「Shamoon」は石油・ガス業界の各組織に対する攻撃で使用されてきたマルウエアで、Cisco Talos では 2012 年から追跡してきました。その後、「Shamoon 2」と名付けられた Shamoon の亜種が登場し、いくつかの組織や機関に対する攻撃で使用されてきました。Talos では 2017 年を通して Shamoon 2 のアクティビティが増加していることを確認しており、お客様を保護すべく必要な処置をとってきました。
12 月 10 日には、VirusTotal にアップロードされた新しい亜種「Shamoon 3」(c3ab58b3154e5f5101ba74fccfd27a9ab445e41262cdf47e8cc3be7416a5904f)も確認されました。このサンプルがどこから来たのかは不明ですが、Shamoon 2 の特徴の多くを共有しています。Talos では今回も、シスコのお客様が現在のカバレッジ メカニズムで確実に保護されるよう、必要な処置をとっています。また、今後も新しい開発への監視を継続し、シスコのお客様の保護を続けていきます。
拡散
Shamoon 2 は、非常に特化した組織を標的とし、ネットワーク列挙によって得た情報や、漏洩したクレデンシャルを使用してネットワーク内で感染を拡大することが確認されています。クレデンシャルは、個人アカウントや共有アカウントなどの組織固有のものの場合もあれば、標的となったユーザの使用する製品のデフォルト アカウントの場合もあります。
カバレッジ
Shamoon 2 に対するシスコのカバレッジは、シスコのセキュリティ製品、サービス、およびオープン ソース テクノロジーを通じて利用可能です。なお、脅威の進化に応じて、新しいカバレッジが開発され、既存のカバレッジが変更、修正される場合があることにご注意ください。そのため、この投稿の情報は正式に確定したものとは言えません。最新の情報については、FireSIGHT Management Center または Snort.org をご覧ください。
Snort ルール
- 23893
- 23903
- 23905 ~ 23933
- 24127
- 40906
ClamAV シグネチャ
- Win.Dropper.DistTrack-*
- Win.Trojan.DistTrack.*
- Win.Malware.DistTrack.*
AMP での検出
- W32.GenericKD:Malwaregen.20c3.1201
- W32.Malwaregen.19nb.1201
- W32.47BB36CD28-95.SBX.TG
- W32.Malwaregen.19nb.1201
- W32.Generic:Malwaregen.20c3.1201
- Win.Malware.DistTrack
- W32.128FA5815C-95.SBX.TG
- W32.C7FC1F9C2B-95.SBX.TG
- W32.EFD2F4C3FE-95.SBX.TG
- W32.010D4517C8-95.SBX.TG
- Win.Malware.DistTrack.Talos
その他の対応策
最近の Shamoon 2 のアクティビティは、包括的なディザスタ リカバリ計画が必要であることを再認識させる出来事です。実際に破壊的なマルウェアの標的になるかは不確実ですが、物理ドライブはその性質上、使い続ければある時点で必ず障害が発生します。データの適切なバックアップや復元のシステムがなければ、データを失うリスクを抱え続けることになります。Shamoon などの破壊的なマルウェアにシステムが感染し、全体的な復元が必要となる事態に備えることは大変重要です。つまり、情報資産が適切にバックアップされ、迅速に復元できる状態を維持する必要があります。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
シスコクラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella
は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
Shamoon 2
4919436d87d224f083c77228b48dadfc153ee7ad48dd7d22f0ba0d5090b5cf9b
5475f35363e2f4b70d4367554f1691f3f849fb68570be1a580f33f98e7e4df4a
01a461ad68d11b5b5096f45eb54df9ba62c5af413fa9eb544eacb598373a26bc
c7f937375e8b21dca10ea125e644133de3afc7766a8ca4fc8376470277832d95
Shamoon 3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本稿は 2018年12月14日に Talos Group
Authors