ランサムウェア「WannaCry／Wcry」のワーム活動を解析：侵入／拡散手法に迫る | トレンドマイクロ セキュリティブログ

国内でも大きな話題となっているランサムウェア「WannaCry」ですが、5月12日の世界的な大規模拡散以降、その侵入と拡散について大きな疑問符が付いたままとなっていました。トレンドマイクロでは侵入と拡散の手法について探るため、WannaCry のワーム活動について徹底解析を行いました。WannaCry はワーム活動としては Windows の「MS17-010」の脆弱性の利用を確認していますが、この解析では同時にバックドアツール「DoublePulsar」を利用する詳細な活動内容が確認できました。 トレンドマイクロの解析の結果、以下のワーム活動のフローが明らかになりました。 攻撃対象のスキャン： 1.1 ローカルネットワーク内の端末を列挙しスキャンする 1.2 グローバル、ローカル含め、無作為なIPアドレスに対してもスキャンする スキャン対象の端末に SMB の 445番ポートで接続し、「

[jiwer5959]

“ワーム活動のほとんどすべてを NSA流出ツールの流用に頼っているようです。”NSA（National Security Agency（国家安全保障局)）

[s_nagano]

445番ポートが空いていない環境には侵入しない ワーム活動の発端である攻撃対象のスキャンにはSMB での接続を試みるため、たとえDoublePulsar が感染している環境であっても 445番ポートが空いていなければ攻撃対象にならな

[mini_big_foo]

お外向けにSMB開いてるのがこんなにいっぱい！？

[mumincacao]

外部から接続可能で Win 端末で更新適用してなくて 445 開けっ放しで SMBv1 も有効なまま放置されてるとみられるものがけっこうあるんだなぁ・・・ （・ｘ【みかん

[tantantull]

案外ガバガバなんだなぁ

[chess-news]

NSAから流出した情報から作られたウイルスとか、サマーウォーズ感あるな。この前、学生？が解除コードを割り出したと言うし。