NotPetya と脆弱性 CVE-2017-0199 の関係

NotPetya のインシデントが世間をにぎわせた当初、エントリポイントのひとつとしてメールに添付された Word ファイル（CVE-2017-0199 を悪用）といった話があったので調べてみていた。

結果的に無関係との判断に達したが、すっかり記録を残すのを忘れていたので備忘録に追加。

問題のファイル：

Order-20062017.doc（101cc1cb56c407d5b9149f2c3b8523350d23ba84）

実行すると「hxxp://84(.)200(.)16(.)242/myguy.xls」にアクセスする。

myguy.xls（736752744122a0b5ee4b95ddad634dd225dc0f73）

f:id:waraiotok0:20170720141431j:plain

この xls ファイルは実態は hta ファイルで、

f:id:waraiotok0:20170720143644j:plain

実行すると PowerShell が呼ばれる。

f:id:waraiotok0:20170720143732j:plain

アクセス先は「hxxp://french-cooking(.)com/myguy.exe」で調査時点では 404。

f:id:waraiotok0:20170720143824j:plain

ここに置いてあったのは、

myguy.exe（9288fb8e96d419586fc8c595dd95353d48e8a060）

f:id:waraiotok0:20170720144034j:plain

アクセス先は「hxxp://coffeinoffice(.)xyz/cup/wish.php」のようだが、調査時点で名前解決が不能。

f:id:waraiotok0:20170720144100j:plain

関連する IP アドレスは「111(.)90(.)139(.)247」となっているが、それ以外にも「72(.)5(.)65(.)111」や「146(.)112(.)61(.)107」との関連も疑われる。

これらの情報をもとに調査をしても、結果的に NotPetya にはリンクしなかった。

// 参考情報

NotPetya : 9717cfdc2d023812dbc84a941674eb23a2a8ef06

NotPetya : 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

BRs,