web-dev-qa-db-ja.com

「WannaCry」マルウェアはどのように広がり、ユーザーはどのようにしてそれから身を守る必要がありますか?

"WannaCry" と呼ばれている世界中の多くのシステム(英国のNHSやスペインのTelefonicaを含む)に影響を及ぼしている新しい種類の攻撃があります。

これは、標準的なフィッシング/ランサムウェア攻撃のようですが、ターゲットネットワークに侵入すると、ワームのように拡散します。

このマルウェアはどのようにして人々のシステムを危険にさらしているのか、そしてこの攻撃から身を守るための最良の方法は何ですか?

247
Rory McCune

WannaCry攻撃は、Microsoft Windows OSのSMBv1リモートコード実行の脆弱性を使用して開始されます。 EternalBlue エクスプロイトは、3月14日にMicrosoftによってパッチが適用され、2017年4月14日に「Shadowbrokers dump」を介して公開されています。ただし、多くの企業や公共機関はまだシステムにパッチをインストールしていません。 Windowsのレガシーバージョン用のMicrosoftパッチは、攻撃の先週リリースされました。

WannaCry感染を防ぐ方法は?

  1. すべてのホストでエンドポイントのマルウェア対策ソリューションが有効になっていることを確認してください。

  2. 公式のWindowsパッチ(MS17-010) https://technet.Microsoft.com/en-us/library/security/ms17-010.aspx をインストールすると、SMBこのランサムウェア攻撃で使用されるサーバーの脆弱性。

  3. すべてのシステムをスキャンします。マルウェア攻撃をMEM:Trojan.Win64.EquationDrug.genとして検出したら、システムを再起動します。 MS17-010パッチがインストールされていることを確認します。

  4. すべての重要なデータを外部ハードドライブまたはクラウドストレージサービスにバックアップします。

詳細はこちら: https://malwareless.com/wannacry-ransomware-massively-attacks-computer-systems-world/

135
Nik Nik

ランサムウェアは、SMBv1(Server Message Block Version 1)で公開されている既知のエクスプロイトを使用しています。これは、ネットワーク環境でファイルとプリンタを共有するために使用されるアプリケーションレベルのプロトコルです。

SMBv1プロトコルは、ネットワーク化されたWindows環境で一般的に見られ、Windows XP、Windows 7、8、8.1、および10などのオペレーティングシステムが含まれます。Windows Vista改良されたSMBv2およびv3プロトコルをサポートしている場合でも、SMBv1を使用できます。

Microsoftの実装を使用しない環境では、エクスプロイトおよび関連する脆弱性の影響を受ける可能性はほとんどありません。 さらに、SMBv1をサポートしていない環境も影響を受けません。

Microsoftの指示に従って、SMBv1サポートを無効にすることができます: https://support.Microsoft.com/kb/2696547

Windows 8.1またはWindows Server 2012 R2以降を実行しているユーザーは、「SMB1.0/CIFSファイル共有サポート」のWindows機能を削除することでサポートを無効にできます。

MicrosoftのSMBv1の実装には、6つの主要な脆弱性があります。最初の5つ(より重要)は、リモートの任意のコード実行を可能にするものです。最後のものは「データ開示」を可能にします。ランサムウェアは最初の5つの脆弱性を利用し、それらを悪用します。

ユーザー/企業がこのランサムウェアを軽減するために取ることができる対策には、次のものがあります。

  • システムにパッチが適用されていることを確認してください。脆弱性は2017年3月にパッチが適用されています。
  • システムまたは重要なユーザー/ビジネスデータの最新のバックアップを保持します。
  • ウイルス対策ソリューションを使用および維持する
  • GFS(祖父、父、息子)などのバックアップスキームを使用します。
  • SMBv1の使用またはサポートを削除します(上記を参照)。
  • 損傷の影響が少なくなるようにネットワークを分離します。
  • 可能であれば、さまざまなシステムとオペレーティングシステムのセットを使用します。

Webリンク:

https://technet.Microsoft.com/en-us/library/security/ms17-010.aspx

http://msdn.Microsoft.com/en-us/library/aa365233(VS.85).aspx

http://www.eweek.com/security/wannacry-ransomware-attack-hits-victims-with-Microsoft-smb-exploit

64
dark_st3alth

シスコは これに関する記事 を投稿しました。予防の基本的な手順は次のとおりです。

  • すべてのWindowsベースのシステムに完全にパッチが適用されていることを確認します。少なくとも、Microsoftのセキュリティ情報MS17-010が適用されていることを確認してください。
  • 既知のベストプラクティスに従って、SMBインターネット経由で一般公開されている組織(ポート139、445))は、受信トラフィックを直ちにブロックする必要があります。

そして、少なくとも そのMicrosoftの速報 に基づいて、これはSMBv2ではなくSMBv1の脆弱性であると思われます。

31
AndyO

誰が危険にさらされていますか?ここのパッチ発表にリストされているオペレーティングシステムを実行している人: https://technet.Microsoft.com/en-us/library/security/ms17-010.aspx

どうやって?マルウェアはさまざまな方法で配信され、1つのエンドポイントが侵害されると、このマルウェアの「ワーム」の側面がms17-010を悪用します。したがって、リンクをクリックしたり、メールなどで送信されたアーカイブを開いたりすることができます https://www.Microsoft.com/en-us/security/portal/mmpc/help/ fection.aspx

みたいだ?私をからかってるの ;-)

広がるのを見る: https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all

妥協の指標: https://otx.alienvault.com/Pulse/5915d8374da2585a08eaf2f6/

脆弱なエンドポイントをスキャン(nmap): https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse

20
Ed Daniel

同じ作者からのものではないと考えられているWannacry(Wannacry v2と呼ばれる)の新しい変種があることを知ることも重要です。

このマルウェアがシステムを侵害する方法:

まず、次のレジストリエントリを作成および設定します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Updates Task Scheduler" = "" [PATH_TO_RANSOMEWARE] [TRANSOMEWARE_EXE_NAME] "/ r"
  • HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\"wd" = "[PATH_TO_RANSOMEWARE]"
  • HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "%UserProfile%\ Desktop!WannaCryptor!.bmp"

次に、WannaCryは次のミューテックスを作成します。

  • Global\WINDOWS_TASKOSHT_MUTEX0
  • LGlobal\WINDOWS_TASKCST_MUTEX

その後、taskkill /f /imを使用して次のプロセスを終了します。

  • sqlwriter.exe
  • sqlserver.exe
  • Microsoft.Exchange。*
  • MSExchange *

WannaCryは、次のファイル形式のファイル名の末尾に.WCRYの検索、暗号化、および追加を開始します。

.123
。3dm
。3ds
。3g2
。3gp
。602
。7z
。アーク
。PAQ
。accdb
。aes
。ai
。asc
。asf
。asm
。asp
。avi
。バックアップ
。bak
。コウモリ
。bmp
。brd
。bz2
。cgm
。クラス
。cmd
。cpp
。crt
。cs
。csr
。csv
。db
。dbf
。dch
。der
。dif
。浸漬
。djvu
。doc
。docb
。docm
。docx
。ドット
。dotm
。dotx
。dwg
。edb
。eml
。fla
。flv
。frm
。gif
。gpg
。gz
。hwp
。ibd
。iso
。jar
。Java
。jpeg
。jpg
。js
。jsp
。キー
。lay
。lay6
。ldf
。m3u
。m4u
。max
。mdb
。mdf
。mid
。mkv
。mml
。mov
。mp3
。mp4
。mpeg
。mpg
。msg
。myd
。myi
。nef
。odb
。odg
。odp
。ods
。odt
。onetoc2
。ost
。otg
。otp
。ots
。ott
。p12
。pas
。pdf
。pem
。pfx
。php
。pl
。png
。ポット
。potm
。potx
。ppam
。pps
。ppsm
。ppsx
。ppt
。pptm
。pptx
。ps1
。psd
。PST
。rar
。生
。rb
。rtf
。sch
。sh
。sldm
。sldx
。slk
。sln
。snt
。sql
。sqlite3
。sqlitedb
。stc
。std
。sti
。stw
。suo
。svg
。swf
。sxc
。sxd
。sxi
。sxm
。sxw
。タール
。tbk
。tgz
。tif
。tiff
。txt
。uop
。uot
。vb
。vbs
。vcd
。vdi
。vmdk
。vmx
。vob
。vsd
。vsdx
。wav
。wb2
。wk1
。wks
。wma
。wmv
。xlc
。xlm
。xls
。xlsb
。xlsm
。xlsx
。xlt
。xltm
。xltx
。xlw
。Zip

防止のために、Nikはあなたが知る必要があるすべてをあなたに与えましたが、ポート445/TCPでインバウンド接続をブロックするように試みるべきであることを付け加えます。次のシンクホールドメインをブロックしないようにしてください。これはWannacry v1バイナリにあるキルスイッチです。

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

それが役に立てば幸い。

16
Soufiane Tahiri

これは、標準的なフィッシング/ランサムウェアの攻撃のようですが、ターゲットネットワークに侵入すると、ワームのように拡散します。

Windowsサーバーは通常、SMBを通過しないファイアウォールの背後にあります。保護されたネットワーク上の最初のマシンが感染すると、ワームは上記のSMBエクスプロイトを使用して攻撃を伝播します。

攻撃のフィッシングについて確認をお願いします。 Microsoft(2日前の時点)には、初期の妥協に関する情報がまだありませんでした。

この脅威によって使用された正確な初期侵入ベクトルの証拠は見つかりませんでしたが、このランサムウェアの拡散の可能性が非常に高いと考えられるシナリオが2つあります。

SMBエクスプロイトによる感染=SMBエクスプロイトによる未感染のコンピュータのエクスプロイトによるエクスプロイトによる悪用を実行するようにユーザーを騙すように設計されたソーシャルエンジニアリングメールを介して到着他の感染したマシンからアドレス指定可能( https://blogs.technet.Microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

[編集]フォーブスがフィッシングがこの攻撃の主要なコンポーネントであると考えていないことをちょうど見た。参照 https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#37038021e599

「...マルウェアに感染した電子メールを共有している電子メールはほとんどないため、フィッシング電子メールが主な感染方法である可能性は低いです。シスコのTalos部門は、フィッシング電子メールが使用されたとは考えていません...」

したがって、SMBポートがオープンなインターネットに公開されている無防備なサーバーが主要な感染ベクトルとして残ることになります。これは、ネットワーク(FedEx、NHSなど)が広く普及していると報告されている注目のターゲットの一部を説明している可能性がありますbootstrap感染するまで、より広いネットワークに接続されている1台の露出されていないコンピュータのみが必要です。

6
IAmBarry

NHSは最初の1つのヒットになる運命にありました

ここには多くの素晴らしい答えがありますが、最近の出来事を考えると、この答えは啓発的です。 2017年1月18日 S-Certは管理者にSMBv1のファイアウォールをオフにするように促しました しかし、このストーリーへのコメントは、Windows XPサポートがまだ存在する唯一の理由はNHS( 5月12日金曜日に閉鎖された英国の国民医療サービス)は、それを維持するためにM $トンの現金を支払っています。

すべてのオフサポートWindows脆弱性バージョンの1つのリンク

私のような古いWindows Vistaバックアップラップトップをお持ちの場合は、KB4012598Windows 8、XP、Vista、Server 2008およびServer 20 これは、話題のMS17-010と同等です。これらは、サポートおよび自動更新からのEOL(End of Life)Windowsバージョンの手動パッチです。マイクロソフトは、過去48時間にこれらのパッチをリリースするという並外れた一歩を踏み出しました。

Linuxユーザーにも影響を与えることができます

Linuxユーザーがこの回答を読んでいる場合は、「Ubuntuに問い合わせる」で説明されている脆弱性を指摘したいと思います 質問 投稿しました。

他の回答に記載されていない技術的な詳細

この 記事 は、特定のポートをブロックし、SMBv3を優先してSMBv1およびSMBv2を無効にすることについて説明します。記事の一部には、[〜#〜] fbi [〜#〜]が、データを取り戻すために犯罪者にお金を払うべきではないと述べていますすべての正直私は私の人生を取り戻すために300ドルを支払います。

不気味な偶然

今日の記事によると、Shadow Brokersはこれまでに31件のグランドを獲得しています。興味深い事実は、その名前が最初に登場した架空のグループ(AFAIK)で、約10年前にエドモントンで発明されたSFビデオゲームで秘密裏にやり取りしました。 2番目の興味深い事実は、乱暴なデータのロックを解除するために$ 300を請求し、私はGL、AR、IC、PRなどのデータ修復のために$ 300を使用していました。

バージョン2がリリースされ、キルスイッチが機能しない

Webサイトの作成 http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/ ランサムウェアの強制終了スイッチとして機能するものは、「Wanna Cry」の新しいバージョンによって回避されたと報告されています。私はこれを確認する多くの記事を読んでいませんが、どのような点でもSMBv1とSMBv2の穴を塞ぐ必要があります。人々は、将来の「Wanna Cry」バージョンやループホールを利用する新しいマルウェア/ランサムウェアでのキルスイッチに頼るべきではありません。

キルスイッチのウェブサイトが無害に言っていることを不思議に思っているなら、それは:

sinkhole.tech-ボットはハードパーティを行い、研究者はハードパーティ...

マイクロソフトの陰謀論

陰謀を信じない人は、戻るボタンを押すことができます。 NSAとMicrosoftは、これが知っていることを要求する請願書を回しているこの記事によると、これが来ていることを知っていました Microsoftが知っていたもの、いつ、どこで、どのように 。主張は、 Shadow Brokersのタイミング、NSAハッキングとMSセキュリティ更新。

6

Windowsについてのみ述べた前述の回答に加えて、二重に閉じた質問 " WannaCryはLinuxに感染しますか? "を指しているため、Linuxマシンが取得できることを追加したいと思います。 Wineを実行している場合も感染します: https://Twitter.com/hackerfantastic/status/863359375787925505

4
dr_

ベンダーのパッチをインストールすることは常に良い考えですが、マルウェアがアクティベーション時にDNSチェックを実行することにも注意する価値があります。私は1つの報告されたドメインを見ました:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

しかし、おそらくそれ以上の可能性があります。したがって、DNSクエリのドメインコンポーネントとして非常に長い文字列をテストする次のようなもの(Linux/Unixボックス上)を使用して、新しい感染がないかネットワークを監視できるはずです。

tcpdump -K dst port 53 | awk '$8 ~ /[^\.]{20,}/ { print $0; }'

(テストされていません:YMMV)

3
symcbean

「守る方法」の部分を少し簡潔に答えます

0.迅速に行動する

マルウェアはまだ広まっています。システムが保護されていない場合、残りの寿命は時間単位でカウントされます

1.必要なシステムアップデートを必ず実行してください

マイクロソフトは、メンテナンス中のすべてのバージョンのWindowsのパッチをすでにリリースしています。 Windows MEにパッチが適用されていない可能性があります。それ以外の場合は#4に進んでください。

2.バックアップ

有効なバックアップポリシーを適用することで、ランサムウェアによってインフラストラクチャを防御するか、少なくともその被害を制限できます。脆弱なマシンへのバックアップは、この状況では意味がありません。クラウドへの同期は危険な場合があります

3.外部からファイアウォール

ホームユーザーでも大企業でも、ファイアウォールの経験則を常に適用する必要があります。実際に実行しているサービス以外はすべて無効にします。

Webアプリケーションを実行していますか?ポート80/443のみを開きます。家でトレントを実行していますか? upnpを使用するか、モデムで開くポートを選択します。

DMZは使用しないでください。 SMB=が本当に必要な場合は、慎重に検討する必要があります。ServerFaultについて議論することをお勧めします。

4.エアギャップまたは古いファイアウォールの古いマシン

本当にビジネスクリティカルで、短時間でアップグレードできないレガシーシステムを所有している場合は、エアギャップを検討してください。マルウェアが古いマシンのネットワーク上で拡散する可能性があるであるため、古いバージョンのWindowsを仮想化しても意味がありません。ファイアウォールやSMB=を完全に無効にできない場合、最後のオプションは、より良い解決策が見つかるまでネットワークケーブルを取り外すことです