TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

WannaCry (まとめ)

【辞書】

◆WannaCry (Wikipedia)
https://ja.wikipedia.org/wiki/WannaCry


【概要】

  • 別名
No マルウェア名称 使用組織
1 WannaCry US-CERT, SANS, 総務省, 警察庁
2 Wanna Cry Microsoft
3 WannaCrypt  JPCERT/CC
4 Wanna Cryptor IPA
5 WanaCryptor
6 WanaCrypt0r
7 Wcry Trendmicro

 
 

  • 利用する脆弱性
    • MS17-010(※1): Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)

CVE番号に関しては、諸説ある

No CVE番号 発表組織
1 CVE-2017-0144 Trendmicro, Paloalto
2 CVE-2017-0145 JPCERT/CC, Microsoft

※1: CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2017-0148に相当
 

  • 拡張子
    • 暗号化時に「.WNCRY」という拡張子を元のファイル名に追加
abc.jpg ⇒ abc.jpg.WNCRY

 

  • 感染方法
手法 場所 確認 備考
メール 国内 ×
海外 Dropboxからマルウェアをダウンロード(確証なし)
Web 国内 報告なし
海外 報告なし
Network   
  • 初期進入
    • バックドア経由(Malwarebytes)


 

  • ネットワーク感染活動
    • 他のPCに感染するために、ダウンロードしたマルウェアをMicrosoft Security Center (2.0)というサービスとして実行する
    • SMBサーバを検索
    • CVE-2017-0144/0145の脆弱性をついて感染拡大

 

  • 感染対策
No 対策
1 脆弱性バッチの適用(MS17-010)
2 上記が適用不可の場合は、SMB v1 の利用を停止

 

  • 身代金
時期 身代金
初期 300ドル(=約3.4万円)
3日以後 600ドル(=6.8万円)
1週間以後 ファイルを消去
    • 支払いによってデータが回復した例なし

 

  • 送金額
Bitcoinアドレス 取引回数 受信額 残高
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 96 13.60232262 BTC 13.60232262 BTC
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 103 16.86888494 BTC 16.86888494 BTC
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 120 19.02389183 BTC 19.02389183 BTC
319 49.49509939 BTC 49.49509939 BTC

2017/05/23 19:00現在

f:id:tanigawa:20170521141807p:plain
出典: https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
 

  • 脅迫メッセージ

f:id:tanigawa:20170514075803j:plain
出典: http://image.itmedia.co.jp/l/im/news/articles/1705/14/l_yu_cry1.jpg

  • 暗号解読
    • Windows XPで成功事例が報告される

 

  • 感染国
    • 150カ国、30万件以上
    • 感染は5/12~5/13に一気に拡大か
国名 国名 国名 国名
英国 ロシア スペイン 米国
オーストラリア ベルギー フランス ドイツ
イタリア メキシコ 日本 中国
ベトナム トルコ 台湾 チリ

 

  • 感染組織(日本)
No 組織名
1 病院
2 個人
3 日立製作所
4 JR東日本(高崎支社)*1
5 川崎市上下水道局*2
6 東急電鉄
7 富士・富士宮市消防指令センター
8 日立金属

 

  • 感染組織(日立製作所)
    • 日立製作所とJR東日本で感染を確認
    • 日立 電子メールの管理などを行う社内のシステムに被害
    • 日立 家電製品の受注や発注をするためのシステムにも障害が発生
  • 感染組織(海外)
No 国名 組織
1 英国 国民保健サービス(NHS)
2 スペイン テレフォニカ(Telefonica)
3 米国 フェデックス(FedEx)
4 ロシア 内務省 (1000台)
5 ロシア メガフォン(MegaFon)
6 中国 山東大学、南昌大学、大連海事大学、桂林航天工業学院などの大学が相次いで被害(中新網)
7 中国 国営中国石油天然気集団公司(CNPC)電子決済サービスが使用不能

 

  • 作成者
No 容疑者 根拠 情報元
1 中国 中国語が流ちょうなのに、英語の方が片言 大紀元
中国語をGoogle翻訳で他言語に翻訳 Flashpoint
2 ロシア ロシアで被害が拡大
3 北朝鮮 コードがラザルスのコードに類似 Symantec, Kaspersky

 

  • 亜種
No マルウェア名 備考
1 Uiwix キルスイッチが省略


【感染デモ】

◆IPA ランサムウェア「WannaCry (WannaCryptor)」感染実演デモ(IPA, 2017/05/22)
https://youtu.be/kVhe_Jh_-_w


【注意喚起】

◆Identificado ataque de ransomware que afecta a sistemas Windows (CCN-CERT, 2017/05/12)
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html

◆Alert (TA17-132A) Indicators Associated With WannaCry Ransomware (US-CERT, 2017/05/13)
https://www.us-cert.gov/ncas/alerts/TA17-132A

◆世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について (IPA, 2017/05/14)
http://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html

◆ランサムウエア "WannaCrypt" に関する注意喚起 (JPCERT/CC, 2017/05/14)
https://www.jpcert.or.jp/at/2017/at170020.html

◆Multiple Ransomware Infections Reported (US-CERT, 2017/05/12)
https://www.us-cert.gov/ncas/current-activity/2017/05/12/Multiple-Ransomware-Infections-Reported

◆SANS ISC InfoSec Forums (SANS, 2017/05/12)
https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/

◆ランサムウェア「WannaCry」に注意、総務省が呼び掛け 「セキュリティパッチを最新版に」 (ITmedia, 2017/05/16 11:10)
世界各地で猛威をふるうランサムウェア「WannaCry」について、総務省が注意喚起
http://www.itmedia.co.jp/news/articles/1705/16/news074.html


【報告書】

◆大規模ランサムウエア感染に関する緊急調査レポートを公開 (NTT DATA, 2017/05/17)
http://www.nttdata.com/jp/ja/news/information/2017/2017051701.html

◆ランサムウェア「WannaCry」対策ガイド rev.1 (Lac, 2017/05/19)
https://www.lac.co.jp/lacwatch/report/20170519_001289.html

◆WannaCry ランサムウエアに関するレポート (東京大学大学院情報学環, 2017/05/18)
http://sisoc-tokyo.iii.u-tokyo.ac.jp/wp-content/uploads/2017/05/20170518_WannaCry_report.pdf


【感染経路】

◆ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る (Trendmicro, 2017/05/18)
http://blog.trendmicro.co.jp/archives/14920

◆大規模サイバー攻撃 ネット接続だけでウイルス侵入か (NHK, 2017/05/18 18:00)
http://www3.nhk.or.jp/news/html/20170518/k10010986481000.html


【初期侵入経路】

◆「Wannacry」の初期侵入はバックドア経由--Malwarebytesが指摘 (ZDNet, 2017/05/22 13:01)
https://japan.zdnet.com/article/35101516/

◆「WannaCry」の拡散、電子メールが原因ではなかった セキュリティ企業が分析結果公表 (ITmedia, 2017/05/22 07:40)
http://www.itmedia.co.jp/enterprise/articles/1705/22/news057.html


【感染OS】

f:id:tanigawa:20181226050911j:plain
出典: http://www.itmedia.co.jp/news/articles/1705/20/news034.html

  • 感染の98% は Windows7
    • Windows 7 x64 は 60%
  • Windows XP の感染はほぼゼロ

◆「WannaCry」感染の98%は「Windows 7」で「XP」はほぼゼロ (ITMedia, 2017/05/20 19:12)
http://www.itmedia.co.jp/news/articles/1705/20/news034.html


【セキュリティベンダー統計・検知情報】

◆The worm that spreads WanaCrypt0r (MalwareBytes, 2017/5/12)
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

◆Cylance vs. WannaCry-WanaCrypt0r 2.0 (Cylance, 2017/05/12)
https://www.cylance.com/en_us/blog/cylance-vs-wannacry-wanacrypt0r-2-0.html

◆An Analysis of the WANNACRY Ransomware outbreak (McAfee, 2017/05/12)
https://securingtomorrow.mcafee.com/business/analysis-wannacry-ransomware-outbreak/

◆Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica. (AVAST, 2017/05/12)
https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today

◆Player 3 Has Entered the Game: Say Hello to 'WannaCry'(Cisco Talos, 2017/05/12)
http://blog.talosintelligence.com/2017/05/wannacry.html

◆WannaCry ransomware used in widespread attacks all over the world (SECURELIST, 2017/05/12 17:30)
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

◆Wanna Decryptor (WNCRY) Ransomware Explained (Rapid7, 2017/05/12)
https://community.rapid7.com/community/infosec/blog/2017/05/12/wanna-decryptor-wncry-ransomware-explained

◆WannaCrypt ransomware worm targets out-of-date systems (Microsoft, 2017/05/12)
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

◆How to Accidentally Stop a Global Cyber Attacks (MalwareTech, 2017/05/13)
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

◆WannaCry (Arbor, 2017/05/13)
https://www.arbornetworks.com/blog/asert/wannacry/

◆トレンド、週末24時間に「WannaCrypt」を数百件検出 - 拡散に「Dropbox」も悪用 (Security NEXT, 2017/05/15)
http://www.security-next.com/081633

◆重要な更新情報: WannaCryランサムウェア (Fortinet, 2017/05/15)
http://www.fortinet.co.jp/security_blog/170515-wannacry-ransomware.html

◆ランサムウェアWannaCryに関するさらなる分析 (McAfee, 2017/05/16)
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-651e.html

◆ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る (Trendmicro, 2017/05/18)
http://blog.trendmicro.co.jp/archives/14920

◆ランサムウェア「WannaCry」の現状をKasperskyが解説 (Internet Watch, 2017/05/18 16:23)
http://internet.watch.impress.co.jp/docs/news/1060364.html

◆英Sophos、ガイダンスやタイムラインなどWannaCry分析資料 (マイナビニュース, 2017/05/24)
http://news.mynavi.jp/news/2017/05/24/106/

◆WannaCry: how the attack happened (Sophos, 2017/05/19)
https://news.sophos.com/en-us/2017/05/19/wannacry-how-the-attack-happened/

◆Is WannaCry Really Ransomware? (McAfee, 2017/06/08)
https://securingtomorrow.mcafee.com/executive-perspectives/wannacry-really-ransomware/

【解析情報】

◆WannaCryの解析 (まとめ)
http://malware-log.hatenablog.com/entry/WannaCry_Analisys


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019