NOTE: Updated January 25, 2018

What Happened

On Friday, May 12, 2017, a series of broad attacks began that spread the latest version of the WanaCrypt0r ransomware, including worm-like tactics to infect additional hosts within the network. These attacks, also referred to as WannaCrypt or WannaCry, reportedly impacted systems of public and private organizations worldwide. Our Next-Generation Security Platform automatically created, delivered and enforced protections from this attack. We also highly recommend that users ensure they always have up-to-date protections in place as the WannaCry ransomware will continue to pose a persistent threat to unpatched systems.

How the Attack Works

While the initial infection vector for WanaCrypt0r is unclear, it is certain that once inside the network, it attempts to spread to other hosts using the SMB protocol by exploiting the EternalBlue vulnerability (CVE-2017-0144) on Microsoft Windows systems. This vulnerability was publicly disclosed by the Shadow Brokers group in April 2017, and was addressed by Microsoft in March 2017 with MS17-010.

Microsoft published a post on protections from the WanaCrypt0r attacks here, and has taken the step of providing patches for versions of Windows software that are no longer supported, including Windows XP. Organizations that have applied the MS17-010 update are not at risk for the spread of WanaCrypt0r across the network, but given it addresses a remotely exploitable vulnerability in a networking component that is now under active attack, we strongly urge making deployment of this security update a priority.

Preventions

Palo Alto Networks customers are protected through our Next-Generation Security Platform, which employs a prevention-based approach that automatically stops threats across the attack lifecycle. Palo Alto Networks customers are protected from WanaCrypt0r ransomware through multiple complementary prevention controls across our Next-Generation Security Platform, including:

• WildFire classifies all known samples as malware, automatically blocking malicious content from being delivered to users.
• Threat Prevention:
  • Enforces IPS signatures (content release: 688-2964) for the SMB vulnerability exploit (CVE-2017-0144 – MS17-010) used in this attack. We recommend that customers enable protections both at the perimeter and between internal zones within the network.
  • Deploys anti-malware signatures, which customers can reference on ThreatVault (includes threat names: “Trojan-Ransom/Win32.wanna.a” and “Trojan-Ransom/Win32.wanna.b”).
  • Command-and-control:
    • The WanaCrypt0r malware does not leverage command-and-control, but possesses a “kill switch” domain that prevents encryption of infected endpoints when it successfully resolves. Since the kill switch effectively disarms the threat, we have not released signatures to block access to it.  However, you can implement a custom IPS signature developed by our threat research team to detect infected hosts resolving the known kill switch domains, which is available below. Do not set the action to “block”, as this will trigger the malware to perform destructive actions on infected hosts.  Best practices for implementing custom signatures are available here.
  • Offers command-and-control protections (content release 695) for the DoublePulsar backdoor exploit tool, which can be found on ThreatVault for reference.
• URL Filtering monitors malicious URLs used and will enforce protections if needed.
• DNS Sinkholing can be used to identify infected hosts on the network. For more, please reference our product documentation for best practices.
• Traps prevents the execution of the WanaCrypt0r malware on endpoints, with additional details available in the following blog on Traps protections.
• AutoFocus tracks the attack for threat analytics and hunting via the WanaCrypt0r tag.
• GlobalProtect extends WildFire and Threat Prevention protections to remote users and ensures consistent coverage across all locations.

Detecting compromised hosts can be done through multiple methods:

• Add known malicious domains (provided below) to an External Dynamic List (EDLs) with the alert action set and monitor access to them. Do not set the action to “block”, as this will trigger the malware to perform destructive actions on infected hosts.
• Alert on the custom IPS signature (see IPS section below), and ensure you change the signature ID from what we provide to an available ID. Do not set the action to “block”, as this will trigger the malware to perform destructive actions on infected hosts.

For best practices on preventing ransomware with the Palo Alto Networks Next-Generation Security Platform, please refer to our Knowledge Base article. We strongly recommend that all Windows users ensure they have the latest patches made available by Microsoft installed, including versions of software that have reached end-of-life support.

Custom IPS signature:

Note: Check that the “entry name” does not match an existing custom IPS signature you have on your next-generation firewall, and update if needed. Do not set the action to “block,” as this will trigger the malware to perform destructive actions on infected hosts.  As always, we recommend you review your policies to ensure you have configured the appropriate actions for all security policy rules. This signature is provided as a sample, and you should verify the effectiveness with your existing processes:

Malicious domains:

Change Log:

January 25, 2018:

• Added custom IPS signature.
• Added details on detecting compromised hosts.

May 13, 2017:

• Link to Microsoft blog on protections against WanaCrypt0r attacks.
• Details on additional protections via DNS sinkholing.
• Updated URL Filtering section to reflect new analysis.

May 15, 2017:

• Clarified the WanaCrypt0r attack delivery method based on additional information.

May 17, 2017:

• Added Threat Prevention signature information for anti-malware and command-and-control activity.
• Added link to Traps blog.

何が起こったか：

2017年5月12日金曜日、ランサムウェア（身代金要求型マルウェア）WanaCrypt0rの最新亜種による一連の攻撃が広範囲に対して始まりました。これらの攻撃はWannaCrypt, WannaCryとも呼ばれ、世界中の公的・民間組織に影響を与えたと報告されています。Palo Alto Networks の次世代セキュリティプラットフォームはこの攻撃に対するプロテクションを自動で作成、配布、適用を行いました。

どうやって攻撃されるのか：

WanaCrypt0rの初期の感染経路はまだ明らかになっていない部分もありますが、SMBプロトコルを経由して、ネットワーク内のMicrosoft Windows システムにある脆弱性 EternalBlue (CVE-2017-0144)を悪用し、他のホストに広範囲に感染を広めようとして攻撃します。この脆弱性は、2017年3月にMicrosoftがMS17-010として対処したもので、2017年4月にハッカー集団「Shadow Brokers（シャドー・ブローカーズ）」によって一般公開されています。

Microsoft はWanaCrypt0r攻撃に対する防御について記事（リンク先英語記事。同社の日本のセキュリティチームも、同様の情報をまとめた記事を公開しています）を公開し、Windows XPを含む、サポート期間の切れたバージョンに対するパッチの提供を開始しました。MS17-010 のパッチを適用している組織は WanaCrypt0r の感染がネットワークを介して広まるリスクはありませんが、現在アクティブな攻撃で使用されているネットワークコンポーネントにあるリモートコード実行可能な脆弱性を修正されているため、私たちはこのセキュリティアップデートの適用を早急に行うことを強くおすすめします。

阻止：

Palo Alto Networks のお客様は、攻撃ライフサイクルのいずれにおいても脅威を自動的に止めることができる脅威阻止アプローチを適用している我々の次世代セキュリティプラットフォーム経由で守られています。Palo Alto Networks のお客様は次世代セキュリティプラットフォームに対して提供している複数の脅威阻止コントロールを通じて自動的にWanaCrypt0rランサムウェアから守られています。

• • WildFire はすべての既知サンプルをマルウェアとして分類し、悪意のあるコンテンツがユーザーに配布されることを自動的にブロックしています。
  • 脅威防御
    • この攻撃に使用されているSMB脆弱性の悪用- ETERNALBLUE (CVE-2017-0144 - MS17-010)に対応する IPS シグネチャ（公開: 688-2964）を適用しています。
    • ThreatVault (脅威名“Trojan-Ransom/Win32.wanna.a” and “Trojan-Ransom/Win32.wanna.b”を含む)で参照できるアンチマルウェアシグネチャを展開します。
    • 脆弱性を狙ったエクスプロイトであるバックドアツール、DoublePulser向けのコマンド＆コントロールの防御（公開：695）を提供しています。ThreatVault 等で見つかっています。
  • URLフィルタリング は悪意のあるURLをモニタしており、必要な場合防御を適用します。
  • DNSシンクホール機能 はネットワーク上の感染端末を特定することができます。ベストプラクティスについては製品ドキュメントを参照ください。
  • Traps はエンドポイントで WanaCrypt0r マルウェアの実行を阻止します。 Trapsの防御についての詳細は、ブログ でもご確認いただけます。

• AutoFocus はWanaCrypt0rタグを通じて脅威分析と脅威のハンティングができるようこの攻撃を追跡します。
• GlobalProtect を通じて次世代ファイアウォールポリシーをモバイルユーザに拡大することでリモートワーカーを守ることができます。

Palo Alto Networks 次世代セキュリティプラットフォームを使ってランサムウェアを阻止するベストプラクティスについてはこちらのナレッジベースを参照ください。

弊社は、すべてのWindowsユーザーに対し、サポート期間が切れたバージョンを含め、Microsoftが公開した最新のパッチを確実にインストールすることを強くお勧めします。