ニュースでも取り上げられているWannaCryの侵入と拡散方法について、トレンドマイクロが分析をしました。
トレンドマイクロ セキュリティブログ
WannaCryは、Windowsの脆弱性「MS17-010」を利用する以外に、バックドアツール「DoublePulsar」も利用しているとの事です。
以下は、上記サイトよりの抜粋となりますが、具体的なワームの活動になります。
1.攻撃対象のスキャン:
1.1 ローカルネットワーク内の端末を列挙しスキャンする
1.2 グローバル、ローカル含め、無作為なIPアドレスに対してもスキャンする
2.スキャン対象の端末に SMB の 445番ポートで接続し、「MS17-010」の脆弱性の存在を確認
2.1 脆弱性が存在した場合
2.1.1 DoublePulsar の存在を確認
2.1.1.1 DoublePulsar が存在した場合はDoublePulsar のバックドア機能を使用して WannaCry自身を送り込み感染させる
2.1.1.2 DoublePulsar が存在しなかった場合は「MS17-010」の脆弱性を利用して DoublePulsar を感染させる
※この際、脆弱性によって DoublePulsar のコードがメモリ中で直接実行され、ファイルとして DoublePulsar が感染端末に存在することはない
2.1.1.2.1 感染させたDoublePulsar のバックドア機能を使用して WannaCry自身を送り込み、感染させる
2.2 脆弱性が存在しない場合
2.2.1 DoublePulsar の存在を確認
2.2.1.1 DoublePulsar が存在した場合は DoublePulsar のバックドア機能を使用して WannaCry自身を送り込み感染させる
つまり、一旦感染すると、ローカルネットワークの端末も拡散の対象となり、先ずはSMBの 445番ポートで接続し、「MS17-010」の脆弱性があるかどうかを確認するとの事。
脆弱性があれば、DoublePulsarを感染させた上で、WannaCryを感染させ、脆弱性が存在しなくても、もしDoublePulsarに感染しているようであれば、これのバックドアを利用してWannaCry自身を感染させるとの事。
有効な対策としては、OSを最新の環境にすると共に、SMB1.0を無効にすること、既存マシンのスキャン、ネットワークの監視などが挙げられます。
WannaCryは上記の活動を行う為、445番ポートが空いていない環境には侵入しないそうです。
しかし、同サイトによると、今回の
WannaCry の世界的な拡散に関しては、広く一般を狙うばらまき型のメール経由や Web経由の攻撃は確認されておらず、ワーム活動のみによる拡散が推測されています。
との事。
驚くのは、
「SHODAN」の検索結果によれば、インターネット上で445番ポートを開放している Windows環境は全世界で 50万件以上が確認されました。日本でも同条件で 3万件近くが稼働しており、そのうち Microsoft が使用停止を求めている「SMBv1(サーバー メッセージ ブロック 1.0)サーバ」の使用が推測されるものが 7割以上を占めていました。
との事で、このままだと、更に広がるリスクも抱えているという事になります。
対象のシステムと懸念される場合は、早急な対策が必要です。
コメント
コメントを投稿