Advanced DNS Security
Cortex XDR
年初以来パロアルトネットワークスは複数の業界でMazeランサムウェアのサンプル数上昇を検出しています。これを受け、Mazeランサムウェアのアクティビティに関する一般的脅威評価を解説するために本稿を執筆しました。またその戦術をよりわかりやすく視覚化した内容をUnit 42 Playbook Viewerからご覧いただけますので合わせて参照してください。
ChaChaランサムウェアの亜種であるMazeランサムウェアは、2019年5月に初めて発見され、北米、南米、ヨーロッパ、アジア、オーストラリアの組織を標的にしています。このランサムウェアは通常、兵器化されたWordまたはExcelの添付ファイルが添付された電子メールを介して配布されます。ただし、エクスプロイトキットを介して配布されることもあります(例えばCVE-2018-15982、CVE-2018-4878のFlash Player脆弱性を使うSpelevo エクスプロイトキットなど)。MazeランサムウェアもCVE-2019-11510 のPlus VPNの脆弱性やCVE-2018-8174 のInternet Explorerの脆弱性を悪用してネットワークに侵入します。同マルウェアは最初に対象環境内に足場を築きます。次に権限昇格により横展開を行い、すべてのドライブでファイルの暗号化を開始します。ただし、オペレータがデータ暗号化前にファイルを持ち出し、一般公開をちらつかせてさらに脅迫してくる場合もあります。適切な保護が行われなければ、Mazeランサムウェア感染により日常業務に支障が生じ、機密情報が危険にさらされ、金銭的損失が発生します。
Mazeは世界中で観測されているだけでなく、金融、テクノロジ、通信、ヘルスケア、政府、建設、サービス業、メディアおよび通信、公益事業およびエネルギー、製薬および生命科学、教育、保険、卸売、法律などさまざまな業界に影響を与えています。2020年3月26日にMcAfeeがMazeランサムウェアの詳細な概要報告を公開しています。
パロアルトネットワークスのCortex XDRには、ランサムウェア対策モジュール(ランサムウェアに関連した暗号化をベースとするアクティビティを対象とするモジュール)が用意されています。弊社製品をご利用中のお客様は、本脅威の概要に関連したアクティビティをAutoFocusでもご確認いただけます。
影響評価
本アクティビティでは複数の敵対的戦法が観測されています。
パロアルトネットワークス の製品・サービスでは、Mazeランサムウェアに対し、以下のような対策を行っています。
| Tactic/戦術 | Technique/技術 ()内はMitre ATT&CK ID |
製品/サービス | 行動方針 |
| 初期アクセス | 外部リモートサービス (T1133) |
次世代ファイアウォール | インターフェイスとゾーンセグメンテーションを構成する |
| 脅威防御† | 脆弱性防御プロファイルを配備し、ブロック アクションによってあらゆる重大度の脅威に対応する | ||
| Cortex XDR | ホスト ファイアウォール プロファイルを構成する | ||
| 初期アクセス | 添付ファイル型スピアフィッシング(T1193) | 次世代ファイアウォール | ファイル ブロッキング プロファイルを構成する |
| 脅威防御† | 両方のリセット(reset-both)アクションを指定したアンチウイルス プロファイルを有効にする | ||
| WildFire | WildFire分析のためにファイルを転送する | ||
| Cortex XDR | マルウェア セキュリティ プロファイルを構成する | ||
| 初期アクセス | Web閲覧による感染 (T1189) |
次世代ファイアウォール | 未知のアプリケーション、認可されていないアプリケーションをすべてブロックする |
| 脅威防御† | 脆弱性防御プロファイルを配備し、ブロック アクションによってあらゆる重大度の脅威に対応する | ||
| DNS Security† | アンチスパイウェア プロファイルでDNS Securityを有効にする | ||
| URL フィルタリング† | URLカテゴリに基づいてWebアクセスを制御する | ||
| WildFire | WildFire分析のためにファイルを転送する | ||
| 初期アクセス | 信頼関係 (T1199) | 次世代ファイアウォール | インターフェイスとゾーンセグメンテーションを構成する |
| 初期アクセス 権限昇格 永続化 防衛回避 |
正当なアカウント (T1078) | 次世代ファイアウォール | マルチファクター認証を構成する |
| 脅威防御† | 認証情報フィッシング防止を有効にする | ||
| Cortex XSOAR | Cortex XSOARプレイブックの導入、アクセス調査 | ||
| 実行防衛回避 | スクリプティング (T1064) |
WildFire | WildFire分析のためにファイルを転送する |
| Cortex XDR | アンチエクスプロイト保護とアンチマルウェア保護を有効にする | ||
| 実行 | Powershell (T1086) | Cortex XDR | アンチエクスプロイト保護とアンチマルウェア保護を有効にする |
| 実行 | コマンドラインインターフェイス (T1059) | Cortex XDR | アンチエクスプロイト保護とアンチマルウェア保護を有効にする |
| 実行 | サービス実行 (T1035) | Cortex XDR | マルウェア セキュリティ プロファイルでBehavioral Threat Protectionを設定する |
| 永続化 | 既存サービスの変更(T1031) | Cortex XDR | マルウェア セキュリティ プロファイルでBehavioral Threat Protectionを設定する |
| 永続化 | レジストリRun Keys/スタートアップフォルダー (T1060) | Cortex XDR | マルウェア セキュリティ プロファイルでBehavioral Threat Protectionを設定する |
| 永続化 | サービス登録 (T1050) | Cortex XDR | マルウェア セキュリティ プロファイルでBehavioral Threat Protectionを設定する |
| 権限昇格 | 権限昇格のための悪用 (T1068) | Cortex XDR | アンチエクスプロイト保護とアンチマルウェア保護を有効にする |
| 防衛回避 | NTFSファイル属性 (T1096) | 次世代ファイアウォール | 未知のアプリケーション、認可されていないアプリケーションをすべてブロックする |
| WildFire | WildFire分析のためにファイルを転送する | ||
| Cortex XDR | マルウェア セキュリティ プロファイルでBehavioral Threat Protectionを設定する | ||
| 防衛回避 | 難読化されたファイルまたは情報 (T1027) |
WildFire | WildFire分析のためにファイルを転送する |
| Cortex XDR | アンチエクスプロイト保護とアンチマルウェア保護を有効にする | ||
| 防衛回避 | セキュリティツールの無効化 (T1089) | Cortex XDR | マルウェア セキュリティ プロファイルでBehavioral Threat Protectionを設定する |
| 認証情報アクセス | ブルートフォース (T1110) |
次世代ファイアウォール | ブルートフォース カテゴリのすべてのシグネチャについて、デフォルトのアクションをBlock IP アクションに変更するルールを作成する |
| 認証情報アクセス | 認証情報のダンプ (T1003) | Cortex XDR | Cortex XDRで資格情報のアクセスや持ち出しに関連する振る舞いイベントとファイルを監視する |
| 横展開 | リモート デスクトップ プロトコル (T1076) | 次世代ファイアウォール | マルチファクター認証を構成し、ホワイトリスト アプリケーションに制限付きアクセスを行うユーザーグループを作成し、インターフェースとゾーンのセグメンテーションを構成する |
| Cortex XDR | ホスト ファイアウォール プロファイルを構成する | ||
| 収集 | ローカルシステムからのデータ (T1005) | Cortex XDR | Cortex XDRで収集活動に関連する振る舞いイベントとファイルを監視する |
| C&C | 標準的なアプリケーションレイヤプロトコル (T1071) |
次世代ファイアウォール | 未知のアプリケーション、認可されていないアプリケーションをすべてブロックする |
| DNS Security† | ブロック アクションを指定したアンチスパイウェア プロファイルを有効にする | ||
| Cortex XDR | Cortex XDRでC&C活動を示唆する振る舞いイベントを監視する | ||
| C&C | リモート ファイル コピー (T1105) | 次世代ファイアウォール | 未知のアプリケーション、認可されていないアプリケーションをすべてブロックする |
| WildFire | WildFire分析のためにファイルを転送する | ||
| Cortex XDR | Cortex XDRでファイル作成、ステージング、持ち出しに関連する振る舞いイベントを監視する | ||
| C&C | 標準的な暗号プロトコル (T1032) | 次世代ファイアウォール | 未知のアプリケーションや許可されていないアプリケーションをすべてブロックし、SSL復号化を有効にする |
| DNS Security† | アンチスパイウェア プロファイルでDNS Securityを有効にする | ||
| WildFire | WildFire分析のためにSSL復号化したファイルを転送する | ||
| 探索 | ファイルとディレクトリの探索 (T1083) | Cortex XDR | Cortex XDRで因果関係チェーンにしたがって行動イベントを監視、探索行動を識別する |
| 探索 | ネットワーク共有の探索 (T1135) | Cortex XDR | Cortex XDRで因果関係チェーンにしたがって行動イベントを監視、探索行動を識別する |
| 探索 | プロセスの探索 (T1057) | Cortex XDR | Cortex XDRで因果関係チェーンにしたがって行動イベントを監視、探索行動を識別する |
| 探索 | ソフトウェアの探索 (T1518) | Cortex XDR | Cortex XDRで因果関係チェーンにしたがって行動イベントを監視、探索行動を識別する |
| 探索 | システム情報の探索 (T1082) | Cortex XDR | Cortex XDRで因果関係チェーンにしたがって行動イベントを監視、探索行動を識別する |
| 持ち出し | データ暗号化 (T1022) |
Cortex XDR | マルウェア セキュリティ プロファイルでBehavioral Threat Protectionを設定する |
| 持ち出し | 代替プロトコルを介した持ち出し (T1048) | 次世代ファイアウォール | 未知のアプリケーション、認可されていないアプリケーションをすべてブロックする プロファイル |
| DNS Security† | アンチスパイウェアでDNS Securityを有効にする | ||
| 持ち出し | C&Cを介した持ち出し(T1041) | 次世代ファイアウォール | 未知のアプリケーション、認可されていないアプリケーションをすべてブロックする |
| DNS Security† | アンチスパイウェア プロファイルでDNS Securityを有効にする | ||
| 脅威防御† | ブロック アクションを指定したアンチスパイウェア プロファイルを有効にする | ||
| 影響 | 影響を与えるためのデータ暗号化 (T1486) | Cortex XSOAR | Cortex XSOARプレイブックの導入、インシデントレスポンス用ランサムウェアマニュアル |
表 1. Mazeランサムウェア対策での行動方針
† これらの機能は次世代ファイアウォールのサブスクリプションサービスの一部として提供されている
近年Mazeランサムウェア活動の背後にいる悪意のあるオペレータが複数のITサービスプロバイダに対するセキュリティ侵害を行いました。彼らは、安全でないリモートデスクトッププロトコルをはじめとするリモートサービス接続や、ローカル管理者アカウントのブルートフォース攻撃により、別の被害者のネットワーク内にも足場を築くことに成功していました。各組織はサードパーティソースを介した潜在的侵害に注意し、リモートアクセス可能なシステムにはもれなく強力なパスワードを使用すべきです。
また、Mazeの背後にいるオペレータは、侵害ネットワーク上のクラウドバックアップにとくに注意していることも報告 されています。ログイン認証情報が取得されれば、彼らの制御下にあるサーバーにすべてのバックアップデータがダウンロードされかねません。このため、各組織はクラウド上にバックアップされたファイルがすべて適切に保存・保護されていることを確認すべきです。
脅威に関するヒント
ランサムウェアとは
ランサムウェアは、悪意のあるソフトウェアを使用して身代金目的で重要ファイルなどのデータを人質にとる犯罪ビジネスモデルです。ランサムウェア攻撃を受けた組織は業務に支障が生じたり、事業を継続できなくなる可能性があります。
ランサムウェアとは何かについてさらに詳しくはパロアルトネットワークスのCyberpediaもご覧ください。
https://www.paloaltonetworks.com/cyberpedia/what-is-ransomware
パロアルトネットワークス製品をご利用中のお客様は、AutoFocusのMazeおよびSpelevoEKFlashContainerタグを使用して、本稿に説明した活動を確認できます。
パロアルトネットワークスCortex XDRにはランサムウェア対策モジュールが含まれています。このモジュールでは、ランサムウェアに関連した暗号化をベースとする活動を監視しています。Cortex XDRには定義済みのBIOC(振る舞いに関する指標)があり、これを使ってネットワーク内の異常を検出するように設計されています。
ランサムウェア関連の情報は、『2021 Unit 42 ランサムウェア脅威レポート』もあわせて参照してください。
参考資料
https://download.bitdefender.com/resources/files/News/CaseStudies/study/318/Bitdefender-TRR-Whitepaper-Maze-creat4351-en-EN-GenericUse.pdf
https://www.docdroid.net/dUpPY5s/maze-pdf#page=2
このレポートで推奨している行動方針は、パロアルトネットワークスが本稿執筆時点で得ていた情報とパロアルトネットワークスの製品およびサービス内の機能に基づいています。
脅威リサーチ
脅威アクター グループ
主なサイバー脅威
Unit 42 からの最新情報を取得