Shamoon は、サウジアラビアのエネルギー部門に対する攻撃に関係しており、Talos が 2012 年から追い続けている破壊的なマルウェアの一種です。Talos は Shamoon の亜種を確認しており、最近の複数の企業や組織への攻撃に使用されたものを Shamoon 2 として特定しました。Talos では、この Shamoon 2 のアクティビティが最近増加していることを認識しており、お客様が確実に保護されるよう対応を続けています。また、今後も新しい開発への監視を継続し、シスコのお客様の保護を続けていきます。
伝播
Shamoon 2 は、非常に特化した組織を標的とし、ネットワーク列挙によって得た情報や、漏洩したクレデンシャルを使用してネットワーク内で感染を拡大することが確認されています。クレデンシャルは、個人アカウントや共有アカウントなどの組織固有のものの場合もあれば、標的となったユーザの使用する製品のデフォルト アカウントの場合もあります。
カバレッジ
Shamoon 2 に対するシスコのカバレッジは、シスコのセキュリティ製品、サービス、およびオープン ソース テクノロジーを通じて利用可能です。なお、脅威の進化に応じて、新しいカバレッジが開発され、既存のカバレッジが変更、修正される場合があることにご注意ください。そのため、この投稿の情報は正式に確定したものとは言えません。最新の情報については、FireSIGHT Management Center または Snort.org を参照してください。
Snort ルール
- 23893
- 23903
- 23905 ~ 23933
- 24127
- 40906
ClamAV シグネチャ
- Dropper.DistTrack-*
- Trojan.DistTrack.*
- Malware.DistTrack.*
AMP での検出
- GenericKD:Malwaregen.20c3.1201
- Malwaregen.19nb.1201
- 47BB36CD28-95.SBX.TG
- Malwaregen.19nb.1201
- Generic:Malwaregen.20c3.1201
- Malware.DistTrack
- 128FA5815C-95.SBX.TG
- C7FC1F9C2B-95.SBX.TG
- EFD2F4C3FE-95.SBX.TG
- 010D4517C8-95.SBX.TG
- Malware.DistTrack.Talos
 |
 |
 |
 |
その他の対応策
最近の Shamoon 2 のアクティビティは、ユーザや組織にとって包括的なディザスタ リカバリ計画が必要であることを改めて認識するよい機会を与えてくれます。この記事の読者が破壊的なマルウェアの標的になるかどうかを確実に言える人はいませんが、ドライブに障害が発生する確率が 100 % であることは誰もが言えることです。データの適切なバックアップや復元のシステムがなければ、常にデータを失うリスクを抱え続けることになります。Shamoon やランサムウェア、もしくは他の破壊的なマルウェアにシステムが感染し、全体的な復元が必要となる事態に備え、情報資産が適切にバックアップされ、迅速に復元できる状態を確保することは大変重要です。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
CWS や WSA の Web スキャンは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されたマルウェアを検出します。
E メール セキュリティ
は、キャンペーンの一環として攻撃者が送りつける悪意のある電子メールをブロックします。
IPS のネットワーク セキュリティ保護や NGFW には、攻撃者による不正なネットワーク アクティビティを検出できる最新のシグネチャが備わっています。
AMP Threat Gridは、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。
本稿は 2017年1月31日に Talos Group
Authors