This post is also available in: English (英語)
概要
2020年10月28日、Cybersecurity and Infrastructure Security Agency (CISA)、連邦捜査局(FBI)、保健社会福祉省(HHS)は、米国のヘルスケアシステムに対するサイバーセキュリティの脅威の増大と差し迫った問題について共同サイバーセキュリティアラートを公開しました。
脅威オペレーターはヘルスケア・公衆衛生セクタの標的化に高い関心を示しており、ヘルスケアサービスとその運用に混乱をまねく可能性があります。観測された活動内容には悪名高い情報窃取型マルウェアTrickbotの使用も含まれており、ここからRyukランサムウェアなどの悪意のあるファイルのインストールにつながる可能性があります。
このアラートは、Universal Health Services(UHS)によるRyukランサムウェア攻撃の報告直後に公開されています。このランサムウェア攻撃では、全米のUHSサイトが何週間にもわたり混乱に見舞われました。他の米国を拠点とする病院でも同様のランサムウェア攻撃が報告されており、それにはオレゴンのある病院や、ニューヨークのまたべつの病院も含まれます。同様に、フィラデルフィアにある医療技術系組織も、ランサムウェア攻撃の標的となりました。
パロアルトネットワークス次世代ファイアウォールのWildFireを含むセキュリティサブスクリプションは、TrickbotとRyukに関連するアクティビティを検出します。Cortex XDRもアンチランサムウェアモジュール、アンチマルウェアモジュールを備えています。これらのモジュールは、ランサムウェアなどの悪意のあるファイルの振る舞いに関連した暗号化関連アクティビティを対象にしています。さらに、AutoFocusをご利用中のお客様は、次のタグを使用して本脅威に関連するアクティビティを確認できます: Ryuk、Trickbot、BazaLoader
ランサムウェア関連の情報は、『2021 Unit 42 ランサムウェア脅威レポート』もあわせて参照してください。
マルウェアの概要
Trickbotはモジュラー型のマルウェアで、バックドアへのアクセスを提供したり、脅威オペレーターが被害システムに追加でマルウェアを配布したりできるようにます。これにはまた、ワーム機能やシステム列挙などの他の機能も含まれています。最新のモジュールの1つであるAnchor_DNSは、コマンド&コントロール(C2)アクティビティでのDNSトンネリングに使用されます。
Anchor_DNSモジュールはPowerShellを使ってスクリプトを実行し、とくに差し障りのない正当なドメインへの接続チェックを含む、複数のDNSリクエストを出します。脅威オペレーターは、マルウェアによるC2アクティビティ中、感染システムとの通信を可能にするアクティブなネットワーク接続があるかどうかを確認する目的で、こうしたことをよく行います。このチェックでは、次の正当なドメインが使用されることがあります。
ipecho[.]net |
api[.]ipify[.]org |
checkip[.]amazonaws[.]com |
ip[.]anysrc[.]net |
wtfismyip[.]com |
ipinfo[.]io |
icanhazip[.]com |
myexternalip[.]com |
表1 TrickbotのAnchor_DNSモジュールがインターネット接続チェック実行用に使用する正当なドメイン
通常、Ryukランサムウェアは、システムに配置された「RyukReadMe」という名前のファイルがあることによりその存在を知ることができます。このランサムウェアはTrickbotなどのマルウェアが関与する多段階攻撃の最終段階でよく見られるもので、最近ではBazaLoader (「BazarLoader」とも呼ばれる)でも確認されました。多くの場合、Ryukは初回感染から数週間ないし数か月が経過してはじめてシステムにロードされます。Ryukのオペレーターは、PowerShellやWindows Management Instrumentationなどの対象環境にもとからありそうなツールを使用して侵害した環境を列挙することで、被害を受けたネットワークについて学習します。
暗号化前に次のコマンドが侵害システム上で実行されることがあります。
ヘルスケア・公衆衛生セクタの標的化に関連するRyukとTrickbotの活動内容については共同サイバーセキュリティアドバイザリからその詳細を確認できます。
TrickbotとBazaLoaderの両感染の初期侵入ベクトルは、悪意のある電子メール経由のものが最も頻繁に観測されています。
また、最近確認されたTrickbotのサンプルはMalwareBazaarから確認できます。このほか、Trickbotモジュールに関する追加情報はUnit42ブログでも確認できます。
Ryuk、BazaLoader の最近のサンプルは、MalwareBaazarにもあります。
行動方針
このセクションでは、RyukおよびTrickbotのアクティビティに関連する戦術と手法を文書化し、それらを弊社製品・サービスに直接マッピングします。パロアルトネットワークス製品をご利用中のお客様は、この表を利用して、環境内の現在の構成を確認できます。
Tactic/戦術 | Technique/技術(Mitre ATT&CKのID) | 製品/サービス | 行動方針 |
初期アクセス | 添付ファイル型スピアフィッシング[T1566.001] (フィッシング [T1566]) |
次世代ファイアウォール | ファイルブロッキングを設定 |
脅威防御† | imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します | ||
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します | |||
WildFire | WildFireファイルサイズのアップロード制限が最大化されていることを確認します | ||
WildFireファイルブロックプロファイルのすべてのアプリケーション、ファイルタイプについて、転送が有効になっていることを確認します | |||
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します | |||
復号したコンテンツのWildFireへの転送が有効になっていることを確認します | |||
すべてのWildFireセッション情報設定が有効になっていることを確認します | |||
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します | |||
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します | |||
Cortex XDR | アンチマルウェアプロテクションを有効にします | ||
ランサムウェア対策保護を有効にします | |||
Cortex XSOAR | XSOAR プレイブックデプロイ - Phishing Investigation - Generic V2 | ||
XSOAR プレイブックデプロイ - Endpoint Malware Investigation | |||
リンク型スピアフィッシング[T1566.002] (フィッシング [T1566]) |
次世代ファイアウォール | untrustゾーンからより信頼できるtrustゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します | |
トラフィックを許可するセキュリティポリシーでサービスに「any」が設定されているものがないことを確認します | |||
信頼された脅威インテリジェンスソースのIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します | |||
脅威防御† | imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します | ||
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します | |||
ユーザー資格情報の送信で、URLカテゴリに対し「ブロック」または「継続」のアクションが使用されていることを確認します | |||
URLフィルタリング † |
URLフィルタリングが使用されていることを確認します | ||
URLフィルタリングがURLカテゴリに「ブロック」または「オーバーライド」のアクションを使用していることを確認します | |||
すべてのURLへのアクセスがログに記録されていることを確認します | |||
すべてのHTTPヘッダーログオプションが有効になっていることを確認します | |||
インターネットへのトラフィックを許可するすべてのセキュリティポリシーで安全なURLフィルタリングが有効になっていることを確認します | |||
WildFire | すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します | ||
復号したコンテンツのWildFireへの転送が有効になっていることを確認します | |||
すべてのWildFireセッション情報設定が有効になっていることを確認します | |||
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します | |||
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します | |||
Cortex XSOAR | XSOARのプレイブックをデプロイ – Block URL | ||
XSOAR プレイブックデプロイ - Phishing Investigation - Generic V2 | |||
ローカルアカウント[T1078.003] (有効なアカウント[T1078]) |
次世代ファイアウォール | User-IDが内部の信頼できるインターフェースに対してのみ有効になっていることを確認します | |
User-IDが有効になっている場合は「許可/除外ネットワーク」が使用されていることを確認します | |||
User-IDが有効になっている場合はUser-IDエージェントに最小限の権限を設定していることを確認します | |||
User-IDサービスアカウントに対話型ログオン権限がないことを確認します | |||
User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します | |||
User-IDエージェントのトラフィックがuntrustゾーンに入るのをセキュリティポリシーで制限していることを確認します | |||
脅威防御† | imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します | ||
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します | |||
すべてのゾーンに特別に細工されたパケットをドロップするゾーンプロテクションプロファイルがあることを確認します | |||
Cortex XSOAR | XSOARのプレイブックをデプロイ – Access Investigation Playbook | ||
XSOARのプレイブックをデプロイ – Impossible Traveler | |||
XSOARのプレイブックをデプロイ – Block Account Generic | |||
実行 | 悪意のあるファイル [T1204.002] (ユーザー実行 [T1204]) |
次世代ファイアウォール | User-IDが内部の信頼できるインターフェースに対してのみ有効になっていることを確認します |
User-IDが有効になっている場合は「許可/除外ネットワーク」が使用されていることを確認します | |||
User-IDが有効になっている場合はUser-IDエージェントに最小限の権限を設定していることを確認します | |||
User-IDサービスアカウントに対話型ログオン権限がないことを確認します | |||
User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します | |||
User-IDエージェントのトラフィックがuntrustゾーンに入るのをセキュリティポリシーで制限していることを確認します | |||
脅威防御† | imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します | ||
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します | |||
アンチスパイウェアプロファイルが、すべてのスパイウェアの重大度レベル、カテゴリ、および脅威をブロックするように構成されていることを確認します | |||
使用中のすべてのアンチスパイウェアプロファイルでDNSシンクホールが構成されていることを確認します | |||
使用中のすべてのアンチスパイウェアプロファイルでパッシブDNSの監視が有効に設定されていることを確認します | |||
インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、安全なアンチスパイウェアプロファイルが適用されていることを確認します | |||
DNSセキュリティ † |
アンチスパイウェア プロファイルでDNSセキュリティを有効にする | ||
URLフィルタリング † |
URLフィルタリングが使用されていることを確認します | ||
URLフィルタリングがURLカテゴリに「ブロック」または「オーバーライド」のアクションを使用していることを確認します | |||
すべてのURLへのアクセスがログに記録されていることを確認します | |||
すべてのHTTPヘッダーログオプションが有効になっていることを確認します | |||
インターネットへのトラフィックを許可するすべてのセキュリティポリシーで安全なURLフィルタリングが有効になっていることを確認します | |||
WildFire | WildFireファイルサイズのアップロード制限が最大化されていることを確認します | ||
WildFireファイルブロックプロファイルのすべてのアプリケーション、ファイルタイプについて、転送が有効になっていることを確認します | |||
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します | |||
復号したコンテンツのWildFireへの転送が有効になっていることを確認します | |||
すべてのWildFireセッション情報設定が有効になっていることを確認します | |||
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します | |||
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します | |||
Cortex XDR | アンチエクスプロイトプロテクションを有効にします | ||
アンチマルウェアプロテクションを有効にします | |||
ランサムウェア対策保護を有効にします | |||
Cortex XSOAR | XSOAR プレイブックデプロイ - Phishing Investigation - Generic V2 | ||
Deploy XSOAR Playbook Cortex XDR – Isolate Endpoint | |||
XSOARのプレイブックをデプロイ – Block Account Generic | |||
Windowsコマンドシェル[T1059.003] (コマンドとスクリプトインタープリタ [T1059]) |
Cortex XDR | アンチエクスプロイトプロテクションを有効にします | |
アンチマルウェアプロテクションを有効にします | |||
権限昇格 | プロセスハロウイング[T1055.012] (プロセスインジェクション[T1055]) |
Cortex XDR | マルウェアセキュリティプロファイルでBehavioral Threat Protection(BTP)を設定します |
Windowsサービス[T1543.003] (システムプロセスの作成または変更[T1543]) |
Cortex XDR | マルウェアセキュリティプロファイルでBehavioral Threat Protection(BTP)を設定します | |
プロセスインジェクション[T1055] | Cortex XDR | アンチエクスプロイトプロテクションを有効にします | |
アンチマルウェアプロテクションを有効にします | |||
防衛回避 | 正当な名前または場所との一致[T1036.005] (マスカレード[T1036]) |
Cortex XDR | Restrictionセキュリティプロファイルを構成します |
レジストリの変更[T1112] | Cortex XDR | マルウェアセキュリティプロファイルでBehavioral Threat Protection(BTP)を設定します | |
ソフトウェアパッキング[T1027.002] (難読化されたファイルまたは情報[T1027]) |
WildFire | WildFireファイルサイズのアップロード制限が最大化されていることを確認します | |
WildFireファイルブロックプロファイルのすべてのアプリケーション、ファイルタイプについて、転送が有効になっていることを確認します | |||
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します | |||
復号したコンテンツのWildFireへの転送が有効になっていることを確認します | |||
すべてのWildFireセッション情報設定が有効になっていることを確認します | |||
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します | |||
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します | |||
Cortex XDR | アンチエクスプロイトプロテクションを有効にします | ||
認証情報アクセス | Webブラウザからの資格情報[T1555.003] (パスワードストアからの資格情報[T1555]) |
Cortex XDR | Restrictionセキュリティプロファイルを構成します |
ファイル内の資格情報[T1552.001] (セキュリティで保護されていない資格情報[T1552]) |
Cortex XDR | アンチエクスプロイトプロテクションを有効にします | |
アンチマルウェアプロテクションを有効にします | |||
Restrictionセキュリティプロファイルを構成します | |||
収集 | ローカルシステムからのデータ[T1005] | Cortex XDR | マルウェアセキュリティプロファイルのアクションでBehavioral Threat Protection (BTP)を構成します |
アンチエクスプロイトプロテクションを有効にします | |||
アンチマルウェアプロテクションを有効にします | |||
コマンド&コントロール | DNS [T1071.004] (アプリケーションレイヤプロトコル[T1071]) |
次世代ファイアウォール | untrustゾーンからより信頼できるtrustゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します |
トラフィックを許可するセキュリティポリシーでサービスに「any」が設定されているものがないことを確認します | |||
信頼された脅威インテリジェンスソースのIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します | |||
脅威防御† | imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します | ||
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します | |||
アンチスパイウェアプロファイルが、すべてのスパイウェアの重大度レベル、カテゴリ、および脅威をブロックするように構成されていることを確認します | |||
使用中のすべてのアンチスパイウェアプロファイルでDNSシンクホールが構成されていることを確認します | |||
使用中のすべてのアンチスパイウェアプロファイルでパッシブDNSの監視が有効に設定されていることを確認します | |||
インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、安全なアンチスパイウェアプロファイルが適用されていることを確認します | |||
DNSセキュリティ † |
アンチスパイウェア プロファイルでDNSセキュリティを有効にする | ||
URLフィルタリング † |
URLフィルタリングが使用されていることを確認します | ||
URLフィルタリングがURLカテゴリに「ブロック」または「オーバーライド」のアクションを使用していることを確認します | |||
すべてのURLへのアクセスがログに記録されていることを確認します | |||
すべてのHTTPヘッダーログオプションが有効になっていることを確認します | |||
インターネットへのトラフィックを許可するすべてのセキュリティポリシーで安全なURLフィルタリングが有効になっていることを確認します | |||
Cortex XSOAR | XSOARのプレイブックをデプロイ – Block IP | ||
XSOARのプレイブックをデプロイ – Block URL | |||
XSOARのプレイブックをデプロイ – Hunting C&C Communication Playbook (Deprecated) | |||
データの漏出 | C2チャネル経由のデータ漏出[T1041] | 次世代ファイアウォール | untrustゾーンからより信頼できるtrustゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します |
トラフィックを許可するセキュリティポリシーでサービスに「any」が設定されているものがないことを確認します | |||
信頼された脅威インテリジェンスソースのIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します | |||
脅威防御† | imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します | ||
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します | |||
アンチスパイウェアプロファイルが、すべてのスパイウェアの重大度レベル、カテゴリ、および脅威をブロックするように構成されていることを確認します | |||
使用中のすべてのアンチスパイウェアプロファイルでDNSシンクホールが構成されていることを確認します | |||
使用中のすべてのアンチスパイウェアプロファイルでパッシブDNSの監視が有効に設定されていることを確認します | |||
インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、安全なアンチスパイウェアプロファイルが適用されていることを確認します | |||
DNSセキュリティ † |
アンチスパイウェア プロファイルでDNSセキュリティを有効にする | ||
URLフィルタリング † |
URLフィルタリングが使用されていることを確認します | ||
URLフィルタリングがURLカテゴリに「ブロック」または「オーバーライド」のアクションを使用していることを確認します | |||
すべてのURLへのアクセスがログに記録されていることを確認します | |||
すべてのHTTPヘッダーログオプションが有効になっていることを確認します | |||
インターネットへのトラフィックを許可するすべてのセキュリティポリシーで安全なURLフィルタリングが有効になっていることを確認します | |||
Cortex XSOAR | XSOARのプレイブックをデプロイ – Block IP | ||
XSOARのプレイブックをデプロイ – Block URL | |||
XSOARのプレイブックをデプロイ – Hunting C&C Communication Playbook (Deprecated) | |||
XSOARのプレイブックをデプロイ - PAN-OS Query Logs for Indicators | |||
影響 | 影響を与えるために暗号化されたデータ[T1486] | Cortex XSOAR | XSOARのプレイブックをデプロイ - Ransomware Manual for incident response |
システムの復元禁止[T1490] | Cortex XDR | アンチエクスプロイトプロテクションを有効にします | |
アンチマルウェアプロテクションを有効にします | |||
マルウェアセキュリティプロファイルでBehavioral Threat Protection(BTP)を設定します | |||
Cortex XSOAR | XSOARのプレイブックをデプロイ - Palo Alto Networks Endpoint Malware Investigation | ||
サービス停止[T1489] | Cortex XDR | アンチエクスプロイトプロテクションを有効にします | |
アンチマルウェアプロテクションを有効にします |
表2 RyukとTrickbotに対する行動方針
これらの機能は次世代ファイアウォールのサブスクリプションサービスの一部として提供されている
結論
Ryukランサムウェアの感染は、TrickbotやBazaLoaderなどのマルウェアによる多段階脅威活動の結果として起こることがよくあります。バックドアマルウェアが確立されると、攻撃者はPowerShellやCobaltStrikeなどのツールを使用してリモートから接続し、最初の感染から数週間から数か月後に、侵害システムにRyukをドロップします。
米国政府は、この脅威活動をヘルスケア、公衆衛生セクタ業界に対する差し迫った脅威と見なしています。
本脅威評価と上記共同サイバーセキュリティアラートに関連する指標は、こちらのGitHubから利用可能です。Unit 42のTAXIIフィードにも公開済みで、ATOMビューアで表示できます。
https://unit42.paloaltonetworks.com/atoms/ryuk-ransomware/
https://unit42.paloaltonetworks.com/atoms/trickbot/
パロアルトネットワークス次世代ファイアウォールのWildFireを含むセキュリティサブスクリプションは、TrickbotとRyukに関連するアクティビティを検出します。Cortex XDRもアンチランサムウェアモジュール、アンチマルウェアモジュールを備えています。これらのモジュールは、ランサムウェアなどの悪意のあるファイルの振る舞いに関連した暗号化関連アクティビティを対象にしています。さらに、AutoFocusをご利用中のお客様は、次のタグを使用して本脅威に関連するアクティビティを確認できます: Ryuk、Trickbot、BazaLoader
パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org