異なる亜種の中で類似の行動パターンを識別することによって、私たちはエンドポイント製品のためのいくつかのプロアクティブルールを考え出しました。エンドポイントセキュリティ (ENS) および Trellix Endpoint (旧 MVISION Endpoint) です。これらのルールは、これらの脅威の過去、現在、および進化する新しい亜種のインストールやペイロードを効果的に防止することを目的としています。
社内の Support テストにより、以下の ENS の対策が各種ランサムウェア攻撃に有効であることが確認されています:
ENS Adaptive Threat Protection JTI ルール(ATP):
ePolicy Orchestrator (ePO) Server Settings の Adaptive Threat Protection 内で、以下のルールの設定を有効または無効にします。構成は3種類あります。生産性、バランス、 セキュリティ です。サーバー設定で行った変更は、ATP オプションポリシーでのルールグループの割り当てに適用されます。
Rule ID 4: GTI ファイルレピュテーションを使用して、信頼できるファイルまたは悪意のあるファイルを識別します。
Rule ID 5: GTI URL レピュテーションを使用して、信頼できるまたは悪意のあるプロセスを識別します
Rule ID 239: 疑わしいコマンドパラメータの実行を識別します
Rule ID 240: ランサムウェアで主に見られる特徴を持つ疑わしいファイルを識別します
Rule ID 255: 難読化された可能性のあるコマンドラインパラメータの検出
Rule ID 263: 不審なURLにアクセスするプロセスを検出します
Rule ID 300: オフィスアプリケーションがスクリプトコマンドを実行可能な子プロセスを開始しないようにする
Rule ID 309: Office アプリケーションから起動しようとするプロセスをブロックする
Rule ID 312: Outlook などの電子メールアプリケーションでスクリプトエディタや二重使用ツールが生成されないようにする
Rule ID 313: すべてのルールグループの割り当てで、メモ帳やワードパッドなどのテキストエディターがスクリプトコマンドを実行できるプロセスを生成しないようにする
Rule ID 316: 316 すべてのルールグループの割り当てで、PDFリーダーがスクリプトを実行可能なプロセスを開始しないようにする
Rule ID 318: PDF リーダーが cmd.exe を起動しないようにする
Rule ID 319: すべてのルールグループの割り当てで、 cmd.exe が cscript や PowerShell などの他のスクリプトインタプリタを起動しないようにする
Rule ID 323: mshta が子プロセスとして起動されないようにする
Rule ID 332: certutil.exe が疑わしい拡張子を持つファイルをダウンロードまたはデコードしないようにする
Rule ID 341: セキュリティルールグループの割り当てで、ランサムウェア攻撃で使用されているパターンを識別し、ブロックします
Rule ID 342: ランサムウェアの攻撃に使用されているパターンを識別し、ブロックする
Rule ID 502: 新しいサービスの作成を検出
Rule ID 513: リモートシステムからファイルをコピーするために使用されるコマンドを検出する
Rule ID 517: 評判が不明なアクタープロセスが一般的なシステムフォルダでプロセスを起動しないようにする
ENS アプリケーションの動的隔離 (DAC):
DAC は、プロセスのレピュテーションがATPオプションポリシーで定義されたレピュテーション基準を満たす場合にのみトリガーされます。プロセスが DAC によって封じ込められると、実行後の監視と DAC ポリシー内で有効化されたルールに従います。
Rule: ランサムウェアクラスのマルウェアによく狙われるファイルの削除
Rule: 重要なオペレーティングシステムの実行可能ファイルを無効にする
Rule: appinit DLL レジストリエントリの変更
Rule: イメージファイル実行オプションのレジストリエントリの変更
Rule: スクリーンセーバーの設定の変更
Rule: スタートアップレジストリの場所の変更
Rule: ランサムウェアクラスのマルウェアがよく狙うファイルの読み取り
Rule: プロセスの一時停止
Rule: 他のプロセスを終了させる
Rule: 他のプロセスのメモリからの読み取り
Rule: ランサムウェア型マルウェアによく狙われるファイルへの書き込み
注: ベストプラクティスについては、以下を参照してください:
KB87843 - Application Containment のルールとベストプラクティス. アクセス保護ルールと同様に、すべての DAC ルールをテストして、環境での中断を防止してください。
ENS Threat Prevention Anti-Malware Scan Interface (AMSI):
AMSI との統合を有効にします。AMSIは、強化されたスクリプトスキャンを提供します。 AMSI は、アプリケーションとサービスを Threat Prevention と統合し、マルウェアに対するより良い保護を提供するための汎用インターフェース規格です。 Microsoft は AMSI を提供しています。 AMSIは、Windows 10 および Windows Server 2016 (およびそれ以降)のシステムでサポートされています。 AMSI を使用して、 PowerShell、WScript、CScript などのブラウザベースではないスクリプトの脅威に対するスキャンを強化します。
ENS エクスプロイト防止:
Signature 344: 新しいスタートアップの作成
Signature 413: 疑わしい二重ファイル拡張子の実行
Signature 428: 一般的なバッファオーバーフロー
Signature 6107: MS Word が不要なプログラムを実行しようとする
Signature 6108: 疑わしいダウンロード文字列のスクリプト実行
Signature 6113: ファイルレス脅威。反射型セルフインジェクション
Signature 6114: ファイルレスの脅威。反射型 EXE セルフインジェクション
Signature 6115: ファイルレスの脅威。Reflective DLL リモートインジェクション
Signature 6116: Mimikatz LSASS Suspicious Memory Read (不審なメモリ読み取り)
Signature 6117: Mimikatz LSASS Suspicious Memory DMP Read (不審なメモリ DMP リード)
Signature 6120: ファイルレス脅威。プロセスホロリング
Signature 6121: Fileless Threat プロセス空洞化
Signature 6127: PowerShell からの疑わしい LSASS アクセス
Signature 6131: WMI を介した武器化された OLE オブジェクトの感染
Signature 6148: マルウェアの動作。 Windows EFS の不正使用
Signature 6153: マルウェアの動作。 Ryuk Ransomware の活動を検出
Signature 6155: 悪意のある動作。ディレクトリジャンクションの試みが検出される
ENS Exploit Prevention Expert Rules (エクスプロイト防止 エキスパート・ルール):
Trellix Advanced Research Center GitHub リポジトリには、 Exploit Prevention ポリシーの Endpoint Security で直接使用できる Expert Rule のサンプルセットが含まれています。以下の Expert Rule は、ランサムウェア攻撃をターゲットとした特別なものです:
Detect_Deletion_Of_Shadow_Copies_Using_WMIC.EXE.md.txt
Detect_Suspicious_Usage_Of_VSSADMIN.EXE.md.txt
File_Block_Rclone (Two scenarios provided for this rule.)
ENS アクセス保護のデフォルトルール:
ダウンロードしたプログラムファイルフォルダからのブラウザによるプログラムの起動
プログラムファイルフォルダでの新規実行ファイルの作成
Windows フォルダに新しい実行ファイルの作成
レジストリエディタとタスクマネージャの無効化
プロセスに対するドッペルギャンガー攻撃
mimikatz マルウェアの実行
Windows スクリプトホストによるスクリプトの実行
ファイルやフォルダの遠隔操作による作成、変更
PE、.INI、コアシステムの場所をリモートで作成または変更する行為
