ワーム能力を身に付けたランサムウェアWannaCryが世界を駆け巡る

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

親切に Metadploit の meterpreter へとマイグレーションするまでの Step-by-Step ガイドが一般に公開されているぐらいであります (PDF) exploit-db.com/docs/41896.pdf

Sheila A. Berta @UnaPibaGeek

[PAPER] how to exploit #eternalblue & #doublepulsar step by step -> exploit-db.com/docs/41896.pdf cc @hackerfantastic @etlow :)

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

数日前の日本でもこんな感じだったので twitter.com/0x009AD6_810/s… この数字の意味するところを国内のメディアや公的機関、セキュリティ専門家の方々はもっと騒いでも良いような気がするのですが何故そうしないのか不思議であります

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

これ、日本は地形が見えなくなるくらい多い感じでしょうか twitter.com/belowzeroday/s…

2017-04-21 04:45:18

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

その後国内ではあまり騒がれていないような気がする DoublePulsar ですが、FP (誤検知) 無しでこの数字であります twitter.com/Viss/status/85…

D̒͂̕ᵈăᵃn̕ᶰ Ť̾̾̓͐͒͠ᵗe͗̑́̋̂́͡ᵉn̅ᶰtᵗl̀̓͘ᶫe̓̒̂̚ᵉrʳ @Viss

so the total number of hosts in my file is 5,032,383 the infection rate is holding steady at 2.85% that means: 2.85% of 5032383 = 143,422

2017-04-24 04:49:13

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

ここで紹介されている AES-NI ランサムウェアは NSA EXPLOIT を使用していると騙っているようですがどうやらインチキっぽいです bleepingcomputer.com/news/security/…

BleepingComputer @BleepinComputer

AES-NI Ransomware Dev Claims He's Using Shadow Brokers Exploits - by @campuscodi bleepingcomputer.com/news/security/…

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

最近は DoublePulsar のことをつぶやいているせいでインプラント治療の歯科広告がタイムラインに出て来ますが惜しいですインプラント違いです

Threatpost @threatpost

NSA's #DoublePulsar kernel exploit in use internet-wide - bit.ly/2oYVTYL pic.twitter.com/0yLKoMBW8h

拡大

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

CVE-2017-0143 MS17-010 SMB RCE Detection | Rapid7 rapid7.com/db/modules/aux… github.com/rapid7/metaspl… #Metasploit #DoublePulsar Scanner

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

スキャン対象に MS17-010 の脆弱性があるか (EternalBlue exploitable かどうか) チェックし、脆弱性がある場合は静かなる大脅威 DoublePulsar が埋め込まれていないか追加でチェックするモジュールのようです

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

なお、EternalBlue > DoublePulsar の恐ろしいところは MS17-010 の修正が当たる前に既に DoublePulsar が埋め込まれているケースも十分あり得るということです、そちらは別の方法で検査する必要があります

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

しかし今回の(超)注意喚起が必要だと思われる EternalBlue / DoublePulsar に対する国内始め公的機関などからの絶望的な注意喚起のなさを見るに、やはり レイヤ 7 のはるか上にある 政治層 というものの存在を改めて感じることが出来ますね (~_~;)

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

なおかつ世界中の攻撃者が全力を上げて絶賛攻撃中なのに一体どういうことやねん、とは思いますね。445/TCP のオープンポート絶対数が 80/TCP のそれに比べて少なければそれで良いのでしょうか、何というかいろんな意味での世の中の理不尽さを感じずにはいられません

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

個人的には、例えばつい最近世界中で大騒ぎになった WordPress REST API のアレともはや同じレベルと言っても良い攻撃容易性 (しかもSYSTEM権限で動作するSMB2へプロトコル認証無しでRCE可能) であって、攻撃を受けた際の深刻度は比べものにならないはず、

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

大変不謹慎な言い方になりますが、もしも NSA が怖かったり US-CERT におんぶに抱っこな立ち位置の公的機関があるのだとしたら、そんな公的機関、個人的には要らんがな

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

無礼を大変失礼致しました、ただ Conficker (445/TCP) とせずに敢えて Downad とか、何かこう作為的なものしか感じられなくてツライです、まぁ IPA なのでこういう可能性としての見解は出せないのは分かるのですが twitter.com/0x009AD6_810/s…

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

実はこれが一部またはほとんど Conficker ではなく、今回の The Shadow Brokers のリークで明らかになった NSA (Equation Group) の EternalBlue (MS17-010) であった可能性について、何か手掛かりはないものでしょうか

2017-04-21 20:59:56

belowØday @below0day

Check if you're affected by #DOUBLEPULSAR both SMB & RDP! DoublePulsar.Below0Day.com #infosec #ShadowBrokers pic.twitter.com/AS4sLMpP6x

拡大

Sheila A. Berta @UnaPibaGeek

Together with @pablogonzalezpe we've developed a module for using #eternalblue & #doublepulsar from #metasploit -> github.com/ElevenPaths/Et… pic.twitter.com/Lw66EY6J7n

辻 伸弘 (nobuhiro tsuji) @ntsuji

レポート出しました！/ Microsoft Windows 製品のSMBv1 サーバーの脆弱性により、リモートから任意のコードが実行可能な脆弱性（MS17-010）に関する調査レポート softbanktech.jp/information/20…

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

結局あんまり大きく騒がれないままの感じの EternalBlue / DoublePulser ですが、この msf module github.com/hardw00t/Etern… を使わせていただいて刺してみました。 pic.twitter.com/SrfwhDnLrt

拡大

Neutral8✗9eR @0x009AD6_810@infosec.exchange @0x009AD6_810

なお、こちらのような国内レポート softbanktech.jp/information/20… も出ているようなので、このレポートにもある MS17-010 で刺して DoublePulsar をインプラントし、DoublePulsar 経由で meterpreter へと繋げるパターンです