ワーム能力を身に付けたランサムウェアWannaCryが世界を駆け巡る
-
0x009AD6_810
- 13975
- 38
- 5
- 1
-
- いいね!1
はじめに
このまとめには 2017年4月から9月に掛けての @0x009ad6_810 のツイートを中心に WannaCry 関連をピックアップした 700件弱のツイートが含まれます。件数が多いため、本当に言いたかったことだけを先に要点としてまとめます。
- WannaCryが大流行するより前からDoublePulsarがインプラントされたノードが大量に観測されており、その危険性は十分予想することが出来たはずだが、特に国内では目立った注意喚起などが見られなかった
- インターネットに晒されてDoublePulsarに感染したノードは、その背後に存在する何百万、何千万の内部ノードと接続しているかもしれないこと、かつ同じような脆弱性(MS08-067)を狙ったConfickerワームが過去にどのような規模の被害をもたらしていたかを考えれば、自ずと起こすべき行動は分かったはず
- WannaCryは世間での話題性という意味では非常に大きなインパクトを与えたが、本当の意味での深刻で大規模な被害(死亡事故や超大規模な経済的損失)を発生させることは少なかった
- WannaCryはその性質からとても目立ちたがり屋の大迷惑者であるように見えた反面、背後にあった本質的な脅威を解消するきっかけを作った功労者(言わば超巨大な警報器)でもあった
- 本質的な脅威とは、NSA (Equation Group) から The Shadow Brokers が盗んでリークしたと言われているステルス型カーネルモードバックドア (DoublePulsar) そのもの、および DoublePulsar 感染ノードが WannaCry流行以前から世界中に大量に存在していたという事実である
- 更に敢えて言うならば、残された最大の脅威、それはWannaCry流行前の4月の時点でこれを予測して広く注意喚起することが出来なかった我々の現実にこそあるのではないだろうか
以降、だいたい時系列になっていますが時々順不同です。
ページスクロールや全部読むのが面倒な方は一番最後まで一気に飛ぶと「超スーパーダイジェスト」としての @0x009ad6_810 が本当に言いたかったことのツイートだけが再掲されています。
THE BIRTHDAY EVE 〜誕生前夜〜
2017年4月~2017年5月12日
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
今回の ShadowBrokers リークに存在する MS17-010 で修正された SMB 脆弱性への 0day exploit (EternalBlue) ですが、当時と状況は変わるといえ MS08-067 の経緯を良く知っている人にはやはり特筆すべきものではないかと思えます
2017-04-16 09:16:47
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
この脆弱性の影響を受けると思われるインターネットに公開されているサーバが多く存在していることも確認していますが、今の時代に照らし合わせるなら、例えば別のベクター経由で裏から侵入してパッチの当たっていない内部サーバへと侵害を拡げ DC などを狙うのにも使えそうですね
2017-04-16 09:27:38
rik van duijn
@rikvduijn
#EquationGroup Wrote down some of the things i found looking trough the latest dump: dearbytes.com/en/blog/nsa-to…
2017-04-16 08:08:55
belowØday
@below0day
30,626 instances of #DOUBLEPULSAR implant detected! #shadowbrokers #infosec pic.twitter.com/pDKnsOB2Vv
2017-04-20 23:20:16
拡大
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
これ、日本は地形が見えなくなるくらい多い感じでしょうか twitter.com/belowzeroday/s…
2017-04-21 04:45:18
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
2008年に世界中で大規模感染が発生した Conficker (MS08-067) で見られた 445/TCP への攻撃パケットがその後も何故かずっと多く観測され続けていたという話は大体どこのSOCレポートを読んでもしばらく書かれていたような気がするのですが、
2017-04-21 20:59:31
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
実はこれが一部またはほとんど Conficker ではなく、今回の The Shadow Brokers のリークで明らかになった NSA (Equation Group) の EternalBlue (MS17-010) であった可能性について、何か手掛かりはないものでしょうか
2017-04-21 20:59:56
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
The reason why the Conficker has been re-observed after the mass-infections in 2008,
2017-04-21 21:39:03
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
I doubt if some bits of them are EternalBlue/FUD-DoublePulsar, not Conficker.
2017-04-21 21:39:23
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
今回のリークでもはや特定の諜報機関によるものではなく本当の意味で in the wild の門戸があらゆる攻撃者に向けて開かれたものと認識しますので、新たな被害の急増を危惧しています
2017-04-21 21:00:11
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
FuzzBunch による EternalBlue 経由での DoublePulsar インプラント化ノードと思われるものは容易にスキャンが可能にもなっていますので、単にそれに相乗りするだけでも全力で攻撃する価値の生まれる人が世の中にはきっと沢山いるはずかもしれないですね
2017-04-21 21:07:12EternalBlue/DoublePulsar の使用法なども多く出回り、国家のサイバー兵器であったものを誰もが自由に入手して利用できるようになってくる
Neutral8✗9eR @0x009AD6_810@infosec.exchange
@0x009AD6_810
なお、現段階でどの程度の門戸が開放されているかと申しますと、サーバ乗っ取りに必要なもの一式の入手方法と、EternalBlue で攻撃して Empire で生成した DLL を DoublePulsar を介して注入し、
2017-04-21 22:17:31