中国ハッカーによる米海軍契約業者へのハッキングに関する備忘録

概要

米国時間6/8の米ワシントン・ポスト電子版によると、中国政府系ハッカーが米海軍請負業者のコンピュータを侵害し、水中戦(undersea warfare)に関する大量の極秘情報を窃取したとのこと。なお、その情報には米国の潜水艦用の超音速対艦ミサイルの開発計画も含まれているという。

報道されている内容

  • 被害時期

    2018年1月と2月

  • 被害組織

    米海軍対潜戦センター(NUWC)の契約業者とのことだが、企業名等は明らかにされていない。

  • 窃取された情報と規模

    信号や通信データ、潜水艦暗号システムに関する情報等に加え、非公開プロジェクト(Sea Dragon)に関係するデータ、計614ギガバイト

  • 捜査状況について

    関係者によると、海軍では今回の流出事案に関してFBI支援の下、捜査を指揮しているとのこと。FBIは本件に関してコメントを拒否している模様。

  • 攻撃者に関する情報

    捜査官によると、今回のハッキングは、中国国家安全部(Chinese Ministry of State Security:MSS)傘下の広東省にあるハッキング部門が実行した模様。元CIAのアナリストによると、ハッキングに関しては中国人民解放軍(PLA)が知られているが、MSSの方がスキルや追跡の逃れ方は優れているとのこと。なお、MSSは、外国、軍事、商業のすべての形態をハッキング対象にしている模様。


米海軍対潜戦センター(NUWC)について

英語表記:Naval Undersea Warfare Center

NUWCは、米ロードアイランド州ニューポートに本部を持つ、海軍海上システム司令部(NAVSEA)の研究機関の一つ。ミッションとしては、海軍全般の研究開発、エンジニアリングを始め、潜水艦の艦隊支援センターの運営を行っている模様。 なお、NAVSEAは5つあるシステム司令部の中で最大の組織で、53,000人以上の文民と軍人が従事している。NAVSEAにはNUWCの他にNSWC(Naval Surface Wafare Center)と呼ばれる組織がある。

MSSに関係するグループについて

MSSに関係する中国ハッキンググループとしては、APT3が知られている。また、今回の記事でハッカー広東省に拠点を置いている旨が記載されているが、APT3のメンバーが属していたセキュリティ企業(Boyusec)の所在は広東省の首都広州市である。なお、このAPT3のメンバーについては2017年11月に米検察により3名が起訴されており、この3名が属していたBoyusecは解散した模様。

窃取情報に関心を持つグループについて

2018年3月にFireEyeが海運業界とエンジニアリング業界に関連した機関を標的にしたグループ(TEMP.Periscope)について報告しているが同グループの活動が2017年夏以降に活発になっている模様。また、このグループに関連するBloombergの記事によると、このグループは開発システムのレーダー性能や海上での検知能力等を対象にしていているとのこと。

関連記事

更新履歴

  • 2018/06/11 AM 新規作成

VPNFilterについての備忘録

概要

米国時間の2018年5月23日にCisco Talos(以降は、Talosと表記)からVPNFilterと呼ばれるネットワーク機器を対象としたマルウェアについての情報が公開された。 また、同日には米国司法省(含むFBI)からは同マルウェアに感染したSOHOルータやネットワークデバイス等で構成されたボットネットを崩壊した旨、そしてこれらはSofacyグループ(別名:APT28、Sandworm、X-Agent、Pawn Storm、Fancy Bear、Sednit)支配下にあった等の発表が行われた。

被害状況

Talosによると、少なくとも54カ国で500,000のデバイスがこのマルウェアに感染している模様で、SOHO環境で使われているLinksys、MikroTik、NETGEAR、TP-Linkなどのネットワーク機器の他、QNAPのNASバイスが対象になっている。なお、Ciscoを含めた他のベンダーは対象ではないが、調査は継続中とのこと。

なお、このVPNFilterのコンポーネントの動作として上記ネットワーク機器上においてウェブサイトのクレデンシャル情報の窃取やModbus SCADAプロトコルの監視を行い、最後には感染したデバイスを使用不能にする機能を有していることから、感染したデバイスやこれらが一括で使用不能になることで、世界中の何十万ものユーザのインターネットアクセスを遮断する可能性についても言及されている。

また、Trend Microによると、2017年8月にピッツバーグの家庭用ルータにおける感染を機にFBIは捜査を続けている旨について同社ブログにて紹介している。

米国時間の2018年6月6日にTalosが追加情報を公開し、当初判明していた対象デバイスに加え、 ASUS、D-Link、Huawei、Ubiquiti、UPVEL、ZTEなどのデバイスも対象になっていたことを発表。また、新たにWebトラフィックに対して悪意あるコードを注入するMITMを行う機能を発見した旨も述べている。

影響を受けるデバイス

※新たに追加されたデバイスには「*」印

  • Linksys Devices
E1200
E2500
E3000 *
E3200 *
E4200 *
RV082 *
WRVS4400N
  • Mikrotik RouterOS Versions for Cloud Core Routers
CCR1009 *
CCR1016
CCR1036
CCR1072
CRS109 *
CRS112 *
CRS125 *
RB411 *
RB450 *
RB750 *
RB911 *
RB921 *
RB941 *
RB951 *
RB952 *
RB960 *
RB962 *
RB1100 *
RB1200 *
RB2011 *
RB3011 *
RB Groove *
RB Omnitik *
STX5 *
  • TP-LINK Devices
R600VPN
TL-WR741ND *
TL-WR841N *
  • Netgear Devices
DG834 *
DGN1000 *
DGN2200
DGN3500 *
FVS318N *
MBRN3000 *
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 *
WNR4000 *
WNDR3700 *
WNDR4000 *
WNDR4300 *
WNDR4300-TN *
UTM50 *
  • QNAP Devices
TS251
TS439 Pro
その他でQTSが動作しているQNAP NASデバイス

以降は新たに追加されたベンダーとデバイス

RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U
  • D-Link
DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N
HG8245
  • Ubiquiti
NSM2
PBE M5
  • UPVEL
モデル不明
  • ZTE
ZXHN H108N

対象機器ベンダーの対応状況

VPNFilterの動き

VPNFilterマルウェアは、情報収集と破壊活動を行う機能を有した多段構成によるモジュラー型プラットフォームである。

  • 1stステージ

1stステージの主な目的は、永続的に2ndステージのマルウェア展開を可能にすることである。また、1stステージでは多重冗長のC2メカニズムを利用して、現在の2ndステージのデプロイメントサーバのIPアドレスを検出することで、マルウェアを堅牢化するとともに予期せぬC2インフラの変更にも対応できるようにしている模様である。 なお、IoTデバイスを対象としたマルウェアの多くは再起動することにより消滅するが、1stステージのマルウェアは再起動しても残存し続けるとのこと。

  • 2ndステージ

2ndステージで利用されるマルウェアは、ファイル収集やコマンド実行、データ抽出、デバイス管理などの機能を有する情報収集プラットフォームと考えられている。また、2ndステージマルウェアの一部のバージョンでは、デバイスファームウェアの重要な部分を上書きした後にデバイスを再起動するといった自己破壊機能を備えている模様。 なお、2ndステージマルウェアは再起動することで消滅するとのこと。

  • 3rdステージ

3rdステージは、2ndステージマルウェアプラグインによる活動となる。これらは、2ndステージにて追加機能のプラグインとして提供される。Talosによるブログ執筆時点では、2つのプラグインの存在を認識しており、これらはウェブサイトのクレデンシャル情報の窃取およびModbus SCADAプロトコルの監視を含む、感染デバイスを通過するトラフィックを収集するパケットスニッファと、2ndステージマルウェアがTorを介して通信ができるようにするためのモジュールで構成している。なお、他のプラグインの存在についても確信はしているものの発見には至っていないとのこと。

C2のメカニズム

Talos及びKaspelskyによると、1stステージにおいてマルウェアは、まずphotobucket[.]comのギャラリーページにアクセスして、そのページからファイルを取得しようとする。それが失敗した場合は、ハードコードされているドメイン(toknowall[.]com)からファイルを取得する。しかし、これも失敗した場合は、マルウェアはパッシブバックドアモードに入り、攻撃者からのコマンドを待つ模様である。 上記のファイル取得が成功した場合、取得されるファイルは画像ファイルとなっており、マルウェアはその画像ファイル中のEXIF情報から座標情報を抽出し、それをIPv4アドレスに変換することでその算出されたIPアドレスから新たな検体(2ndステージ)をダウンロードする。 なお、Kasperskyによるとphotobucket[.]comのギャラリーページ中のファイルにはアクセスできないが、toknowall[.]comのpDNS情報により過去に割り当てられていたIPアドレスにアクセスすると、ファイル取得が可能となっていたことから、同ファイルのEXIF情報から2ndステージのIPアドレスの算出に至るまでの解説が行われている。

感染原因

Talosによるブログ執筆時点においては、攻撃者がどのようにしてデバイスを侵害したかについて明らかになっていないが、対象デバイスの多くが既に明らかになっている脆弱性を有していたとのこと。

アトリビューション関連情報

Talosによると、VPNFilterで使われているコードは、過去にウクライナ国内のデバイスが対象となったBlackEnergyマルウェアのコードと重複している点も見られるとのこと。また、Talosの観測では、ウクライナ国内のデバイスを中心にVPNFilterに感染しており、C2についてもウクライナに特化しているものが使われている旨を"決定的ではないが"という前置きの上で述べられている。

コードの重複については、コード中の復号ルーチンで使われているRC4処理の実装に欠陥があり、これがBlackEnergyマルウェアで使用された実装と同一である旨をTalosは言及している。それを踏まえ、背後に国家が絡む攻撃者の存在があることを述べている。一方でKasperskyはこのRC4実装の欠陥についてはTalos同様に認めているが、これがBlackEnergyに繋がるかという点については"信頼性の低いリンク"と述べている。しかし、BlackEnergyが2014年まではルーターマルウェアを展開していた点にも触れ、このTalosの主張について理論を支持する他の類似点を調査しているとのこと。

2018年5月以前にVTにアップロードされていた検体

Talosが公開してるIoC情報を元にVTにアップロートされている検体を調査したところ、以下の3検体については、2018年5月以前にVTにアップロードされていたことが判明した。

検体ハッシュ 最初のVTアップ日時(UTC ファイル名 検体ステージ
50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec 2016/5/27 12:56 RU cron 1st
f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344 2016/6/6 9:46 RU vpnfilterm_ps 3rd
0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92 2017/6/12 9:22 TW qsync.php 1st

IoC

C2ドメイン、URL、IPアドレス

  • 1stステージに関連
photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

Photobucketは、米国の画像管理・動画共有サービスのオンラインコミュニティの模様。toknowall[.]comは、FBIによりテイクダウンされた模様シンクホール化されている。

  • 2ndステージに関連
91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
94.185.80[.]82
62.210.180[.]229
91.200.13[.]76
23.111.177[.]114

6b57dcnonk2edf5a[.]onion/bin32/update.php
tljmmy4vmkqbdof4[.]onion/bin32/update.php
zuh3vcyskd4gipkm[.]onion/bin32/update.php
4seiwn2ur4f65zo4.onion/bin256/update.php
zm3lznxn27wtzkwa.onion/bin16/update.php

ハッシュ値
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関連記事

更新履歴

  • 2018/05/31 AM 新規作成
  • 2018/06/01 AM 追記と一部修正
  • 2018/06/09 AM 追記

CCleanerにマルウェアが混入した件についての備忘録

概要

9/18にシステムクリーナーソフトで有名な「CCleaner」にマルウェアが混入し、正規のダウンロードサイトを通じて配布されていたことが、各ニュースサイトで取り上げられてたいた件についての備忘録です。

同ソフトの開発元であるPiriformによると、CCleaner v5.33.6162とCCleaner Cloud v1.07.3191のいずれの32bit版にマルウェア混入していたとのことで、新しいバージョンのダウンロードをアナウンスしている。また、Piriformはマルウェア混入による影響として機密性の低い情報(コンピュータ名、IPアドレス、インストールされたソフトウェアのリスト、 ネットワークアダプタのリスト等)が米国内へのサーバに送信されるが、その他のデータ送信については確認していない旨、またそのサーバについては9/15にシャットダウンしており、害は受けないとしていた。

一方で、このマルウェア混入を発見したとされるCiscoのセキュリティ部門であるTalosのブログでは、今回のマルウェアについて詳細な解説を行っているが、第2報として公開した情報では、マルウェアが接続するC2サーバの調査を実施したところ、同サーバ内のMySQLデータベース中に感染コンピュータの情報を始め、ターゲット組織のドメイン情報などが発見されたことについて述べられている。

9/25にAvastのブログで新しい情報が公開され、そこでは当初Talosのブログでは触れていなかった他のターゲット(国内企業名あり)についても記載されていた。Avastによると当初調査していたC2サーバはデータベースがクラッシュしていたため約3.5日分のデータしか残っていなかったものの攻撃者がC2のバックアップを用意していたらしく、今回はそのバックアップ側を調査したところ新たな事実が判明したと述べている。

感染している可能性のあるコンピュータ数や攻撃対象組織

Talosのブログによると、9/12から9/16までの間に70万以上のコンピュータがC2に接続してきており、その後のステージ用(ステージ2)のペイロードを20台以上のコンピュータが受信している旨、C2側に残っていた攻撃対象組織のドメイン情報には自社(Cisco)を始め、SonySamsungなどの知名度の高いテクノロジー企業(high-profile technology companies)などが含まれていたことを明らかにした。
また、感染コンピュータのドメイン等から、政府関係(ドメインに.govが含まれている)が540台、金融関係(ドメインにbankが含まれている)が51台ある旨も報告している。

Avastの新情報(9/25)によると、C2サーバのバックアップから判明した事項として8/18以降に1,646,536台(MACアドレス数)のユニークなPCが接続し、その後ステージ2のペイロードを40台のユニークなPCが受け取った模様。

IoC(感染時の接続先C2など)

マルウェア感染時に接続する先としてTalosは以下のインジケータを公開している。マルウェアは下記のIPアドレスへの接続(HTTP POSTを行う模様)ができない場合、年と月で算出したドメインを生成してアクセスを試みる模様。ただし、これらDGAドメインについてはTalosによりコントロールされているとのこと

接続先についてもAvastからの情報で新たに追加した。

216[.]126[.]225[.]148

追加
216[.]126[.]225[.]163 - CnC 216[.]126[.]225[.]148のバックアップサーバ

ab6d54340c1a[.]com
aba9a949bc1d[.]com
ab2da3d400c20[.]com
ab3520430c23[.]com
ab1c403220c27[.]com
ab1abad1d0c2a[.]com
ab8cee60c2d[.]com
ab1145b758c30[.]com
ab890e964c34[.]com
ab3d685a0c37[.]com
ab70a139cc3a[.]com

追加
ab3c2b0d28ba6.com - 2018-01
ab99c24c0ba9.com - 2018-02
ab2e1b782bad.com - 2018-03
ab253af862bb0.com - 2018-04
ab2d02b02bb3.com - 2018-05
ab1b0eaa24bb6.com - 2018-06
abf09fc5abba.com - 2018-07
abce85a51bbd.com - 2018-08
abccc097dbc0.com - 2018-09
ab33b8aa69bc4.com - 2018-10
ab693f4c0bc7.com - 2018-11
ab23660730bca.com - 2018-12

また、ステージ2に移行した場合、github.comやwordpress.comに対して検索を行い、そこからIPアドレスを取得する模様。

get.adoble[.]com
https://github[.]com/search?q=joinlur&type=Users&u=✓
https://en.search.wordpress[.]com/?src=organic&q=keepost

IoC(ファイル)

  • 1st stage

04bed8e35483d50a25ad8cf203e6f157e0f2fe39a762f5fbacd672a3495d6a11 - CCleaner - installer (v5.33.0.6162)
0564718b3778d91efd7a9972e11852e29f88103a10cb8862c285b924bc412013 - CCleaner - installer (v5.33.0.6162)
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff - CCleaner - installer (v5.33.0.6162)
276936c38bd8ae2f26aab14abff115ea04f33f262a04609d77b0874965ef7012 - CCleaner - installer (v5.33.0.6162)
2fe8cfeeb601f779209925f83c6248fb4f3bfb3113ac43a3b2633ec9494dcee0 - CCleaner - installer (v5.33.0.6162)
3c0bc541ec149e29afb24720abc4916906f6a0fa89a83f5cb23aed8f7f1146c3 - CCleaner - installer (v5.33.0.6162)
4f8f49e4fc71142036f5788219595308266f06a6a737ac942048b15d8880364a - CCleaner - installer (v5.33.0.6162)
7bc0eaf33627b1a9e4ff9f6dd1fa9ca655a98363b69441efd3d4ed503317804d - CCleaner - installer (v5.33.0.6162)
a013538e96cd5d71dd5642d7fdce053bb63d3134962e2305f47ce4932a0e54af - CCleaner - installer (v5.33.0.6162)
bd1c9d48c3d8a199a33d0b11795ff7346edf9d0305a666caa5323d7f43bdcfe9 - CCleaner - installer (v5.33.0.6162)
c92acb88d618c55e865ab29caafb991e0a131a676773ef2da71dc03cc6b8953e - CCleaner - installer (v5.33.0.6162)
e338c420d9edc219b45a81fe0ccf077ef8d62a4ba8330a327c183e4069954ce1 - CCleaner - installer (v5.33.0.6162)
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9 - CCleaner.exe (32-bit v5.33.0.6162)
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 - CCleaner.exe (32-bit v5.33.0.6162)
a3e619cd619ab8e557c7d1c18fc7ea56ec3dfd13889e3a9919345b78336efdb2 - CCleanerCloud - installer (32-bit v1.7.0.3191)
0d4f12f4790d2dfef2d6f3b3be74062aad3214cb619071306e98a813a334d7b8 - CCleanerCloudAgent.exe (32-bit v1.7.0.3191)
9c205ec7da1ff84d5aa0a96a0a77b092239c2bb94bcb05db41680a9a718a01eb - CCleanerCloudAgentHealtCheck.exe (32-bit v1.7.0.3191)
bea487b2b0370189677850a9d3f41ba308d0dbd2504ced1e8957308c43ae4913 - CCleanerCloudTray.exe (32-bit v1.7.0.3191)
3a34207ba2368e41c051a9c075465b1966118058f9b8cdedd80c19ef1b5709fe - 1st stage payload DLL found in CCleaner
19865df98aba6838dcc192fbb85e5e0d705ade04a371f2ac4853460456a02ee3 - 1st stage payload DLL found in CCleanerCloud

  • 2nd stage

7ac3c87e27b16f85618da876926b3b23151975af569c2c5e4b0ee13619ab2538 - loader of the 2nd stage payload (32-bit)
a414815b5898ee1aa67e5b2487a11c11378948fcd3c099198e0f9c6203120b15 - loader of the 2nd stage payload (64-bit)
3a34207ba2368e41c051a9c075465b1966118058f9b8cdedd80c19ef1b5709fe - 2nd stage payload DLL (GeeSetup_x86.dll)
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17 - 32-bit DLL dropped from the 2nd stage payload
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17 - 64-bit DLL dropped from the 2nd stage payload
A6c36335e764b5aae0e56a79f5d438ca5c42421cae49672b79dbd111f884ecb5 - inner DLL of the 2nd stage payload (32-bit)
B3badc7f2b89fe08fdee9b1ea78b3906c89338ed5f4033f21f7406e60b98709e - inner DLL of the 2nd stage payload (64-bit)

更新履歴

  • 2017/09/22 07:30 新規作成
  • 2017/09/26 06:20 Avastによる情報を追記

ウクライナやロシアなどで発生した大規模サイバー攻撃についての備忘録

概要

6/27にウクライナやロシアなどを始めとした世界各地において、新たな大規模サイバー攻撃が発生した模様。攻撃には、ランサムウェアが使用されており、感染するとコンピュータがロックされ、$300相当の身代金をビットコインで要求する旨のメッセージが画面表示される。

もっとも被害が大きいとされるウクライナにおいては、政府機関を始め、銀行や民間企業等において被害が出ており、ロシアに拠点を置くサイバーセキュリティ企業Group IBによるとロシアとウクライナで約80組織が感染被害を受けているとのこと

参照元
Another big malware attack ripples across the world - Jun. 27, 2017
Petya starts with Ukraine and then goes global

被害を受けたとされる国

ロシア、ウクライナ、英国、フランス、ドイツ、イタリア、ポーランド、米国、ノルウェーなど

参照元
再び大規模サイバー攻撃、欧米企業など被害 先月の攻撃と類似も | ロイター
欧州各国に大規模サイバー攻撃 銀行・空港など被害:朝日新聞デジタル

被害を受けたとされる企業等

  • 海運・石油大手APモラー・マースク(デンマーク)※被害を受けたのは海外拠点?
  • 国営石油ロスネフチ(ロシア)
  • 中堅石油会社バシネフチ(ロシア)
  • 鉄鋼大手エブラズ(ロシア)
  • 建材・ガラス大手サンゴバン(フランス)
  • 広告会社WPP(イギリス)
  • チェルノブイリ原発ウクライナ
  • 製薬大手メルク(アメリカ)
  • 首都キエフ郊外の空港(ウクライナ
  • 国営航空企業アントノフ(ウクライナ
  • 飲料・食品大手モンデリーズ・インターナショナル(アメリカ)
  • 多国籍法律事務所DLAパイパー(アメリカ)

参照元
再び大規模サイバー攻撃、欧米企業など被害 先月の攻撃と類似も | ロイター
また大規模サイバー攻撃=世界各地で被害報告-チェルノブイリ原発も:時事ドットコム
欧米で再び大規模なサイバー攻撃 ウイルス注意呼びかけ | NHKニュース
大規模サイバー攻撃、チェルノブイリ原発も被害 :日本経済新聞
欧米で新たな大規模サイバー攻撃-身代金要求型ウイルスが拡散 - Bloomberg

日本国内における状況

IPAの発表では、6/28時点においては日本国内における被害は確認されていない模様。

参照元
大規模サイバー攻撃、日本での被害は確認されず - 産経ニュース

利用されているとされるランサムウェア

多くのベンダーがPetyaの亜種としている模様だが、BitDefenderはGoldenEyeと命名

Vender Signature
Kaspersky Trojan-Ransom.Win32.PetrWrap.d
Symantec Ransom.Petya
TrendMicro Ransom_PETYA.TH627
BitDefender Trojan.Ransom.GoldenEye.B
McAfee RDN/Ransomware
Microsoft Ransom:Win32/Petya

参照元
Antivirus scan for 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1 at 2017-06-28 11:41:34 UTC - VirusTotal

初期感染経路とか

当初は、ウクライナの会計ソフトベンダーMeDocのソフトウェア更新機能によるものとの情報が出ていたが、断定されていない模様。

参照元
ランサムウェア「GoldenEye」の感染源は会計ソフト? 未確認情報で混乱も - ZDNet Japan

感染拡大方法など

Kasperskyによるとlsass.exeプロセスからMimikatzのようなツールで認証情報を取得した後にその認証情報を用いてPsExecやWMICにて感染を拡大する模様。それ以外の感染手段としては、WannaCryでも用いられたEternalBlueや、EternalRomanceなども用いる模様

参照元
Schroedinger's Pet(ya) - Securelist

感染影響など

SANS ISCによると感染後、MBRの改変を行った後にCHKDSKが行われ再起動し、ランサムメッセージが表示される模様

参照元
Checking out the new Petya variant - SANS Internet Storm Center

証拠隠滅など

Cisco Talosによると感染・暗号化行為を行った後に以下のコマンドにてイベントログの消去及びUSNジャーナルの消去などの証拠隠滅行為も行う模様

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & 
wevtutil cl Application & fsutil usn deletejournal /D %c:

参照元
Cisco's Talos Intelligence Group Blog: New Ransomware Variant "Nyetya" Compromises Systems Worldwide

各ベンダーによる解析情報など

トレンドマイクロによる詳細解析結果(上記の感染拡大~証拠隠滅など)が日本語で出てます。

続報・欧州を中心に甚大な被害、暗号化ランサムウェア「PETYA」の活動を詳細解析 | トレンドマイクロ セキュリティブログ

IoCなど

Petya_ransomware.txt · GitHub※随時更新されているので要チェック
Schroedinger's Pet(ya) - Securelist※Yaraルールあり
大規模ランサムウェア攻撃:技術的詳細 – カスペルスキー公式ブログ

64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
45ef8d53a5a2011e615f60b058768c44c74e5190fefd790ca95cf035d9e1d5e0
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
765efb837d1231ac742fded3338d7fc55051ef2c6d9fe4c077eb25a65ed56fa1
69c7c745ef081324131e893f5a1fa0ba84718fa1442fbe9577d70fb38ebc1e48  
79bfab483175e238a638ffda036285abba7ac0211beae514dac020918ddfe23a

Blockchain

Bitcoin Address 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

攻撃者アドレス

ランサムメッセージには攻撃者アドレス「wowsmith123456@posteo.net」が記載されているが、同アドレスを保有するPosteoによって同アドレスはブロックされた模様。 よって被害者が同アドレスに対してメールをしても攻撃者にはメールは届かないので注意

参照元
Email green, secure, simple and ad-free - posteo.de - Info on the PetrWrap/Petya ransomware: Email account in question already blocked since midday

関連ニュース

再び大規模サイバー攻撃、欧米企業など被害 先月の攻撃と類似も | ロイター
また大規模サイバー攻撃=世界各地で被害報告-チェルノブイリ原発も:時事ドットコム
欧州全土でサイバー攻撃、大手企業に被害広がる - WSJ
欧米で再び大規模なサイバー攻撃 ウイルス注意呼びかけ | NHKニュース
大規模サイバー攻撃、チェルノブイリ原発も被害 :日本経済新聞
大規模サイバー攻撃、米国に波及 メルクなど被害 :日本経済新聞
欧米で新たな大規模サイバー攻撃-身代金要求型ウイルスが拡散 - Bloomberg
また大規模ランサムウェア攻撃、世界各地で被害--今度は「GoldenEye」 - CNET Japan
欧州各国に大規模サイバー攻撃 銀行・空港など被害:朝日新聞デジタル
サイバー攻撃:ウクライナ、露、英、印などで大規模被害 - 毎日新聞
また世界的サイバー攻撃 ウクライナ、ロシア、米欧にも被害 チェルノブイリ原発にも波及 - 産経ニュース
欧米で再び大規模サイバー攻撃、企業などに被害 チェルノブイリも 写真1枚 国際ニュース:AFPBB News

更新履歴

  • 2017/06/28 21:24 新規作成
  • 2017/06/29 07:11 更新(日本国内における状況について追加)