マルウェア

脅威の評価: EKANSランサムウェア

2 min read

概要

Unit 42のリサーチャーは、米国およびヨーロッパの複数の産業に影響を与えている最新のEKANS (Snakeの逆さ読み)ランサムウェアの活動を観測しました。その結果として、EKANSランサムウェアの活動に関する本脅威評価レポートを作成しました。識別された技法およびキャンペーンは、Unit 42 Playbook Viewerを使用して表示できます。

EKANSが最初に観測されたのは2020年1月です。EKANSはごく普通のランサムウェアの挙動をとり、主としてファイルを暗号化しようとし、終了時にはランサムノートを表示します。EKANSはファイルの暗号化の点でもごく普通ですが、他のランサムウェアとは異なり、いくつかの興味深い機能を備えています。EKANSランサムウェアはGo言語で記述されており、数多くのアンチウイルスおよび産業用制御システム(ICS)のプロセスやサービスを停止させる静的な「キルリスト」が含まれています。プロセスを停止させた後は、シャドウコピーを削除して、すべての回復機能を無効にします。また、多くのランサムウェアマルウェアファミリーと同様に、EKANSは被害者のマシンにネットワーク経由で接続されているリソースを暗号化しようとします。

ファイルを暗号化した後、EKANSは他の有効なランサムウェアのような画一的な拡張子変更は行わず、代わりに5つのランダムな文字で拡張子を変更します。これは、このランサムウェアの作成者が、ファイルの拡張子を見るだけで即時に検出されるのを免れようとしているのかもしれません。EKANS感染を識別するひとつの方法として、ファイルの末尾で、このランサムウェアによって追加されたEKANSの16進数字列を探す方法があります。

現時点でのEKANSの主な侵入ベクトルは、スピアフィッシングのようです。ファイルブロックポリシーを設定し、開いているRemote Desktop Protocol (リモートデスクトッププロトコル - RDP)ポートを保護することで、このマルウェアがネットワークに侵入するのを防ぐことができます。ICS資産の所有者は、ICSの操作を中断しようとするEKANSなどのマルウェアに対するセキュリティ体制を確認することが推奨されます。EKANSオペレーターは、エネルギー、建築事務所、ヘルスケア、輸送、製造などさまざまな産業に影響を与えています。

パロアルトネットワークスのThreat PreventionプラットフォームとWildFireおよびCortex XDRは、このランサムウェアに関連する活動を検出します。お客様は、EKANSタグを付けてAutoFocusを使用して、この脅威評価に関連する活動を確認することもできます。

影響の評価

この活動ではいくつかの敵対的手法が確認されており、EKANSランサムウェアおよび同じ手法を使用する他のマルウェアに関連する脅威を軽減するために、パロアルトネットワークスの製品およびサービス内の次の手法が提案されています。

戦術	手法 (Mitre ATT&CK ID)	製品/サービス	行動指針
初期侵害	スピアフィッシングの添付ファイル(T1193)	次世代ファイアウォール（NGFW）	ファイルブロックの設定
		Threat Prevention†	すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウイルスプロファイルが設定されていることを確認します
		Threat Prevention†	関連するすべてのセキュリティポリシーにセキュアなアンチウイルスプロファイルが適用されていることを確認します
		WildFire	WildFireファイルサイズアップロード制限が最大になっていることを確認します
			WildFireファイルブロックプロファイルで、すべてのアプリケーションおよびファイルタイプに対して転送が有効になっていることを確認します
			すべてのセキュリティポリシーに対してWildFire分析プロファイルが有効になっていることを確認します
			WildFireへの復号化されたコンテンツの転送を有効にします
			すべてのWildFireセッション情報設定を有効にします
			WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します
			更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します
		Cortex XDR	マルウェアセキュリティプロファイルを設定します
		Cortex XSOAR	XSOARデプロイプレイブック - フィッシングの調査 - Generic V2
		Cortex XSOAR	XSOARのデプロイ - エンドポイントマルウェア調査
実行	スケジュールされたタスク(T1053)	Cortex XDR	エクスプロイト防御を有効にします
	スケジュールされたタスク(T1053)	Cortex XDR	マルウェア防御を有効にします
	ユーザーによる実行(T1204)	次世代ファイアウォール（NGFW）	User-IDを、内部の信頼されているインターフェイスに対してのみ有効にします
			User-IDが有効な場合、「包含/除外ネットワーク」が使用されていることを確認します
			User-IDが有効な場合、User-IDエージェントは最低限の権限のみを持つようにします
			User-IDサービスアカウントが対話型ログオン権限を持たないようにします
			User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します
			セキュリティポリシーで、User-IDエージェントトラフィックが信頼されていないゾーンを通過することを制限します
		Threat Prevention†	すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウイルスプロファイルが設定されていることを確認します
			関連するすべてのセキュリティポリシーにセキュアなアンチウイルスプロファイルが適用されていることを確認します
			すべてのスパイウェア重大度レベル、カテゴリ、脅威をブロックするようにアンチスパイウェアプロファイルが設定されていることを確認します
			使用中のすべてのアンチスパイウェアプロファイルで、DNSシンクホールが設定されていることを確認します
			使用中のすべてのアンチスパイウェアプロファイルで、パッシブDNSモニタリングが有効に設定されていることを確認します
			インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、セキュアなアンチスパイウェアプロファイルを適用します
		DNSセキュリティ	アンチスパイウェアプロファイルでDNSセキュリティを有効にします
		URL Filtering	PAN-DB URL Filteringが使用されていることを確認します
			URL Filteringが<enterprise approved value> URLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します
			すべてのURLへのアクセスを記録します
			すべてのHTTPヘッダのロギングオプションを有効にします
			セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします
		WildFire	WildFireファイルサイズアップロード制限が最大になっていることを確認します
			WildFireファイルブロックプロファイルで、すべてのアプリケーションおよびファイルタイプに対して転送が有効になっていることを確認します
			すべてのセキュリティポリシーに対してWildFire分析プロファイルが有効になっていることを確認します
			WildFireへの復号化されたコンテンツの転送を有効にします
			すべてのWildFireセッション情報設定を有効にします
			WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します
			更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します
		Cortex XDR	エクスプロイト防御を有効にします
		Cortex XDR	マルウェア防御を有効にします
		Cortex XSOAR	XSOARデプロイプレイブック - フィッシングの調査 - Generic V2
			XSOARデプロイプレイブック - Cortex XDR - エンドポイントの隔離
			XSOARのデプロイ - 汎用アカウントのブロック
永続化	ブートキット(T1067)	Cortex XDR	エクスプロイト防御を有効にします
	ブートキット(T1067)		マルウェア防御を有効にします
	スケジュールされたタスク(T1053)		エクスプロイト防御を有効にします
			マルウェア防御を有効にします
特権昇格			エクスプロイト防御を有効にします
特権昇格			マルウェア防御を有効にします
認証情報アクセス	ファイル内の認証情報(T1080)		エクスプロイト防御を有効にします
			マルウェア防御を有効にします
			制限セキュリティプロファイルを設定します
検出	ファイルおよびディレクトリの検出(T1083)		XDRはBIOCと因果関係チェーンを使用して行動イベントを監視し、検出動作を識別します
検出	プロセス検出(T1057)		XDRはBIOCと因果関係チェーンを使用して行動イベントを監視し、検出動作を識別します
収集	自動収集(T1119)		エクスプロイト防御を有効にします
	自動収集(T1119)		マルウェア防御を有効にします
	ローカルシステムのデータ(T1005)		エクスプロイト防御を有効にします
	ローカルシステムのデータ(T1005)		マルウェア防御を有効にします
コマンドとコントロール	カスタムのコマンドとコントロール(T1094)	NGFW	信頼されていないゾーンからより信頼されているゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
			トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します
			キャプティブポータルポリシーを「no-captive-portal」アクションとともに使用します。
			信頼されている脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
		Threat Prevention†	すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウイルスプロファイルが設定されていることを確認します
			関連するすべてのセキュリティポリシーにセキュアなアンチウイルスプロファイルが適用されていることを確認します
			すべてのスパイウェア重大度レベル、カテゴリ、脅威をブロックするようにアンチスパイウェアプロファイルが設定されていることを確認します
			使用中のすべてのアンチスパイウェアプロファイルで、DNSシンクホールが設定されていることを確認します
			使用中のすべてのアンチスパイウェアプロファイルで、パッシブDNSモニタリングが有効に設定されていることを確認します
			インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、セキュアなアンチスパイウェアプロファイルを適用します
		DNSセキュリティ	アンチスパイウェアプロファイルでDNSセキュリティを有効にします
		URL Filtering	PAN-DB URL Filteringが使用されていることを確認します
			URL Filteringが<enterprise approved value> URLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します
			すべてのURLへのアクセスを記録します
			すべてのHTTPヘッダのロギングオプションを有効にします
			セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします
		Cortex XSOAR	XSOARデプロイプレイブック - IPのブロック
			XSOARデプロイプレイブック - URLのブロック
			XSOARデプロイプレイブック - C&C通信捕捉プレイブック
			XSOARデプロイプレイブック - インジケータのPAN-OSクエリログ
影響	影響のために暗号化されたデータ(T1486)	Cortex XDR	マルウェア防御を有効にします
		Cortex XDR	セキュリティプロファイルで「Anti-Ransomware」セキュリティモジュールを有効にします
		Cortex XSOAR	XSOARデプロイプレイブック - インシデント応答用のランサムウェアマニュアル

表1: EKANSランサムウェアに対する行動指針

†これらの機能は、NGFWセキュリティサブスクリプションサービスに含まれます

結論

EKANSは金銭目的で脆弱な企業を標的にする比較的新しいランサムウェアです。私たちは引き続き調査を行っていますが、本脅威による活動はなお活発にみられます。

EKANSが侵害されたRDPを利用するところはまだ確認されていませんが、ランサムウェアの主な侵入ベクトルの1つは、保護されていないRDPポートです。必要でない場合はこれらのポートを閉じるか、セキュリティ保護することが推奨されます。ネットワークへのEKANSの侵入、またはネットワーク内でのEKANSの実行を防ぐには、適切な保護策およびベストプラクティスを設定することをお勧めします。

このランサムウェアはICSに関連するプロセスを停止しようとするため、ICS資産の所有者は特にこのランサムウェアを認識し、この脅威に対するセキュリティ体制を確認しておく必要があります。

このレポート内の推奨される行動指針は、パロアルトネットワークスで現在入手可能な情報およびパロアルトネットワークスの製品およびサービスの機能に基づきます。