Petya Ransomwareを使用した攻撃を取り巻く脅威状況に関する最新情報

This post is also available in: English (英語)

概要

このUnit 42のブログでは、ウクライナや他のヨーロッパの地域に影響を及ぼすPetya Ransomwareを使用した攻撃を取り巻く脅威状況に関する最新情報を提供しています。

何が起こったか：

2017年6月27日、Microsoft Windows SMBプロトコルを使って広まっているPetyaマルウェアの新しい亜種を認識しました。マルウェアは ETERNALBLUE エクスプロイトツールを使用してこれを実行しているようです。これは、2017年5月にグローバルに感染を広げた WanaCrypt0r / WanaCryマルウェアと同じエクスプロイトです。政府や重要インフラ事業者を含む複数の組織がネットワーク停止を報告しています。

パロアルトネットワークスは、Petyaに関するブログ・ポストで、この脅威に関する防御に関するパロアルトネットワークスの防御について解説しています。

Windowsユーザーは、自分自身を保護するために以下の一般的な手順を実行する必要があります。

• MS17-010でセキュリティ更新プログラムを適用する
• TCPポート445でインバウンド接続をブロックする
• 感染が発生した場合、データを復元できるように、適切なバックアップを作成し、維持する

これは発展途上の状況です。新しい情報が入手可能になると、このブログが更新されます。 AutoFocusユーザーは、Petyaタグを使用してサンプルを表示できます。

攻撃の概要

Petyaは、ウィンドウのシステムのマスターブートレコード（MBR）を変更するランサムウェアファミリで、システムがクラッシュします、。ユーザーがPCを再起動すると、変更されたMBRによってWindowsのロードが妨げられ、代わりに被害者からの支払いを要求する身代金の支払いを要求するメモが表示されます（図1）。

最新のPetyaランサムウェアのバージョンは Windows SMB に広がっており、CVE-2017-0144を利用し、2017年4月にShadow Brokers グループによって最初にリリースされた ETERNALBLUE エクスプロイトツールを使用しているとされています。

システムが危険にさらされた後、被害者は特定の Bitcoin アドレスに Bitcoin で 300 ドルを送ってから、被害者の Bitcoin  ウォレット ID を記載した電子メールを wowsmith123456 @ posteo [.]net に送信して個々の復号鍵を取得するよう求められます。 6 月 27 日 16:00 UTC 時点で、攻撃者のウォレットには 13 件の支払いが行われています。

攻撃ライフサイクル

私たちは、Petyaの攻撃ライフサイクルがどのように機能するかに関して以下の情報を認識しています。

配布/悪用

我々はまだこの新しいPetyaの亜種の初期感染ベクターを確認していません。以前の亜種は電子メールで配信されましたが、電子メール関連の攻撃でこの最新のサンプルが特定されていません。 我々は、6月27日の朝、ウクライナのTaxソフトウェアパッケージが改ざんされ、Petya DLLが配布されたのではないか、という推測をされているのを見ました。この感染ベクターは、ウクライナにおける感染の高濃度を説明するものですが、我々はこの情報を独自に確認することはできませんでした。

インストール

このPetyaの変種は、システム上で動作する前に別のプロセスによって実行されなければならないDLLファイルとして拡散されます。実行されると、マスターブートレコードが上書きされ、システムを再起動するためのスケジュールされたタスクが作成されます。システムがリブートすると、マルウェアはビットコインで300ドルの支払いを要求する身代金メモを表示します。

コマンドアンドコントロール

Petyaには私たちが知っているコマンドと制御の仕組みは含まれていません。ホストが感染した後、マルウェアから攻撃者への通信はありません。

内部拡散

Petyaは、3つのメカニズムを使用して追加のホストに感染を広げます。

• Petyaはローカル/ 24　の範囲のIPをスキャンして他のシステムのADMIN $共有を列挙し、そのホストに自身をコピーし、PSEXECを使用してマルウェアを実行します。これは、感染したユーザーがファイルを書き込み、共有をホストしているシステムでファイルを実行する権利を持っている場合にのみ可能です。
• Petyaは、Windows Management Instrumentationコマンドライン（WMIC）ツールを使用して、ローカルサブネット上のホストに接続し、それらのホスト上でリモートで実行しようとします。 Mimikatzを使用して、感染したシステムから資格情報を抽出し、それらを使用してターゲットホスト上でマルウェアを実行することができます。
• Petyaは、最終的にローカルサブネット上のホストに対してETERNALBLUEエクスプロイトツールを使用しようとします。これは、ターゲットホストにMS17-010パッチが展開されていない場合にのみ成功します。

結論

Ransomwareの攻撃は非常に一般的ですが、マルウェアがネットワークワームとして広がる可能性のある攻撃とはめったに結びついていません。 2017年5月のWannaCry攻撃では、この脆弱性に対して多くのWindowsシステムにパッチが適用されていないことが実証されました。この脆弱性を利用したPetyaの普及は、WannaCryに注意を払っても、多くの組織が依然として脆弱である可能性があることを示しています。 ご質問がございましたら、ライブコミュニティの脅威と脆弱性に関するディスカッションにお越しください。

本稿の変更履歴

• 2017年6月27日 初版
• 2017年6月27日 1:08 PM PT
  • 更新された配布/悪用セクションには、侵害されたウクライナ税ソフトウェアパッケージによる配布に関する憶測が含まれています。
  • Petyaの普及に使用される追加のメカニズムを説明するために、「内部拡散」セクションを更新しました。