1 週間より少し前に WannaCry 攻撃が開始されましたが、これは Shadow Brokers によって公開されたデータを活用した初めての大規模攻撃のうちの 1 つでした。この攻撃が開始されたと知ったとき、私たちが抱いた実際の懸念は、同じ脆弱性を利用した他の脅威がすぐに出現するかもしれないというものでした。
Talos は過去数週間、Shadow Brokers がそのキャンペーンの一環としてリリースしたエクスプロイトの ETERNALBLUE および DOUBLEPULSAR を利用した他のマルウェア亜種について監視しています。その中には、Adylkuzz、Uiwix、および EternalRocks がありました。
Adylkuzz は、ETERNALBLUE と DOUBLEPULSAR を利用して、感染したシステムに暗号通貨マイニング ソフトウェアをインストールするマルウェアです。実際にはこの攻撃は WannaCry 攻撃の誕生前から存在し、暗号通貨マイナーを提供し続けています。
Uiwix は、同様のテクニックを使用して、感染したシステムにランサムウェアをインストールします。ファイルが暗号化されると、ファイル名のファイル拡張子の一部として「UIWIX」が含まれます。このマルウェアはランサムウェアであり、WannaCry との主な違いは、自身を複製して増殖しないことです。システム内にインストールされるのみです。
攻撃者に利用されているものとして他に観測されたのは、EternalRocks と呼ばれるマルウェア亜種です。このマルウェアは ETERNALBLUE と DOUBLEPULSAR を使用してシステムへのアクセスを獲得しますが、このアクセスは、感染したシステムにその他の悪意のあるソフトウェアをインストールするためのバックドアとして利用します。このマルウェアの重要な機能の 1 つは、最終ペイロード(Shadow Brokers のダンプにあるその他の複数のエクスプロイトを含む)をダウンロードする前に、24 時間の休眠状態(遅延)が生じることです。これはサンドボックス環境などを回避するのに有効です。
カバレッジ
Talos は、これらの脆弱性を利用するマルウェアの増加を確認しました。最終ペイロードは、これらの攻撃に対する保護とは関係ありません。Shadow Brokers によって公開されたエクスプロイトやツールが利用されている限り、ネットワーク ベースの検出は停止されます。
これらの攻撃は、少なくとも 2 ヵ月間既知となっている脆弱性を不正利用しており、エクスプロイトによっては、2017 年 3 月中旬から NGIPS および NGFW の検出対象となっています。
Snort ルール:42329-42332、42340、41978、42256
オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org
で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
CWS や WSA の Web スキャンは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されたマルウェアを検出します。
NGFW や NGIPS、および Meraki MX などのネットワーク セキュリティ アプライアンスで、この脅威に関する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。
Umbrella は、悪意のあるアクティビティに関連付けられているドメインの DNS 解決を防止します。
Stealthwatch は、ネットワーク スキャニング アクティビティ、ネットワーク伝達、および CnC インフラストラクチャへの接続を検出し、これらのアクティビィテについて管理者にアラートを発行します。
本稿は 2017年5月22日に Talos Group
Authors