2017年6月27日にウクライナなど世界各地でランサムウェア「petya（ペトヤまたはペチャ）」の感染被害が発生しました。初期感染経路に関する情報は輻輳しておりますが、いくつかのセキュリティベンダーからは、2017年4月に公開された脆弱性CVE-2017-0199が悪用されたとの情報もあります。

　この説が本当だとすると、不審メールの開封や改ざんされたウェブサイトの閲覧により感染することになり、国内においても被害の発生が懸念されます。　そこで、CVE-2017-0199による攻撃発生時にどのような特徴があるのか、また、ログなどから検知できないのか検証してみました。

検証環境

検証手順

(1)攻撃PCにてmsfconsoleを起動し、エクスプロイトを実行

(2)上記コマンドにて作成された攻撃用ファイル「msf.doc」を被害PCに移動

(3)被害PC上で「msf.doc」をWORDにて開封

検証結果

(1) 検証手順(3)によりWORD文書を開封すると、「この文書は、他のファイルへのリンクが含まれています。リンクされたファイルのデータでこの文書を更新しますか？」というダイアログメッセージが表示されました。

(2)ダイアログメッセージには、「はい」、「いいえ」、「ヘルプ」の３種類のボタンがありますが、何も操作しなくとも、バックグラウンドで攻撃PCにHTTP接続し、HTAファイルがダウンロードされ実行されました。

(3)HTAファイルの実行により、攻撃PCにmeterpreterセッションが確立され、遠隔操作に成功しました。

攻撃発生時の特徴

・プロキシログに「hta」ファイルのアクセスログが残ります。なお、ユーザーエージェントはInternet Explorer（デフォルトブラウザ）のものが記録されます。

#cat /var/log/squid/access.log
02/Jul/2017:22:34:11 +0900.388   4472 172.16.0.130 TCP_MISS/200 6902 GET http://192.168.15.10/default.hta - DIRECT/192.168.15.10 application/hta "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
02/Jul/2017:22:34:11 +0900.825    139 172.16.0.130 TCP_MISS/200 6850 GET http://192.168.15.10/default.hta - DIRECT/192.168.15.10 application/hta "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
02/Jul/2017:22:34:16 +0900.365   3349 172.16.0.130 TCP_MISS/200 962300 CONNECT 192.168.15.10:443 - DIRECT/192.168.15.10 - "-"

    

感想

・セキュリティパッチを適用することが最善策なのですが、何らかの理由により適用が困難な場合は、プロキシサーバなどでContent-Type「application/hta」を遮断することで、脆弱性攻撃を緩和できるかもしれないと感じました。（私の環境では、通常のブラウジングでHTAファイルにアクセスすることがないため、対策による影響も小さいのかなと思っています。）