CCleanerにマルウェアが混入した件についての備忘録

概要

9/18にシステムクリーナーソフトで有名な「CCleaner」にマルウェアが混入し、正規のダウンロードサイトを通じて配布されていたことが、各ニュースサイトで取り上げられてたいた件についての備忘録です。

同ソフトの開発元であるPiriformによると、CCleaner v5.33.6162とCCleaner Cloud v1.07.3191のいずれの32bit版にマルウェア混入していたとのことで、新しいバージョンのダウンロードをアナウンスしている。また、Piriformはマルウェア混入による影響として機密性の低い情報(コンピュータ名、IPアドレス、インストールされたソフトウェアのリスト、 ネットワークアダプタのリスト等)が米国内へのサーバに送信されるが、その他のデータ送信については確認していない旨、またそのサーバについては9/15にシャットダウンしており、害は受けないとしていた。

一方で、このマルウェア混入を発見したとされるCiscoのセキュリティ部門であるTalosのブログでは、今回のマルウェアについて詳細な解説を行っているが、第2報として公開した情報では、マルウェアが接続するC2サーバの調査を実施したところ、同サーバ内のMySQLデータベース中に感染コンピュータの情報を始め、ターゲット組織のドメイン情報などが発見されたことについて述べられている。

9/25にAvastのブログで新しい情報が公開され、そこでは当初Talosのブログでは触れていなかった他のターゲット(国内企業名あり)についても記載されていた。Avastによると当初調査していたC2サーバはデータベースがクラッシュしていたため約3.5日分のデータしか残っていなかったものの攻撃者がC2のバックアップを用意していたらしく、今回はそのバックアップ側を調査したところ新たな事実が判明したと述べている。

感染している可能性のあるコンピュータ数や攻撃対象組織

Talosのブログによると、9/12から9/16までの間に70万以上のコンピュータがC2に接続してきており、その後のステージ用(ステージ2)のペイロードを20台以上のコンピュータが受信している旨、C2側に残っていた攻撃対象組織のドメイン情報には自社(Cisco)を始め、SonySamsungなどの知名度の高いテクノロジー企業(high-profile technology companies)などが含まれていたことを明らかにした。
また、感染コンピュータのドメイン等から、政府関係(ドメインに.govが含まれている)が540台、金融関係(ドメインにbankが含まれている)が51台ある旨も報告している。

Avastの新情報(9/25)によると、C2サーバのバックアップから判明した事項として8/18以降に1,646,536台(MACアドレス数)のユニークなPCが接続し、その後ステージ2のペイロードを40台のユニークなPCが受け取った模様。

IoC(感染時の接続先C2など)

マルウェア感染時に接続する先としてTalosは以下のインジケータを公開している。マルウェアは下記のIPアドレスへの接続(HTTP POSTを行う模様)ができない場合、年と月で算出したドメインを生成してアクセスを試みる模様。ただし、これらDGAドメインについてはTalosによりコントロールされているとのこと

接続先についてもAvastからの情報で新たに追加した。

216[.]126[.]225[.]148

追加
216[.]126[.]225[.]163 - CnC 216[.]126[.]225[.]148のバックアップサーバ

ab6d54340c1a[.]com
aba9a949bc1d[.]com
ab2da3d400c20[.]com
ab3520430c23[.]com
ab1c403220c27[.]com
ab1abad1d0c2a[.]com
ab8cee60c2d[.]com
ab1145b758c30[.]com
ab890e964c34[.]com
ab3d685a0c37[.]com
ab70a139cc3a[.]com

追加
ab3c2b0d28ba6.com - 2018-01
ab99c24c0ba9.com - 2018-02
ab2e1b782bad.com - 2018-03
ab253af862bb0.com - 2018-04
ab2d02b02bb3.com - 2018-05
ab1b0eaa24bb6.com - 2018-06
abf09fc5abba.com - 2018-07
abce85a51bbd.com - 2018-08
abccc097dbc0.com - 2018-09
ab33b8aa69bc4.com - 2018-10
ab693f4c0bc7.com - 2018-11
ab23660730bca.com - 2018-12

また、ステージ2に移行した場合、github.comやwordpress.comに対して検索を行い、そこからIPアドレスを取得する模様。

get.adoble[.]com
https://github[.]com/search?q=joinlur&type=Users&u=✓
https://en.search.wordpress[.]com/?src=organic&q=keepost

IoC(ファイル)

  • 1st stage

04bed8e35483d50a25ad8cf203e6f157e0f2fe39a762f5fbacd672a3495d6a11 - CCleaner - installer (v5.33.0.6162)
0564718b3778d91efd7a9972e11852e29f88103a10cb8862c285b924bc412013 - CCleaner - installer (v5.33.0.6162)
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff - CCleaner - installer (v5.33.0.6162)
276936c38bd8ae2f26aab14abff115ea04f33f262a04609d77b0874965ef7012 - CCleaner - installer (v5.33.0.6162)
2fe8cfeeb601f779209925f83c6248fb4f3bfb3113ac43a3b2633ec9494dcee0 - CCleaner - installer (v5.33.0.6162)
3c0bc541ec149e29afb24720abc4916906f6a0fa89a83f5cb23aed8f7f1146c3 - CCleaner - installer (v5.33.0.6162)
4f8f49e4fc71142036f5788219595308266f06a6a737ac942048b15d8880364a - CCleaner - installer (v5.33.0.6162)
7bc0eaf33627b1a9e4ff9f6dd1fa9ca655a98363b69441efd3d4ed503317804d - CCleaner - installer (v5.33.0.6162)
a013538e96cd5d71dd5642d7fdce053bb63d3134962e2305f47ce4932a0e54af - CCleaner - installer (v5.33.0.6162)
bd1c9d48c3d8a199a33d0b11795ff7346edf9d0305a666caa5323d7f43bdcfe9 - CCleaner - installer (v5.33.0.6162)
c92acb88d618c55e865ab29caafb991e0a131a676773ef2da71dc03cc6b8953e - CCleaner - installer (v5.33.0.6162)
e338c420d9edc219b45a81fe0ccf077ef8d62a4ba8330a327c183e4069954ce1 - CCleaner - installer (v5.33.0.6162)
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9 - CCleaner.exe (32-bit v5.33.0.6162)
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 - CCleaner.exe (32-bit v5.33.0.6162)
a3e619cd619ab8e557c7d1c18fc7ea56ec3dfd13889e3a9919345b78336efdb2 - CCleanerCloud - installer (32-bit v1.7.0.3191)
0d4f12f4790d2dfef2d6f3b3be74062aad3214cb619071306e98a813a334d7b8 - CCleanerCloudAgent.exe (32-bit v1.7.0.3191)
9c205ec7da1ff84d5aa0a96a0a77b092239c2bb94bcb05db41680a9a718a01eb - CCleanerCloudAgentHealtCheck.exe (32-bit v1.7.0.3191)
bea487b2b0370189677850a9d3f41ba308d0dbd2504ced1e8957308c43ae4913 - CCleanerCloudTray.exe (32-bit v1.7.0.3191)
3a34207ba2368e41c051a9c075465b1966118058f9b8cdedd80c19ef1b5709fe - 1st stage payload DLL found in CCleaner
19865df98aba6838dcc192fbb85e5e0d705ade04a371f2ac4853460456a02ee3 - 1st stage payload DLL found in CCleanerCloud

  • 2nd stage

7ac3c87e27b16f85618da876926b3b23151975af569c2c5e4b0ee13619ab2538 - loader of the 2nd stage payload (32-bit)
a414815b5898ee1aa67e5b2487a11c11378948fcd3c099198e0f9c6203120b15 - loader of the 2nd stage payload (64-bit)
3a34207ba2368e41c051a9c075465b1966118058f9b8cdedd80c19ef1b5709fe - 2nd stage payload DLL (GeeSetup_x86.dll)
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17 - 32-bit DLL dropped from the 2nd stage payload
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17 - 64-bit DLL dropped from the 2nd stage payload
A6c36335e764b5aae0e56a79f5d438ca5c42421cae49672b79dbd111f884ecb5 - inner DLL of the 2nd stage payload (32-bit)
B3badc7f2b89fe08fdee9b1ea78b3906c89338ed5f4033f21f7406e60b98709e - inner DLL of the 2nd stage payload (64-bit)

更新履歴

  • 2017/09/22 07:30 新規作成
  • 2017/09/26 06:20 Avastによる情報を追記

ウクライナやロシアなどで発生した大規模サイバー攻撃についての備忘録

概要

6/27にウクライナやロシアなどを始めとした世界各地において、新たな大規模サイバー攻撃が発生した模様。攻撃には、ランサムウェアが使用されており、感染するとコンピュータがロックされ、$300相当の身代金をビットコインで要求する旨のメッセージが画面表示される。

もっとも被害が大きいとされるウクライナにおいては、政府機関を始め、銀行や民間企業等において被害が出ており、ロシアに拠点を置くサイバーセキュリティ企業Group IBによるとロシアとウクライナで約80組織が感染被害を受けているとのこと

参照元
Another big malware attack ripples across the world - Jun. 27, 2017
Petya starts with Ukraine and then goes global

被害を受けたとされる国

ロシア、ウクライナ、英国、フランス、ドイツ、イタリア、ポーランド、米国、ノルウェーなど

参照元
再び大規模サイバー攻撃、欧米企業など被害 先月の攻撃と類似も | ロイター
欧州各国に大規模サイバー攻撃 銀行・空港など被害:朝日新聞デジタル

被害を受けたとされる企業等

  • 海運・石油大手APモラー・マースク(デンマーク)※被害を受けたのは海外拠点?
  • 国営石油ロスネフチ(ロシア)
  • 中堅石油会社バシネフチ(ロシア)
  • 鉄鋼大手エブラズ(ロシア)
  • 建材・ガラス大手サンゴバン(フランス)
  • 広告会社WPP(イギリス)
  • チェルノブイリ原発ウクライナ
  • 製薬大手メルク(アメリカ)
  • 首都キエフ郊外の空港(ウクライナ
  • 国営航空企業アントノフ(ウクライナ
  • 飲料・食品大手モンデリーズ・インターナショナル(アメリカ)
  • 多国籍法律事務所DLAパイパー(アメリカ)

参照元
再び大規模サイバー攻撃、欧米企業など被害 先月の攻撃と類似も | ロイター
また大規模サイバー攻撃=世界各地で被害報告-チェルノブイリ原発も:時事ドットコム
欧米で再び大規模なサイバー攻撃 ウイルス注意呼びかけ | NHKニュース
大規模サイバー攻撃、チェルノブイリ原発も被害 :日本経済新聞
欧米で新たな大規模サイバー攻撃-身代金要求型ウイルスが拡散 - Bloomberg

日本国内における状況

IPAの発表では、6/28時点においては日本国内における被害は確認されていない模様。

参照元
大規模サイバー攻撃、日本での被害は確認されず - 産経ニュース

利用されているとされるランサムウェア

多くのベンダーがPetyaの亜種としている模様だが、BitDefenderはGoldenEyeと命名

Vender Signature
Kaspersky Trojan-Ransom.Win32.PetrWrap.d
Symantec Ransom.Petya
TrendMicro Ransom_PETYA.TH627
BitDefender Trojan.Ransom.GoldenEye.B
McAfee RDN/Ransomware
Microsoft Ransom:Win32/Petya

参照元
Antivirus scan for 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1 at 2017-06-28 11:41:34 UTC - VirusTotal

初期感染経路とか

当初は、ウクライナの会計ソフトベンダーMeDocのソフトウェア更新機能によるものとの情報が出ていたが、断定されていない模様。

参照元
ランサムウェア「GoldenEye」の感染源は会計ソフト? 未確認情報で混乱も - ZDNet Japan

感染拡大方法など

Kasperskyによるとlsass.exeプロセスからMimikatzのようなツールで認証情報を取得した後にその認証情報を用いてPsExecやWMICにて感染を拡大する模様。それ以外の感染手段としては、WannaCryでも用いられたEternalBlueや、EternalRomanceなども用いる模様

参照元
Schroedinger's Pet(ya) - Securelist

感染影響など

SANS ISCによると感染後、MBRの改変を行った後にCHKDSKが行われ再起動し、ランサムメッセージが表示される模様

参照元
Checking out the new Petya variant - SANS Internet Storm Center

証拠隠滅など

Cisco Talosによると感染・暗号化行為を行った後に以下のコマンドにてイベントログの消去及びUSNジャーナルの消去などの証拠隠滅行為も行う模様

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & 
wevtutil cl Application & fsutil usn deletejournal /D %c:

参照元
Cisco's Talos Intelligence Group Blog: New Ransomware Variant "Nyetya" Compromises Systems Worldwide

各ベンダーによる解析情報など

トレンドマイクロによる詳細解析結果(上記の感染拡大~証拠隠滅など)が日本語で出てます。

続報・欧州を中心に甚大な被害、暗号化ランサムウェア「PETYA」の活動を詳細解析 | トレンドマイクロ セキュリティブログ

IoCなど

Petya_ransomware.txt · GitHub※随時更新されているので要チェック
Schroedinger's Pet(ya) - Securelist※Yaraルールあり
大規模ランサムウェア攻撃:技術的詳細 – カスペルスキー公式ブログ

64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
45ef8d53a5a2011e615f60b058768c44c74e5190fefd790ca95cf035d9e1d5e0
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
765efb837d1231ac742fded3338d7fc55051ef2c6d9fe4c077eb25a65ed56fa1
69c7c745ef081324131e893f5a1fa0ba84718fa1442fbe9577d70fb38ebc1e48  
79bfab483175e238a638ffda036285abba7ac0211beae514dac020918ddfe23a

Blockchain

Bitcoin Address 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

攻撃者アドレス

ランサムメッセージには攻撃者アドレス「wowsmith123456@posteo.net」が記載されているが、同アドレスを保有するPosteoによって同アドレスはブロックされた模様。 よって被害者が同アドレスに対してメールをしても攻撃者にはメールは届かないので注意

参照元
Email green, secure, simple and ad-free - posteo.de - Info on the PetrWrap/Petya ransomware: Email account in question already blocked since midday

関連ニュース

再び大規模サイバー攻撃、欧米企業など被害 先月の攻撃と類似も | ロイター
また大規模サイバー攻撃=世界各地で被害報告-チェルノブイリ原発も:時事ドットコム
欧州全土でサイバー攻撃、大手企業に被害広がる - WSJ
欧米で再び大規模なサイバー攻撃 ウイルス注意呼びかけ | NHKニュース
大規模サイバー攻撃、チェルノブイリ原発も被害 :日本経済新聞
大規模サイバー攻撃、米国に波及 メルクなど被害 :日本経済新聞
欧米で新たな大規模サイバー攻撃-身代金要求型ウイルスが拡散 - Bloomberg
また大規模ランサムウェア攻撃、世界各地で被害--今度は「GoldenEye」 - CNET Japan
欧州各国に大規模サイバー攻撃 銀行・空港など被害:朝日新聞デジタル
サイバー攻撃:ウクライナ、露、英、印などで大規模被害 - 毎日新聞
また世界的サイバー攻撃 ウクライナ、ロシア、米欧にも被害 チェルノブイリ原発にも波及 - 産経ニュース
欧米で再び大規模サイバー攻撃、企業などに被害 チェルノブイリも 写真1枚 国際ニュース:AFPBB News

更新履歴

  • 2017/06/28 21:24 新規作成
  • 2017/06/29 07:11 更新(日本国内における状況について追加)