世界規模で感染が広がったランサムウェアWannaCryは、2種類のエクスプロイトEternalBlueとDoublePulsarを利用して、数日の間に150カ国で20万台以上ものWindowsコンピューターに感染しました。

CybereasonのEndpoint Detection and Response プラットフォームは、製品の一部であるランサムウェア検知モジュールにより WannaCryによる攻撃を検知し停止しました。この投稿では、Cybereasonが確認したDoublePulsarを利用したWannacryのリモート感染の振る舞いを紹介します。

Shadow Brokersと呼ばれるハッカー集団によってリークされたDoublePulsarは、Windowsのファイル共有で使用されるSMBをエクスプロイトし、マルウェアのダウンローダとして機能するバックドアです。これにより攻撃者は、被害者の端末を詳しく調査・攻撃することなくエンドポイント上でマルウェアを実行できるようになります。

DoublePulsarを利用したWannacryは、プライベートなネットワークと外部に向けたパブリックなネットワークそれぞれに対して、とても小さなコードを使って伝搬しています。これによりWannacryは、内部ネットワークに一度足場を作成して、インターネットの他の脆弱なホストをスキャンすることで感染レートを高めることができます。

以下にサイバーリーズンのある顧客の環境で、WannaCryの初期の侵入の試み と、ネットワーク経由での感染拡大のために行われた内部ネットワークスキャンが、どのように検知され特定されたかを紹介します。

検知までの流れ：

1. すでにWannacryに感染している端末において、IPアドレスをランダムに生成（この中に顧客のIPアドレスが含まれる）

2. 感染端末が、生成されたインターネット上のIPアドレスへの接続を試行

3. 対象の445番ポートが開いていることを検知したら、クライアントネットワークに対してSMB脆弱性を利用したエクスプロイトを試行

4. WannaCryランサムウェアのペイロードの挙動を検知し、Malopとしてフラグを立てる

Cybereasonは、WannaCryに感染する少し前に、 445番ポートに対する外部からの通信を確認しました。

445番ポートに対する外部からの通信:

“owner process” であるsysytem は、PID4番のWindowsのシステムプロセスです。

直前のリスニングしている通信を確認すると、外部からの通信が一つだけあり、それがWannaCryに感染させようとする通信でした。

リスニングポートに対する通信

17:12-17:14に発生したWannacryに感染させるための通信

17:14にWannaCryのペイロードの実行を開始

CybereasonによるWannaCryランサムウェアの挙動の検知:

Wannacryに感染後、新規の被害端末はネットワーク内の複数のマシンの445番ポートに対して内部通信を行い、さらなる感染拡大を試みます。

Cybereason のプラットフォームは、 エクスプロイトなどを振舞いに基づいて調査するために非常に使いやすい環境を提供します。明確な結果を導き出すためのシステムのクエリ能力、そして、パターンにもとづいてエクスプロイトを検知する能力は、今回のWannaCryのような新しい脅威を検知し対応する上で、非常に有用です。