米国家安全保障局(NSA)が開発し、ハッカー集団Shadow Brokersが暴露したエクスプロイトEternalBlue。このエクスプロイトを利用したランサムウェアWannaCryの作成者は、マルウェア史に名を残す大混乱を世界中に引き起こしました。多くの組織が被害を受け、メディアでも大々的に報道されたこのランサムウェアは、感染システム上で具体的にどのような活動を行うのか。本稿では、Check Point SandBlast Agentのフォレンジック機能によるWannaCryの分析結果について解説します。

SandBlast Agentに新たに搭載されたアンチランサムウェア機能は、今回のWannaCryの大規模感染を通じて、非常に効果的であることが実証されました。SandBlast Agentのアンチランサムウェア機能とフォレンジック機能は、互いに連携して動作します。今回、アンチランサムウェア機能は、WannaCryに対して期待どおりの能力を発揮し、シグネチャやアップデートなしで、私たちが確認したすべてのWannaCryサンプルをブロックすることに成功しています。

今回のレポートを作成するにあたっては、WannaCry攻撃をブロックするアンチランサムウェア、アンチマルウェア、そしてThreat Emulationの各機能を無効にした上で、同ランサムウェアを実行しています。

そして、SandBlast Agentのフォレンジック機能を使用して、WannaCryによるシステム暗号化の動作を自動分析しました。同機能で生成されたインタラクティブなフォレンジック・レポートは、次のURLで公開されています。

http://freports.us.checkpoint.com/wannacryptor2_1/

実際にレポートを開いて、さまざまな角度から分析結果をご覧ください。


図1: WannaCryのフォレンジック分析結果の概要画面 (クリックでオンライン・レポートにアクセスできます)

SandBlast Agentのフォレンジック機能で生成されたレポートを利用すると、従来は数時間~数日を要していたインシデントによる影響の評価や分析を、わずか数分で実施することができます。このレポートで何が分かるかを、WannaCryの活動内容を確認しながら見ていきましょう。

感染チェーンに登場する最初の実行可能ファイルは、レポートには示されていません。この実行可能ファイルは、攻撃を続行する前に、キルスイッチと呼ばれる特定URLへの接続を確認します。WannaCryの各種サンプルに記述されたほとんどのキルスイッチURLは、すでにマルウェア研究者によって発見され、ドメインが登録されているため、多くの場合、ランサムウェア本体は作成、実行されません。

そのため、今回の分析はランサムウェア本体の実行可能ファイルから始まっています(図2)。私たちは、WannaCryの複数のサンプルを分析しましたが、活動内容はほぼ一致していました。


図2: wcry.exeから始まる実行ツリー (クリックでオンライン・レポートにアクセスできます)

このレポートでは、攻撃はwcry.exeを実行するところから始まっています。この実行可能ファイルは、処理を続行するための設定ファイル/データ・ファイルと思われるファイルを多数ドロップします。レポートのwcry.exeプロセスをクリックしてから[File Ops]タブを開くと、ドロップされたファイルの一覧を参照できます。例えば、wnryという拡張子のファイルが大量に作成されていることが分かります。


図3: wcry.exeによって最初に実行されるプロセスはattrib.exeとicacls.exe

wcry.exeは続いて、同じフォルダにあるすべてのファイルに隠しファイル属性を設定します。この処理には、図3にあるようにWindowsのAttrib.exeプロセスが使用されます。おそらく、自分自身を誤って暗号化しないために行われると考えられますが、単純にセキュリティ調査の目からファイルを隠すことが目的である可能性も否定できません。

wcry.exeは次に、Windowsのicacls.exeを実行して現在のフォルダのアクセス許可を変更します。この処理の目的については現在も調査中ですが、私たちが知る限り、icacls.exeを利用するランサムウェア・ファミリーはWannaCryが初めてです。


図4: 各ファイルを暗号化するプロセスの最終段階ではファイル名を変更

wcry.exeはここから暗号化を開始します。最初に暗号化するのはデスクトップ上のファイルです。暗号化されたファイルの処理フローを見てみると、wcry.exeは、暗号化対象ファイルの名前に「wncryt」という拡張子(末尾の「t」は一時ファイルを意味する「temp」の略かもしれません)を付加した新しいファイルを作成し、元のファイルの暗号化が完了した後、wncrytファイルにその内容を書き込み、同ファイルの拡張子を「wncry」に変更していることが分かります。

次に例を示します。

  1. 2014-financial-statements-en.pdfファイルを読み込みます。
  2. 2014-financial-statements-en.pdf.wncrytファイルを作成します。
  3. 2014-financial-statements-en.pdf.wncrytファイルに、元のファイル2014-financial-statements-en.pdfを暗号化した内容を書き込みます。
  4. 2014-financial-statements-en.pdf.wncrytファイルの名前を2014-financial-statements-en.pdf.wncryに変更します。

またwcry.exeは、@wanadecryptor@.exeという実行可能ファイルを作成して実行します。このファイルは、Torアプリケーション用のフォルダを作成し、そのフォルダにTorをインストールします。このイベントは、レポートの[Suspicious Events]タブに「Tor Application Download」という名前で記録されています。@wanadecryptor@.exeはさらに、TOR通信を開始するtaskhsvc.exeを実行します。


図5: cmd.exeの実行により、UACのコマンド・プロンプトが表示される

ファイルの暗号化が完了すると、UACのプロンプトが表示されます。これは、cmd.exeでシャドウ・コピーの削除と起動オプションの変更を行うために権限の昇格が必要となるためです。ユーザが[OK]をクリックすると、vssadmin.exeとwmic.exeによってシャドウコピーの削除が実行されます。cmd.exeの引数(/c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog –quiet)によって、bcdeditとwbadminが実行されることになっていますが、実際にはどちらも実行されません。


図6: wcry.exeに関する不審なイベント。「WallPaper Change」イベントの詳細を表示

レポートの[Suspicious Events]タブの「WallPaper Change」イベントにあるように、暗号化の後で壁紙が変更されます。CerberやLockyと同様、変更された壁紙に身代金要求のメッセージが表示されます。

レジストリのRunキーにtasksche.exeというプロセスを登録することで、このプロセスがシステム起動時に自動実行されることになっていますが、今回の検証では同プロセスが作成されていないため、システム起動時には何も起こりません。このプロセスは、キルスイッチが存在するかどうかを確認するダウンローダによって作成されることになっているようですが、今回はダウンローダを実行せず、wcry.exeを直接実行しているため、tasksche.exeは作成されておらず、したがって自動実行もされません。

最後に、プロセス@wanadecryptor@.exeによって、身代金の支払いを要求する画面が表示されます。

WannaCryに対応する各チェック・ポイント製品の詳細については、http://www.checkpoint.co.jp/threat-cloud/2017/05/global-outbreak-wanacryptor.htmlをご覧ください。