This post is also available in: English (英語)
概要
Unit 42のリサーチャーは、米国およびヨーロッパの複数の産業に影響を与えている最新のEKANS (Snakeの逆さ読み)ランサムウェアの活動を観測しました。その結果として、EKANSランサムウェアの活動に関する本脅威評価レポートを作成しました。識別された技法およびキャンペーンは、Unit 42 Playbook Viewerを使用して表示できます。
EKANSが最初に観測されたのは2020年1月です。EKANSはごく普通のランサムウェアの挙動をとり、主としてファイルを暗号化しようとし、終了時にはランサムノートを表示します。EKANSはファイルの暗号化の点でもごく普通ですが、他のランサムウェアとは異なり、いくつかの興味深い機能を備えています。EKANSランサムウェアはGo言語で記述されており、数多くのアンチウイルスおよび産業用制御システム(ICS)のプロセスやサービスを停止させる静的な「キル リスト」が含まれています。プロセスを停止させた後は、シャドウ コピーを削除して、すべての回復機能を無効にします。また、多くのランサムウェア マルウェア ファミリーと同様に、EKANSは被害者のマシンにネットワーク経由で接続されているリソースを暗号化しようとします。
ファイルを暗号化した後、EKANSは他の有効なランサムウェアのような画一的な拡張子変更は行わず、代わりに5つのランダムな文字で拡張子を変更します。これは、このランサムウェアの作成者が、ファイルの拡張子を見るだけで即時に検出されるのを免れようとしているのかもしれません。EKANS感染を識別するひとつの方法として、ファイルの末尾で、このランサムウェアによって追加されたEKANSの16進数字列を探す方法があります。
現時点でのEKANSの主な侵入ベクトルは、スピアフィッシングのようです。ファイルブロック ポリシーを設定し、開いているRemote Desktop Protocol (リモート デスクトップ プロトコル - RDP)ポートを保護することで、このマルウェアがネットワークに侵入するのを防ぐことができます。ICS資産の所有者は、ICSの操作を中断しようとするEKANSなどのマルウェアに対するセキュリティ体制を確認することが推奨されます。EKANSオペレーターは、エネルギー、建築事務所、ヘルスケア、輸送、製造などさまざまな産業に影響を与えています。
パロアルトネットワークスのThreat PreventionプラットフォームとWildFireおよびCortex XDRは、このランサムウェアに関連する活動を検出します。お客様は、EKANSタグを付けてAutoFocusを使用して、この脅威評価に関連する活動を確認することもできます。
影響の評価
この活動ではいくつかの敵対的手法が確認されており、EKANSランサムウェアおよび同じ手法を使用する他のマルウェアに関連する脅威を軽減するために、パロアルトネットワークスの製品およびサービス内の次の手法が提案されています。
| 戦術 | 手法
(Mitre ATT&CK ID) |
製品/サービス | 行動指針 |
| 初期侵害 | スピアフィッシングの添付ファイル(T1193) |
次世代ファイアウォール(NGFW) |
ファイル ブロックの設定 |
| Threat Prevention† | すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウイルス プロファイルが設定されていることを確認します | ||
| 関連するすべてのセキュリティ ポリシーにセキュアなアンチウイルス プロファイルが適用されていることを確認します | |||
| WildFire | WildFireファイル サイズ アップロード制限が最大になっていることを確認します | ||
| WildFireファイル ブロック プロファイルで、すべてのアプリケーションおよびファイル タイプに対して転送が有効になっていることを確認します | |||
| すべてのセキュリティ ポリシーに対してWildFire分析プロファイルが有効になっていることを確認します | |||
| WildFireへの復号化されたコンテンツの転送を有効にします | |||
| すべてのWildFireセッション情報設定を有効にします | |||
| WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します | |||
| 更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します | |||
| Cortex XDR | マルウェア セキュリティ プロファイルを設定します | ||
| Cortex XSOAR | XSOARデプロイ プレイブック - フィッシングの調査 - Generic V2 | ||
| XSOARのデプロイ - エンドポイント マルウェア調査 | |||
| 実行 | スケジュールされたタスク(T1053) | Cortex XDR | エクスプロイト防御を有効にします |
| マルウェア防御を有効にします | |||
| ユーザーによる実行(T1204) |
次世代ファイアウォール(NGFW) |
User-IDを、内部の信頼されているインターフェイスに対してのみ有効にします | |
| User-IDが有効な場合、「包含/除外ネットワーク」が使用されていることを確認します | |||
| User-IDが有効な場合、User-IDエージェントは最低限の権限のみを持つようにします | |||
| User-IDサービス アカウントが対話型ログオン権限を持たないようにします | |||
| User-IDサービス アカウントのリモート アクセス機能が禁止されていることを確認します | |||
| セキュリティ ポリシーで、User-IDエージェント トラフィックが信頼されていないゾーンを通過することを制限します | |||
| Threat Prevention† | すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウイルス プロファイルが設定されていることを確認します | ||
| 関連するすべてのセキュリティ ポリシーにセキュアなアンチウイルス プロファイルが適用されていることを確認します | |||
| すべてのスパイウェア重大度レベル、カテゴリ、脅威をブロックするようにアンチスパイウェア プロファイルが設定されていることを確認します | |||
| 使用中のすべてのアンチスパイウェア プロファイルで、DNSシンクホールが設定されていることを確認します | |||
| 使用中のすべてのアンチスパイウェア プロファイルで、パッシブDNSモニタリングが有効に設定されていることを確認します | |||
| インターネットへのトラフィックを許可するすべてのセキュリティ ポリシーに、セキュアなアンチスパイウェア プロファイルを適用します | |||
| DNSセキュリティ | アンチスパイウェア プロファイルでDNSセキュリティを有効にします | ||
| URL Filtering | PAN-DB URL Filteringが使用されていることを確認します | ||
| URL Filteringが<enterprise approved value> URLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します | |||
| すべてのURLへのアクセスを記録します | |||
| すべてのHTTPヘッダのロギング オプションを有効にします | |||
| セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティ ポリシーに対して有効にします | |||
| WildFire | WildFireファイル サイズ アップロード制限が最大になっていることを確認します | ||
| WildFireファイル ブロック プロファイルで、すべてのアプリケーションおよびファイル タイプに対して転送が有効になっていることを確認します | |||
| すべてのセキュリティ ポリシーに対してWildFire分析プロファイルが有効になっていることを確認します | |||
| WildFireへの復号化されたコンテンツの転送を有効にします | |||
| すべてのWildFireセッション情報設定を有効にします | |||
| WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します | |||
| 更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します | |||
| Cortex XDR | エクスプロイト防御を有効にします | ||
| マルウェア防御を有効にします | |||
| Cortex XSOAR | XSOARデプロイ プレイブック - フィッシングの調査 - Generic V2 | ||
| XSOARデプロイ プレイブック - Cortex XDR - エンドポイントの隔離 | |||
| XSOARのデプロイ - 汎用アカウントのブロック | |||
| 永続化 | ブートキット(T1067) | Cortex XDR | エクスプロイト防御を有効にします |
| マルウェア防御を有効にします | |||
| スケジュールされたタスク(T1053) | エクスプロイト防御を有効にします | ||
| マルウェア防御を有効にします | |||
| 特権昇格 | エクスプロイト防御を有効にします | ||
| マルウェア防御を有効にします | |||
| 認証情報アクセス | ファイル内の認証情報(T1080) | エクスプロイト防御を有効にします | |
| マルウェア防御を有効にします | |||
| 制限セキュリティ プロファイルを設定します | |||
| 検出 | ファイルおよびディレクトリの検出(T1083) | XDRはBIOCと因果関係チェーンを使用して行動イベントを監視し、検出動作を識別します | |
| プロセス検出(T1057) | XDRはBIOCと因果関係チェーンを使用して行動イベントを監視し、検出動作を識別します | ||
| 収集 | 自動収集(T1119) | エクスプロイト防御を有効にします | |
| マルウェア防御を有効にします | |||
| ローカル システムのデータ(T1005) | エクスプロイト防御を有効にします | ||
| マルウェア防御を有効にします | |||
| コマンドとコントロール | カスタムのコマンドとコントロール(T1094) | NGFW | 信頼されていないゾーンからより信頼されているゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティ ポリシーが存在することを確認します |
| トラフィックを許可するセキュリティ ポリシーに「すべてのサービス設定」が存在しないことを確認します | |||
| キャプティブ ポータル ポリシーを「no-captive-portal」アクションとともに使用します。 | |||
| 信頼されている脅威インテリジェンス ソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティ ポリシー」が存在することを確認します | |||
| Threat Prevention† | すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウイルス プロファイルが設定されていることを確認します | ||
| 関連するすべてのセキュリティ ポリシーにセキュアなアンチウイルス プロファイルが適用されていることを確認します | |||
| すべてのスパイウェア重大度レベル、カテゴリ、脅威をブロックするようにアンチスパイウェア プロファイルが設定されていることを確認します | |||
| 使用中のすべてのアンチスパイウェア プロファイルで、DNSシンクホールが設定されていることを確認します | |||
| 使用中のすべてのアンチスパイウェア プロファイルで、パッシブDNSモニタリングが有効に設定されていることを確認します | |||
| インターネットへのトラフィックを許可するすべてのセキュリティ ポリシーに、セキュアなアンチスパイウェア プロファイルを適用します | |||
| DNSセキュリティ | アンチスパイウェア プロファイルでDNSセキュリティを有効にします | ||
| URL Filtering | PAN-DB URL Filteringが使用されていることを確認します | ||
| URL Filteringが<enterprise approved value> URLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します | |||
| すべてのURLへのアクセスを記録します | |||
| すべてのHTTPヘッダのロギング オプションを有効にします | |||
| セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティ ポリシーに対して有効にします | |||
| Cortex XSOAR | XSOARデプロイ プレイブック - IPのブロック | ||
| XSOARデプロイ プレイブック - URLのブロック | |||
| XSOARデプロイ プレイブック - C&C通信捕捉プレイブック | |||
| XSOARデプロイ プレイブック - インジケータのPAN-OSクエリ ログ | |||
| 影響 | 影響のために暗号化されたデータ(T1486) | Cortex XDR | マルウェア防御を有効にします |
| セキュリティ プロファイルで「Anti-Ransomware」セキュリティ モジュールを有効にします | |||
| Cortex XSOAR | XSOARデプロイ プレイブック - インシデント応答用のランサムウェア マニュアル |
表1: EKANSランサムウェアに対する行動指針
†これらの機能は、NGFWセキュリティ サブスクリプション サービスに含まれます
結論
EKANSは金銭目的で脆弱な企業を標的にする比較的新しいランサムウェアです。私たちは引き続き調査を行っていますが、本脅威による活動はなお活発にみられます。
EKANSが侵害されたRDPを利用するところはまだ確認されていませんが、ランサムウェアの主な侵入ベクトルの1つは、保護されていないRDPポートです。必要でない場合はこれらのポートを閉じるか、セキュリティ保護することが推奨されます。ネットワークへのEKANSの侵入、またはネットワーク内でのEKANSの実行を防ぐには、適切な保護策およびベスト プラクティスを設定することをお勧めします。
このランサムウェアはICSに関連するプロセスを停止しようとするため、ICS資産の所有者は特にこのランサムウェアを認識し、この脅威に対するセキュリティ体制を確認しておく必要があります。
このレポート内の推奨される行動指針は、パロアルトネットワークスで現在入手可能な情報およびパロアルトネットワークスの製品およびサービスの機能に基づきます。
その他の資料
- EKANS Ransomware Analysis Updates (外部資料)
- Matrix - Enterprise | MITRE ATT&CK® (外部資料)
- Best Practices from Palo Alto Networks (パロアルトネットワークスのベスト プラクティス)
- Script and the decoded strings from the EKANS/Snake ransomware (外部資料)
更新履歴
- 2020-06-30 07:45 攻撃ベクトルに関し、継続調査を受けて英語版が更新されたため、日本語版も一部更新しました。主な侵入ベクトルについて「スピアフィッシングの添付ファイルによる」としていましたが原著にならい「スピアフィッシングによる」に変更しました。
Get updates from
Palo Alto
Networks!
Sign up to receive the latest news, cyber threat intelligence and research from us