この記事は、Cisco Lancope のテクニカル マーケティング エンジニアである Hanna Jabbour によるブログ「You Won’t WannaCry with Stealthwatch」(2017/5/16)の抄訳です。
5 月 12 日の金曜日に、世界中のコンピュータ ユーザは、「WannaCry」と呼ばれる、インターネットで発見されたマルウェアによる非常に危険な新しい脅威に遭遇しました。このマルウェアは、政府機関から盗まれたと言われているマルウェアのキャッシュに端を発したもので、未知の攻撃者によって 1 年も経たない内に公開されました。
業界をリードする、シスコの Talos 脅威インテリジェンス チームが実際の環境で取得して分析した WannaCry の最初のマルウェアには、感染したホスト コンピュータにランサムウェアをインストールするためのマルウェア ペイロードが含まれています。これは TCP ポート 445 を重点的にスキャンし、パッチが適用されていない特定の Windows マシンに存在する脆弱性を利用します。WannaCry は、ワームと同様に、ネットワーク全体に拡散することが可能で、それが広範囲の感染をもたらしました。
この記事では、お客様がシスコ セキュリティ ソリューションを使用して自社のネットワークやコンピュータをこのマルウェアから保護する方法について説明します。今後数日から数ヵ月で発生する可能性のある亜種も対象です。
感染の検出
WannaCry の最初のマルウェアは、サーバ メッセージ ブロック(SMB)プロトコルを利用して、Microsoft Windows が稼働している、ネットワーク上のコンピュータに感染して伝播します。ネットワーク オペレータは、Cisco Stealthwatch を使用してネットワーク内の SMB アクティビティを監視することができます。
- Cisco Stealthwatch には、内部ホスト コンピュータとインターネットベースのホストとの間の SMB トラフィックを重点的にトラッキングしてレポートする機能が組み込まれています。これにより、WannaCry に感染したシステムが示されます。
- WannaCry マルウェアは SMB トラフィックを使用して内部的にも伝播します。同じサブネット上のホストで使用される SMB トラフィックは、StealthWatch によって不審なアクティビティとして検出されます。
- StealthWatch には、不審な SMB アクティビティに基づいた多くのアラートがあります。具体的には、大量の SMB トラフィックや、多数の異なるホストへの SMB 接続などです。これにより、ホストが WannaCry に侵害されたことが簡単にわかります。
- StealthWatch には、Tor ネットワーク、Bogon IP アドレス、既知のコマンド アンド コントロール ホストへの接続を検出してレポートする機能もあります。
- Tor ネットワークや Bogon IP アドレスとのホスト通信も、常に最新の脅威インテリジェンス フィードに基づいて StealthWatch が検出します。これによって、セキュリティ担当者は、インターネット上の不審なホストに接続している内部 IP を検出することができます。
伝播の検出
WannaCry の最初のマルウェアは、できるだけ多くのホストに感染するために、ネットワーク内部を水平方向(ホスト間)に伝播しようとします。この伝播アクションは、マルウェアがランサムウェアのペイロードをトリガーする前でも発見されることがあります。StealthWatch は、水平方向の移動、特に同じサブネットのシステム間の移動を検出できるように設計されています。
- 同じサブネットのシステム間であっても、偵察活動やスキャン アクティビティをトラッキングすることができます。
- StealthWatch のワーム伝播検出レポートは、スキャン アクティビティをトラッキングし、外部のコマンド アンド コントロール ホストへの接続に成功したものと関連付けます。これは、WannaCry やワームのアクティビティと一致します。
関連付け
Cisco Stealthwatch は、特定のホスト コンピュータで確認されたさまざまなアクティビティに対し関連付けを行い、その数値化されたスコアに基づいて、その IP が不審かどうかを判断します。StealthWatch は、各ホスト IP アドレスごとに 1 つのインデックスでスコアを累積し、そのスコアをもとにリスク インデックスというアラームを発生させます。このリスク インデックスの数値が高いほど、そのホストが悪意のあるアクティビティに関連している確率が高いことを示します。
感染範囲の特定と軽減
Cisco Stealthwatch Management Center とダッシュボードを利用することで、不審なアクティビティや感染の可能性を示したシステムを一覧表示するレポートを簡単に作成することができます。また、Cisco Identity Services Engine(ISE)を統合することで、不審なマシンを検疫し、脅威修復までの間、WannaCry がさらに拡散されないよう防止します。
WannaCry による被害を阻止
WannaCry はインターネット上で混乱を招いており、今後数年間にわたり、その亜種が発生する可能性が高いと思われます。StealthWatch の広範囲におよぶ可視化機能と高度な分析機能を利用することで、WannaCry のアクティビティを早期に検出し、環境全体に拡散するのを阻止できます。
WannaCry からネットワークを保護するための詳細については、ウェビナーにご参加ください(OAuth Phishing and WannaCry Ransomware Attacks: Are You Protected?(OAuth フィッシングと WannaCry ランサムウェア攻撃:保護されていますか)5 月 18 日 1 p.m. ET/10 a.m. PT)