RSAカンファレンス2024におけるVectra AI
15分間のデモを予約する
ランサムウェア

Vectra WannaCry ランサムウェアの検知とレスポンス

2017年5月16日
Vectra AI セキュリティ・リサーチ・チーム
サイバーセキュリティ
Vectra WannaCry ランサムウェアの検知とレスポンス

Vectra Threat LabsはWannaCryランサムウェアを分析し、その内部構造を理解した。その結果、WannaCryランサムウェアがコンピュータに感染する方法は新しいが、実行する動作は通常通りであることが判明した。

WannaCryとその亜種は、Vectra が検知し、顧客が被害が拡大する前に阻止することを可能にした他の形態のランサムウェアと同様の動作をします。これは、特定のエクスプロイトやマルウェアではなく、ランサムウェアの挙動を検知することに注力することの直接的な利点です。WannaCryの動作の多くは、企業境界内の内部ネットワーク上での偵察と横移動です。

以下の情報では、ネットワーク内で動作するWannaCryとその亜種に関連するVectra の検知と、企業による迅速な対応を可能にする方法について説明します。

Vectra はWannacryとその亜種を検知するのだろうか?

Vectra は、ネットワーク内のアクティブな WannaCry ランサムウェアだけでなく、亜種も検知します。ランサムウェアがファイルを暗号化する前に、ネットワーク上のファイル共有の場所を特定する必要があることを覚えておくことが重要です。これには、内部偵察の実行が必要です。Vectra は、偵察行動を検知し、感染したホストに関連するすべての行動をトリアージすることができます。ランサムウェアに感染したホストは重大なリスクであり、これらの動作は脅威と確実性のスコアが最も高くなり、インシデントに即座に対応するための優先順位が付けられます。

最も優れている点は、Vectra 、WannaCryが発生する前にこの検知機能があったことだ。

Vectra セキュリティ・リサーチおよび人工知能チームは、感染したホストが以下のような挙動を示す可能性が高いと判断した:

  • TORネットワーク上での指揮統制通信。
  • 内部ネットワークとインターネットの445番ポートで、脆弱性MS17-010を持つコンピュータを掃引する。
  • 脆弱性 MS17-010 を持つマシンが発見されると、マルウェアが自動的に複製される。
  • ローカルおよびマップされたネットワークファイル共有上のファイルの暗号化。

WannaCryとその亜種に対するレスポンス 、どのように改善すればいいのか?

WannaCryおよびその亜種に関連する攻撃者の行動検知に特化した電子メールアラートを設定し、調査の優先順位付けに役立てることをお勧めします。

Vectra ポート445のアクティビティに高い優先順位を与えることは、攻撃の初期指標となることがわかった:

  • アウトバウンド・ポート・スイープ
  • ポートスイープ
  • 内部ダークネットスキャン
  • 自動レプリケーション
  • ランサムウェア・ファイルの活動
  • ファイル共有の列挙

すべてのTORアクティビティ検知に対してアラートを出すことも推奨される。オニオン・ルーター(TOR)は、企業組織で一般的に使用されているツールではなく、誰かが自分の場所や活動を隠そうとしていることを示す指標となることがよくあります。TORアクティビティは、しばしば悪意のある行動の可能性を調査する理由となります。

検知されたすべての攻撃者の挙動を脅威レベルと確実性でスコアリングした結果、電子メールアラートのしきい値を選択することで、インシデント対応の優先順位を迅速に決定できます。

検知された攻撃に対応するためにはどうすればいいのか?

Vectra は、セキュリティアナリストが情報に基づいた意思決定を行うためのすべての情報を提供します。Vectra がホスト上で1つまたは複数のこれらの攻撃者の動作を検知した場合、脅威レベルと内部ポリシーに応じて、いくつかのアクションのいずれかを選択して自動化できます。

  1. ホストを隔離するか、ネットワークから削除する。WannaCryはウイルスやワームのような拡散傾向を示している。ホストをネットワークから隔離することが、拡散を食い止める最も手っ取り早い方法です。
  2. WannaCry感染が疑われるホストから連絡があった場合、自動レプリケーション検知で宛先IPアドレスとしてリストされたすべてのホストを隔離する。
  3. 感染したホストを再イメージし、再感染を避けるためにオフラインバックアップからファイルを復元する。
  4. ランサムウェアのファイル・アクティビティが検知された場合、オフライン・バックアップからファイル共有上の暗号化されたファイルを復元する。

次のステップ

これは、これから起こるであろう多くの攻撃の一つに過ぎない。攻撃は別の名前を持ち、別のエクスプロイトを使うだろう。変わらないのは、攻撃の性質とその振る舞いだ。次の大きな攻撃がどのようなものかはわからないが、それに備える必要があることは確かだ。そして、あなたには助けが必要だ。AIの進歩により、テクノロジーはセキュリティチームを補強することができるようになり、攻撃者の行動をリアルタイムで特定するように業界をシフトさせる必要がある。