Petya の分析: 拡散した仕組みとその対策

2017.07.13

編集者注: ソフォスのお客様は、こちらのナレッジベースの記事(リンク先:英語)の最新技術情報もご覧ください。ソフォス製品によって検出、ブロックされる亜種の一覧が掲載されています。


昨日 Petya ランサムウェアの流行が始まって以降、Petya がどのように拡散されたのか、あるいは先月大流行した WannaCry の流れを引き継ぐものなのかという疑問に人々の関心が集まっています。


ソフォスの研究チームは、Petya と WannaCry の感染の広がり方の類似点と同時に、いくつかの相違点も発見しました。また、感染と暗号化のプロセスの全体像を明らかにし、この分析結果に基づいて保護機能を確立しました。


WannaCry との相違点と類似点


インターネット拡散メカニズムは発見されていませんが、WannaCry と同様、脆弱性のある SMB 環境を標的とする EternalBlue/EternalRomance エクスプロイトを利用して拡散することが分かっています。


しかし、そうした拡散は内部ネットワークを介したものに限られています。ここには、Petya と WannaCry のそれぞれの SMB エクスプロイトのシェルコードを比較した図を以下に示します (画像をクリックすると拡大します)。



コマンドラインツールを悪用


SMB エクスプロイトが失敗した場合、Petya はローカルユーザーアカウントで PsExec を使用して、拡散を試みます (PsExec は、ユーザーがリモートシステム上でプロセスを実行できるようにするコマンドラインツールです)。また、メモリ内で使用可能なすべてのユーザー認証情報を検索する mimikatz LSAdump ツール(リンク先:英語)も実行します。


Petya は、関連のある認証情報を使用して既知のホストごとにペイロードを配備・実行するために Windows Management Instrumentation Command-line (WMIC) の実行を試みます (WMICは、Windows Management Instrumentation (WMI(リンク先:英語)) と WMI を介して管理されるシステムの使用を簡素化するスクリプトインターフェース(リンク先:英語)です。



攻撃者は、WMIC/PsExec/LSAdump のハッキング技術を使用することで、ローカルネットワーク上の全パッチ適用済みの PC (Windows 10 など) に感染できます。


攻撃ステージ


感染すると、暗号化の段階が開始されます。Petya はユーザーのデータファイルを暗号化し、ハードディスクのブートセクターを上書きします。これにより、ユーザーが再起動すると、C: ドライブのマスターインデックスも暗号化されます。Petya はおそらく、ユーザーがたまにしか再起動しないことを考慮して、約 1 時間後に自動的に再起動し、第二の暗号化プロセスを開始します。


下図のように画面いっぱいに身代金要求メモが表示され、ユーザーは問題が発生したことに気付きます (画像をクリックすると拡大します)。



身代金要求メモを拡大した画像です。



身代金支払い用として記載されているメールボックスが閉鎖されていることも、ユーザーをさらに苦しめます。身代金を支払うと決心したとしても、支払いが完了したかどうか、復号鍵を受け取れるかどうかを確認する方法がないからです。



キルスイッチ


セキュリティ業界で最もよく尋ねられる質問の 1 つが、「感染を阻止するキルスイッチは存在するのか」というものです。下図のようなローカルなキルスイッチに限ってですが、答えは「存在します」です。



ソフォスの保護機能


Sophos Endpoint Protection を使用しているお客様は、Petya の最近のすべての亜種から保護されています。最初の対策は 6 月 27 日 13 時 50 分 (UTC) にリリースされており、それ以降も今後出現する可能性のある亜種を阻止するためのアップデートがいくつかリリースされています。


上記に加え、Sophos Intercept X のユーザーは、今回の亜種が出現して以降もデータが暗号化されることなくプロアクティブに保護されていました。


さらに、ソフォスのお客様はネットワーク上での PsExec などのデュアルユース管理ツールの使用を制限することも可能です。Sophos Endpoint Protection には、すべての PC、すべてのユーザーに提供する必要のない PsExec などのリモート管理プログラムを発見する PUA 検出機能が搭載されています。


ソフォスでは、Intercept X が Petya に対してどのように機能するかを 説明したビデオ(リンク先:英語)を作成しました。


対策


ソフォスのお客様は保護されていますが、以下のような対策を講じることで保護機能をさらに強化できます。


  • Microsoft のセキュリティ情報 MS17-010 に含まれているパッチなど、最新のパッチをシステムに適用してください。
  • ユーザーのコンピュータ上での Microsoft PsExec ツールの実行をブロックすることを検討してください。このツールのあるバージョンは、Petya が自動拡散するための別の手法の一部として使用されています。ブロックするには、Sophos Endpoint Protection などの製品を使用してください。
  • 定期的にファイルをバックアップしておき、オフサイトに最新のバックアップを保管してください。ランサムウェア以外にも、火災、洪水、盗難、ラップトップの落下、偶発的な削除など、さまざまな理由でファイルが突然利用できなくなることがあります。バックアップを暗号化しておくと、バックアップが保存されているデバイスが悪意のある人間の手に渡った場合でも心配する必要がなくなります。
  • 人事部や会計部などに所属しているために業務上数多くの添付ファイルを使用している場合であっても、知らないユーザーからの電子メールの添付ファイルは開かないでください。
  • Sophos Intercept X の無料評価版をダウンロードしてください。また、ホームユーザー (法人以外のユーザー) の方は、無料の Sophos Home Premium Beta(リンク先:英語) にユーザー登録してください。Sophos Home Premium Beta は、ハードディスク上のファイルおよびセクターの不正な暗号化をブロックして、ランサムウェアを阻止します。

また、Petya のような脅威をより深く理解するため、以下のリソースをご確認ください。


引用元

おすすめの記事はこちら