マルウェアなんでも雑談掲示板 225911


「WannaCry」は複数経路で侵入

1:管理人です :

2017/05/17 (Wed) 23:10:45

host:*.au-net.ne.jp
http://internet.watch.impress.co.jp/docs/news/1060064.html

(引用)

ランサムウェア「WannaCry」は複数経路で侵入、グローバルIPアドレスの445番ポート直接スキャンも?
2:管理人です :

2017/05/17 (Wed) 23:23:41

host:*.au-net.ne.jp
http://www.itmedia.co.jp/enterprise/articles/1705/17/news058.html

http://blogos.com/article/223033/
(引用)

この程度の攻撃でこれほどの被害が出てしまうとは、なかなか世の中が教科書通りに回ってない証左だろうし、何故そういったシステムが残っているのか、それらが取り残された理由を調べていくと、技術とかサイバーセキュリティーの観点とは別に、予算が逼迫しててシステム更改予算を確保できないとか、当然やるべきことを推進できる人材がいないとか、古いアプリケーションを保守できず互換性のためにセキュリティー設定を弱めざるを得ないとか、PCではなく組み合わせる機器の動作保証がないとか諸々の事情があるだろうし、自業自得だとバカにしたところで改善しない深刻な現実が横たわっている。セキュリティーというと人材育成やら研究開発やら華やかな話ばかりが先行しているけれども、関わったところで儲かりそうもない「取り残されたシステム」の外部不経済をどうしていくかは実に悩ましい。



同感です。

3:管理人です :

2017/05/17 (Wed) 23:28:46

host:*.au-net.ne.jp
http://ascii.jp/elem/000/001/483/1483214/

(引用)

MS17-010では、攻撃者はたった一つのエクスプロイトを悪用するだけでSMBを利用するシステムの権限にリモートでアクセスできるようになります。これは、たった1つのSMBプロトコルの弱点を悪用することで、リモートコードの実行(Remote Code Execution)とローカルでの権限昇格(Local Privilege Escalation)という両方を実行できてしまうということを意味します。ハッキングに利用される有名なツールであるMetasploitのエクスプロイト コードを分析すると、このエクスプロイトは固定のメモリーアドレス(32ビットWindowsの0xffdff000)を持った‘KI_USER_SHARED_DATA’を利用し、ペイロードのコピーと権限の移行を行っていることがわかります。

 ユーザー側のアクションを一切必要せず、システム権限によりリモートで標的となるPCのコントロールを取得することで、攻撃者はネットワーク上の1つのシステムのコントロールを取得し、ローカルネットワーク上でこのマルウェアを拡散させることができます。つまり、この脆弱性に対する対策を実施せず、脆弱性の影響を受けるすべてのネットワーク上のシステムのコントロールを取得できることになります。そして、このシナリオでは、このただ1つのシステムが脆弱性を抱えたすべてのWindowsシステムとMS17-010のパッチを適用していないシステムに対してランサムウェアを拡散させることができます。
4:管理人です :

2017/05/18 (Thu) 11:38:03

host:*.au-net.ne.jp
https://japan.zdnet.com/article/35101337/

興味深い



(引用)

感染先を広げる「ワーム」の部分では、まず感染元端末からネットワーク越しにポート445/TCPを通じて、「MS17-010」で修正されたSMB v1の脆弱性が残る端末を探索する。脆弱性が残る端末が見つかると、SMBのセッションを確立し、感染元端末から脆弱性が残る端末に対してBase64でエンコードされたWannaCryが送り込まれる。この際、脆弱性が残る端末に対して攻撃ツール「EternelBlue」も実行され、MS17-010の脆弱性を突いて、DOUBLEPULSARが仕掛けられてしまう。

 つまり攻撃された端末は、WannaCryだけでなくDOUBLEPULSARにも感染することになり、WannaCryの「身代金要求」の被害に遭う一方で、DOUBLEPULSAR経由によって別のマルウェアに感染させられたり、遠隔操作などをされてしまったりする恐れがある。




5:管理人です :

2017/05/18 (Thu) 22:41:01

host:*.au-net.ne.jp
http://internet.watch.impress.co.jp/docs/news/1060364.html

(引用)
感染経路については、メールを介した攻撃は確認していないという。しかし、一部では、セキュリティが侵害されたウェブサイトが使われたことを示唆する手がかりを得て、現在調査を進めているとしている。そして、WannaCryがこれほど感染を拡大させた理由として、ユーザーの操作を必要とせずにインターネットを介して攻撃を実行可能であることを挙げている。
6:管理人です :

2017/05/18 (Thu) 22:46:30

host:*.au-net.ne.jp
ちょっと脱線しますが



SMB v3の脆弱性について検証してみた
http://qiita.com/umchifre/items/b0a5ab23e855c74abf79
7:管理人です :

2017/05/19 (Fri) 00:45:34

host:*.au-net.ne.jp
https://www.softbanktech.jp/~/media/service/files/information/20170508-01/vulnerability-assessment_20170508-01.pdf

ソフトバンク・テクノロジー株式会社
Copyright © SoftBank Technology Corp. All rights reserved.
Microsoft Windows 製品のSMBv1 サーバーの脆弱性により、リモートから任意のコードが実行可能な脆弱性(MS17-010)
に関する調査レポート
8:管理人です :

2017/05/19 (Fri) 00:56:23

host:*.au-net.ne.jp
http://blog.trendmicro.co.jp/archives/14920

(引用)
【※この際、脆弱性によって DoublePulsar のコードがメモリ中で直接実行され、ファイルとして DoublePulsar が感染端末に存在することはない】

-------------
なるほど。ファイルが存在しないわけだ。


さらに

(引用)

【445番ポートが空いている環境でなければ侵入はありません】
9:管理人です :

2017/05/19 (Fri) 01:02:25

host:*.au-net.ne.jp
http://www.atmarkit.co.jp/ait/articles/0010/07/news002.html

Windowsのポート445(ダイレクト・ホスティングSMBサービス)に注意
10:管理人です :

2017/05/19 (Fri) 02:07:36

host:*.au-net.ne.jp
http://blog.macnica.net/blog/2017/05/wanacry-8ff1.html

ほほう~

(引用)
また、感染端末に常駐するかたちでは配備されないため、端末の再起動でDoublePulsarのバックドアは消滅します。
11:管理人です :

2017/05/19 (Fri) 11:32:13

host:*.au-net.ne.jp
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/051800839/?P=2
(引用)

国内のセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)が5月17日に公開した情報を読んで、この謎が自分なりに氷解した。「インターネットに直接つないでWannaCryに感染したパソコンを、従業員が社内ネットワークにつなぐ」という状況があったと考えられるからだ。

 JPCERT/CCでは、「感染経路の全容を把握していない」としながらも、テザリングなどのモバイル接続でインターネットにつないでWannaCryに感染したケースを確認したとしている。モバイル接続だと、社内ネットワークから接続した場合と異なり、防御が不十分だ。
12:管理人です :

2017/05/19 (Fri) 15:56:27

host:*.au-net.ne.jp
http://japanese.engadget.com/2017/05/18/nsa-eternalblue-wannacry/

(引用)
実際にEternalBlueでバックドアを仕込んだWindows 7 SP1。目に見える変化はまったくない

メモリ上にうまく忍び込んだDoublePulsarは、あたかもSMBの一部のように振る舞い、外部から送られてきたDLLコードをすでに存在する別のプロセスに注入します。目的を達成した後はメモリを消去して痕跡をほとんど残さないため、何の予備知識もなしに攻撃を検出することは、至難の業といってよいでしょう。
13:管理人です :

2017/05/19 (Fri) 16:24:33

host:*.au-net.ne.jp
http://internet.watch.impress.co.jp/docs/news/1060589.html

(引用)
川合氏は、「対策はパッチを当てることにつきる」とし、これができない環境では、SMB v1を無効化することを対策に挙げた。同時に悪用する「SMB v2」については「止めると、さまざまなサービスが動かなくなるため」とした。


Milk王子さんが無効化を解説している
http://ore-sama123.bbs.fc2.com/?act=reply&tid=5646625


英語なので手順を説明しますと、まずはコマンドプロンプトを管理者権限で実行します。次に以下の文字列を入力してEnterを押す。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /d "0" /t REG_DWORD /f

これで無効化できます。

-----------------------------
それにしても。

牛さんが「いつも」苦言を呈している知恵袋の「噴飯」怪答者達のトンデモ怪答語録群に関してですが、「ごみ」ニュティと同じで知恵袋もモデレーターが機能しておりませんのでねえ。「ごみ」ニュティのWSP爺が正々堂々と怪答を便所の落書きしているのと全く一緒でして知恵袋上でも、WSP爺的怪答が投下されているわけです。トマホーク巡航ミサイルなみに。その最たる例は「セキュリティサポートの終了したXPを未だに使っているが、全く感染しない」という自己体験を「すべてのXP環境」に当てはめて熱く騙る「怪答者」達の怪答でしょう。

Kasperskyの回答にありますが「対策はパッチを当てることにつきる」を、今回XP・userさんを含め痛感した人は多かったのではないか?当掲示板回答者陣も知恵袋上で回答する場合、XPを使えといったことは一度もありませんし、サポート切れXPが安全だと回答した回答者陣も、皆無です。「今日は安全だった」けど「明日も安全だ」と言いきれないからです。

本件ランサムウェア感染の詳細が明らかになるにつれ、攻撃者は「企業や組織のXPを狙い撃ちしたんだな」という風に管理人は感じています。なぜならWindows7であればWindows Updateさえ当てておれば攻撃を阻止できた。しかしXP環境に関してはWindows Updateしたくても「それができない」OSだからです。狙うならXP.しかもXPは企業、組織(病院)でも基幹OSとして使われている現役OSです。OSの脆弱性scanが先行し穴を見つけたらBackDoorを仕込む。そしてポート445が開いていることを確認して一連の攻撃を開始した。見事なものですが、「パッチを当てておれば」阻止できた攻撃手法でもあったわけですね。

サポートの切れたOSを使ってはいけない=痛感した日本人は何名いたのでしょうか?

知恵袋を見にいくと「XPは今でも安全だ」と怪答する怪答者の姿が見えませんね。どうしたのからしらん?(爆)

--------------------------------
もっともマイクロソフトの「どさくさに紛れて」Windows10なら安全だPRも、非常に胡散臭い。困った連中だ。というのも本件脆弱性に関しては確かにWindows10は対応しているから問題ない。しかし、Windows10の「home版」はWindows Updateが強制されていてuserさんが任意の時点でWindows Updateを行うことができない「仕様」となっている。ここが問題。windows10 creators updateを適用したuserさんPCにて様々なトラブルが発生しておりクリーンインストールを余儀なくされているuserさんが現実に発生している。このためhome版のuserさんの場合はFreeのsoftwareを使ってWindows Update自体を「阻止」しているuserさんも生まれつつあるが、これを選択するとWindows Update経由でセキュリティパッチを当てることが不可能となり「好ましい状態」ではなくなるわけです。かと言って「様子見」せずにWindows Updateをhome版で強行すると「人柱」にされてしまうわけで、バグが発生して喜んでいるのはマイクロソフトのみであり、バグった側のuserさんは、クリーンインストールも視野にあれこれと修正をする羽目になる。

Windows Update自体をsoftwareを使って停止した「まんま」一定の時間が経過し、OS全体に脆弱性が発生した環境下でWindows10を使用する行為は非常に危険となる。

Windows10なら問題ない「バンザイ、万歳」を連呼しているマイクロソフト本人と、知恵袋の「自慢話爺」のように「のんき」に構えられる能天気が、羨ましいですよ管理人は。


14:管理人です :

2017/05/19 (Fri) 17:01:43

host:*.au-net.ne.jp
http://blogs.mcafee.jp/mcafeeblog/2017/05/
マカフィのブログ

http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-651e.html
15:管理人です :

2017/05/19 (Fri) 20:04:54

host:*.au-net.ne.jp
http://www.newsweekjapan.jp/stories/world/2017/05/192741.php

Windows7のOSシェアを考えればWindows7の感染率が一番大きいのも当たり前かと。
16:管理人です :

2017/05/19 (Fri) 20:19:17

host:*.au-net.ne.jp
http://www.nikkei.com/article/DGXMZO16510220X10C17A5000000/

(引用)

スミス氏は14日のブログへの投稿で「当社はウィンドウズに対する全てのサイバー攻撃を真摯に受け止め、12日以降は今回の事件で影響を受けたお客様の支援に24時間体制で取り組んでいる」と表明。「サポートを終了した古いOSのユーザーを支援する追加措置も決定した。今回の攻撃への対処と影響を受けたユーザーの支援が、当社の目下の最優先事項でなくてはならないのは明らかだ」と強調した

17:管理人です :

2017/05/19 (Fri) 21:42:05

host:*.au-net.ne.jp
https://the01.jp/p0005012/

ぜひ、一読を。非常に興味深い内容。セキュリティ対策vendor製品の脆弱性も見抜かれている。
18:管理人です :

2017/05/22 (Mon) 22:12:50

host:*.zaq.ne.jp
https://japan.zdnet.com/article/35101516/
(引用)

感染先を広げる際は、まずインターネットやローカルネットワーク上でポート445/TCPが開かれた端末へのアクセスを試行する。これに成功すると、接続先の端末にMicrosoftが公開した「MS17-010」などで修正されるServer Message Block(SMB)の脆弱性や、バックドア「DOUBLEPULSAR」の有無を確認する。

 脆弱性やDOUBLEPULSARが既に存在する場合は、DOUBLEPULSARを経由してWannacryを感染させる。脆弱性が存在してもDOUBLEPULSARが無い場合は、「EternalBlue」と呼ばれる攻撃ツールの機能を使ってDOUBLEPULSARを仕掛け、Wannacryを送り込む。

-------------------------------------------------
19:管理人です :

2017/05/22 (Mon) 22:33:35

host:*.zaq.ne.jp
http://itpro.nikkeibp.co.jp/atcl/column/14/090100053/051900247/

深刻ですな
20:管理人です :

2017/05/23 (Tue) 16:35:03

host:*.zaq.ne.jp
http://www.itmedia.co.jp/enterprise/articles/1705/23/news059.html

潜在的脅威は、さらに増しているという。

NSAが「密か」に全世界に対して悪用していた諜報活動用toolが盗み出され、犯罪に転用されるという最悪の事態の幕開け。

比喩でいえば核爆弾などがテロリストの手に落ちて、テロに悪用されはじめているようなものだね。
21:管理人です :

2017/05/26 (Fri) 00:19:55

host:*.zaq.ne.jp
http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/052300002/?P=2

(引用)

自分がインターネットに接続しているかどうか確かめる方法の一つが、実際に存在するドメインにアクセスすること。例えば、URLフィルタリングが実施されている可能性が低く、なおかつWebサイトがダウンしている可能性がない、google.comといった大手サイトにアクセスする。アクセスできない場合には解析用の環境にいる可能性が高いと考えて、ウイルスは活動を停止する。この場合、このウイルスのキルスイッチは、「google.comにアクセスできないこと」になる。

--------------------
高度なマルウエアを感染させ通信を監視すると、マルウェアはまず最初に
❶Googleか
❷マイクロソフトに

アクセスをする。接続が成功すれば「多分このPCは一般人のPCだ」とマルウェアは判断し感染活動を開始するという意味。

追記

TCP Explorer

http://www.umechando.com/software/

簡単に使える通信監視software

ただし、仮想環境化では起動できません。

実環境にランサムウェア等を感染させた上で、通信監視を。

感染成功すると→数秒のみのアウトバウンド通信が行われすぐに消滅し→その後「Google」か「マイクロソフト」へ接続が為される(一般userのPC環境であるか否かを、マルウエアが確認作業をしているため)→マイクロソフトへの接続が成功すると、マルウエアは一般userのPCに感染したと判断し、C&Cサーバーへの通信を開始したり、あるいは社内LAN経由で別PCへの侵入を開始したりする。

22:管理人です :

2017/06/03 (Sat) 20:25:17

host:*.zaq.ne.jp
http://ore-sama123.bbs.fc2.com/?act=reply&tid=5644545

参考に

  • 名前: E-mail(省略可):
  • 画像:

Copyright © 1999- FC2, inc All Rights Reserved.