このところ、Maze や Snake を利用したランサムウェア攻撃が目立っています。重要な医薬品企業から大規模な物流企業まで、大小を問わずさまざまな企業が被害に遭っています。
組織へのランサムウェア攻撃は、攻撃者からすれば長い侵害プロセスの最終段階にすぎません。ニュースに取り上げられる攻撃の顛末ばかりが注目されるためあまり知られていませんが、攻撃者は通常、標的への侵入、偵察の実施、ログイン情報の窃取、ネットワーク防御の回避など、初期段階にかなりの労力を費やします。
Cisco Talos インシデント対応チームが対応業務で見てきた限り、Maze ランサムウェアの場合、インシデントのタイムラインは次のようになります。
0 ~ 6 日目:侵入の開始。Cobalt Strike アーティファクトが展開され、内部管理者アカウントが侵害されます。
7 ~ 13 日目:アクティブな偵察。通常はデータが盗まれ、攻撃者のインフラにアップロードされます。
14 ~ 21 日目:盗んだログイン情報を使用して、PsExec または WMIC が攻撃対象のドメインコントローラで実行されます。Maze ランサムウェアが拡散し、ネットワークがダウンします。企業は大混乱に陥り、対応に追われます。
復旧:Talos インシデント対応チームが現場で復旧に当たります。
最初の侵入から実際のランサムウェア攻撃までの時間は不均一ですが、良いニュースもあります。狙われた場合に、攻撃を防ぐ機会があるということです。上記のような攻撃はいずれもログやアラートといった形で異常として表れるため、防御する側はそれを検出して対応できるからです。大企業であれば膨大な数の異常警告が出るでしょう。そのため、防御を調整し、会社にとって重大な脅威に重点を置くことが重要になります。
これらすべてを複雑にしているのは、現在の新型コロナ感染症の拡大による混乱です。リモートワーカーとインフラの負担が増え、それに伴うセキュリティの複雑化に対応が追われているからです。しかし残念ながら、Maze / Snake ランサムウェアファミリを利用した攻撃が弱まることはありません。そのため、エンドポイントのウイルス対策を全社的に展開することが重要です。AMP for Endpoints のお客様にとって重要な IOC(侵入の痕跡)は、次のとおりです。
TrickBot とその亜種:
W32.TrickBot.ioc
Cobalt Strike SMB ビーコン:
W32.AnomalousNamedPipeUsage
W32.PossibleNamedPipeImpersonation.ioc
PowerShell エクスプロイト:
W32.PowershellPostExploitationLoaderLaunch.ioc
Mimikatz およびログイン情報アクセストリガー:
W32.MimikatzDumpCredentials.ioc
W32.PowersploitModuleDownload.ioc
W32.InvokeMethodExploitationFrameworks.ioc
システムプロセス保護(SD.Block.SPP)
ランサムウェア インジケータ:
W32.PossibleRansomwareShadowCopyDeletion.ioc
W32.BCDEditDisableRecovery.ioc
Ryuk ランサムウェア:W32.MAP.Ransomware.rewrite
W32.RyukRansomware.ioc
W32.RyukARPTableScan.ioc
Maze ランサムウェア:W32.MazeRansomware.ioc
コロナ禍で高まるセキュリティ計画と脅威対応のニーズに応えるため、Cisco Talos Incident Response では 7 月 25 日まで割引価格でサービスを提供しています。
本稿は 2020年5月14日に Talos Group のブログに投稿された「The basics of a ransomware infection as Snake, Maze expands」の抄訳です。