チェック・ポイント、世界規模で急速に感染を広げるPetyaランサムウェアの追跡調査を実施
[17/06/30]
提供元:PRTIMES
提供元:PRTIMES
ゲートウェイからエンドポイントまでの包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(本社:東京都、代表取締役社長:ピーター・ハレット、以下チェック・ポイント)は本日、6月27日に発生した世界規模のサイバー攻撃に関する追跡調査の分析結果を発表しました。ウクライナの中央銀行や政府機関、民間企業を中心に世界中で被害が出ています。
今回の攻撃は、個別のファイルではなくMBR(マスタ・ブート・レコード)を暗号化するランサムウェア、Petyaの亜種が配布された可能性があります。攻撃の詳細原因はまだ特定されていませんが、多くの研究者は、ウクライナの会計ソフトウェアプロバイダであるM.E.Docが侵害され、そのシステムを悪用しソフトウェア更新メカニズムを介して攻撃を配布していたと指摘しています。なお、現時点でM.E.Docは否定しています。
マルウェアがネットワークに侵入すると、ネットワーク全体を感染させるためにマルウェアが横方向に展開します。SMBの脆弱性やアクティブなセッションを悪用し、クレデンシャル(認証情報)の窃取および別のマシンへファイルを配布する手段としてファイル共有などワーム的な活動を特徴としています。
チェック・ポイントでは、今回のマルウェアについて次の2点を確認しています。1つは、CVE-2017-0147の脆弱性を悪用するエクスプロイトEternalBlue(WannaCryが使用したのと同じエクスプロイト)を利用して、ネットワーク内での感染拡大を試みる点。もう1つは、マルウェアのバイナリにリソースとして埋め込まれた別の実行可能ファイルを使用し、認証情報を窃取する点です。後者の実行ファイルはDLLで、%TEMP%ディレクトリにドロップされ、rundllで実行されます。このツール自体はMimikatzと呼ばれる既知のオープンソース・ユーティリティと同様に、マシンのメモリからハッシュ、パスワード、その他のセキュリティ関連の有益な情報を窃取する機能を備えています。
盗取されたクレデンシャルは、PetyaのDLLをターゲット・ホストにファイル転送する際に使用されます。このペイロードは、SMBプロトコルのTRANS2 SESSION_SETUPリクエスト・パケットで、4096kのチャンクとして送信されます(リクエストごとに1チャンク)。ペイロードは、「24db007a」を鍵にしてXORエンコードされています。ターゲット・ホストに転送されたファイルは、Windowsの正規ツール群Sysinternalsに含まれるPsExecを使用してリモート実行されます(PsExecも、元のマルウェア・バイナリに埋め込まれています)。
[画像1: https://prtimes.jp/i/21207/27/resize/d21207-27-680591-0.jpg ]
図1: Petyaが転送するペイロード・チャンクの例
チェック・ポイントは、継続調査しブログ(https://www.checkpoint.co.jp/threat-cloud/)を更新していく予定です。Sand Blast Agentをはじめとする以下のソリューションは、PetyaとLoki Botに対応しています。
● Sandblast: http://www.checkpoint.co.jp/products/sandblast-network-security/
● Sandblast Agent: https://www.checkpoint.co.jp/products/endpoint-sandblast-agent/
● Anti-Bot Software Blade: https://www.checkpoint.co.jp/products/anti-bot-software-blade/
● IPS: https://www.checkpoint.co.jp/products/ips-software-blade/
>ランサムウェア攻撃を防御するための詳細情報 (製品評価のお問合せ)http://pages.checkpoint.com/petya-ransomware-attack.html
SandBlast Agentのフォレンジック機能によるPetya分析結果については、こちら(http://freports.us.checkpoint.com/petyavar/)をご覧ください。
[画像2: https://prtimes.jp/i/21207/27/resize/d21207-27-740788-1.jpg ]
■チェック・ポイントについて WELCOME TO THE FUTURE OF CYBER SECURITY
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、あらゆる規模の組織に対応する世界トップクラスのセキュリティ・リーディング・カンパニーです。業界随一の検出率を誇る先進のセキュリティ対策により、お客様のネットワークをマルウェアなどの多岐にわたるサイバー攻撃から保護します。大規模ネットワークからモバイル・デバイスまでを保護する包括的なセキュリティ・アーキテクチャに加え、直感的で使いやすい総合的なセキュリティ管理ソリューションを提供しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( http://www.checkpoint.co.jp/ )は、1997年10月1日設立、東京都新宿区に拠点を置いています。
プレスリリースURL:https://www.checkpoint.co.jp/press/2017/pressrelease_20170630.html
今回の攻撃は、個別のファイルではなくMBR(マスタ・ブート・レコード)を暗号化するランサムウェア、Petyaの亜種が配布された可能性があります。攻撃の詳細原因はまだ特定されていませんが、多くの研究者は、ウクライナの会計ソフトウェアプロバイダであるM.E.Docが侵害され、そのシステムを悪用しソフトウェア更新メカニズムを介して攻撃を配布していたと指摘しています。なお、現時点でM.E.Docは否定しています。
マルウェアがネットワークに侵入すると、ネットワーク全体を感染させるためにマルウェアが横方向に展開します。SMBの脆弱性やアクティブなセッションを悪用し、クレデンシャル(認証情報)の窃取および別のマシンへファイルを配布する手段としてファイル共有などワーム的な活動を特徴としています。
チェック・ポイントでは、今回のマルウェアについて次の2点を確認しています。1つは、CVE-2017-0147の脆弱性を悪用するエクスプロイトEternalBlue(WannaCryが使用したのと同じエクスプロイト)を利用して、ネットワーク内での感染拡大を試みる点。もう1つは、マルウェアのバイナリにリソースとして埋め込まれた別の実行可能ファイルを使用し、認証情報を窃取する点です。後者の実行ファイルはDLLで、%TEMP%ディレクトリにドロップされ、rundllで実行されます。このツール自体はMimikatzと呼ばれる既知のオープンソース・ユーティリティと同様に、マシンのメモリからハッシュ、パスワード、その他のセキュリティ関連の有益な情報を窃取する機能を備えています。
盗取されたクレデンシャルは、PetyaのDLLをターゲット・ホストにファイル転送する際に使用されます。このペイロードは、SMBプロトコルのTRANS2 SESSION_SETUPリクエスト・パケットで、4096kのチャンクとして送信されます(リクエストごとに1チャンク)。ペイロードは、「24db007a」を鍵にしてXORエンコードされています。ターゲット・ホストに転送されたファイルは、Windowsの正規ツール群Sysinternalsに含まれるPsExecを使用してリモート実行されます(PsExecも、元のマルウェア・バイナリに埋め込まれています)。
[画像1: https://prtimes.jp/i/21207/27/resize/d21207-27-680591-0.jpg ]
図1: Petyaが転送するペイロード・チャンクの例
チェック・ポイントは、継続調査しブログ(https://www.checkpoint.co.jp/threat-cloud/)を更新していく予定です。Sand Blast Agentをはじめとする以下のソリューションは、PetyaとLoki Botに対応しています。
● Sandblast: http://www.checkpoint.co.jp/products/sandblast-network-security/
● Sandblast Agent: https://www.checkpoint.co.jp/products/endpoint-sandblast-agent/
● Anti-Bot Software Blade: https://www.checkpoint.co.jp/products/anti-bot-software-blade/
● IPS: https://www.checkpoint.co.jp/products/ips-software-blade/
>ランサムウェア攻撃を防御するための詳細情報 (製品評価のお問合せ)http://pages.checkpoint.com/petya-ransomware-attack.html
SandBlast Agentのフォレンジック機能によるPetya分析結果については、こちら(http://freports.us.checkpoint.com/petyavar/)をご覧ください。
[画像2: https://prtimes.jp/i/21207/27/resize/d21207-27-740788-1.jpg ]
■チェック・ポイントについて WELCOME TO THE FUTURE OF CYBER SECURITY
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、あらゆる規模の組織に対応する世界トップクラスのセキュリティ・リーディング・カンパニーです。業界随一の検出率を誇る先進のセキュリティ対策により、お客様のネットワークをマルウェアなどの多岐にわたるサイバー攻撃から保護します。大規模ネットワークからモバイル・デバイスまでを保護する包括的なセキュリティ・アーキテクチャに加え、直感的で使いやすい総合的なセキュリティ管理ソリューションを提供しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( http://www.checkpoint.co.jp/ )は、1997年10月1日設立、東京都新宿区に拠点を置いています。
プレスリリースURL:https://www.checkpoint.co.jp/press/2017/pressrelease_20170630.html