※本記事は2017年6月27日に米国で掲載されたブログ記事の抄訳版となります。 随時アップデートしています。

このUnit 42のブログでは、ウクライナや他のヨーロッパの地域に影響を及ぼすPetya Ransomwareを使用した攻撃を取り巻く脅威状況に関する最新情報を提供しています。

何が起こったか:

2017年6月27日、Microsoft Windows SMBプロトコルを使って広まっているPetyaマルウェアの新しい亜種を認識しました。マルウェアは ETERNALBLUE エクスプロイトツールを使用してこれを実行しているようです。これは、2017年5月にグローバルに感染を広げた WanaCrypt0r / WanaCryマルウェアと同じエクスプロイトです。政府や重要インフラ事業者を含む複数の組織がネットワーク停止を報告しています。

パロアルトネットワークスは、Petyaに関するブログ・ポストで、この脅威に関する防御に関するパロアルトネットワークスの防御について解説しています。

Windowsユーザーは、自分自身を保護するために以下の一般的な手順を実行する必要があります。

  • MS17-010でセキュリティ更新プログラムを適用する
  • TCPポート445でインバウンド接続をブロックする
  • 感染が発生した場合、データを復元できるように、適切なバックアップを作成し、維持する

これは発展途上の状況です。新しい情報が入手可能になると、このブログが更新されます。 AutoFocusユーザーは、Petyaタグを使用してサンプルを表示できます。

攻撃の概要

Petyaは、ウィンドウのシステムのマスターブートレコード(MBR)を変更するランサムウェアファミリで、システムがクラッシュします、。ユーザーがPCを再起動すると、変更されたMBRによってWindowsのロードが妨げられ、代わりに被害者からの支払いを要求する身代金の支払いを要求するメモが表示されます(図1)。

Petya_1.png

図1:侵入したシステムに表示された最新の Petya Ransom

最新のPetyaランサムウェアのバージョンは Windows SMB に広がっており、CVE-2017-0144を利用し、2017年4月にShadow Brokers グループによって最初にリリースされた ETERNALBLUE エクスプロイトツールを使用しているとされています。

システムが危険にさらされた後、被害者は特定の Bitcoin アドレスに Bitcoin で 300 ドルを送ってから、被害者の Bitcoin  ウォレット ID を記載した電子メールを wowsmith123456 @ posteo [.]net に送信して個々の復号鍵を取得するよう求められます。 6 月 27 日 16:00 UTC 時点で、攻撃者のウォレットには 13 件の支払いが行われています。

 

攻撃ライフサイクル

 

私たちは、Petyaの攻撃ライフサイクルがどのように機能するかに関して以下の情報を認識しています。

配布/悪用

我々はまだこの新しいPetyaの亜種の初期感染ベクターを確認していません。以前の亜種は電子メールで配信されましたが、電子メール関連の攻撃でこの最新のサンプルが特定されていません。 我々は、6月27日の朝、ウクライナのTaxソフトウェアパッケージが改ざんされ、Petya DLLが配布されたのではないか、という推測をされているのを見ました。この感染ベクターは、ウクライナにおける感染の高濃度を説明するものですが、我々はこの情報を独自に確認することはできませんでした。

インストール

このPetyaの変種は、システム上で動作する前に別のプロセスによって実行されなければならないDLLファイルとして拡散されます。実行されると、マスターブートレコードが上書きされ、システムを再起動するためのスケジュールされたタスクが作成されます。システムがリブートすると、マルウェアはビットコインで300ドルの支払いを要求する身代金メモを表示します。

コマンドとコントロール

Petyaには私たちが知っているコマンドと制御の仕組みは含まれていません。ホストが感染した後、マルウェアから攻撃者への通信はありません。

内部拡散

Petyaは、3つのメカニズムを使用して追加のホストに感染を広げます。

  • Petyaはローカル/ 24 の範囲のIPをスキャンして他のシステムのADMIN $共有を列挙し、そのホストに自身をコピーし、PSEXECを使用してマルウェアを実行します。これは、感染したユーザーがファイルを書き込み、共有をホストしているシステムでファイルを実行する権利を持っている場合にのみ可能です。
  • Petyaは、Windows Management Instrumentationコマンドライン(WMIC)ツールを使用して、ローカルサブネット上のホストに接続し、それらのホスト上でリモートで実行しようとします。 Mimikatzを使用して、感染したシステムから資格情報を抽出し、それらを使用してターゲットホスト上でマルウェアを実行することができます。
  • Petyaは、最終的にローカルサブネット上のホストに対してETERNALBLUEエクスプロイトツールを使用しようとします。これは、ターゲットホストにMS17-010パッチが展開されていない場合にのみ成功します。

結論

Ransomwareの攻撃は非常に一般的ですが、マルウェアがネットワークワームとして広がる可能性のある攻撃とはめったに結びついていません。 2017年5月のWannaCry攻撃では、この脆弱性に対して多くのWindowsシステムにパッチが適用されていないことが実証されました。この脆弱性を利用したPetyaの普及は、WannaCryに注意を払っても、多くの組織が依然として脆弱である可能性があることを示しています。 ご質問がございましたら、ライブコミュニティの脅威と脆弱性に関するディスカッションにお越しください。

本稿の変更履歴

  • 2017年6月27日 初版
  • 2017年6月27日 1:08 PM PT
    • 更新された配布/悪用セクションには、侵害されたウクライナ税ソフトウェアパッケージによる配布に関する憶測が含まれています。
    • Petyaの普及に使用される追加のメカニズムを説明するために、「内部拡散」セクションを更新しました。

 関連コンテンツ

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 0
  • 6478

PA-800 シリーズ

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。

  • 0
  • 5462

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 0
  • 4190

PA-5200 シリーズ

パロアルトネットワークス® PA-5200シリーズの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。

  • 0
  • 2234