WannaCry ランサムウェアの攻撃で使われているツールとインフラストラクチャは、Lazarus グループとつながりがあることが濃厚になってきました。Lazarus は、Sony Pictures Entertainment に対して破壊的な攻撃をしかけ、バングラデシュの中央銀行から 8,100 万米ドルを盗み取ったグループです。
5 月 12 日の世界的な大流行以前、今年の 2 月、3 月、4 月には、WannaCry の初期バージョン(Ransom.Wannacry)が、少数ながら標的型攻撃に使われたことがあります。この初期バージョンも、2017 年 5 月に発生したバージョンとほぼ同一ですが、ただひとつ、拡散方法だけが違っていました。シマンテックセキュリティレスポンスのチームが、こうした初期の WannaCry 攻撃を解析したところ、WannaCry を使う今回の攻撃と、Lazarus が引き起こした先の攻撃との間では、使われているツール、技術、インフラストラクチャにかなりの共通点があることがわかりました。WannaCry の拡散に、Lazarus グループが関与している可能性はかなり高いということです。Lazarus とのつながりがあるとは言え、WannaCry の攻撃は国家が関与する活動の特徴を備えておらず、むしろサイバー犯罪活動に通じるものがあります。初期バージョンの WannaCry は、盗み出した資格情報を使って、侵入先のネットワーク上で拡散していました。5 月 12 日から全世界で WannaCry が急速に拡散したのは、流出した悪用コード EternalBlue を使っており、ここが両者の違いになっています。
類似点のまとめ
- 2 月に起きた最初の WannaCry 攻撃に続いて、Lazarus に関連して被害者のネットワーク上で見つかったマルウェアは、Trojan.Volgmer と、Backdoor.Destover の 2 つの亜種、合計 3 種類でした。このうち、Backdoor.Destover が、Sony Pictures への攻撃に使われたディスク消去ツールです。
- Trojan.Alphanc は、3 月と 4 月の攻撃で WannaCry の拡散に使われました。Backdoor.Duuzer を改変した変種であり、Backdoor.Duuzer は Lazarus と関係していました。
- Trojan.Bravonc がコマンド & コントロール(C&C)サーバー用に使っていた IP アドレスは、Backdoor.Duuzer および Backdoor.Destover のときと同じです。Duuzer と .Destover はどちらも、Lazarus とのつながりがあります。
- Backdoor.Bravonc が使うコード不明瞭化の手法は、WannaCry および Infostealer.Fakepude(Lazarus と関係しています)と同じです。
- WannaCry と Backdoor.Contopee とはコードに共通点があり、Contopee はかつて Lazarus グループと関係がありました。
2 月の攻撃
WannaCry が広く使われている証拠をシマンテックが最初に確認したのは、2017 年 2 月 10 日のことです。このとき被害にあった組織は 1 つだけでしたが、最初の感染から 2 分後には、その組織で 100 台を超えるコンピュータが感染していました。
攻撃者は、被害者のネットワークに複数のツールを残しました。これが、WannaCry の拡散方法について、かなりの証拠になっています。mks.exe と hptasks.exe という 2 つのファイル(「付録 C: 侵害指標」を参照)が、感染したコンピュータで発見されました。このうち mks.exe は、Mimikatz(Hacktool.Mimikatz)の亜種で、標的型攻撃に広く使われているパスワードダンプツールです。hptasks.exe はその次に使われます。mks.exe が盗み出したパスワードを使って、ネットワーク上の他のコンピュータに WannaCry をコピーし、実行します。
hptasks.exe による WannaCry の拡散は、2 段階のプロセスで実行されます。第 1 段階では、実行された hptasks に、IP アドレスのリストが引数として渡されます。このコマンドを指定されると、hptasks はあらかじめ cg.wry というファイルから盗み出してあった資格情報を読み込み、それを使って IP アドレス範囲の全コンピュータに接続します。接続の試行はすべて、log.dat にログとして残されます。リモートコンピュータへの接続に成功し、かつ Admin$ フォルダにも C$\Windows フォルダにも .res 拡張子のファイルが存在しなければ、hptasks.exe は表 1 に一覧されているファイルをリモートコンピュータにコピーします。
| ファイル名 |
リモートコンピュータ上の場所 |
タイプ |
| cg.wry |
\\%s\Admin$\、\\%s\C$\Windows\(%s はリモートシステム) |
設定の詳細 |
| r2.wry |
\\%s\Admin$\、\\%s\C$\Windows\(%s はリモートシステム) |
ユーザーに支払い方法を指示するメッセージ |
| t1.wry |
\\%s\Admin$\、\\%s\C$\Windows\(%s はリモートシステム) |
ユーザーへのメッセージ(「Most of your files are encrypted...(ほとんどのファイルが暗号化されています~)」など) |
| taskmsgr.exe |
\\%s\Admin$\、\\%s\C$\Windows\(%s はリモートシステム) |
t1.wry と t2.wry のメッセージを表示するアプリケーション |
| taskschs.exe |
\\%s\Admin$\、\\%s\C$\Windows\(%s はリモートシステム) |
WannaCry 暗号化アプリケーション |
表 1. hptasks.exe によって標的のコンピュータにコピーされるファイル
hptasks.exe がリモートコンピュータ上で WannaCry を実行すると、第 2 段階が始まります。hptasks は、リモートコンピュータ上にインストールされた WannaCry に引数をいくつか渡します。ここに、IP アドレスの新しいセットも含まれています。この IP アドレスを引数として実行されても、WannaCry はローカルコンピュータ上のファイルを暗号化するわけではなく、引数で渡された IP アドレスに接続します。そのうえで、c.wry というファイルの resource セクションに埋め込まれている資格情報を使って、その IP アドレスのコンピュータ上で共有フォルダ Admin$ と C$ にアクセスします。ファイルの暗号化は、この時点でリモートに実行されるわけです。
hptasks.exe と mks.exe に加え、被害にあったネットワークの 2 台目のコンピュータでは、5 種類のマルウェアも見つかりました。そのうち 3 つが、Lazarus グループと関係のあるツールです。3 つのうち 2 つが Destover(Backdoor.Destover)の亜種で、Destover は、Sony Pictures に対する攻撃に使われたツールでした。もうひとつは Trojan.Volgmer で、こちらは以前 Lazarus グループが韓国の標的に対する攻撃に使ったことのあるマルウェアです。
3 月と 4 月の攻撃
3 月 27 日以降、少なくとも 5 つの組織が WannaCry の新しいサンプルに感染しました。狙われた組織は、業種も地理も広範囲にわたっており、一定のパターンは見つかっていないようです。3 月、4 月の攻撃からも、WannaCry を操る攻撃者と Lazarus グループとの間には、関係を示す証拠がさらに発見されています。
まず、このときの攻撃で WannaCry の配置に使われたのが、Trojan.Alphanc と Trojan.Bravonc の 2 種類のバックドアでした。Alphanc は、WannaCry をコンピュータに投下する際に使われました。このコンピュータは、確認されている 2 件以上の被害者が所有していたもので、それぞれのコンピュータに少しずつバージョンの異なるマルウェアが配置されています。
Alphanc は、かなりの部分 Backdoor.Duuzer とコードを共有しています。Duuzer は、Sony Pictures への攻撃に使われたディスク消去ツールのサブファミリです(「付録 B: 共通のコード」を参照)。というより、Alphanc は Duuzer の進化形ではないかとシマンテックの調査員は考えています。Duuzer は、Backdoor.Joanap および Trojan.Volgmer の活動にも関与しており、Joanap と Volgmer はどちらも Lazarus グループとのつながりがありました。
シマンテックの研究者は被害者のシステムを 1 台お借りし、Alphanc の活動について詳細なタイムラインを確認することに成功しました。システムに侵入してから WannaCry が配置されるまでが判明しています。
Alphanc の活動のタイムライン
Alphanc は、armsvc.exe として標的のコンピュータに配置され、その数分後には自身を javaupdate.exe という新しい名前でコピーします。ここから実行されるコマンドのサンプルは、次のとおりです。
cmd.exe /c "copy c:\Users\Administrator\AppData\armsvc.exe c:\windows\system32\javaupdate.exe > C:\Users\REDACTED\AppData\Local\Temp\NK15DA.tmp" 2>&1
数分後に、mks.exe が作成され、実行されます。これは、2 月にあった WannaCry の攻撃で使われたのと同様、資格情報をダンプするツールです。3 日間は何も活動がありませんが、それが過ぎると攻撃者は舞い戻ってきて、一種の RAR を配置し、パスワード保護されたアーカイブを作成します。次の瞬間、g.exe というネットワークスキャナが実行されます。これによって DNS 参照が実行され、攻撃者が選択した IP アドレス範囲にある全 IP アドレスが検索されます。目的は、狙うコンピュータを特定することでしょう。再び 2 日間の活動停止があり、それが終わると攻撃者はローカルネットワークの調査を始めます。ここで使われるコマンドは、たとえば次のとおりです。
cmd.exe /c "net view > C:\Users\REDACTED\AppData\Local\Temp\NK2301.tmp" 2>&1
cmd.exe /c "net view /domain > C:\Users\REDACTED\AppData\Local\Temp\NK6C42.tmp" 2>&1
cmd.exe /c "time /t > C:\Users\REDACTED\AppData\Local\Temp\NKC74F.tmp" 2>&1
次に、javaupdate.exe によって taskhcst.exec が作成されます。これが、WannaCry ランサムウェアです。.exec 拡張子が、以下に示すように .exe に変更されます。これは、準備のできていないファイルを攻撃者が誤って実行してしまうことを避けるための安全策だろうと考えられています。
cmd.exe /c "ren C:\Windows\taskhcst.exec taskhcst.exe > C:\Users\REDACTED\AppData\Local\Temp\NK833D.tmp" 2>&1
およそ 45 分後、攻撃者はバックドア javaupdate.exe をリモートコンピュータにコピーします。bcremote.exe というファイルも、同じコンピュータにコピーされます。これは、2 月の攻撃で hptasks.exe と呼ばれていたのと同じツールで、WannaCry をネットワークに拡散するために使われます。このファイルの設定ファイルがコピーされ、最終的には WannaCry 自体も次の場所にコピーされます。
cmd.exe /c "net use \\REDACTED\ipc$ REDACTED /u:REDACTED > C:\Users\REDACTED\AppData\Local\Temp\NK2E.tmp" 2>&1
cmd.exe /c "copy c:\windows\system32\javaupdate.exe \\REDACTED\c$\windows\javaupdate.exe > C:\Users\REDACTEDAppData\Local\Temp\NK3E49.tmp" 2>&1
cmd.exe /c "copy c:\windows\beremote.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK4DD5.tmp" 2>&1
cmd.exe /c "copy c:\windows\c.wry \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7228.tmp" 2>&1
cmd.exe /c "copy c:\windows\taskh*.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7DCF.tmp" 2>&1
同じプロセスが、ネットワーク上の 2 番目のサーバーでも実行され、bcremote.exe が実行されると WannaCry がネットワークじゅうに拡散していきます。
Trojan.Bravonc
Trojan.Bravonc の動作については、まだあまり詳しくわかっていませんが、他の 2 つ以上の標的が所有するコンピュータに WannaCry を投下するために使われます。また、Lazarus グループとの関係がかなり歴然としているリンクを表示します。
接続先のコマンド & コントロール(C&C)サーバーは、IP アドレスが 87.101.243.252 で、これは Lazarus のツールとして知られている Destover のサンプルが使う IP アドレスと同じでした。この IP アドレスは、Blue Coat のレポート『From Seoul To Sony(ソウルからソニーへ)』(英語)でも指摘されています。
Duuzer も、C&C サーバーとしてこの IP アドレスを使うことが確認されています。Bravonc と、Destover の亜種は暗号化関連のコードも共有しています(「付録 B: 共通のコード」を参照)。しかも、Bravonc の拡散方法(SMB 上で、ハードコードされた資格情報を使う)は、Joanap で使われている手法と同じで、Joanap も Lazarus グループに関係するツールでした。
5 月の攻撃: WannaCry が世界的に流行
そして 5 月 12 日、WannaCry の新しいバージョンが出現します。このバージョンで取り込まれたのが、流出した悪用コード「EternalBlue」でした。Windows の既知の脆弱性(CVE-2017-0144 と CVE-2017-0145)を利用して、被害者のネットワーク上にパッチ未適用のコンピュータがあれば WannaCry を拡散しますが、インターネットに接続されているそれ以外の脆弱なコンピュータにも広がります。
WannaCry が、ごく限られた数の標的型攻撃にしか使われない脅威から一転して、近年まれに見る危険なマルウェアとして猛威をふるうようになったのは、この EternalBlue を取り込んだからにほかなりません。感染してしまった組織だけでなく、コンピュータをオフラインにしてソフトウェアを更新するよう迫られた組織もあったため、被害は多方面に広がりました。セキュリティ系ブログ MalwareTech によってキルスイッチが発見されたおかげで、拡散は止まり、被害にも歯止めがかかりました。
初期バージョンと、5 月 12 日の攻撃に使われた WannaCry は大部分が同じで、最大の違いは悪用コード EternalBlue が取り込まれたことだけです。ZIP ファイルを暗号化するために WannaCry のドロッパーに埋め込まれているパスワードは、どちらのバージョンでも共通しており("wcry@123"、"wcry@2016"、"WNcry@2ol7")、両バージョンの作成者が同一グループである可能性を示しています。
最初のバージョンでは少額のビットコインウォレットしか使われず、拡散も最小限だったことから、これはサイバー犯罪集団の間で共有されたツールではなかったと考えられます。この点も、2 つのバージョンの WannaCry を使っていたのが同一グループだったという証拠になりそうです。
WannaCry と Lazarus との関係
WannaCry の拡散に使われたツールの類似性だけでなく、WannaCry 自体と Lazarus グループの間には少なからず、つながりがあります。WannaCry には、かつて Lazarus グループと関係があったマルウェア Backdoor.Contopee と共通のコードがあります。Contopee の亜種のひとつはカスタムの SSL 実装を使っていますが、そこで利用される暗号スイートも、WannaCry によって使われるのと同じです。どちらのサンプルの暗号スイートも、同じ 75 個の暗号文字セットから選択するようになっています(OpenSSL では 300 個以上が使われます)。
そのほか、WannaCry が使っているコード不明瞭化も、Infostealer.Fakepude と類似点があります。Fakepude は Lazarus と関係があったマルウェアです。また 3 月と 4 月に WannaCry の拡散に使われたマルウェアは Trojan.Alphanc でしたが、前述したとおり、これも Lazarus との関係が確認されていました。
WannaCry が世界規模の脅威と化したのは、偶発的な流出が原因
初期の WannaCry 攻撃が少数ながら発見されたことは、Lazarus グループとの関係を肯定できる十分な証拠になりました。初期に WannaCry の攻撃で見られたツール、コード、インフラストラクチャの使い方は、かつての Lazarus グループにつながるものでした。また、バックドアと盗み出した資格情報を使うという拡散方法も、初期の Lazarus 攻撃と一致しています。攻撃者が WannaCry を深刻な脅威へと変えることができたのは、悪用コード EternalBlue の流出があったからこそでした。攻撃者がそれまでは実行しなければならなかった手順をいくつも省略でき、資格情報を盗み出す必要も、それをコンピュータ間で次々とコピーしていく必要もなくなったからです。仮に、今でも独自のツールに頼っていたとすれば、WannaCry もここまでの脅威にはならなかったでしょう。
付録 A: WannaCry と Lazarus で共有されるネットワークインフラストラクチャ
WannaCry で使われている C&C サーバーと、既知の Lazarus ツール群によって使われる C&C サーバーとの間には、重なり合う要素がいくつも見られます。たとえば、Sony Pictures に対する攻撃では、Backdoor.Destover というマルウェアファミリーが配置されました。その後に出現した Backdoor.Destover の亜種は、コマンド & コントロールに 87.101.243.252 の IP アドレスを使うことが確認されています。WannaCry を投下する Trojan.Bravonc のサンプルも、これと同じ IP アドレスに接続します。そのほか、共有されているインフラストラクチャを以下にまとめました。
| C&C |
利用しているマルウェア |
備考 |
| 87.101.243.252 |
Trojan.Bravonc,
Backdoor.Duuzer
Backdoor.Destover
|
|
| 84.92.36.96 |
Trojan.Alphanc |
追加の C&C サーバーを、Lazarus に関係する Backdoor.Cuprox と共有するバックドアプログラムによっても使われる |
| 184.74.243.67 |
Trojan.Alphanc |
3 月の攻撃でネットワークスキャナツールを投下した entaskloader.exe によっても使われることが確認されている |
| 203.69.210.247 |
Trojan.Alphanc |
|
| 196.45.177.52 |
Backdoor.Cuprox |
discussion_QuadrigaCX.doc という文書によって投下されるバックドアプログラムによっても使われることが確認されている |
表 2. WannaCry と Lazarus のツール群で共有されているインフラストラクチャ
付録 B: 共通のコード
Trojan.Alphanc と Backdoor.Duuzer の間で共有されているネットワークコード
Trojan.Alphanc と Backdoor.Duuzer は、C&C サーバーへの接続を確立した後で送信するバッファを生成するとき、類似のコードを使います。このコードは、「偽 SSL」ハンドシェイクと呼ばれるものの一部で、概念としては、Google によって識別されるコードと似ていますが、実装が異なります。Alphanc と Duuzer のどちらのサンプルも、乱数を発生させたうえで、その数を使って表を参照し、送信する追加のデータを選択します。このときの表が、Alphanc と Duuzer で共通です。それだけではなく、どちらのサンプルも C&C サーバーへ送信するバッファの開始として、0x16030100 という同じ値を偽装している点も共通しています。
図 1. ハッシュ fa6ee9e969df5ca4524daa77c172a1a7 の Backdoor.Duuzer のサンプル
図 2. ハッシュ E8C6ACC1EB7256DB728C0F3FED5D23D7 のバックドア Alphanc のサンプル
Trojan.Alphanc と Backdoor.Duuzer の間で共通している文字列
Trojan.Alphanc と Backdoor.Duuzer の間で共通している文字列の例を、次の表に示しました。
図 3. Trojan.Alphanc と Backdoor.Duuzer の間で共通している文字列
Backdoor.Bravonc と Backdoor.Destover で、暗号数値に関連するルーチン
図 4. ハッシュ 55dd9b0af2a263d215cb4fd48f16231a の Trojan.Bravonc のサンプル
図 5. ハッシュ 0f246a13178841f8b324ca54696f592b の Destover の亜種
Neel Mehta 氏によって共通点が確認された関数
5 月 15 日、Google の研究者 Neel Mehta が、次のようにツイートしました。
1 番目のハッシュ 9c7c7149387a1c79679a87dd1ba755bc は Ransom.WannaCry の亜種、ac21c8ad899727137c4b94458d7aa8d8 は、複数の銀行に対する攻撃で使われた Backdoor.Contopee の亜種。ツイートで参照したサンプルには共通のコードが含まれている。この共通するコードは、カスタム SSL 実装の一部であり、同一の暗号スイートを使っている。これは「偽 SSL」の可能性あり。暗号ごとに鍵交換、認証、バルク暗号化、MAC のオプションが指定されている。Contopee のサンプルと Wannacry のサンプルは、ほぼ同一のコードを使っており、同じ暗号スイートを参照している。どちらのサンプルの暗号スイートも、同じ 75 個の暗号文字から選択するようになっている(OpenSSL では 300 個以上が使われる)。
付録 C: 侵害指標
| MD5 |
SHA256 |
ファイル名 |
| 21307227ECE129B1E12797ECC2C9B6D9 |
8A4D2BAA8CF519C7A9B91F414A0A9D8BA2B9E96D21D9E77DA7B34ED849830A36 |
mks.exe |
| 6F0338AF379659A5155B3D2A4F1A1E92 |
CA8DC152DC93EC526E505CF2A173A635562FFBF55507E3980F7DC6D508F0F258 |
hptasks.exe |
| 0489978ffa3b864ede646d0470500336 |
2A99BCB5D21588E0A43F56AADA4E2F386791E0F757126B2773D943D7CBF47195 |
ENTASKLOADER.EXE. Creates forti.exe |
| a1ffca7ba257b4eca7fe7d1e78bac623 |
3C86FC0A93299A0D0843C7D7FF1A137A9E799F8F2858D3D30F964E3C12C28C9E |
forti.exe |
| f27cf59b00dacdd266ad7894a1df0894 |
92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0 |
javaupdate.exe, creates g.exe |
| a1ffca7ba257b4eca7fe7d1e78bac623 |
3C86FC0A93299A0D0843C7D7FF1A137A9E799F8F2858D3D30F964E3C12C28C9E |
g.exe |
| 511778c279b76cac40d5d695c56db4f5 |
91146EE63782A2061701DB3229320C161352EE2BC4059CCC3123A33114774D66 |
svchost.exe, Creates lsasvs.exe |
| f774c0588da59a944abc78d5910be407 |
A7EA1852D7E73EF91EFB5EC9E26B4C482CA642D7BC2BDB6F36AB72B2691BA05A |
lsasvs.exe, Creates 50793105.exe |
| 8386379a88a7c9893a62a67ea3073742 |
7F8166589023CD62AE55A59F5FCA60705090D17562B7F526359A3753EB74EA2F |
50793105.exe, Creates taskhcst.exe |
| 3bc855bfadfea71a445080ba72b26c1c |
043E0D0D8B8CDA56851F5B853F244F677BD1FD50F869075EF7BA1110771F70C2 |
taskhcst.exe, WannaCry |
| F27CF59B00DACDD266AD7894A1DF0894 |
92B0F4517FB22535D262A7F17D19F7C21820A011BFE1F72A2EC9FBFFBDC7E3E0 |
armsvc.exe, javaupdate.exe |
| E8C6ACC1EB7256DB728C0F3FED5D23D7 |
524F8F0F8C31A89DF46A77C7A30AF5D2A1DC7525B08BFAFBED98748C3D8A3F1C |
jusched.exe |
| 1D4EC831292B611F1FF8983EBD1DB5D4 |
41E9D6C3374FD0E78853E945B567F9309446084E05FD013805C70A6A8205CD70 |
msinj32.exe |
| D0CE651A344979C8CD11B8019F8E4D7E |
436195BD6786BAAE8980BDFED1D7D7DBCCCB7D5085E79EBDCC43E22D8BAE08A8 |
goyqsvc.dll |
| 9A5FA5C5F3915B2297A1C379BE9979F0 |
9F177A6FB4EA5AF876EF8A0BF954E37544917D9AABA04680A29303F24CA5C72C |
exldcmgmt.dll |
| 86759CE27D0FE0B203AAA19D4390A416 |
AE8E9FF2DC0EC82B6BAE7C4D978E3FEAC93353CB3CD903E15873D31E30749150 |
oledbg32.dll |
| FCF3702E52AE32C995A36F7516C662B7 |
FC079CEFA19378A0F186E3E3BF90BDEA19AB717B61A88BF20A70D357BF1DB6B8 |
bitssvcs.dll |
| e117406e3c14ab8e98b27c3697aea0b6 |
2BA20E39FF90E36086044D02329D43A8F7AE6A7663EB1198B91A95EA556CF563 |
00bebc12.exe |
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。