2017年5月中旬、「EternalRocks(「TROJ_ETEROCK.A」として検出)」と呼ばれる新しいマルウェアが確認されました。このマルウェアは、ハッカー集団「Shadow Brokers」によって米国の「National Security Agency(国家安全保障局、NSA)」から流出した脆弱性やツールを利用しています。暗号化型ランサムウェア「WannaCry」が利用した脆弱性「EternalBlue」およびバックドアツール「DoublePulsar」に加えて、同じ経緯で流出した「EternalChampion」、「EternalRomance」、「EternalSynergy」、「ArchiTouch」、「SMBTouch」を利用しています。これらのほとんどは Windows OS のファイル共有プロトコル「Server Message Block(サーバメッセージブロック、SMB)」の脆弱性を狙ったものです。
問題の「EternalRocks」は、クロアチアの「Computer Emergency Response Team(コンピュータ緊急事態対策チーム、CERT)」のサイバーセキュリティ専門家 Miroslav Stampar 氏によって初めて確認され、PC への感染後、2段階の過程を経てインストールされます。第 1段階のマルウェアは、通信手段として匿名通信システム「The Onion Router(Tor)」のクライアントをダウンロードし、コマンド&コントロール(C&C)サーバに接続します。意外なことに、この C&Cサーバは 24時間後に応答します。これは、サンドボックステストおよびセキュリティ解析を回避するための挙動だと推測されています。第 2段階では、C&Cサーバから送信された “taskhost.exe” が NSA から流出した脆弱性攻撃ツールを含む圧縮ファイル “shadowbrokers.zip” を作成します。このファイルの解凍後、EternalRocks はインターネットをスキャンし、ワーム活動による感染の入り口とするために 445 番ポートが開いた IP アドレスを探索します。EternalRocksが攻撃する脆弱性のいくつかは 3 月に Mircrosoft が公開したセキュリティ情報「MS17-010」で修正されています。
WannaCry と EternalRocks の決定的な違いは、後者には今のところ感染と拡散以外の不正活動が確認されていないことです。しかし、ワーム活動による急速な拡散能力は、もしこのマルウェアに悪意のあるコードが組み込まれた場合、望ましくない結果を招くことを意味します。
EtrenalRocks は、特定のドメインが有効な場合に不正活動を停止する「kill switch」の存在によって被害を軽減することのできた WannaCry よりも厄介です。EternalRocks にはそのような kill switch が組み込まれていないため、攻撃を鈍化させるのが困難だからです。
■結論
各企業および個人は、WannaCry拡散の原因であった SMB の脆弱性に対してセキュリティ情報「MS17-010」を参照し、すぐに適切な更新を実施するべきです。WannaCry や EternalRocks のようなマルウェアの場合、感染してから解決策を探すよりも、予防する方がはるかに容易だからです。EternalRocks には現時点でランサムウェアとしての機能もなく最終的な不正活動も具体的に確認されていません。しかし、kill switch を利用した対策が取れないことを考えると、WannaCry よりも大きな被害をもたらす恐れがあることを認識する必要があります。
■トレンドマイクロの対策
「ウイルスバスター クラウド」、「ウイルスバスター™ コーポレートエディション」、「ウイルスバスター™ ビジネスセキュリティサービス」などのエンドポイント製品では「ファイルレピュテーション(FRS)」技術により「TROJ_ETEROCK.A」の検出名で検出対応を行っています。同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応の不正プログラムであってもその不正活動を検知してブロック可能です。特に「ウイルスバスター™ コーポレートエディション XG」はクロスジェネレーション(XGen)セキュリティアプローチにより、グローバルスレットインテリジェンスに基づくさまざまな高度なセキュリティ技術に加えて、次世代の AI技術のひとつである高度な機械学習型検索を活用し、実行前・実行後両方に対応する独自のアプローチで、未知のファイルが脅威かどうか判別します。
企業ユーザは、これらの脅威のよるリスク軽減のために、多層での対策を取ることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。なお、以下の DDIルールによってこの脅威を検出します。
- Rule 2383: CVE-2017-0144 – Remote Code Execution – SMB (Request)) – EternalBlue exploit
- Rule 2390: EQUATED – SMB (Response) – DoublePulsar C2
サーバ向け総合セキュリティ製品「Trend Micro Deep Security™」および「Trend Micro Virtual Patch for Endpoint(旧 Trend Micro 脆弱性対策オプション)」は、仮想化・クラウド・物理環境にまたがってランサムウェアがサーバに侵入することを防ぎます。同製品をご利用のお客様は、以下の DPIルールによってこの脆弱性を利用する脅威から保護されています。
- 1008225 – Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
- 1008306 – Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
- 1008224 – Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)
- 1008227 – Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0147)
- 1008306 – Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
- 1008227 – Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0147)
- 1008227 – Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0147)
- 1008327-Identified Server Suspicious SMB Session
- 1008328-Identified Client Suspicious SMB Session
ネットワークセキュリティ対策製品「TippingPoint」では、以下の ThreatDVフィルターにより今回の脅威をブロックします。
- 27928: SMB: Microsoft Windows SMB Remote Code Execution Vulnerability (EternalBlue)
- 27935: SMB: DoublePulsar Backdoor
- 27929: SMB: Microsoft Windows SMB Remote Code Execution Vulnerabilities (EternalChampion)
- 27937: SMB: Microsoft Windows SMB NT_TRANSACT_RENAME Information Disclosure Vulnerability (EternalSynergy)
- 28394: RDP: DoublePulsar Backdoor
参考記事:
- 「EternalRocks Emerges, Exploits Additional ShadowBroker Vulnerabilities」
by TrendLabs Philippines
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)