こんにちは、ローグウェーブの柄澤です。日本でもWannaCryなどのランサムウェアやマルウェアが一般メディアでも話題になりました。おなじみOSSアーキテクトのAndrew Pomponioが最近のマルウェア事情をまとめましたのでご紹介します。
最近のマルウェア事情: WannaCry、DoublePulsar、EternalRocks
ソフトウェアセキュリティや脆弱性の世界ではニューストピックに事欠かず、先週もその状況は変わりません。今回のブログでは、数か月前に流出したNSAツールを利用した2つのマルウェアについて説明します。
WannaCryについては無数のブログが書かれています。この脆弱性は、昨年4月にShadow Brokersに記載された、流出したNSAツールのうちの2つを使用しています。流出した7つのツールのうち、WannaCryが必要としたのはEternalBlueとDoublePulsarだけでした。 EternalBlueは、Microsoftのサーバーメッセージブロック(SMB)プロトコルを利用(エクスプロイト)します。 WindowsのSMBv1は攻撃者から特別な細工をしたパケットを受け取り、ターゲットシステム上でコードを実行できるようにします。
DoublePulsarは一種のバックドアで、わずか数週間でWindowsマシンが20万台以上も感染しました。DoublePulsarはカーネルモードで動作し、攻撃者にシステムの高度な制御権を与えます。ping、kill、execが実行可能になり、このexecを使ってマルウェアをターゲットシステムにロードするために使用されます。
EternalRocksは進化したマルウェアの最新型です
WannaCryについてもっと知りたい場合は、ググることをお勧めします。ここではWannaCryからより新しいマルウェアに話題を進めます。WannaCryはShadow Brokersツールキットの2つを使用しましたが、EternalRocksは7つを使用しています。お分かりでしょうか、7つです!WannaCryは単にSMBv1をエクスプロイトしただけですが、EternalRocksはSMBv1から3までと、SMB偵察ツールSMBTouch、インターネット上で開いたSMBポートを狙うための有名なツールArchTouchをターゲットにしています。 DoublePulsarも同様に利用されています。 EternalRocksは専門家の目を欺くためにWannaCryとして偽装する方法を見つけました。使用しているツールの数の他に異なる点は、EternalRocksの場合侵入されたシステムの制御を取得し、将来の攻撃に備えて潜伏することです。
DoublePulsarはも、同じLAN上の他のシステムにワームを広めるために使用されます。 UpdateInstaller.exeとtaskhost.exeを実行することによりEternalRocksのインストールが開始されます。 24時間が経過すると、EternalRocksはコマンドと制御を担うサーバーに対して応答し、このサーバーは先述の7つのSMBエクスプロイトツールを送信します。svchost.exeプロセスを利用してTorをダウンロードし、ubgdgno5ewkhmpy.onionとともにインストールします。ひとたびエクスプロイトがインストールされると、EternalRocksはWANをスキャンして、SMBポートが開いているコンピュータを探します。
なぜマルウェアが発生し、どのように防ぐのか
壊れたレコードかと思われるでしょうが、再度繰り返します。私たちの結論は、
- システムを最新の状態に保つ
- デフォルトログインではなくパスワードを使用する、あるいは全くログインしないこと。
しかし、この結論では、私は資本主義的な視点を提起したいと思います。
このような醜悪なエクスプロイトが米政府に利用され、私たちの気づかないうちに悪用されていたこの時代に、製品やサービスの質について何を語ることができるでしょうか?私たちがどんなに品質保証に時間をかけても、こうした欠陥を見つけ出してしまうような高度な技術を、私たちの米政府は所有しているのでしょうか?
あるいは、これらの脆弱性は、単に締め切りに追われた複数の部門による不注意な見落としの結果であり、最終的には、株主を満足させるために不完全で不安定な製品が市場に押し出されるのでしょうか?私は常にこうした疑問を熟考していますが、企業の一部であるチームにとって実現不能で不快な作業であるようです。
これらの仮説は、私たちが品質よりも利益を重視する世界に住んでいる限り続くことになるでしょう。
編集後記
いかがだったでしょうか。末尾に突然意外な感情が吐露されてやや驚いた方もいるかもしれません。オープンソースやセキュリティの世界に長年親しんで来たエンジニアにとって、品質保証やコスト、利便性、政府による安全保障(監視)と市民の自由(暗号化)といった諸要素の間のバランスは常に関心事なのでしょう。
ローグウェーブのオープンソース関連のサービスは、Andrew Pをはじめ、すぐれたOSSアーキテクトたちが活躍しています。ご興味がおありの方はぜひご連絡ください。
ローグウェーブ セールスエンジニア 柄澤(からさわ)