(cache)ランサムウェアBadRabbitに関する情報についてまとめてみた

2017年10月24日夜（日本時間）からウクライナやロシアを中心にランサムウェア「BadRabbit」に感染し、被害を受けたとの情報が出回っています。ここではBadRabbitに関連する情報についてまとめます。

タイムライン

日時	出来事
2017年2月頃	FireEyeが攻撃にも利用されたJavaScript フレームワークを観測。*1
2017年10月24日 17時頃	BadRabbitの拡散が始まる。
〃 21時26分	InterfaxがTwitterを通じてWebサイトに障害が発生していると報告。*2
〃 24時頃	BadRabbitの拡散を行っていたWebサイトが停止する。
〃	ウクライナのCERT-UAがさらなる攻撃の可能性があるとして注意喚起。*3
〃	US-CERTがBadRabbitによる感染報告を複数受けているとして情報公開。*4

被害状況

現在報道されている被害の多くはロシアを中心に、ウクライナ等の東欧地方で発生している。
大きな被害は確認されていないとの報道。*5

BadRabbitの影響を受けたとみられる組織

組織名	国	被害・影響の概要
インタファクス通信	ロシア	Webサイトなどの一部のサービスに障害発生。
オデッサ国債空港	ウクライナ	職員が旅客データを手入力による対応に変更となった。これを受け当該空港を利用する数便に遅れが生じた。
キエフ地下鉄	ウクライナ	決済システムで障害が発生した。列車運行への影響はなかった。

セキュリティ組織の把握状況

セキュリティ組織	把握している被害状況
NCSC	BadRabbitの影響を受けた報告は一切受けていない。*6
JPCERT/CC	国内での感染もすでに広がり始めていると考えられる
ESET	被害の半分以上はロシアで発生。観測された割合はロシア65%、ウクライナ12.2%、ブルガリア10.2%、トルコ6.4%、日本3.8%、その他2.4%
Kaspersky	KSNの統計では全体として約200の対象で攻撃を確認。大半はロシア。この他にウクライナ、トルコ、ドイツ等でも確認している。
TrendMicro	SPNの統計では日本国内での検出は確認されていない。改ざんされたサイトはデンマーク、アイルランド、トルコ、ロシアで確認。 25日17時半時点でロシア110台、カザフスタン3台、ウクライナ1台の計114台をブロックした。
Symantec	感染試行の検出の大半はロシアで最初に現れてから2時間後に発生。感染試行の国別の検出状況はロシア86%、日本3%、ブルガリア2%、ウクライナ1%、アメリカ1%、その他7%

日本国内の状況

ロイター通信はESETへの取材をもとに日本国内でも被害が発生していると報道。*7
FireEyeも報道を通じ、日本国内の企業が攻撃を検知したことを明らかにしている。

ランサムウェア「BadRabbit」について

ランサムウェアであり、特定の拡張子に該当するファイルとMBRを暗号化し感染端末を使用不可にする。
脅迫として求められる金額は最初は0.05ビットコイン。
表示される時間が過ぎると身代金が増額される。
BadRabbitに存在する暗号化機能にバグが存在することをkasperskyが確認している。

BadRabbitと呼ばれる由来

支払いに関する情報が掲載されたWebサイト「BadRabbit」と掲載されていたことから。
これ以外にも次の呼称が用いられる場合がある。
- Trojan-Ransom.Win32.Gen.ftl (Kaspersky)
- Diskcoder.D（ESET)

感染経路(1)：改ざんされたサイトの閲覧による感染

正規の複数のニュースサイトが改ざんされ、改ざんされたサイトへアクセスした際にドロッパーがダウンロードされる。
ドロッパーはFlash Playerのインストールモジュールを偽装している。
感染はソーシャルエンジニアリングによるものであり、脆弱性は利用されておらず、改ざんされたサイトを閲覧しただけで自動的に感染することはない。
改ざんされたサイトはKaspersky、Group-IBが報告している。

感染経路(2)：BadRabbitの拡散機能

企業内ネットワークを狙ったものとみられており、ネットワーク内の拡散機能が実装されている。
拡散機能はNotPetyaで見られた手口と同様の方法がとられている。
SMB経由で他のコンピュータに拡散する。
Mimikatzツールを使用して資格情報の抽出を試行する。*8
コード内に書き込まれたID、パスワードを用いて別の端末に感染を拡大させようとする。*9
WannaCryのようにEternalBlueや脆弱性を利用して他の端末に感染を広げることはない。*10
クレデンシャルの一覧は研究者により公開されている。*11
埋め込まれている４つのパスワード文字列は映画「ハッカー」の劇中でもっとも一般的なパスワードとされる文字列。

試行に用いられるユーザーID文字列

Administrator,Admin,Guest,User,User1,user-1Test,root,buh,boss,ftp,rdp,rdpuser,rdpadmin,manager,

support,work,other user,operator,backup,asus,ftpuser,ftpadmin,nas,nasuser,nasadmin,superuser,netguest,alex

試行に用いられるパスワード文字列

Administrator,administrator,Guest,guest,User,user,Admin,adminTest,test,root,123,1234,12345,123456,1234567,

12345678,123456789,1234567890,Administrator123,administrator123,Guest123,guest123,User123,user123,Admin123,

admin123Test123,test123,password,111111,55555,77777,777,qwe,qwe123,qwe321,qwer,qwert,qwerty,qwerty123,zxc,

zxc123,zxc321,zxcv,uiop,123321,321,love,secret,sex,god

BadRabbitの暗号化機能

AES-256bitで暗号化される。
AES-256bitの暗号化鍵はRSA-2048bit公開鍵により暗号化される。
暗号化されたファイルの終端に「ecrypted」と追加する。

暗号化される対象の拡張子

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

組み込まれたRSA-2048の公開鍵

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

この他に実装されている機能など

アンチデバッグなどの機能が備わっている可能性がある。*12
ジョブ名に利用されている文字列から「Game Of Thrones」のファンではないかとKasperskyは分析。

登場する名前

埋め込まれた文字列	Game Of Thronesでの役割	ジョブの動き
rhaegal	Rhaegar Targaryen王子にちなんで名づけられた。3匹のドラゴンの1つ。	dispci.exeとdrogon.jobを実行する。
dorogon	Khal Drogoにちなんで名づけられた。3匹のドラゴンの1つ。	PCをシャットダウンし、暗号化を実行。身代金文書を表示する。
viserion	Night Kingが殺されワイトとして復活したドラゴン。3匹のドラゴンの1つ。	2度目の再起動時に実行。スクリーンロックし、身代金要求画面を表示。
GrayWorm	Kasperskyによれば登場人物との紹介されているが、同名の人物は存在しないとみられる。似た名前として同作に登場する司令官 Grey Wormが存在する。

BadRabbitのキルスイッチ

次の2つのファイルをあらかじめ生成し、ファイルから全ての権限を削除しておくことでBadRabbitの感染プロセスが停止する。*13

c:\windows\infpub.dat

C:\Windows\cscc.dat

攻撃に利用されたJavaScript フレームワーク

IPアドレス、ブラウザ、参照元サイトの情報等を収集する機能がある。

NotPetyaとの類似性は存在するか

Group-IBはNotPetyaを修正したものと解析している。
ESETはPetya(Penza)の変種と解析している。
NotPetyaとの類似性についてKasperskyのリサーチャーは懐疑的な見方を示している。*14
IntezerLabsのリサーチャーはコードの類似率は13%であると分析。*15

改ざんされたサイトにアイカ工業のドメイン名が記述

Group-IBがBadRabbitに感染させるために改ざんされたサイトの一覧を投降。
その投稿には日本のアイカ工業株式会社のドメイン「aica.co.jp」が含まれていた。
アイカ工業は海外のセキュリティ会社(Group-IBではない別の会社)より指摘を受け調査中。*16
アイカ工業のWebサイトは一時停止となった。
25日18時時点で改ざんや感染の痕跡などは確認されていない。

検体関連の情報（IOC）

ファイル

ファイル名	機能	Sha256
install_flash_player.exe FlashUtil.exe	ドロッパー	630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
infpub.dat	dispci.exeの起動タスクを作成。 RSA暗号を利用して対象ファイルを暗号化。	579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0
dispci.exe	別のブートローダーをインストール。マシンを起動不可とする。	8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

通信先

種別	通信先
Javascript 送信先	185[.]149[.]120[.]3
改ざんされていたサイト	www.fontanka[.]ru argumenti[.]ru argumentiru[.]com
ドロッパー配布元	1dnscontrol[.]com/flash_install.php (5[.]61[.]37[.]209)
ペイメント先	caforssztxqzf2nm[.]onion
同じキャンペーンで利用の恐れがある通信先(ESET)	webcheck01[.]net webdefense1[.]net secure-check[.]host firewebmail[.]com secureinbox[.]email secure-dns1[.]net