Ghost ランサムウェア(Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada、Raptureとしても知られている)は、他の多くのランサムウェアの脅威とは動作が異なります。その代わり、素早く動き、数日以内に 侵入し、アクセスしたその日にランサムウェア攻撃を開始することが多い。
Ghost ソーシャル・エンジニアリングを用いるのではなく、主に古いソフトウェアの既知の脆弱性を悪用するため、パッチの適用されていないシステムを持つ組織は特に脆弱となる。
データを盗んだり売ったりするグループとは異なり、Ghost主な目的は暗号化して身代金を要求することで、ファイルをロックダウンして支払いを要求し、被害者が対応する時間をほとんど残して先に進む。
Ghost 仕組み
初回アクセス:公開された脆弱性を突く
Ghost 、phishing ソーシャル・エンジニアリングに依存することはありません。その代わりに、一般にアクセス可能なシステムの既知の脆弱性を積極的に悪用します:
- Fortinet FortiOS(CVE-2018-13379)
- Adobe ColdFusion(CVE-2010-2861, CVE-2009-3960)
- Microsoft SharePoint(CVE-2019-0604)
- Microsoft Exchange ProxyShell の脆弱性(CVE-2021-34473,CVE-2021-34523,CVE-2021-31207)
Ghost 行為者は、パッチが適用されていないソフトウェアを利用することで、ユーザーの操作を必要とせずにネットワークへの初期アクセスを行うことができるため、攻撃を防ぐことが難しくなります。
迅速な実行と暗号化
ネットワーク内に侵入すると、Ghost ランサムウェアは素早く動き出す:
- 特権の昇格:攻撃者は、SharpZeroLogon や BadPotato などのツールを使用して、SYSTEM レベルのアクセス権を取得します。
- セキュリティツールの無効化: Ghost 、検出を避けるためにWindows Defenderやその他のアンチウイルスソリューションを無効にします。
- 横方向の移動: PowerShellコマンドとWindows Management Instrumentation (WMI)を使ってネットワーク上に拡散する。
- ファイルの暗号化: ランサムウェアのGhostロード(Ghost.exe、Ghost.exe、または ElysiumO.exe)はファイルを暗号化し、アクセス不能にします。
- 身代金の要求:暗号解読キーと引き換えに数万ドルから数十万ドルの暗号通貨を要求するメモが残される。
限定的な永続性とデータ流出
長期的な持続性を確立する他のランサムウェア運営者とは異なり、Ghost 数日以内に攻撃を完了する。CISAは、このグループにとって永続性が優先事項ではないことを確認しています。Cobalt Strike Team ServersやMega.nzGhost 使用して、データの流出が発生することもありますが、Ghostの行為者は、データを盗むことよりも、データを暗号化することに主眼を置いています。
従来のセキュリティツールがGhost 阻止できない理由
Ghost 典型的なサイバー脅威ではない。ファイアウォール、EDR(Endpoint Detection andレスポンス )、IDS(侵入検知システム)、さらにはSIEM(Security Information and Event Management)ソリューションといった従来のセキュリティ対策を迂回する。これらのツールは、既知の攻撃シグネチャ、振る舞い ベースライン、ルールベースの検知に大きく依存していますが、Ghost あまりにも高速に動作し、公開されている脆弱性を悪用し、攻撃を完了するのに十分な時間、検知を回避します。
1.Ghost 公開された脆弱性を悪用する
Ghost 、phishing malware電子メールの添付ファイルを使用しません。その代わりに、Fortinet、Microsoft Exchange、Adobe ColdFusionのパッチが適用されていないソフトウェアの脆弱性を直接悪用します。従来のセキュリティ・ツールでは、正規のアプリケーションでありながら脆弱性が悪用されていることに気づかないことがよくありました。
2.Ghost 動きが速すぎて、行動ベースの検出ができない
多くのセキュリティ・ソリューションは、異常検知とエンドポイントの動作監視に依存しています。しかし、Ghost オペレーターは数時間から数日のうちに攻撃を実行し、アクセスしたその日のうちにデータを暗号化することも少なくありません。SIEMシステムがログを集計・分析する頃には、すでに被害は拡大しています。
3.Ghost Windowsのネイティブツールで土地を耕して生活する
Ghost ランサムウェアは、PowerShell、Windows Command Shell、Windows Management Instrumentation (WMI)などのWindowsネイティブコンポーネントを悪用することで、正規のシステムアクティビティにシームレスに紛れ込みます。IT管理に一般的に使用されるこれらの組み込みツールは、セキュリティ製品が悪意のあるアクションと正当なオペレーションを区別することを困難にします。Ghost LotL(living off the land)により検知を回避しながら、ネットワーク上を横方向に移動し、コマンドを実行し、気づかれることなくランサムウェアを展開します。
4.Ghost セキュリティ対策を無効にする
Ghost 、ランサムウェアのペイロードを起動する前に、Windows Defender、アンチウイルスソフトウェア、およびその他のエンドポイント保護を積極的に無効にし、従来の防御の多くを無力化します。
5.Ghost 攻撃は速く、執着は必要ない。
ゴースト・アクターは長期的な持続性を確立しないため、持続的な脅威を探す従来のセキュリティ・ツールは、暗号化が起こる前にそれを検知 できない可能性がある。
Ghost リアルタイムで検知し、阻止するVectra AIの仕組み
Ghost 、従来のセキュリティ・ソリューションにとって動きが速すぎ、多くの場合、最初のアクセスから数時間以内に実行されます。SIEM、EDR、およびその他のルールベースのツールは 、ログを分析し、パターンを検知 するのに時間がかかりすぎるため、防御者は攻撃から数歩遅れてしまいます。しかし、Vectra AIは数分以内に脅威を検知 し、優先順位をつけることができます。AI主導 脅威検知とレスポンス活用することで、Vectra AIは、暗号化が始まる前にGhost 阻止するための重要なアドバンテージをセキュリティチームに提供します。
Vectra AIが従来のセキュリティに勝る理由
1.AIを活用したAttack Signal Intelligence
Ghost 、PowerShellやWMIのようなWindowsのネイティブツールを悪用して、通常の管理者の活動に紛れ込み、その土地で生活しています。Vectra AIは、このような微妙な攻撃者の行動を、暗号化が始まるずっと前にリアルタイムで検出します。
2.隠れた横移動の早期発見
Ghost SMB、WMI、RDPを使用して素早く移動し、防御者が攻撃の進行に気づく前にネットワーク全体に拡散します。 Vectra AI は、ステルス的な横の動きを識別します。を識別します。
3.リアルタイムでの脅威の優先順位付け
従来のソリューションでは、アラートの発生が多すぎ、遅すぎるため、セキュリティチームが時間内に対応することが困難でした。Vectra AI はノイズを遮断行動を相関させ、実際の脅威をハイライトすることで、防御担当者は即座に行動できます。
4.レスポンス 封じ込めの自動化
Ghost 横移動の段階に到達するまでに、Vectra AIは自動修復のために脅威をすでにエスカレーションしています。侵害されたホストは暗号化が始まる前に隔離され、被害が拡大する前にGhost実行を阻止します。
5.署名を超えた予防
Ghost ランサムノート、ペイロード、攻撃インジケータを頻繁に変更するため、シグネチャベースのセキュリティでは対応できません。Vectra AIのAI主導 アプローチは、ペイロードの亜種に関係なく、根本的な攻撃者の行動を検出します。
従来のセキュリティは時間がかかりすぎるGhost
Ghost 、ファイアウォール、EDR、IDS、SIEMソリューションでは対応が間に合わないほど高速に移動し、従来のセキュリティのギャップを突きます。このような迅速なランサムウェア攻撃を防御するために、組織はAIを活用した行動ベースの検知とレスポンス必要としています。Vectra AIはリアルタイムで検知・対応し、Ghost その他の脅威を数時間や数日ではなく数分で阻止します。
Vectra AIがどのようにランサムウェアから組織を保護するかについては、当社のプラットフォームの詳細をご覧いただくか、今すぐデモをリクエストしてください。