NotPetya と 脆弱性 CVE-2017-0199 の関係
NotPetya のインシデントが世間をにぎわせた当初、エントリポイントのひとつとしてメールに添付された Word ファイル(CVE-2017-0199 を悪用)といった話があったので調べてみていた。
結果的に無関係との判断に達したが、すっかり記録を残すのを忘れていたので備忘録に追加。
問題のファイル:
Order-20062017.doc(101cc1cb56c407d5b9149f2c3b8523350d23ba84)
実行すると「hxxp://84(.)200(.)16(.)242/myguy.xls」にアクセスする。
myguy.xls(736752744122a0b5ee4b95ddad634dd225dc0f73)
この xls ファイルは実態は hta ファイルで、
実行すると PowerShell が呼ばれる。
アクセス先は「hxxp://french-cooking(.)com/myguy.exe」で調査時点では 404。
ここに置いてあったのは、
myguy.exe(9288fb8e96d419586fc8c595dd95353d48e8a060)
// VirusTotal, PayloadSecurity, Malwr
Unpack 後は 96240c41c656fc786ab8cf50926c1140e24726c9
アクセス先は「hxxp://coffeinoffice(.)xyz/cup/wish.php」のようだが、 調査時点で名前解決が不能。
関連する IP アドレスは「111(.)90(.)139(.)247」となっているが、それ以外にも「72(.)5(.)65(.)111」や「146(.)112(.)61(.)107」との関連も疑われる。
これらの情報をもとに調査をしても、結果的に NotPetya にはリンクしなかった。
// 参考情報
NotPetya : 9717cfdc2d023812dbc84a941674eb23a2a8ef06
NotPetya : 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
BRs,