TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究記録

ランサムウェア「WannaCry」の現状をKasperskyが解説

f:id:tanigawa:20170519054549p:plain
TCP 445番ポートへの日別接続数
出典: http://internet.watch.impress.co.jp/docs/news/1060364.html


【概要】

  • SMB v1の脆弱性を悪用するエクスプロイト「EternalBlue」を使ってバックドア「DoublePulsar」をインストールし、システムへ感染
  • EternalBlueは、ハッカー集団の「Shadow Brokers」が米国国家安全保障局NSA)より窃取し、4月に流出させたもの
  • メールを介した攻撃は確認していない
  • 一部では、セキュリティが侵害されたウェブサイトが使われたことを示唆する手がかりを得ている
  • EternalBlueによる攻撃では、SMB v1に加え、SMB v2への通信も利用される
  • 最初の亜種は、キルスイッチの接続先ドメインが変更
  • その後にはキルスイッチを削除した亜種も登場
  • ごく初期の亜種と見られる検体と、サイバー攻撃集団「Lazarus」による2015年2月の検体に類似点


【ニュース】

ランサムウェア「WannaCry」の現状をKasperskyが解説 (Internet Watch, 2017/05/18 16:23)
http://internet.watch.impress.co.jp/docs/news/1060364.html


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017