WannaCryに引っかかった話

初エントリ...ども...

俺みたいな今時WannaCryに引っかかる腐れ野郎、他に、いますかっていねーか、はは

今日のセキュリティ専門家の会話
日本はルーターに守られてる　とか
ま、それが普通ですわな

かたや俺はルーターどっかに無くしてモデム直結で繋いで呟くんですわ

WannaCry感染しとるやんけ！

流れ

マシンのOSを入れなおす（Windows7 SP1）

↓

WindowsUpdateをかけて2時間ほど外出

↓

帰ってきたらWindowsDefenderがトロイの木馬を検出している

services.mscを確認するとデタラメな名前の謎サービスが3つほど発生してる

C:\Windows\にプロパティの説明欄が123の怪しいsvchost.exeが発生して起動してる

Cドライブ直下に謎のVBScriptが置かれている

ASP.NETというユーザーが作成されている。パスワードがかかっておりログインはできなかった

↓

Avastを入れる

↓

ブートタイムスキャンでW32-Wanacryが数件検出される

被害

なし。OS用HDD以外は切断していた

身代金画面が表示されていない点を見ると、キルスイッチによって活動停止するタイプを送られたと見られる

身をもってわかったこと

Windowsファイアウォールは素の状態だと攻撃を受ける

ルーターを接続すれば被害を受けない、は一応正しい。素のXPと素の7をルーター環境で放置しても何も起きなかった。

itpro.nikkeibp.co.jp

実はつい最近までクリーンインストールの7や更新を怠っていた状態ではWindowsUpdateのチェックが終わらず、CPUやメモリを食いつぶす不具合が存在していたため、自動更新のサービスをオフにして使っている人または気づかないまま3月パッチを当てていない人もいると思われる。

2017年5月現在では不具合は解消されているので、パッチを当てていない環境は即座にパッチを当てるべし。瞬殺される

また、Vista以降ではUACが存在するためマルウェアの動作にはユーザーがUAC経由でAdministrator権限を与えてやる必要があるが、WannaCryが利用する脆弱性はSystem権限で動作しているプロセス経由でコードを実行している為、UACを経由する必要がない（ガバガバ考察）ため、止められない恐怖があった。

www.youtube.com

結論

マルウェアとスズメバチには気をつけよう！終わり！閉廷！

おまけ（本題）

パッチを当てないで脆弱性を放置してるマシンはおそらく無数にあると思うんですよ、ええ

特に企業マシンとか。

まさかそんな事してる人はいないと思うんですが、マックでレッツノート広げたりして仕事してる人っているじゃないですか、あれってフリーWifi使ってるんですかね

そういう人が多く集まる場所で偽フリーWifiのAPを立てて、SMBを攻撃するスクリプトを動かしたりなんかしたら・・・多分多くの人が被害を受けるんじゃないかと思います。

そういった未対策のマシンはルーターにポート隠されてるから被害を受けていないだけなので。

たとえば、ポケットに入るくらいのコンピュータとUSB Wifiとそれを動かすバッテリーをポケットに忍ばせて・・・なんて日には大変な事になるでしょう

セキュリティのことを考えるなら安易にフリーWiFiを使わず、テザリングなどを使うようにしましょう。