ランサムウェア鉱山のカナリア

2016年3月30日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
ランサムウェア鉱山のカナリア

企業内のランサムウェアに対する手軽で簡単なソリューション

ランサムウェアは明らかに2016年の惨劇である。毎週、この陰湿なランサムウェア(malware)の新たな、そして注目すべき企業レベルの感染が発生しており、ますます多くの組織を麻痺させ、恐喝している。

圧倒的に標的を絞らない脅威の割には、大企業や中小企業を見事に攻撃しているようだ。

malware 感染は、失敗した「深層防御」戦略の正面玄関からやってくることもあれば、月曜の朝に企業ネットワークに接続されたモバイル・デバイスの側面玄関からやってくることもある。

それにもかかわらず、多くのセキュリティチームやネットワーク管理者は、ネットワーク共有を通じてアクセス可能な文書の急速な暗号化に歯止めをかけようと躍起になっている。

検知 、ネットワーク内のランサムウェアの存在を検知し、発生をセキュリティスタッフにアラートする (これはVectra 製品が行うことのほんの一例である)。しかし、発生したランサムウェアを自動的に停止させるのは、かなり困難な作業であることが多い。

この脅威を軽減する「最良の」方法は何かとよく聞かれる(つまり、組織が最も安価で強固な方法でランサムウェアによる事業停止を阻止するにはどうすればいいのか)。

ランサムウェアのネットワーク暗号化を軽減する最も手っ取り早い "無駄のない "方法は、実はとてもシンプルで、炭鉱のカナリアの原理に従っている。

ランサムウェアは、企業内のネットワーク共有上のファイルを列挙し、暗号化しようとする。簡単な保護方法は、すべてのコンピュータに監視されたマウントされた共有がいくつかあるようにすることです。

ユーザーやコンピュータがこれらの共有上のファイルに書き込みや削除を行おうとすると、被害者ユーザーのアクセス認証情報は即座に停止される。また、組織が何らかの形でネットワーク・アクセス・コントロール(NAC)を使用している場合は、ホスト・コンピュータも同様に、即座にネットワークから切断される。

現世代のランサムウェアは、マウントされた共有をアルファベット順または逆アルファベット順で順次ステップ実行する傾向があるため、最初と最後にマウントされた共有(A:またはD:ドライブ、Z:またはY:ドライブなど)が監視対象のカナリア共有であることを確認すれば十分だろう。

ランサムウェアがこれらのファイルを暗号化するサイクルに時間がかかるため、カナリア共有に多数の使い捨てファイルがあることを確認することも有効です。これによって、クレデンシャルとネットワーク・アクセスの失効情報をネットワークの残りの部分に伝播させる期間を確保することができる。

このテクニックは、私が過去にスパム送信マルウェアや自動認証ブルートフォース攻撃に対処するために使用したものと似ている。Active Directoryや電子メールの連絡先など、ユーザー・ディレクトリの最初と最後に表示されるユーザーアカウントを追加し、それらの名前のあらゆる使用を監視することで、脅威を迅速かつ自動的に検知し、軽減することができる。

例えば、誰かがアドレス帳にある架空のファーストネームにメールを送ろうとすると、ITチームが調査するまで、メールサーバーは自動的にそのユーザーからのメール送信要求をすべてブロックする。

Active Directoryのカナリア・アカウントや電子メールのように、ランサムウェアのカナリア・ファイル共有を利用することは、脅威に対する安価で効果的な緩和策となり得る。最もシンプルな方法が最も効果的な場合もある。

よくあるご質問(FAQ)