この数か月、サイバーセキュリティの世界は、悪名高いWannaCryランサムウェア攻撃のために、騒々しかった、といえます。この攻撃は、大規模に拡散したのですから。Shadow Brokersと呼ばれるハッカー集団によってリークされた、NSAエクスプロイトの公開後から、この被害の拡大が始まりました。世界中のパッチの当てられていないシステムを標的にして、150か国に被害は拡大しました。WannaCryランサムウェア攻撃には、EternalBlueと呼ばれる、エクスプロイトが利用されました。このエクスプロイトのワームライクな機能は、WindowsのSMBプロトコル経由で、接続されたコンピュータに拡散し、致命的なインパクトをもたらしました。マイクロソフトのMS17-010セキュリティ情報は、この特別な攻撃によって悪用される脆弱性について言及していました。

このブログの寄稿は、攻撃の時間軸と、最近の調査についての洞察であります。

どのように発生したのか?

2017年4月8日、NSAから流出したエクスプロイトは、Shadow Broker groupによって公にされてしまいました。その1週間後、マイクロソフトは、NSAから流出したエクスプロイトに対抗する、脆弱性パッチを公表しました。WannaCryランサムウェア攻撃で使われたエクスプロイトは、2017年3月14日にリリースされたMS17-010セキュリティ情報でパッチをあてられていました。上記Fig 1の時間軸で明白なとおり、Quick Heal と Seqrite製品は、WannaCryが最初に報告される前に、EternalBlue及びその他のエクスプロイトを、IDS/IPS機能で検知防御できていました。Quick Heal セキュリティラボは、2017年5月13日には、この障害についてIDS/IPSに基づくアドバイスをリリースしています。

IDS/IPS検知に加えて、Quick Heal と Seqrite製品に実装されているその他の検知技術によって、WannaCryランサムウェアは検知可能であることがわかりました。これは、Quick Heal と Seqriteがこのようなシビアな攻撃に対して、いかに多層防御セキュリティ製品として、優秀かを表しています。以下で言及している機能は、この攻撃に対処する重要な機能となります。

  • (ネットワークベース検知)IDS/IPS機能
  • (ホストベース検知)アンチウィルス機能
  • (ホストベース)ふるまい検知システム
  • (ホストベース兼ランサムウェア検知に特化)アンチランサムウェア機能

上記機能とは別に、バックアップ&リストア機能は、重要データをマシン上にバックアップする際には有用なツールであります。

まだ続くWannaCryランサムウェア攻撃

WannaCry攻撃が始まって1か月あまり、まだこの攻撃は検出され続けています。これは明らかにパッチが当てられていないマシンが存在していることの証左といえます。初期のWannaCryランサムウェア検体に見られた、'kill switch'ドメインにピングを未だに観察できます。

'kill switch'は、WannaCryランサムウェアのハードコードされたドメイン名を参照します。もしまだドメインが生きたまま見つけられれば、WannaCry攻撃は止めることができます。

ピングは、以下の'kill switch'ドメインでみることができます。

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

上記ドメインへのピングの記録は、数の上でそれほど多いわけではないが、それらは、攻撃がまだいきたものであることを示しています。

上記ドメインのパッシブDNSレプリケーションは、以下のようになります:

Shadow Brokerエクスプロイト検知傾向

WannaCryランサムウェア攻撃の直後、エクスプロイトは、EternalRocksや Adylkuzzのような様々な攻撃に組み込まれています。以下はShadow Brokerエクスプロイトの検知傾向です。

今のところ、Shadow Broker exploitは200万件を検出し、週末になると下がる傾向があります。

結論

この記事で指摘しているように、WannaCryランサムウェア攻撃はまだ野に放たれたまま、であるということです。マイクロソフトから提供されるパッチがあるにもかかわらず、リスクにさらされているパッチ非適用のマシンがいまだに数多くあります。Quick Heal および Seqrite製品における多層防御システムは、こういった複雑化する攻撃に対処する強靭な防御を提供します。Quick Heal およびSeqriteユーザは、WannaCryランサムウェア攻撃から防御されています。なにはともあれ、マイクロソフト提供のセキュリティアップデートの適用と、Quick Heal提供の最新のアップデートをあてることを強く推奨します。

こちらもお読みください

http://blogs.seqrite.com/wannacry-ransomware-creating-havoc-worldwide-by-exploiting-patched-windows-exploit/

http://blogs.seqrite.com/ms17-010-windows-smb-server-exploitation-leads-to-ransomware-outbreak/