※本記事は2017年6月27日に米国で掲載されたブログ記事の抄訳版となります。 随時アップデートしています。

このUnit 42のブログでは、ウクライナや他のヨーロッパの地域に影響を及ぼすPetya Ransomwareを使用した攻撃を取り巻く脅威状況に関する最新情報を提供しています。

何が起こったか:

2017年6月27日、Microsoft Windows SMBプロトコルを使って広まっているPetyaマルウェアの新しい亜種を認識しました。マルウェアは ETERNALBLUE エクスプロイトツールを使用してこれを実行しているようです。これは、2017年5月にグローバルに感染を広げた WanaCrypt0r / WanaCryマルウェアと同じエクスプロイトです。政府や重要インフラ事業者を含む複数の組織がネットワーク停止を報告しています。

パロアルトネットワークスは、Petyaに関するブログ・ポストで、この脅威に関する防御に関するパロアルトネットワークスの防御について解説しています。

Windowsユーザーは、自分自身を保護するために以下の一般的な手順を実行する必要があります。

  • MS17-010でセキュリティ更新プログラムを適用する
  • TCPポート445でインバウンド接続をブロックする
  • 感染が発生した場合、データを復元できるように、適切なバックアップを作成し、維持する

これは発展途上の状況です。新しい情報が入手可能になると、このブログが更新されます。 AutoFocusユーザーは、Petyaタグを使用してサンプルを表示できます。

攻撃の概要

Petyaは、ウィンドウのシステムのマスターブートレコード(MBR)を変更するランサムウェアファミリで、システムがクラッシュします、。ユーザーがPCを再起動すると、変更されたMBRによってWindowsのロードが妨げられ、代わりに被害者からの支払いを要求する身代金の支払いを要求するメモが表示されます(図1)。

Petya_1.png

図1:侵入したシステムに表示された最新の Petya Ransom

最新のPetyaランサムウェアのバージョンは Windows SMB に広がっており、CVE-2017-0144を利用し、2017年4月にShadow Brokers グループによって最初にリリースされた ETERNALBLUE エクスプロイトツールを使用しているとされています。

システムが危険にさらされた後、被害者は特定の Bitcoin アドレスに Bitcoin で 300 ドルを送ってから、被害者の Bitcoin  ウォレット ID を記載した電子メールを wowsmith123456 @ posteo [.]net に送信して個々の復号鍵を取得するよう求められます。 6 月 27 日 16:00 UTC 時点で、攻撃者のウォレットには 13 件の支払いが行われています。

 

攻撃ライフサイクル

 

私たちは、Petyaの攻撃ライフサイクルがどのように機能するかに関して以下の情報を認識しています。

配布/悪用

我々はまだこの新しいPetyaの亜種の初期感染ベクターを確認していません。以前の亜種は電子メールで配信されましたが、電子メール関連の攻撃でこの最新のサンプルが特定されていません。 我々は、6月27日の朝、ウクライナのTaxソフトウェアパッケージが改ざんされ、Petya DLLが配布されたのではないか、という推測をされているのを見ました。この感染ベクターは、ウクライナにおける感染の高濃度を説明するものですが、我々はこの情報を独自に確認することはできませんでした。

インストール

このPetyaの変種は、システム上で動作する前に別のプロセスによって実行されなければならないDLLファイルとして拡散されます。実行されると、マスターブートレコードが上書きされ、システムを再起動するためのスケジュールされたタスクが作成されます。システムがリブートすると、マルウェアはビットコインで300ドルの支払いを要求する身代金メモを表示します。

コマンドとコントロール

Petyaには私たちが知っているコマンドと制御の仕組みは含まれていません。ホストが感染した後、マルウェアから攻撃者への通信はありません。

内部拡散

Petyaは、3つのメカニズムを使用して追加のホストに感染を広げます。

  • Petyaはローカル/ 24 の範囲のIPをスキャンして他のシステムのADMIN $共有を列挙し、そのホストに自身をコピーし、PSEXECを使用してマルウェアを実行します。これは、感染したユーザーがファイルを書き込み、共有をホストしているシステムでファイルを実行する権利を持っている場合にのみ可能です。
  • Petyaは、Windows Management Instrumentationコマンドライン(WMIC)ツールを使用して、ローカルサブネット上のホストに接続し、それらのホスト上でリモートで実行しようとします。 Mimikatzを使用して、感染したシステムから資格情報を抽出し、それらを使用してターゲットホスト上でマルウェアを実行することができます。
  • Petyaは、最終的にローカルサブネット上のホストに対してETERNALBLUEエクスプロイトツールを使用しようとします。これは、ターゲットホストにMS17-010パッチが展開されていない場合にのみ成功します。

結論

Ransomwareの攻撃は非常に一般的ですが、マルウェアがネットワークワームとして広がる可能性のある攻撃とはめったに結びついていません。 2017年5月のWannaCry攻撃では、この脆弱性に対して多くのWindowsシステムにパッチが適用されていないことが実証されました。この脆弱性を利用したPetyaの普及は、WannaCryに注意を払っても、多くの組織が依然として脆弱である可能性があることを示しています。 ご質問がございましたら、ライブコミュニティの脅威と脆弱性に関するディスカッションにお越しください。

本稿の変更履歴

  • 2017年6月27日 初版
  • 2017年6月27日 1:08 PM PT
    • 更新された配布/悪用セクションには、侵害されたウクライナ税ソフトウェアパッケージによる配布に関する憶測が含まれています。
    • Petyaの普及に使用される追加のメカニズムを説明するために、「内部拡散」セクションを更新しました。

 関連コンテンツ

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 0
  • 3465

PA-800 シリーズ

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。

  • 0
  • 2486

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 0
  • 2319

Palo Alto Networks WanaCrypt0r ランサムウェア攻撃に対するプロテクション

何が起こったか: 2017年5月12日金曜日、WanaCrypt0rの最新亜種による一連の攻撃が広範囲に対して始まりました。これらの攻撃は世界中の公的・民間組織に影響を与えたと報告されています。Palo Alto Networks の次世代セキュリティプラットフォームはこの攻撃に対するプロテクションを自動で作成、配布、適用を行いました。 どうやって攻撃されるのか: WwanaCrypt0rはリンクもしくはPDFドキュメントを添付したフィッシングメールによる攻撃が始まります。フィッシング攻撃の成功により WanaCrypt0r ランサムウェアはターゲットシステムに感染し、次にSMBプロトコル経由でMicrosoft Windows システムにある EternalBlue 脆弱性 (CVE-2017-0144)を悪用して広範囲に感染を広めようとして攻撃します。この脆弱性は Microsoft により MS17-010として2017年3月に対応されています。この脆弱性は Shadow Brokers グループによって 2017年4月に一般公開されていました。MS17-010 のパッチを適用している組織は WanaCrypt0r の感染がネットワークを介して広まるリスクはありません。MS17-010は現在アクティブな攻撃で使用されているネットワークコンポーネントにあるリモートコード実行可能な脆弱性を修正しているため、私たちはこのセキュリティアップデートの適用を早急に行うことを強くおすすめします。 阻止: Palo Alto Networks のお客様は、攻撃ライフサイクルのいずれにおいても脅威を自動的に止めることができる脅威阻止アプローチを適用している我々の次世代セキュリティプラットフォーム経由で守られています。Palo Alto Networks のお客様は次世代セキュリティプラットフォームに対して提供している複数の脅威阻止コントロールを通じて自動的にWanaCrypt0rランサムウェアから守られています。 WildFire はすべての既知サンプルをマルウェアとして分類し、悪意のあるコンテンツがユーザに配布されることを自動的にブロックしています。 Threat Preventionはこの攻撃に使用されている脆弱性の悪用(CVE-2017-0144 - MS17-010)に対応する IPS シグネチャを適用しています。 Traps はエンドポイントで WanaCrypt0r マルウェアの実行を阻止します。 AutoFocus はWanaCrypt0rタグを通じて脅威分析と脅威ハンティングできるようこの攻撃を追跡します。 GlobalProtect を通じて次世代ファイアウォールポリシーをモバイルユーザに拡大することでリモートワーカーを守ることができます。 Palo Alto Networks 次世代セキュリティプラットフォームを使ってランサムウェアを阻止するベストプラクティスについてはこちらのナレッジベースを参照ください。

  • 0
  • 3495

脅威の概要: WanaCrypt0r について判明していること

本 Unit 42 ブログ記事では、WanaCrypt0r ランサムウェアによる攻撃とその拡散方法についての本脅威の現況について、更新情報を提供します。

Rick Howard, Palo Alto Networks,
  • 0
  • 1818