バラクーダネットワークスが行ったNotPetya攻撃のメール脅威ベクタの調査

セキュリティとストレージのリーディングカンパニー > ブログ > バラクーダネットワークス > バラクーダネットワークスが行ったNotPetya攻撃のメール脅威ベクタの調査

バラクーダネットワークスが行ったNotPetya攻撃のメール脅威ベクタの調査
Fleming Shi

2017年08月01日

NotPetya(Netya)は、6月27日に報告されました。この時点では、Petyaランサムウェアのような攻撃だと考えられていました。ところが数時間後には、2016年に検知されたPetyaの亜種ではないことが明確になったのです。この新たな攻撃はPetya.Aと命名されましたが、ここではNotPetyaと呼ぶことにします。

NotPetyaの感染方法は、細工したメールの添付ファイルとMEDocsソフトウェアです。今日は、メールを悪用する脅威についてバラクーダネットワークスが行った調査をご紹介します。

最初の兆候:

バラクーダネットワークスのシステムで初めてNotPetyaランサムウェアが検知されたのは、2017年6月26日4:30PM(PST)でした。複数のソースIPアドレスから送信された3,000を超えるメールを検知およびブロックしました。400を超えるEmail Security Gatewayユーザに影響が生じましたが、数万のユーザ環境を常に監視するBRTS(Barracuda Real Time System)により、わずか数秒で対策を講じることができました。これは、NotPetya攻撃のサンプルを取得することで、効果的に対処できた実例です。Barracuda Email Security GatewayやEmail Security Serviceを使用しているユーザ環境は、常にBRTSで保護されています。

以下に、BRTSとメールのサンプルを示します。

攻撃コンポーネント:

BRTSが最初の数時間でメールの感染を阻止している間、Barracuda ATPレイヤでサンプルの解析を実行しました。

この図は、Barracuda ATPの階層型脅威保護のしくみを示しています。

メールに含まれるRTFコンポーネントの解析:

RTFファイルのATP解析レポートのスクリーンショット:

RTFの挙動解析のスクリーンショット - Content-Type: application/htaファイルのダウンロード:

セキュリティ侵害の痕跡:

この攻撃には、次のように複数のIoC(侵害の痕跡)が存在します。バラクーダネットワークスは、次のアーチファクトを把握しています。

• ファイル名Order-20062017.doc(RTF、CVE-2017-0199)

 ハッシュID415FE69BF32634CA98FA07633F4118E1

• SHA256ハッシュのファイル

:027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

• SHA256ハッシュのファイル

:17dacedb6f0379a65160d73c0ae3aa1f03465ae75cb6ae754c7dcb3017af1fbd 

サードパーティの情報:

バラクーダネットワークスは、複数のリファレンスを解析で使用しました。特に次の2つは、調査において重要な役割を果たしました。

•サードパーティのサンプルファイル。バラクーダネットワークスのサンプルで特定したIoCと同一。 

• ウクライナのComputer Emergency Response Teamが提供したインテリジェンス( http://cert.gov.ua/?p=2641)。

Google翻訳(英語):https://translate.google.com/translate?sl=auto&tl=en&js=y&prev=_t&hl=en&ie=UTF-8&u=http%3A%2F%2Fcert.gov.ua%2F%3Fp%3D2641&edit-text=&act=url  

参考資料:

• RTFハッシュ: 

MD5:415FE69BF32634CA98FA07633F4118E1

SHA256: fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d206

• サンプルファイル1

:027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

• サンプルファイル2

:17dacedb6f0379a65160d73c0ae3aa1f03465ae75cb6ae754c7dcb3017af1fbd 

結論:

Petya.Aは、6月26日以降、バラクーダネットワークスのシステムで検知されたメール脅威ベクタです。最初の攻撃が報告されるまでに、バラクーダネットワークスはBarracuda Real Time SecurityとAdvanced Threat Protectionシステムで攻撃をブロックし、ユーザへの被害を回避しました。さらに、ATPレイヤを使って攻撃サンプルから詳細なインテリジェンスを収集しています。

また、サンプル、ハッシュ、IoCを複数のサードパーティリファレンスと照合し、Petya.Aをメール脅威ベクタであると特定しました。 

このようにバラクーダネットワークスは、階層型テクノロジとAIを駆使し、解析用のサンプルとデータの収集に成功しています。このインテリジェンスと解析結果はシステムにフィードされ、世界中のユーザのセキュリティ保護に活用されています。 


バラクーダネットワークスのテクノロジ担当シニアバイスプレジデントであるフレミング・シ(Fleming Shi)は、クラウド対応マイクロサービステクノロジについて、セキュリティとデータ保護ポートフォリオ全体のイノベーションと統合を統率しています。

ジョナサンとつながりたい方は、LinkedInからどうぞ。


*本内容はBarracuda Product Blog 2017年 7月13日 Barracuda Research investigation into the email vector of the NotPetya attack を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら