ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2017-06-27

ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「NotPetya」についてまとめてみた

| 02:22 | ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「NotPetya」についてまとめてみたを含むブックマーク

2017年6月27日頃からウクライナロシアの他、世界中でサイバー攻撃が発生したと現地メディア等により報じられています。各地で確認されたサイバー攻撃ランサムウェアによる影響を受けたものとみられています。ここでは関連情報をまとめます。

注意喚起等

インシデントタイムライン

NotPetya、ウクライナ、M.E.docの動きをまとめると次の通り。

日時出来事
2017年4月14日M.E.docがアップデート(10.01.175-10.01.176)。アップデートファイルにバックドアが混入していた恐れ。
2017年5月15日M.E.docがアップデート(10.01.180-10.01.181)。アップデートファイルにバックドアが混入していた恐れ。
2017年5月17日何者かにより別のランサムウェア「XData」がM.E.docのサーバーを通じて拡散された。
2017年5月31日M.E.docのサーバーPHPのWebShellが設置された可能性。
2017年6月22日M.E.docがアップデート(10.01.188-10.01.189)。アップデートファイルにバックドアが混入していた恐れ。
2017年6月26日WannaCryに類似したランサムウェア「FakeCry」がM.E.docのサーバーを通じて拡散された。
2017年6月27日M.E.docのサーバー管理者権限が何者かにより奪取される。
同日ウクライナロシアを中心に世界各地でNotPetyaに感染し被害を受ける報告が多数。
2017年6月28日ウクライナ警察がM.E.doc経由で感染が広まった可能性があると報告。
2017年7月1日ウクライナ保安庁がNotPetyaに関連する攻撃にロシア政府が関与したと発表。
2017年7月4日ウクライナ保安庁M.E.doc開発会社のサーバーを差し押さえ
同日ランサムウェアの振込先アドレスからこれまで振り込まれていたBitcoinが移動される。
同日NotPetyaで暗号化されたファイルの復号鍵を100Bitcoin支払えば公開する等とテキストサイトに掲載された。
同日掲載文で示されていたチャットルーム上でMotherboardの記者がハッカーの一人と接触し、試験的に暗号化されたファイルの復号に成功したことを確認した。

確認されているマルウェア「NotPetya」

今回のマルウェアは過去に確認されていたNotPetyaとコードや挙動が似ていることから、そのまま、あるいは似た名前で呼ばれている。*1 一連の攻撃の詳細や被害の実態が明らかになってきたことから、ランサムウェアとは異なったもの(ワイパー)であると評価する組織もおり「Not」や別名で呼ぶ動きがある。

今回確認されているマルウェア呼称の一覧

NotPetyaに関連する呼称

  • Petya
  • Petna
  • Pnyetya
  • Petrwrap
  • ExPetr
  • NoPetya
  • NotPetya
  • Nyetya
  • SortaPetya
  • GoldenEye

バックドアに関連する呼称

  • Telebots
  • ZvitPublishedObjects.dll
NotPetyaの感染対象
復号ツール
  • 2017年6月28日時点で存在せず。

1.初期の感染経路

次の2つの感染経路に係る情報が出回っていたが、その後の調査によりM.E.doc経由によるものが有力とみられている。

メール経由の攻撃に係る情報
M.E.docの更新機能経由の攻撃に係る情報

M.E.docに係る基本情報

M.E.docのFacebook上で関連情報が投稿されている。

富士通UKがM.E.docのサーバーに対してPortScan等を行った結果を公開している。

  • FTP,SSHのサービスが稼働していた。
  • FTPProFTPD 1.3.4.c。2年以上経過したバージョンで脆弱性が存在する。
  • SSHはOpenSSH v.5.4。複数の脆弱性が存在する。

WebShellが稼働していた可能性

ウクライナ国内のWebサイトを通じた水飲み場型攻撃に係る情報

2.ランサムウェアの機能

実行から暗号されるまでの流れは次の通り。

  • 実行はrundll32.exeを使用して起動する。

rundll32 "NotPetya本体", #1

内包されたリソース

次の4つのリソースが存在し、Zlibにより圧縮されている。

暗号対象の拡張子

.3ds,.7z,.accdb,.ai,.asp,.aspx,.avhd,.back,.bak,.c,.cfg,.conf,.cpp,.cs,.ctl,

.dbf,.disk,.djvu,.doc,.docx,.dwg,.eml,.fdb,.gz,.h,.hdd,.kdbx,.mail,.mdb,.msg,

.nrg,.ora,.ost,.ova,.ovf,.pdf,.php,.pmf,.ppt,.pptx,.pst,.pvi,.py,.pyc,.rar,.rtf,

.sln,.sql,.tar,.vbox,.vbs,.vcb,.vdi,.vfd,.vmc,.vmdk,.vmsd,.vmx,.vsdx,.vsv,.work,.xls,.xlsx,.xvd,.zip

https://blog.comae.io/byata-enhanced-wannacry-a3ddd6c8dabb
暗号化方式
身代金のやり取り

停止されたメールアドレスの他に連絡先が存在するとの情報がある。

3.ワームの機能

拡散方法

確認されている拡散方法は次の通り。

実行優先順位名前概要
PsExecによる拡散現在のユーザーのWindowsトークンを使用して特定のコマンドを実行する。$admin共有を探査。マルウェア自身のコピーをネットワーク上で実行。新しくコピーしたマルウェアをPsExecを使用してリモート実行する。
WMIによる拡散現在のユーザーのトークン(既に接続している場合)、またはユーザー名、パスワードを使用して特定のコマンドを実行する。
ETERNALBLUE /EternalRomanceによる拡散WannaCry等で用いられていたETERNALBLUE Exploitを使用する。ETERNALROMANCE (CVE-2017-0145)も使用する。
実行されるコマンド

PsExec、WMIで実行されるコマンドは次の通り。

  • PsExec

C:\WINDOWS\dllhost.dat \\w.x.y.z -accepteula -s -d C:\Windows\System32\rundll32.exe C:\Windows\perfc.dat,#1

http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
  • WMI

Wbem\wmic.exe /node:"w.x.y.z" /user:"username" /password:"password" "process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\perfc.dat\" #1"

http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html

4. その他の機能、関連情報

ログ削除機能
  • マルウェアには感染させたWindowsのイベントログの削除機能がある。次のコマンドが呼び出され削除される。

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:v

削除されるイベントログ等は次の5つ。

感染を防ぐ手段
  • 特定のフォルダ「C:\Windows」に特定のファイル名(perfc.)を読み取り専用で作成しておくことでマルウェアは動作せずに終了する。

関連ツイート

5.バックドアの関連情報

次の情報を窃取する。

  • M.E.docの公式サーバー「upd.me-doc.com[.]ua」に窃取した情報を送信する。

6. 報道、報告されている被害の状況

サイバー攻撃を受けたとして報道や情報が出ている組織は次の通り。但し、これらが全て同じランサムウェアによるものかは不明。

ウクライナ

ウクライナで影響が出たと名前が出ている個所は次の通り。

政府自治体ウクライナ政府エネルギー・石油産業省、総務省Webサイトで接続障害発生。
キエフ市役所
金融ウクライナ中央銀行:国内の金融機関感染事例を確認。問題はその後すぐに対応されたとの見解。
・Oschadbank
・Sberbank
・TASKomertsbank
・Ukrgasbank
・Pivdenny
・OTP Bank
・Kredobank
交通Boryspil国際空港:電光掲示板等で障害発生。28日もチェックイン、離着陸表示等手動対応。*4
キエフ地下鉄*5
ウクライナ鉄道
放送・Era-FM
・Football.ua
STB
・TV Channel 24
・Radio Lux
・Radio Maximum
・KP in Ukraine
・TV channel ATR
・Korrespondent.net
・Epicenter
・Arcelor Mittal
・Ukrposhta
電力・Kyivenergo:電力供給への影響は生じていない模様。
・Dniproenergo
・Zaporizhyaoblenergo
・チェルノブイリ原子力発電所:放射線自動監視システムの一部が停止したため手動切り替え。*6
流通・スーパー Kharkov*7:支払いに銀行カードが利用できなくなった。*8
他大手航空機製造 Antonov
Nova Poshta:ネットワーク内で感染が確認された後サービスが停止した。*9
・Naftogaz Ukraine DTEK
・Kyivvodocanal
・Novus
・Ukrposhta
通信・Ukrtelecom
・Lifecell
・Kyivstar
Vodafone Ukraine
医療・Farmak
Boris clinic
・Feofania Hospital Corporation Arterium
ガソリンスタンド・WOG
・Klo
TNK
その他

ウクライナ以外でも被害や影響を受けたと情報が出ている。

ロシア国営石油 Rosnoft:生産工程管理を予備システムへ切り替え石油生産への影響なし。*10
石油中堅 Bashneft:Webサイトで接続障害発生
政府ネットワークがダウン。
鉄鋼メーカー Evraz:ITシステムが被害を受けたが生産量への影響無し。
デンマーク海運 A.P.モラー・マースク:顧客がオンライン予約不可。社内システムも停止。*11
アメリカ製薬 Merck*12 *13
法律事務所 DLA Piper ワシントンDC事務所*14
Heritage Valley Health System *15
イギリス広告代理店 WPP *16Webサイトで接続障害が発生。従業員向けに無線LAN利用禁止の指示。
Cadbury:オーストラリア タスマニア州チョコレート工場に影響が及んだ。*17 *18 *19
Sea Containers
フランス建材メーカー Saint-Gobain:ITシステムが攻撃を受けた。*20
フランス国鉄 SNCF:運行業務への影響なし。
小売 Auchan Group:ウクライナ子会社の決済端末が攻撃を受けた。店舗閉鎖などはしていない。
金融 BNPパリバ不動産関連子会社が影響を受けていることを確認した。
フランス政府:攻撃を受けたが実害はなかった。*21
ドイツBeiersdorf:IT、電話システムが攻撃を受けた。ハンブルグの本社の他、世界中の関連会社も影響を受けた。
オランダ船会社 TNT:一部システムに影響が及び修復が必要。
スペイン食品 Mondelez:世界的にIT関連機能が停止しているとの声明。*22
インドジャワハルラール・ネルー港湾信託:ターミナルで積み出し、積み入れが不可。Maerskの施設の1つ。*23 *24
オランダAPMターミナル(Maersk所有):運営する17のターミナル(ニューヨークニュージャージーロッテルダム等)で障害。一部港は27日終日の閉鎖。 *25 *26
ノルウェー詳細不明 *27
アルゼンチンロサリオ港:穀物ターミナルで一部配送停止。*28

この他に次の国で攻撃の影響を受けた可能性がある。

同時期に発生したカンタス航空の予約システム(Amadeus)障害はNotPetyaとは関係がないことが確認されている。*29

感染被害測定の状況

今回のマルウェアランサムウェア

一部のベンダ(Kaspersky等)は今回のマルウェアランサムウェアではなく、ワイパーの可能性があると指摘している。

Kasperskyがあげている理由
  • 身代金の支払いをしても復旧することが難しい実装となっている。
  • 身代金画面に表示されるID(Installation key)は単なるランダムなデータであり、これを使って復号することはできない。

被害報告の関連ツイート

メール経由の攻撃を修正したベンダ

While research is ongoing at this stage of the investigation, we can verify at this point that the ransomware exhibits worm-like (ransomworm) behavior due to its active probe for an SMB server, and that it appears to be spreading through EternalBlue and WMIC. Researchers initially believed that the Petya/NotPetya ransomworm was transmitted to its first victims through emails containing infected Microsoft Office documents that exploited CVE-2017-0199. While we are still working to confirm this, applying the appropriate MS Office patch to your system(s) will protect you from this attack vector.

各国・関連組織の動き

アメリカ
ウクライナ
ロシア
EUROPOL

分析レポート

検体関連情報

検体サンプル
通信先と見られるIPアドレス

次の通信先に接続しているとの情報があります。

  • 84[.]200[.]16[.]242
  • 95[.]141[.]115[.]108
  • 111[.]90[.]139[.]247
  • 185[.]165[.]29[.]78
ランサムウェア取引先アドレス

更新履歴

*1:ここでも「NotPetya」として記述しています。

*2https://twitter.com/dellcam/status/879744405040771072

*3露企業など80以上ウイルス感染…サイバー攻撃,読売新聞,2017年6月28日アクセス

*4サイバー攻撃の被害、ウクライナが最大か 過去にも標的,朝日新聞,2017年6月29日アクセス

*5https://twitter.com/kyivmetroalerts/status/879670749149245440

*6大規模サイバー攻撃、チェルノブイリ原発も被害,日本経済新聞,2017年6月28日アクセス

*7https://twitter.com/golub/status/879707965179088896

*8欧米で再び大規模なサイバー攻撃 ウイルス注意呼びかけ,NHK,2017年6月28日アクセス

*9https://www.facebook.com/nova.poshta.official/photos/a.409208275835344.96865.405543306201841/1392073604215468/?type=3

*10再び大規模サイバー攻撃、欧米企業など被害 先月の攻撃と類似も,Reuters,2017年6月28日アクセス

*11https://twitter.com/Maersk/status/879689865184636928

*12https://twitter.com/JackPosobiec/status/879734999196602369

*13https://twitter.com/Merck/status/879716775021170689

*14https://twitter.com/ericgeller/status/879738598244835328

*15Heritage Valley Health System Targeted In Global Cyber Attack,CBS,2017年6月28日アクセス

*16https://twitter.com/WPP/status/879813930901745664

*17Cyberattack Hits Ukraine Then Spreads Internationally,NewYorkTimes,2017年6月28日アクセス

*18Petya cyber attack: Cadbury chocolate factory in Tasmania hit by ransomware,ABC,2017年6月28日アクセス

*19https://twitter.com/LeonCompton/status/879825013439725568

*20https://twitter.com/AnimalDubz/status/879684389860454402

*21チェルノブイリ原発も被害,毎日新聞,2017年6月29日アクセス

*22大規模サイバー攻撃、米国に波及 メルクなど被害,日本経済新聞社,2017年6月28日アクセス

*23大規模サイバー攻撃がアジアに拡大、インドの港湾施設で被害,Bloomberg,2017年6月28日アクセス

*24https://twitter.com/mihirmodi/status/879678870471024640

*25https://twitter.com/OpiniePaultje/status/879680984219779072

*26https://twitter.com/PortNYNJ/status/879749788790435840

*27欧州各国に大規模サイバー攻撃 銀行・空港など被害,朝日新聞,2017年6月28日アクセス

*28欧米で新たな大規模サイバー攻撃−身代金要求型ウイルスが拡散,Bloomberg,2017年6月28日アクセス

*29Australian businesses warned as ‘unprecedented’ cyber attack hits Europe,news.com.au,2017年6月29日アクセス

*30ウクライナ“サイバー攻撃にロシア政府が関与”,NHK,2017年7月3日アクセス

*31大規模サイバー攻撃「ロシアが関与」 ウクライナ保安局,朝日新聞,2017年7月4日アクセス