Embed Size (px)
Citation preview
1
ランサムウェア
「WannaCry」に関するまとめ
マカフィー株式会社
セールスエンジニアリング本部
2017年6月6日 Revision2
2
アジェンダ
• ■A.WannaCry概略
• A1.ランサムウェア「WannaCry」の概要
• A2.WannaCry世界拡大のタイムライン
• A3.McAfeeによるインシデント対応のタイムライン
• A4.世界の感染被害状況
• A5.ランサムウェア「WannaCry」の挙動・特徴
• A6.ランサムウェア「WannaCry」感染の経路
• ■B.WannaCry対策
• B1.OSレベルでの対策
• B2.McAfee製品による多層的な対策
• B3.重要事項および製品ラインアップ
• B4.製品ごとの製品状況
• B5.VSEのアクセス保護ルール
• B6.ENSのアクセス保護ルール
• B7.Network Security Platform(NSP)での対応シグネチャ
• B8.DACによる防御
• B9.ローカル脅威情報DB(TIE)による拡散防止
• B10.McAfee Application Control による対策
• B11.McAfee Active Responseによる拡散範囲の特定と対処
⇒ネットワーク通信履歴から辿る拡散範囲
⇒拡散先の端末含めた⼀⻫対処
3
■A.WannaCry概略
4
A1.ランサムウェア 「WannaCry」 の概要
2017年5月12日頃から世界各地で感染が確認されているランサムウェア
自己増殖するWORM型であることが爆発的な感染をしている要因
2017年3月15日(日本時間)に発表されたMicrosoft製品に関する脆弱性(CVE-2017-0145)を悪用
感染経路、⽬的等については諸説あるが、まだ明確になっていない
感染活動に使用されたツールは「ETERNALBLUE」
早急なキルスイッチの発動により一部の検体の被害が緩和
5
A2.WannaCry世界拡大のタイムライン
2017/5/12(⾦)欧州時間:朝大企業での感染開始スペイン通信事業者「テレフォニカ」
2017/5/12(⾦)英国時間:朝国⺠医療サービス感染が、国⽴インシデントレスポンスセンターへ報告
2017/5/12(⾦)欧州時間:午前有名企業が被害に仏:ルノー独:ドイツ鉄道
2017/5/12(⾦)ロシア時間:午前WannaCryはロシアへ内務省、通信事業者メガフォン、ロシア貯蓄銀⾏へ感染
2017/5/12(⾦)米国時間:午前アメリカへ上陸FedExも被害に。
2017/5/12(⾦)英国時間:夕刻キルスイッチ発⾒22歳の研究者が感染拡大を食い止めた。
2017/5/14(日)亜種が発⾒される新たなドメインとキルスイッチが開始されていた。
2017/5/15(月)サウジアラビアと中国で拡大は続くサウジテレコム、中国石油天然気集団、中国公安部、4000以上の教育機関へ感染拡大。
2017/5/16(火)複数の情報が複数の情報は、ある国家を示唆証拠が集まってきた模様。
6
出典: https://kc.mcafee.com/corporate/index?page=content&id=KB89335&actp=null&viewlocale=ja_JP
A3.McAfeeによるインシデント対応のタイムライン
日時 更新事項
May 13, 2017 2:30 JST KB記事の作成および公開
May 13, 2017 3:05 JST 類似する脅威名の追記
May 13, 2017 4:35 JSTRansom-WannaCry 用 Extra.dat ファイルの添付、および関連記事の追記
VSEおよびENSのアクセス保護ルールに関する情報の掲載
May 13, 2017 5:45 JST感染端末におけるメッセージの画面ショット追加
重要事項:Critical Microsoft Patch MS17-010への更新案内を追記
May 13, 2017 6:20 JST Extra.dat ファイルの更新
May 13, 2017 7:00 JST FAQの追記
May 13, 2017 7:30 JST ブログへのリンクおよび画像の更新
May 13, 2017 8:00 JST NSP対応シグネチャの追記
May 13, 2017 13:55 JST NSP シグネチャの入手先として KB55447 への案内を追記
May 13, 2017 23:15 JST 緊急 DAT リリース、および検知可能な最小 DAT バージョンについて追記
May 14, 2017 1:15 JST Extra DAT の更新、および 8527/8528 DAT でも必要とする旨を更新
May 14, 2017 5:05 JSTENS アプリケーションの動的隔離ルールと、この記事のトピックスへの簡易的なアクセスを⾏うため内部リンクを追加しました。マカフィーコンシューマ向け顧客は、この記事のマカフィー製品が該当しない注記を追加しました。
May 14, 2017 21:30 JST Extra.dat ファイルを更新
May 14, 2017 22:55 JST オフィシャルスレッドアドバイザリへのリンクを追加
May 15, 2017 2:45 JST Extra DAT の更新、および VSE で 8529 DAT を、ENS で 2980 をご利⽤のお客様も添付されている Extra DAT をご利⽤いただく旨を追記
7
A4.世界の感染被害状況
出典: https://www.whitehouse.gov/the-press-office/2017/05/15/press-daily-briefing-press-secretary-sean-spicer-48出典: https://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all 2017/6/5時点
今回登場したWannaCryランサムウェアは、山火事のように拡散し、
5/15の時点でおよそ150ヵ国に拡大し、30万台以上の端末が被害を被っています。
この攻撃では、わずか1日で16箇所の英国の国営医療制度である国⺠保健サービスの医療センターが被害を受けるなど甚大な被害をもたらしています。
またこの攻撃では、スペイン、ロシア、ウクライナ、インド、中国、イタリア、エジプトなどの国が影響を受けています。
8
感染対象
MS17-010が適用されていない下記Windows OSが対象。
Microsoft Windows XP, Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7,Windows 8.1, Windows RT 8.1, Windows Server 2012 and R2, Windows 10, Windows Server 2016
MSの補足情報 MSではお顧客への影響の⼤きさを考慮し、すでにサポートが終了している Windows XP, Windows 8 および Windows Server2003 についても例外的にセキュリティ更新プログラム KB4012598 を公開しています。
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
ワームの動作
自らを拡散するためにMS17-010エクスプロイトを悪用。攻撃者は「MS17-010エクスプロイト」を悪用するだけでリモートコードの実⾏(Remote Code Execution)とローカルでの権限昇格(Local Privilege Escalation)という両方を実⾏。
ローカルネットワークに限らず、ランダムなIPアドレスを生成し、攻撃を仕掛け、拡散を試みます。
これにより、同一ネットワーク内の他のPCだけでなく、外部ネットワークからのNetBIOSパケットを許可している
PCに対して感染を広めます。
出典:https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/出典:http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-651e.html
A5.ランサムウェア「WannaCry」の挙動・特徴
9
カーネルエクスプロイトを使用した感染
感染したシステムでは、カーネルモジュールで脆弱なSMBドライバsrv2.sysが悪用される。
感染したsrv2.sysは、launcher.dllをmssecsvc.exeのローダーとして機能するユーザーモードプロセスlsass.exeに注入します。
出典:https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/
A5.ランサムウェア「WannaCry」の挙動・特徴
10
暗号化
166種類の拡張⼦を対象に暗号化を⾏う。
暗号化したファイルには「.WNCRY」という⽂字列をファイル名末尾に追加する。
暗号化処理が完了すると、ボリュームシャドーコピーの削除を⾏う。
デスクトップの背景画像を暗号化したことを⽰すメッセージを含めたものに変更する。
⾝代⾦要求の詳細と期限を⽰すタイマーを表⽰する。
出典:http://d.hatena.ne.jp/Kango/20170513/1494700355
A5.ランサムウェア「WannaCry」の挙動・特徴
11
A6.ランサムウェア「WannaCry」感染の経路
攻撃者 ETERNALBLUE
第一感染者
SMBの脆弱性を利⽤して侵⼊し、ランサムウェア機能を持った実⾏ファイルを産み落とす。
ランサムウェア対策には「リアルタイムブロック」が必要
warm機能:拡散を目的としたコード
(SMB 139/445ポート スキャン)
ランサムウェア機能:ファイル暗号化、⾝代⾦要求
Wannacry
SMB 139/445ポート を介して感染
12
■B.WannaCry対策
13
B1.OSレベルでの対策
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/https://www.us-cert.gov/ncas/alerts/TA17-132A
■セキュリティ更新プログラム「MS17-010」を適用する2017年3月14日にMSが公開したセキュリティ更新パッチ( MS17-010 )の適用。サポート終了OSには、緊急パッチの適用。(Win/XP,2003では緊急パッチが公開)※弊社製品 McAfee Policy Auditor によって、脆弱性対応状況の確認が可能です。
■回避策US-CERTから回避策として以下の方法が紹介されている・ SMBv1の無効化・ ルーターやFWを用いて137-138/udp, 139/tcp, 445/tcpを遮断し、SMBトラフィックの受信を拒否する(445を遮断した場合、SMBv2以降の接続も不可となる。)
14
B2.McAfee製品による多層的な対策
攻撃者 ETERNALBLUE
SMB 139/445ポート を介して感染
NSP NSP
VSE・ENSTIE/DAC/RP/MAR
NSPにより、インターネットやイントラネットの脆弱性のあるSMBポートへのスキャン通信をリアルタイムブロック
①脆弱性のあるSMBポートへのスキャン通信ブロック
VSE/ENS+TIE(+ATD)により、グローバルで発⾒した脅威情報活⽤して組織内でのマルウェア実⾏を阻⽌。
DAC/RPにより、制限実⾏や機械学習に基づいた防御機能により未知のランサムウェアの動作をリアルタイムブロック。
②ランサムウェアの動作をブロック
MARにより、 拡散状況の把握および、潜在的な脅威の排除
③インシデントレスポンス対応
VSE・ENSTIE/DAC/RP/MAR
VSE・ENSTIE/DAC/RP/MAR
VSE・ENSTIE/DAC/RP/MAR
15
B3.重要事項および製品ラインアップ
※重要※
■DATファイルについて
ENS(V3)は2978、VSE(V2)は8527以降の最新のDATファイルおよび以下URLの下部に添付されているExtra-DATを適用してください。
KB:https://kc.mcafee.com/corporate/index?page=content&id=KB89335
■製品ラインアップ
・VSE:アクセス保護ルール(定義ファイルが有効であれば不要です。)
・ENS:アクセス保護ルール(定義ファイルが有効であれば不要です。)
・NSP:対応シグネチャ
・ATP:DACによる制御
・ATP:ローカル脅威情報DB(TIE)による拡散防止
・AC:ブロックモードによる制御
・MAR:拡散範囲の特定
16
B4.製品ごとの対応状況
製品 未知 既知 感染
VirusScan Enterprise(VSE)Endpoint Security(ENS)
Extra.DAT + GTI ✓ 前後
TIE + GTI ✓ 前後
TIE + ATD ✓ ✓ 前後
ATP(DAC / RP)※ ✓ 前
Network Security Platform 前
McAfee Active Response ✓ 後
P D C
✓ ✓
✓
✓ ✓
✓ ✓
✓
✓ ✓
WannaCryの製品機能ごとの対応状況は以下の通りです。
GTI: グローバルで運用されているレピュテーション情報ATD: サンドボックス(静的コード解析+動的解析)DAC: 動的隔離RP: 静的、動的機械学習
※ENSのみの拡張機能
17
ルール1
B5.VSEのアクセス保護ルール※DAT適用済みの場合でも設定をお勧めします。
ルールのタイプ: レジストリのブロックルール
組み入れるプロセス: *
保護するレジストリのキーまたは値: HKLM - /Software/WanaCrypt0r
保護するレジストリのキーまたは値: キー
ブロックするレジストリのアクション: キーまたは値の作成
18
ルール2
B5.VSEのアクセス保護ルール
ルールのタイプ: ファイル/フォルダのブロックルール
組み入れるプロセス: *
ブロックするファイルまたはフォルダの名前: *.wnry
禁止されたファイルアクション: 新規ファイルの作成
19
ルール1
B6.ENSのアクセス保護ルール※DAT適用済みの場合でも設定をお勧めします。
実⾏ファイル 1:
対象ステータス: 含む
ファイル名またはパス: *
20
ルール1
B6.ENSのアクセス保護ルール
サブルール1
サブルールの種類: レジストリ キー
操作: 作成
対象ステータス: 含む
レジストリキーのパス: *¥Software¥WanaCrypt0r
21
ルール1
B6.ENSのアクセス保護ルール
サブルール2:サブルールの種類: ファイル
操作: 作成
対象ステータス: 含む
ファイル、フォルダー名またはファイル パス: *.wnry
22
B7.Network Security Platform(NSP)での対応シグネチャ
• 0x43c0b800- NETBIOS-SS: Windows SMBv1 identical MID and FID type confusion vulnerability (CVE-2017-0143)
• 0x43c0b400- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0144)
• 0x43c0b500- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
• 0x43c0b300- NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability (CVE-2017-0146)
• 0x43c0b900- NETBIOS-SS: Windows SMBv1 information disclosure vulnerability (CVE-2017-0147)
NSPのリサーチチームは、CVE-2017-0148の情報を確認しUDSを作成しました。UDSは登録済みユーザー向け KB55447より入手可能です。
23
B8.DACによる防御
以下のルールで防御されます。
KB:https://kc.mcafee.com/corporate/index?page=content&id=KB89335
ルール1: 任意の⼦プロセスの実⾏ルール2: ユーザー Cookie の場所へのアクセスルール3: 拡張子が .html、.jpg または .bmp のファイルの作成ルール4: 拡張子が .exe のファイルの作成ルール5: ユーザーのデータ フォルダーの変更ルール6: スタートアップのレジストリの場所の変更ルール7: 重要な Windows ファイルとレジストリの場所の変更ルール8: ネットワーク上のファイルの読み取りまたは変更ルール9: 拡張子が .bat のファイルの変更ルール10: 拡張子が .vbs のファイルの変更ルール11: 拡張子が .bat のファイルの作成ルール12: ランサムウェアがよく狙うファイルの読み取りルール13: ネットワーク上でのファイルの作成ルール14: ランサムウェアがよく狙うファイルへの書き込みルール15: 隠し属性ビットの変更
24
対象:
ローカル脅威情報DB(TIE)をご利⽤いただいているお客様が対象となります。
目的:
現在、公表されているハッシュ値を、TIEへ登録することにより、組織内での拡散を防ぐことを目的ちします。
手順:
1. ePOへログインします。
2. メニューの「システム」-「TIEレピュテーション」へ移動します。(図1)
3. TIEレピュテーションのページの「ファイルの上書き」タブを選択します。(図2)
次のページへ>
図1
図2
B9.ローカル脅威情報DB(TIE)による拡散防止
25
図3
図4
4. TIEレピュテーションのページの左下の、「アクション」「レピュテーションのインポート」を選択します。(図3)
5. 図4の画⾯で、以下の該当する情報を⼊⼒し、「OK」で確定してください。
ファイル名(必須):任意のファイル名を⼊⼒してください。
ハッシュ値:以下ハッシュのいずれかを⼊⼒してください。SHA-1ハッシュ / MD5ハッシュ / SHA-256ハッシュ
エンタープライズレピュテーション:「不正なことが確認されている」を選択
コメント:任意
B9.ローカル脅威情報DB(TIE)による拡散防止
26
⇒ブロックモードの適用による、WannaCryの感染抑制
B10.McAfee Application Control による対策
McAfee Application Control(MAC)をブロックモードで使用すると、
MACはホワイトリストに登録されていない新しいハッシュ値をすべてブロックするため、
WannaCryへの感染を防止します。
27
B11.McAfee Active Responseによる拡散範囲の特定と対処
潜在脅威の検出と復旧までを効率化する仕組みを提供
予め設定した「条件」で待ち伏せし、条件に合致したら通知またはアクションを実⾏
検索またはトリガーで検出された端末に対し、事前定義した処理を実⾏
トリガー(仕掛け) リアクション端末上の過去または現在のファイルの存在有無や通信先などを確認
検索
xyzファイルを持っている端末は?
IPアドレス11.0.2.3にアクセスしたことがある端末は?
abcファイルが作成されたら・・・
プロセスfffが動き始めたら・・・
fff start
対象ファイルを削除!
対象プロセスを強制停止!
abc file
fff start
コマンド / スクリプト実⾏!
エンドポイントで活動中・未活動のマルウェアを探し出し、封じ込める
28
B11.McAfee Active Responseによる拡散範囲の特定と対処⇒ネットワーク通信履歴からたどる拡散範囲
■被害状況の特定-誰が感染端末に接続したのか?
Workspaceでは検索できない項⽬や複雑な検索⽂は直接記述
検知した時間帯以降に端末にファイル共有接続した端末を検索
NetworkFlow where NetworkFlow time after "2017-04-17 18:00:00" and NetworkFlow src_ip equals 192.168.64.134 andNetworkFlow dst_ip contains 192.168.64.0/24 and NetworkFlow src_port equals 445
■被害状況の特定-何が展開されたのか?
接続が確認された時間以降に作成されたファイルを検索
Files where Files created_at after "2017-04-17 19:30:00" and HostInfo ip_address equals 192.168.64.128
29
B11.McAfee Active Responseによる拡散範囲の特定と対処⇒拡散先の端末含めた⼀⻫対処
処置する端末を選択してリアクションを指定
処置
端末で実⾏させるリアクション(スクリプト)を選択して実⾏
※ デフォルトで提供されているリアクション以外については、Visual BasicやPythonなどのスクリプトを独自に作成することで追加可能
30
McAfee and the McAfee logo are trademarks or registered trademarks of McAfee LLC or its subsidiaries in the U.S. and/or other countries. Other names and brands may beclaimed as the property of others. Copyright © 2017 McAfee LLC.
