#ssmjp 2017/10 #1 キタガワナイト記録メモ

ssmjp-wannacry.md

#ssmjp 2017/10 #1 キタガワナイト記録メモ

• 日時: 2017-10-26 19:30-21:43
• 発表タイトル:
  • 公開情報から読み解くWnnaCry騒動
• 講師:
  • 北河拓士 (@kitagawa_takuji) さん
• 場所: DMM.comラボ
• 資料
  • 公開なし
• ハッシュタグ #ssmjp
• イベントURL: https://ssmjp.connpass.com/event/68090/

会場提供のDMMさんのあいさつ

• 今月も会場提供させてもらいます
• 向こう側で社内交流会、ハロウィンパーティーやってます
  • ちょっとうるさいけどご了承下さい

DMM.comグループについて

• 10社くらいでサービス展開している
  • サービス数は40くらい
  • 多岐にわたっている
  • ルワンダのIT企業をM&A
  • マイニング事業
  • 本日オンラインくじ事業のアナウンスをした
• DMMゲームズで会員数が1900万人くらい
• PHP, Java メイン
  • Ruby, Scalaなどなど
• オライリー全巻購入した
• AWS 実弾演習場
  • 月100ドルまでなら自由に使っていい
  • ちょっとした遊びには結構使ってる
• 積極採用中なので、興味ある人は雑談しましょう

勉強会前説 洲崎さん

• 勉強会諸注意
  • 写真撮影はOK
  • 参加者の中には NG の人もいるので注意
• 公開NG と指定されたネタは公開しないように
• 月1ペースで開催されているのが #ssmjp
• 通称「ささみの会」
  • 元々は Shibashi Study Meeting
• 会場提供してもいいよという方は運営まで声をかけて下さい
• コンセプトは「アウトプットしないのは知的な便秘」
• 基本はプレゼン形式
• 普段は60-80人くらい
• スペシャルな回もたまにある
• 特徴は超ゆる〜い
  • 喋りたい人は是非応募してね
  • LTの練習場的な位置づけから始まっているので気軽に
• 次の開催は web, twitter, facebook を見よ
• slack にも入ろう
• さてお待ちかねの Kitagawa Night!

Icebreak

• ささみは本日で4回目
• 本日の発表は個人の見解
• スライドの公開予定はありません
  • 475枚あるw

経歴

• 脆弱性診断をやっている
• ハッカージャパンで連載していた
• マルウェア童貞

本発表の目的

• WannaCry について記憶が薄れた頃なのでもう一度思い返す
• disりが目的ではない
• すべてネットで無料で入手できる情報を元にしている
• あくまで個人で調べた内容

カレンダー

• 5/12-21 の範囲
  • 5/12 は金曜日

世界中で被害

• WannaCry にはたくさん感染しました
• 世界中にて観戦報告
• ビートマニア感染はコラだった
  • 世界中でコラが作られた

特徴

• ワーム機能がある
• ランダムなIPアドレスにも感染を行う
• NSAから漏洩した脆弱性を利用
• キルスイッチ
• ワームとしては過去最大ではない
• 身代金の支払金額は他のランサムウェアに比べて少ない
• 活動期間がほんの数日
• 複数のバージョンが存在する
  • 一般的に WannaCry と言われているのはWannaCry 2.0のこと
  • この発表でもそうする

使用された脆弱性

• EternalBlue
• DoublePulser

ShadowBrokers

• 脆弱性情報をオークションにかけていた
• 誰も入札しないことに絶望
• NSAがMSに脆弱性の情報を伝えたという報道

ShadowBrokers のオークション#1

• 2016/08
• ディレクトリ構造のスクリーンショットのみ
• ルールが無茶
• 金銭目的ではなくなんらかの政治目的
• 2000円くらいの入札があった

Equation Group

• NSA バックのハッキング集団?
  • 公式には認めていない

流出の経緯

• TSB 自身が「We hack Equition Group」と言っている
• スノーデンがロシアによるハッキング説を唱える
• インサイダー説
  • 元NSA契約社員が気密情報窃盗の疑いで逮捕されいてる
  • ツール以外にも核兵器文書などはリークされている
• カスペルスキー製品によってNSA機密情報おがロシアにリークされた説
  • 関係ない?

メディアの取り上げ方

• クロ現で取り上げられた
  • 暗号関係なくね?
• シャドウブローカー日本人説?

NSAからMSに情報提供?

• MSが2月の月例パッチを延期
• 4月にFuzzBunchを公開
  • すべての脆弱性に修正プログラムは提供済

感染の流れ

• MS17-010の脆弱性をチェック
• パッチ未適用なら感染処理
  • DoublePulsar が存在すればそれを通じて感染
• 実際の処理は結構複雑

DoublePulsar の感染状況

• すでにの感染端末が多数
• 445 ポートが空いている機械の 1/100
• MS17-010 が適用済でも DoublePulsar が存在すれば感染する
• 一度でも感染すればバックドアが仕掛けられている可能性がある

EternalBlue の悪用

• WannaCry の前にも少なくとも5つのグループが使っていた

WindowsXPについて

• 5/15 の報道 *「XPの脆弱性」という取り上げられ方
• シマンテックCTOが「初期感染時にXPにパッチがなかったから」と米下院の公聴会で発言

NHS騒動

• 9割のコンピュータが XP という報道
  • その後NHS のプレスリリースで 4.7% コンピュータがXP
  • 9割というのはXPが1台でもあるというアンケートの結果の読み間違え
• Sophos のWebページから NHS の文字が消える
  • なぜかそれ以降株価上昇

WannaCry は XP を狙ったものか?

• ハニーポットに XP を設置しても感染しない
• Win 7がほとんど
• ごく少数の XP 感染例は、別のルートで感染したのではないか? by Sophos
• マニュアルで実行すればどの OS でも感染する
  • SMB (EternalBlue) 経由では XP は Blue Screen になる
• SMB 経由での感染対象は Win 7, 2008 Serverのみ

XP/2003 向けの緊急パッチは無駄だった?

• ブルースクリーンでも大きな影響
• 亜種が出る可能性
• XP にしか感染しないという誤解を招いてしまった

誤解の余波

• XP 向けのパッチを3月に提供しなかったMSが非難される
• XP を使い続けている企業を非難
• 問題は、パッチが提供されているのにそれを適用しない姿勢

噂、勘違い

• WannaCry には EB,DP のソースコードが流用された?
  • そもそもソースは公開されていない
• Metasploit のコードが流用された?
  • 4月に eternalblue_doublepulsar.rb コードが公開されている
  • 中で WINE で win 実行ファイルを呼んでいるだけだった
  • 5/14 に pure ruby のコードが公開　

Kill Switch

• マルウェアにハードコードされたURLに接続を試みる
• URLが存在したら活動停止
• 気がついたセキュリティ研究者がドメインを登録
• 72万件のユニークIPがあった
• チェックは最初の1回のみ
  • すでに感染した WannaCry の活動は停止されない
• Proxy には非対応
  • FW でブロックしている場合は一時的に許可するように設定
  • 内部向けDNSでそのドメインを登録
• 拡散しすぎて制御が効かなくなった場合の最終手段
  • 特定地域の感染を避ける
  • サンドボックスの解析回避

発見の経緯

• MalwareTech さん
• サンプルを入手して動作解析
  • 登録されていないドメインへのDNS問合せを観測
• ドメイン登録してリクエストを解析
  • アクセスマップを作成(たぶんこれが目的)
  • 感染を助長したのではと疑われる
• Darien Huss さんがキルスイッチであることを発見

綴の違い

• Wanna Decrptor 1.0
• Wana Decrypt0r 2.0
• 検索したのはおそらく被害者か犯人

異なるKillSwitch ドメインの亜種

• WannaCry の出現から7-8時間後に KillSwitch のドメインが登録された
• 亜種がいくつか確認されている
• 桁数が同じ、共通する部分が多い
  • バイナリエディタでパッチした?
• 最初のKillSwitchドメインにDDoSが行われている

MalwareTech氏

• ご褒美で会社よりラスベガス旅行をプレゼント
• 帰りに別のマルウェア配布容疑でFBIに逮捕

KillSwitch 無効の亜種

• 有効なのは拡散処理のみ
• ランサムウェア機能だけ動作させてKillSwitchのないものを発見したと勘違いした人が多かった
• 5/14 23:19 VirusTotal でバイナリパッチにより無効化したものが発見される
  • どこの研究者が冗談でアップされたのではないか?
• ドメインチェックするが結果を無視する検体が発見
  • VirusTotal にアップされてからハニーポットで検出されるまで1日半

感染経路

• SMBのみ
  • メール経由の感染はない
• 「不審メールに注意」というメディアの報道が数多い
  • IPA の注意喚起の影響か?
  • 英語圏ではメールにフォーカスした報道はない
• 5/17 になって IPA がネット経由に重点を置く内容に訂正
• なぜ勘違い?
  • WannaCry 1.0 はメール経由での感染があったから

どうすればよかったか

• proxy 経由でKSドメインにアクセスできるようにする
• 内部DNSでも可
• KS無効版が出るまで5日あったので、初動としてはKS対策は有効

身代金の支払い

• 338件 14万ドルの支払いがあった
• WannaCry 以前にも BitCoin のランサムウェア支払いは多くあった
• 被害者毎に異なる BitCoin アドレスが支払先となる
  • だれが支払ったか分かるように
  • 実際にはコードがバグっていてハードコードされた3件のどれか

暗号化

• ファイルの暗号化は共通鍵
• それを公開鍵暗号方式で暗号化したファイルが被害者側に置かれる
• バグによって誰の鍵か分からないので復号は行われない
  • 13時間後に呼び出し順を変更した版が出たが、これに感染したものはほとんど無いと思われる

メッセージ

• 支払い手順を示したメッセージが WannaCry に表示された
• その手順であれば復号化可能
• すでに支払っていた場合は?
  • チャットで確認するしかない

QUARTZ の実名記事

• ある人
  • BItCoin で支払った
  • 「支払いが確認されない」というメッセージ
  • 支払ったので復元してくれと毎日5〜6回 Contact USからメッセージを送り続けた
  • 最終的にすべてのファイルが復元できた
• 別の人
  • 支払わなかったが同様に Contact US からメッセージを送り続けた
  • 最終的にすべてのファイルが復元できた
• WannaCry にバグがあったため対象者を特定できなかったせい

目的の推測

• 6 月には C&C サーバがダウンして復号鍵を受け取ることはできなくなった
• WannaCry は破壊活動を目的としたものという人がいる
• 支払われた BItCoin はすべて換金されている
• 金銭目的が主目的と思われる

復号ツール

• メモリ上の鍵ペアの素数が残っているかも
  • そこから秘密鍵を生成する
• メモリが残っている可能性は実際には非常に少ない

ファイル復元ソフト

• WannaCry ランダムな値で上書きしたあと削除
  • デスクトップとマイドキュメントのみ
• それ以外の場所のファイルは単なる削除
  • ファイル復元ソフトで復元できる可能性がある

犯人の秘密鍵のリリースの可能性

• 将来犯人の秘密鍵がリリースされる場合がある
  • 別案件では実例がある
• 00000000.key もバックアップしておかないと鍵は復元できない

Lazarus Group

• Google のエンジニアが WannaCry との初期バージョンコードの類似性を指摘
  • 最新版からは共通部分が削除されている
  • 共通のネットワークインフラを使っている
• IP アドレスは既知の情報
  • 勝手に乗っ取られているだけ?
• 北朝鮮との結びつきを否定する主張もある
  • 過去の Lazarus の攻撃に比べて WannaCry 初期バージョンは稚拙
  • 弾道ミサイル発射成功のニュースが覆い隠された
  • 後ろ盾である中国・ロシアの被害が多い
• WannaCry に使用されているメッセージ
  • 中国語から英語に翻訳、英語から25 の言語にさらに翻訳されたとの報道

まとめ

• WannaCry に限ったことではなく、不正確な情報が多数流れている
• 程度の差はあれ他の事例でも同様
• 専門家が発信する情報でも偏りがある可能性がある
• まずは「疑ってかかれ」