]247
- 185[.]165[.]29[.]78
更新履歴
- 2017年6月28日 AM 新規作成
- 2017年6月28日 PM 続報追記(記事は全面的に更新)
- 2017年6月29日 AM 続報追記
- 2017年6月29日 PM 続報追記、誤植修正
- 2017年7月01日 PM 続報追記
- 2017年7月03日 PM 続報追記
- 2017年7月07日 AM PetyaをNotPetyaに変更、タイムライン追加、続報追記
*1:ここでも「NotPetya」として記述しています。
*2:https://twitter.com/dellcam/status/879744405040771072
*3:露企業など80以上ウイルス感染…サイバー攻撃,読売新聞,2017年6月28日アクセス
*4:サイバー攻撃の被害、ウクライナが最大か 過去にも標的,朝日新聞,2017年6月29日アクセス
*5:https://twitter.com/kyivmetroalerts/status/879670749149245440
*6:大規模サイバー攻撃、チェルノブイリ原発も被害,日本経済新聞,2017年6月28日アクセス
*7:https://twitter.com/golub/status/879707965179088896
*8:欧米で再び大規模なサイバー攻撃 ウイルス注意呼びかけ,NHK,2017年6月28日アクセス
*9:https://www.facebook.com/nova.poshta.official/photos/a.409208275835344.96865.405543306201841/1392073604215468/?type=3
*10:再び大規模サイバー攻撃、欧米企業など被害 先月の攻撃と類似も,Reuters,2017年6月28日アクセス
*11:https://twitter.com/Maersk/status/879689865184636928
*12:https://twitter.com/JackPosobiec/status/879734999196602369
*13:https://twitter.com/Merck/status/879716775021170689
*14:https://twitter.com/ericgeller/status/879738598244835328
*15:Heritage Valley Health System Targeted In Global Cyber Attack,CBS,2017年6月28日アクセス
*16:https://twitter.com/WPP/status/879813930901745664
*17:Cyberattack Hits Ukraine Then Spreads Internationally,NewYorkTimes,2017年6月28日アクセス
*18:Petya cyber attack: Cadbury chocolate factory in Tasmania hit by ransomware,ABC,2017年6月28日アクセス
*19:https://twitter.com/LeonCompton/status/879825013439725568
*20:https://twitter.com/AnimalDubz/status/879684389860454402
*21:チェルノブイリ原発も被害,毎日新聞,2017年6月29日アクセス
*22:大規模サイバー攻撃、米国に波及 メルクなど被害,日本経済新聞社,2017年6月28日アクセス
*23:大規模サイバー攻撃がアジアに拡大、インドの港湾施設で被害,Bloomberg,2017年6月28日アクセス
*24:https://twitter.com/mihirmodi/status/879678870471024640
*25:https://twitter.com/OpiniePaultje/status/879680984219779072
*26:https://twitter.com/PortNYNJ/status/879749788790435840
*27:欧州各国に大規模サイバー攻撃 銀行・空港など被害,朝日新聞,2017年6月28日アクセス
*28:欧米で新たな大規模サイバー攻撃−身代金要求型ウイルスが拡散,Bloomberg,2017年6月28日アクセス
*29:Australian businesses warned as ‘unprecedented’ cyber attack hits Europe,news.com.au,2017年6月29日アクセス
*30:ウクライナ“サイバー攻撃にロシア政府が関与”,NHK,2017年7月3日アクセス
*31:大規模サイバー攻撃「ロシアが関与」 ウクライナ保安局,朝日新聞,2017年7月4日アクセス
