セキュリティアドバイザリ。Bad Rabbitランサムウェアワーム。

調査は、OSINTの証拠分析、ローカル証拠、攻撃被害者からのフィードバック、アクターのアトリビューションに使用されるMITRE ATT&CKの方法論に基づいています。SOC Primeは、独立したセキュリティ研究者や逆向きエンジニアリングレポートと攻撃分析をパブリックソースや企業ブログで共有してくれた専門セキュリティ企業に感謝の意を表します。当社の側では、このTTPアトリビューションの脅威概要とArcSight、QRadar、Splunk用の脅威検出SIEMコンテンツを共有します。

エグゼクティブサマリー

Bad Rabbit は、2017年10月24日に発生した、主にCISおよびAPAC諸国で多数の業界に影響を与えたグローバルなランサムウェアワームの流行です。

Cisco Talosによるフォレンジックレポートは、最初の初回ダウンロードが2017-10-24 08:22 UTC頃に観測されたと述べています。SOC Primeは2017-10-24 10:12 UTCにウクライナの輸送組織の一つから攻撃について情報を受け取りました。当時、その組織はすでに暗号化されていたため、攻撃実行の最も決定的な証拠はTalosが報告した08:22 UTCであることに同意します。

2017-10-25 08:24 UTCの時点で、攻撃がAPT性質であることを示す公開証拠はありません。しかし、Lokyランサムウェアが同じ諸国を使い、Microsoft Word DDEの脆弱性を利用して悪意のある電子メールの添付ファイルを配信ベクトルとしてヒットした別のランサムウェア攻撃と並行して実行されました。いくつかの研究者がとの類似性を指摘しました NotPetya 攻撃ですが、TTPアトリビューションが明確に脅威アクターが同一でないことを示しているため、この主張には強く反対します。他の証拠が提示されない限り、攻撃はサイバー犯罪活動として考慮されるべきであり、国家が支援する攻撃ではありません。ただし、同年2017年6月のNotPetyaの間にAPT作戦を隠すためにおとり攻撃を開始する同じパターンを確認しています。

攻撃にはワームの機能があり、迅速に拡散するため、SIEM技術における事前的脅威検出制御の配置と、Windowsホストシステムの一時的なワクチン設定の展開が強く推奨されます。脅威名：Bad Rabbit別名：Discoder / Win32/Diskcoder.D / Trojan-Ransom.Win32.Gen.ftl / DangerousObject.Multi.Generic / PDM:Trojan.Win32.Generic脅威タイプ：ランサムウェアアクタータイプ：サイバー犯罪脅威レベル：高地理別影響：ロシア、ウクライナ、ブルガリア、トルコ、日本、ルーマニア、ドイツ。業界別影響：輸送業および小売業（主にウクライナ）、メディア部門（主にロシア）感染ベクトル：感染したウェブサイト上の悪意のあるJavaScriptによるドライブ・バイ・ダウンロード影響を受けたIT資産：Windows OS。関連APT：証拠不足のため決定的なアトリビューションを提供できません。

脅威アクターのアトリビューションとTTP分析

いくつかの研究会社はBad Rabbit攻撃がNotPetyaと類似していると述べています。これはPRとメディアの宣伝の問題であり、多くのセキュリティ専門家が独自に「次の大きな脅威」を追い求めていると考えます。2017-10-25 08:24 UTCの時点で、Bad Rabbit攻撃がAPTであるまたはNotPetyaやSandwormと類似したTTPを持つという公的な技術的証拠はありません。さらに、いくつかの研究会社はBad RabbitとNotPetyaランサムウェアコンポーネントの13%のソースコードの重複を報告していますが、NotPetyaはおとりと注意をそらすためにPetyaランサムウェアと大きな類似性を持っていました。PetyaとNotPetyaランサムウェアのコードは複数のアクターに利用可能です。MITRE ATT&CKの方法論とSOC Prime SVA AIのカスタム脅威モデルを利用してNotPetyaのTTPを詳しく見てみましょう：NotPetyaの背後にいるアクターは、攻撃を実行するために30の技術を使用しました。

Bad RabbitとNotPetyaのTTPの違い：

1. サプライチェーン攻撃ベクトル（修正されたM.E.Docソフトウェアのアップデート）
2. EternalBlue脆弱性（Bad Rabbitはこれを使用していません）
3. ホスト上のインジケーターを削除（MS EventLogをクリアすることによって。Bad Rabbitはこれを行いません）
4. PsExecはBad RabbitでWindows管理共有の水平移動に使用されていません
5. Bad Rabbitはハードコードされた資格情報を使用していないNotPetyaの使用しているものです
6. 適切な資格情報はNotPetyaによってC2で管理されました。これにより攻撃者はMicrosoft SCCMサービスアカウントなどの特定のActive Directoryアカウントを水平移動に使用することが可能でした。

議論された類似点：1. ブートキットは、Sandwormアクターの「署名」手法として、データ破壊「ワイパー機能」（BlackEnergyキャンペーン等）やブート時のデータを不可逆的に暗号化するためにノットペティアキャンペーンで広範に使用されました。Bad Rabbitは、ランサムウェア通知をブートローダに配置するだけの完全なブートキットは持っていません。
議論をさらに展開するために、Bleeping Computerからの引用を使用します

Bad Rabbitに関しても、ランサムウェアはPetyaやNoPetyaと同様のディスクコーダです。Bad Rabbitは最初にユーザーのコンピュータ上のファイルを暗号化し、次にMBR（マスターブートレコード）を置き換えます。Bad Rabbitがその仕事を終えると、ユーザーのPCを再起動し、カスタムMBRランサムノートにはまります。このランサムノートは、6月の発生時に使用されたNotPetyaのものとほぼ同一です。

ここでの主な違いは、NotPetyaが実際にブート時にデータをブートキットで暗号化し、OSレベルで暗号化するためにMFTを追加の技術として修正したことです（元のPetyaの「機能」）。Bad Rabbitは、ブート画面を置き換えるだけです。同一の画面デザインは簡単に偽装できます。Bad RabbitとNotPetyaのTTP類似性：

1. クレデンシャルダンピングのための同じバージョンのMimikatzの使用
2. 水平移動のためのSMB共有の使用
3. 水平移動のためのWMIの使用

また、Bad RabbitとNotPetyaで標的とされるファイル拡張子が大きく異なります。典型的なランサムウェアはより多くのファイルを標的とし（Bad Rabbit）、ランサムウェアをファイル削除手法として使用するAPT攻撃は特定のファイルを追い求めます。また、感染ベクトルとしてのハッキングされたウェブサイトからのウォーターホール攻撃についても議論があります。適合しない部分は、ハッキングされたサイトが影響を受けた国での人気トップ100にも入っていないということです。

予防：ホストベースのワクチンとネットワーク保護

ネットワーク保護コントロール周辺機器レベルデバイスで185.149.120[.]3へのネットワークアクセスをブロックする
セキュリティウェブゲートウェイ／プロキシで感染したすべてのURLをブロックする。ホストベースのワクチン接種インストールされたファイルinstall_flash_player.exeは被害者によって手動で実行される必要があります。正しく操作するには標準のUACプロンプトを使用してエレベーテッドな管理者権限を取得しようと試みます。起動されると悪意のあるDLLがC:Windowsinfpub.datとして保存され、rundll32を使って起動されます。

• 可能な場合は、一時的な緩和策としてWMIサービスを無効化します
• 次のファイルC:Windowsinfpub.datおよびC:Windowscscc.datを作成し、これらのファイルからすべての許可（継承）を削除します。

コンプロマイズインジケーター

IPアドレス

外部参照

1. https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
2. https://securelist.com/bad-rabbit-ransomware/82851/
3. http://blog.talosintelligence.com/2017/10/bad-rabbit.html
4. https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb
5. https://gist.github.com/Belorum/7b57e925a0bcc6ed6a72b6af07006ace
6. https://www.hybrid-analysis.com/sample/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93?environmentId=100
7. https://www.hybrid-analysis.com/sample/99b695b3d2ce9b0440ce7526fea59f7a4851d83d9a9d9a6cf906417068bc7524?environmentId=100
8. https://twitter.com/craiu/status/922911496497238021
9. https://blog.qualys.com/news/2017/10/24/bad-rabbit-ransomware
10. https://threatprotect.qualys.com/2017/10/24/bad-rabbit-ransomware/?_ga=2.71482960.293546626.1508923179-346340547.1500997518
11. https://analyze.intezer.com/#/analyses/d41e8a98-a106-4b4f-9b7c-fd9e2c80ca7d
12. https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-hits-eastern-europe/