WannaCryの概要 - DIYニンジャ

WannaCryも解析が進んできて、分析記事が出てきた。

感染経路に関してはトレンドマイクロの記事が、構成に関してはMBSDの記事が分かりやすい。

感染に際してのWannaCryの動きは下記の通り。
※バックドアというのはPCに作られた裏口で、これを通じてウイルスを送り込まれたりコマンドを実行されてしまう。

攻撃対象に対して接続しに行く(SMB 445番ポート)
→ 脆弱性があるかどうか調べ、存在していたら脆弱性を突いてバックドアを仕込む。
(※ここでEternalBlueとDoublePulsarのコードが流用されている)
脆弱性がなくても既にバックドアがあったらそれを使うことにする。
→ バックドア経由でWannaCryを送り込む。

この動作から、EternalBlue(脆弱性を突く攻撃ツール)とDoublePulsar(バックドア)が重要なソースとなっていることが分かる。
今問題となっているのは、この2つが米国NSAから流出したツール群に含まれているものであり、すなわち米国の国家機関で作られたものと見られているからだ。
流出したツール群はハッカー集団「shadow brokers」によってGithubにアップロードされ、誰でも見られるようになっている。

Github:shadow broker

NSAはもともとマイナーな機関ではあるが、スノーデン事件で一躍世界を騒がせた。
CIAと同じく米国の諜報機関で、人的諜報を主とするCIAに対し、こちらは電子機器使った諜報(シギント)を主とする。
CIAほど映画に出てこないのでマイナーではあるが、これからアニメやスパイ映画なんかのネタにされて有名になっていくかもしれない。