Expetrの動作を分析 Kaspesky社による報告


引用元:https://securelist.com/no-free-pass-for-expetr/79008/
Expetr/Petyaの亜種」のコードを元に動作を分析したKaspersky社が、平成29年7月13日に同社が運営するWebサイト「Securelist」にて報告しました。

 

Expetrの動作

Expetrは以下のアクションを実行します。
・管理者権限の確認
・実行中プロセスの列挙
・発見されたプロセスに応じた実行時設定の初期化
・この実行時設定を元に当該マルウェア実行分岐が選択


(画像1:Expetrの主要機能)


引用元:https://securelist.com/no-free-pass-for-expetr/79008/
 
 
(画像2:権限を確認する機能)

引用元:https://securelist.com/no-free-pass-for-expetr/79008/


(画像3:実行中プロセスの列挙)


引用元:https://securelist.com/no-free-pass-for-expetr/79008/
Expetrにより、実行中のプロセス名からハッシュ値を計算し、複数の難読化された値と比較する手法を用いた、複数の実行中プロセスの発見の試行。


(画像4:InfectMbrとWiperPhysicalDrive)


引用元:https://securelist.com/no-free-pass-for-expetr/79008/
InfectMbrは不正なGoldenEye暗号化コードをMBRへ書き込み、再起動後、このコードはMFT(ファイルやディレクトリごとに重複しない1つのデータに対応する固定サイズのレコードによって形成される、ファイルの属性を記録するスペース)と各ファイルの1024バイトを暗号化します。WipePhysicalDriveは、ディスクの最初の10セクタをランダムに上書きします。
WipePhysicalDrive関数は以下の条件が整うと開始されます。
・avp.exeが実行中プロセスとして検出されることりより発生する、実行時設定がビットによって設定されていない場合
・InfectMbr関数が失敗した場合
 

(画像5:条件のサイクル)

引用元:https://securelist.com/no-free-pass-for-expetr/79008/
WipePhysicalDriveは、avp.exeプロセスが実行中であるかどうかに左右されず開始が可能で、MBRへの不正なコードの書き込みが失敗した場合に呼び出されます。
例えば、導入されているセキュリティ製品によってこの動作が検知、及びブロックされると、WipePhysicalDriveが動作する可能性があります。
MBRが不正コードに感染しているか、あるいは、ランダムな文字列で上書きされたかに関わらず、ExpetrはAES暗号RSA暗号攻撃者の公開鍵を用いて、標的のファイルの暗号化を試みます。
 

関連リンク

Kaspersky社による報告一覧

Expetrについて Kaspersky社

Petyaの亜種について

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop