WANNACRY

投稿者:Kirk Soluk
日時:2017年5月13日

WannaCryランサムウェアに関する情報が、このマルウェアの拡散と同じくらいの速さで広まっており、今週末には感染拡大が予想されます。本稿では、当社のマルウェア処理システムから得た、他では入手できないかもしれない情報を提供します。

WannaCryランサムウェアは、ハッカー集団Shadow Brokersが4月14日に公開したMicrosoft Windowsのリモートコード実行の脆弱性を悪用することで拡散しています。Microsoftは3月14日にパッチを公開しました。感染の確率を低下させるために、システムは直ちにパッチを適用するか、SMBv1(Server Message Block 1.0)/CIFS(Common Internet File System)を無効にする必要があります。

Microsoftセキュリティ情報 MS17-010 – 緊急
– https://technet.microsoft.com/library/security/MS17-010

また、適切なネットワークセグメンテーションが常にベストプラクティスといえます。Microsoft SMBの脆弱性が利用されるリスクを抑えるために、外部だけでなく内部ネットワーク上でもネットワークセグメンテーションを使用するべきです。

WannaCryの14サンプルの動態分析から得られた以下の情報を、インシデント対応者向けの追加状況として提供します。

マルウェアサンドボックスからの挙動シグネチャ:

ミューテックス:

生成ファイル:

Arbor Security Engineering & Response Team(ASERT)は、アーバーネットワークスの製品を活用してWannaCryのインシデントの検知やブロックの方法について、さらなる指標、洞察、情報を含む包括的なSituational Threat Briefを作成しました。Situational Threat BriefなどのASERT Briefをご希望のお客様とパートナー様は、登録ページ(https://www.arbornetworks.com/blog/asert/threat-brief-subscription/)にご登録ください。