2017年5月、Microsoft Windowsの脆弱性を悪用し、150カ国で20万台以上のコンピュータを急速に感染させるランサムウェア攻撃「WannaCry」が世界中で話題になった。この大規模なランサムウェア攻撃は、北朝鮮とのつながりが疑われるサイバー犯罪集団Lazarus Groupによるものとされた。NSAからリークされたEternalBlueエクスプロイトがこの攻撃の重要な構成要素であり、WannaCryがネットワークを通じて急速に拡散することを可能にした。その急速な伝播にもかかわらず、WannaCryがネットワーク内部で一旦実行する動作は、セキュリティ専門家にはよく知られている。
Vectra Threat Labsは脅威を理解するためにWannaCryの内部構造を分析した。その結果、最初の感染方法は斬新であったかもしれないが、WannaCryが示した挙動は、Vectra が以前に遭遇したランサムウェアの典型的なものであることが判明した。これは、特定のエクスプロイトやmalware シグネチャを特定することだけに頼るのではなく、ランサムウェアの挙動を検出することに注力することの強みを浮き彫りにしている。Vectra の顧客は、WannaCry が世界的な混乱を引き起こすずっと前に、すでに同様の脅威を検出し、阻止していた。
WannaCryの仕組み
いったんマシンに感染すると、WannaCryは内部ネットワークを偵察し、横移動するというおなじみのパターンをたどる。ランサムウェアは脆弱性のあるシステムをスキャンし、MS17-010の脆弱性を利用して感染を広げ、最終的にファイルを暗号化し、アクセスを回復するためにビットコインでの支払いを要求する。この種の攻撃は壊滅的な被害をもたらしますが Vectra AIプラットフォームは、検知 、セキュリティチームが迅速に対応し、被害を軽減できるように設計されています。
Vectra 検知 WannaCryとその亜種は登場するか?
はい。Vectra は、アクティブな WannaCry 感染と、今後出現する可能性のある亜種を検出することができます。WannaCryのようなランサムウェアがファイルを暗号化する前に、まずネットワークを偵察してファイル共有の場所を特定する必要があることを覚えておくことが重要です。このプロセスには内部偵察が必要であり、感染したホストに関連するその他の行動とともに、Vectra 、検知 。
Vectraのアプローチでは、ランサムウェアの動作に最も高い脅威スコアと確実性スコアを割り当てることで、これらの重要なリスクを優先的に検出し、インシデントを即座に発生させますレスポンス 。Vectra の顧客にとっての利点は、これらの検出がWannaCryが発生する前に実施されていたため、不審な行動を早期に検出できたことである。
VectraWannaCryに関連する行動の検知について
VectraAI主導 の検出は、攻撃者の行動に対する深い理解に基づいています。以下は、WannaCry感染で観察された主な行動です:
- Command and Control:TORネットワークを介した通信。攻撃者が活動を隠すためによく使用する。
- ネットワークのスキャン MS17-010エクスプロイトに対して脆弱性のあるシステムに対して、ポート445で内部ネットワークとインターネットをスキャンする。
- Malware 自動複製:脆弱なマシンが特定されると、WannaCryは自動的に自身を複製してさらに拡散する。
- ファイルの暗号化:ローカルドライブとマップされたネットワーク共有の両方のファイルを暗号化します。
WannaCryとその亜種に対するレスポンス 。
WannaCry に対するレスポンス の改善は、攻撃者の行動に基づくアラートの優先順位付けから始まります。Vectra では、以下の攻撃者の行動に特化した電子メールアラートの設定を推奨しています:
- アウトバウンド・ポート・スイープアウトバウンドポートをスキャンして脆弱なシステムを見つける。
- 内部ダークネットスキャン:隠れた、あるいはセキュリティが不十分な内部リソースを見つけようとする努力を検出する。
- 自動レプリケーション:WannaCryがネットワーク上で自身を複製する試みを特定。
- ランサムウェア・ファイルの活動:暗号化されたファイルに対して警告を発し、アクティブなランサムウェアを知らせます。
- ファイル共有列挙:ネットワーク上のファイル共有の場所を特定しようとする試みを監視する。
さらに、すべてのTORアクティビティに対してアラートを出すことを推奨する。TORは匿名性のための合法的なツールではあるが、企業環境ではほとんど使用されず、しばしば不審な行動のシグナルとなる。
WannaCryとその亜種に関連する行動を監視し、優先順位をつけることで、Vectra 、セキュリティチームは感染に迅速に対応し、被害が拡大する可能性を減らすことができる。
攻撃が検知された場合、どのような行動を取るべきか?
Vectra は、セキュリティアナリストの手に力を与え、情報に基づいた迅速な意思決定を支援する実用的な洞察を提供します。Vectra が WannaCry や類似の脅威に関連する行動を検出した場合、セキュリティチームは内部ポリシーに基づいて以下の対応を自動化することを選択できます:
- ホストを隔離する:WannaCry はworm のように拡散するため、感染したホストをネットワークから隔離することで、被害の拡大を防ぐことができます。
- 宛先ホストを隔離する:Vectra が自動レプリケーションを検出した場合、感染したホストが通信しようとした宛先 IP を隔離します。
- 再イメージと復元感染したホストに対しては、再感染を避けるためにシステムを再イメージし、オフラインバックアップからファイルを復元する。
- ファイルの復元:ランサムウェアによる暗号化の場合、オフラインのバックアップから暗号化されたファイルを復元することで、ダウンタイムを最小限に抑え、データの損失を防ぎます。
歴史的背景:WannaCryにおけるラザロ・グループの役割
WannaCryはただのランサムウェア攻撃ではなかったことに注意することが重要だ。malware は ラザロ・グループ洗練された攻撃で知られる国家支援のハッキング・グループである。このグループは北朝鮮と関係があると考えられており、金融機関、メディア企業、重要インフラを含む数多くのサイバー攻撃に関わってきた。WannaCryの急速な拡散とその背後にある政治的影響は、サイバー脅威のますます複雑化する性質を思い起こさせるものである。
ランサムウェアと高度持続的脅威(APT)の次の波に備える
ランサムウェアが進化を続ける中、組織は新たな手口や悪用に備える必要がありますが、偵察、横の動き、複製、暗号化といった挙動は一貫しています。リアルタイムの挙動検知に注力することで、攻撃者がその手法やツールを変えても、セキュリティチームは新たな脅威からプロアクティブに防御することができます。
Vectra AIは、WannaCryやAPT(Advanced Persistent Threat:高度持続的脅威)グループによる攻撃のような高度な脅威に対して、組織が先手を打てるよう支援しています。これらの進化する脅威について理解を深めるには、ランサムウェアグループと APT アクターに関する詳細ページをご覧ください:
各ページでは、これらの脅威行為者の戦術、技術、手順(TTP)についての洞察を提供しており、より強靭な防御を構築するのに役立ちます。
Vectra AIにより、検知 、高度な攻撃がエスカレートする前に阻止する力があります。Vectra 担当者にお問い合わせください。または デモのご予約当社のプラットフォームがランサムウェアやAPTに対する防御をどのように強化できるかをご確認ください。