最近のマルウェア事情: WannaCry、DoublePulsar、EternalRocks

こんにちは、ローグウェーブの柄澤です。日本でもWannaCryなどのランサムウェアやマルウェアが一般メディアでも話題になりました。おなじみOSSアーキテクトのAndrew Pomponioが最近のマルウェア事情をまとめましたのでご紹介します。

blog.klocwork.com

ソフトウェアセキュリティや脆弱性の世界ではニューストピックに事欠かず、先週もその状況は変わりません。今回のブログでは、数か月前に流出したNSAツールを利用した2つのマルウェアについて説明します。

WannaCryについては無数のブログが書かれています。この脆弱性は、昨年4月にShadow Brokersに記載された、流出したNSAツールのうちの2つを使用しています。流出した7つのツールのうち、WannaCryが必要としたのはEternalBlueとDoublePulsarだけでした。 EternalBlueは、Microsoftのサーバーメッセージブロック(SMB)プロトコルを利用(エクスプロイト)します。 WindowsのSMBv1は攻撃者から特別な細工をしたパケットを受け取り、ターゲットシステム上でコードを実行できるようにします。

DoublePulsarは一種のバックドアで、わずか数週間でWindowsマシンが20万台以上も感染しました。DoublePulsarはカーネルモードで動作し、攻撃者にシステムの高度な制御権を与えます。ping、kill、execが実行可能になり、このexecを使ってマルウェアをターゲットシステムにロードするために使用されます。

EternalRocksは進化したマルウェアの最新型です

WannaCryについてもっと知りたい場合は、ググることをお勧めします。ここではWannaCryからより新しいマルウェアに話題を進めます。WannaCryはShadow Brokersツールキットの2つを使用しましたが、EternalRocksは7つを使用しています。お分かりでしょうか、7つです！WannaCryは単にSMBv1をエクスプロイトしただけですが、EternalRocksはSMBv1から3までと、SMB偵察ツールSMBTouch、インターネット上で開いたSMBポートを狙うための有名なツールArchTouchをターゲットにしています。 DoublePulsarも同様に利用されています。 EternalRocksは専門家の目を欺くためにWannaCryとして偽装する方法を見つけました。使用しているツールの数の他に異なる点は、EternalRocksの場合侵入されたシステムの制御を取得し、将来の攻撃に備えて潜伏することです。

DoublePulsarはも、同じLAN上の他のシステムにワームを広めるために使用されます。 UpdateInstaller.exeとtaskhost.exeを実行することによりEternalRocksのインストールが開始されます。 24時間が経過すると、EternalRocksはコマンドと制御を担うサーバーに対して応答し、このサーバーは先述の7つのSMBエクスプロイトツールを送信します。svchost.exeプロセスを利用してTorをダウンロードし、ubgdgno5ewkhmpy.onionとともにインストールします。ひとたびエクスプロイトがインストールされると、EternalRocksはWANをスキャンして、SMBポートが開いているコンピュータを探します。