一般的なランサムウェアファミリーへの対策
最終更新: 2022-12-14 05:59:45 Etc/GMT
免責事項
言語:
この記事は、次の言語で表示可能です:
常に適応し続ける XDR エコシステムが企業を活性化するしくみをお伝えします。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
Magic Quadrant で、19 のベンダーについてビジョンの完全性と実行能力が評価されました。レポートをダウンロードして詳細をご覧ください。
Gartner によると、XDR は脅威の防止、検出、応答を改善する可能性を秘めた新しい技術です。
2022 年に注意が必要なサイバー セキュリティ脅威は?
サイバー セキュリティ業界に安穏の時はありません。今こそ、この考え方を、ビジネスの活性化につながる利点として、また推進剤として念頭に置くべきです。
サイバー セキュリティの世界で信頼される二大リーダーが 1 つになって、耐久性の高いデジタル ワールドを実現します。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
一般的なランサムウェアファミリーへの対策
技術的な記事 ID:
KB96146
最終更新: 2022-12-14 05:59:45 Etc/GMT 環境
Endpoint Security (ENS) 10.x
概要
この記事の目的は、高度に専門化した営利目的のマルウェア産業が、既知のセキュリティ対策を回避したり、安全でないシステムや古いシステムを悪用したりして、常に革新を続けていることに対して、別の防御策を提供することにあります。 注: 以下のソリューションで詳述されているルールの使用は、これらの脅威の現在および新種の多く の影響を阻止または 軽減する上で非常に効果的であることが証明されています。以下の推奨事項を実施する前に、ルールの完全性を確認し、自社開発またはその他の正当なアプリケーションが本番環境での機能を阻害されないように、徹底的にテストすることが不可欠です。 問題
脅威者は、セキュリティ防御を突破するために、ランサムウェアの亜種を作成したり、既存の亜種を作り替えたりし続けています。これらの新しいアップデートは、常にセキュリティ製品に対してテストされています。ランサムウェアに対抗するには、同様の動作をする新たな亜種が出現しているため、警戒が必要です。 ランサムウェアを標的とすることは、新しい亜種の状況が劇的に進化しているため、困難な場合があります。ランサムウェアに対抗する最善の方法は、 JTI/ATP による振る舞い検知、動的アプリケーション封じ込め (DAC) 、 Real Protect Scanners による静的および動的解析、エクスプロイト防止/エキスパートルール、GTIファイルレピュテーションを組み合わせることです。しかし、セキュリティ体制をより強固にするためには、常にエントリーベクターの脅威をターゲットにすることが最善です。 解決策 1
ランサムウェアへの対策は、いくつかのセキュリティ対策によって実現することができます。その中でも、エントリーベクターの脅威をターゲットとしたプロアクティブな対策が最も有効です。これらのエントリーベクター/ファーストステージの脅威を防ぐことができれば、ランサムウェアのようなセカンドステージ以降のマルウェアを防ぐことができるかもしれません。これらのエントリーベクターの脅威からの侵入を防ぐための推奨される階層的なセキュリティアプローチについては、 KB91836 - エントリーベクターの脅威への対策 を参照してください。
解決策 2
アクセス保護ルールは、ランサムウェアの暗号化されたファイル拡張子をターゲットにすることで、セキュリティの別の形態になることができます。暗号化されたファイル拡張子の実行、書き込み、削除などを阻止することで、ルールは暗号化ルーチンを 破壊するチャンスを得ます。しかし、この方法では、すべてのランサムウェアの暗号化をブロックすることはできません。システムからファイルを完全に削除してしまったり、暗号化されたままファイル名が変更されるのを防いだりなど、予期せぬ結果になる可能性があるので、この方法には十分な注意が必要です。
解決策 3
異なる亜種の中で類似の行動パターンを識別することによって、私たちはエンドポイント製品のためのいくつかのプロアクティブルールを考え出しました。エンドポイントセキュリティ (ENS) および Trellix Endpoint (旧 MVISION Endpoint) です。これらのルールは、これらの脅威の過去、現在、および進化する新しい亜種のインストールやペイロードを効果的に防止することを目的としています。 社内の Support テストにより、以下の ENS の対策が各種ランサムウェア攻撃に有効であることが確認されています: ENS Adaptive Threat Protection JTI ルール(ATP): ePolicy Orchestrator (ePO) Server Settings の Adaptive Threat Protection 内で、以下のルールの設定を有効または無効にします。構成は3種類あります。生産性、バランス、 セキュリティ です。サーバー設定で行った変更は、ATP オプションポリシーでのルールグループの割り当てに適用されます。 Rule ID 5: GTI URL レピュテーションを使用して、信頼できるまたは悪意のあるプロセスを識別します Rule ID 239: 疑わしいコマンドパラメータの実行を識別します Rule ID 240: ランサムウェアで主に見られる特徴を持つ疑わしいファイルを識別します Rule ID 255: 難読化された可能性のあるコマンドラインパラメータの検出 Rule ID 263: 不審なURLにアクセスするプロセスを検出します Rule ID 300: オフィスアプリケーションがスクリプトコマンドを実行可能な子プロセスを開始しないようにする Rule ID 309: Office アプリケーションから起動しようとするプロセスをブロックする Rule ID 312: Outlook などの電子メールアプリケーションでスクリプトエディタや二重使用ツールが生成されないようにする Rule ID 313: すべてのルールグループの割り当てで、メモ帳やワードパッドなどのテキストエディターがスクリプトコマンドを実行できるプロセスを生成しないようにする Rule ID 316: 316 すべてのルールグループの割り当てで、PDFリーダーがスクリプトを実行可能なプロセスを開始しないようにする Rule ID 318: PDF リーダーが cmd.exe を起動しないようにする Rule ID 319: すべてのルールグループの割り当てで、 cmd.exe が cscript や PowerShell などの他のスクリプトインタプリタを起動しないようにする Rule ID 323: mshta が子プロセスとして起動されないようにする Rule ID 332: certutil.exe が疑わしい拡張子を持つファイルをダウンロードまたはデコードしないようにする Rule ID 341: セキュリティルールグループの割り当てで、ランサムウェア攻撃で使用されているパターンを識別し、ブロックします Rule ID 342: ランサムウェアの攻撃に使用されているパターンを識別し、ブロックする Rule ID 502: 新しいサービスの作成を検出 Rule ID 513: リモートシステムからファイルをコピーするために使用されるコマンドを検出する Rule ID 517: 評判が不明なアクタープロセスが一般的なシステムフォルダでプロセスを起動しないようにする ENS アプリケーションの動的隔離 (DAC): DAC は、プロセスのレピュテーションがATPオプションポリシーで定義されたレピュテーション基準を満たす場合にのみトリガーされます。プロセスが DAC によって封じ込められると、実行後の監視と DAC ポリシー内で有効化されたルールに従います。 Rule: 重要なオペレーティングシステムの実行可能ファイルを無効にする Rule: appinit DLL レジストリエントリの変更 Rule: イメージファイル実行オプションのレジストリエントリの変更 Rule: スクリーンセーバーの設定の変更 Rule: スタートアップレジストリの場所の変更 Rule: ランサムウェアクラスのマルウェアがよく狙うファイルの読み取り Rule: プロセスの一時停止 Rule: 他のプロセスを終了させる Rule: 他のプロセスのメモリからの読み取り Rule: ランサムウェア型マルウェアによく狙われるファイルへの書き込み 注: ベストプラクティスについては、以下を参照してください: KB87843 - Application Containment のルールとベストプラクティス. アクセス保護ルールと同様に、すべての DAC ルールをテストして、環境での中断を防止してください。 ENS Threat Prevention Anti-Malware Scan Interface (AMSI): AMSI との統合を有効にします。AMSIは、強化されたスクリプトスキャンを提供します。 AMSI は、アプリケーションとサービスを Threat Prevention と統合し、マルウェアに対するより良い保護を提供するための汎用インターフェース規格です。 Microsoft は AMSI を提供しています。 AMSIは、Windows 10 および Windows Server 2016 (およびそれ以降)のシステムでサポートされています。 AMSI を使用して、 PowerShell、WScript、CScript などのブラウザベースではないスクリプトの脅威に対するスキャンを強化します。 ENS エクスプロイト防止: Signature 413: 疑わしい二重ファイル拡張子の実行 Signature 428: 一般的なバッファオーバーフロー Signature 6107: MS Word が不要なプログラムを実行しようとする Signature 6108: 疑わしいダウンロード文字列のスクリプト実行 Signature 6113: ファイルレス脅威。反射型セルフインジェクション Signature 6114: ファイルレスの脅威。反射型 EXE セルフインジェクション Signature 6115: ファイルレスの脅威。Reflective DLL リモートインジェクション Signature 6116: Mimikatz LSASS Suspicious Memory Read (不審なメモリ読み取り) Signature 6117: Mimikatz LSASS Suspicious Memory DMP Read (不審なメモリ DMP リード) Signature 6120: ファイルレス脅威。プロセスホロリング Signature 6121: Fileless Threat プロセス空洞化 Signature 6127: PowerShell からの疑わしい LSASS アクセス Signature 6131: WMI を介した武器化された OLE オブジェクトの感染 Signature 6148: マルウェアの動作。 Windows EFS の不正使用 Signature 6153: マルウェアの動作。 Ryuk Ransomware の活動を検出 Signature 6155: 悪意のある動作。ディレクトリジャンクションの試みが検出される ENS Exploit Prevention Expert Rules (エクスプロイト防止 エキスパート・ルール): Trellix Advanced Research Center GitHub リポジトリには、 Exploit Prevention ポリシーの Endpoint Security で直接使用できる Expert Rule のサンプルセットが含まれています。以下の Expert Rule は、ランサムウェア攻撃をターゲットとした特別なものです: Detect_Suspicious_Usage_Of_VSSADMIN.EXE.md.txt File_Block_Rclone ENS アクセス保護のデフォルトルール: プログラムファイルフォルダでの新規実行ファイルの作成 Windows フォルダに新しい実行ファイルの作成 レジストリエディタとタスクマネージャの無効化 プロセスに対するドッペルギャンガー攻撃 mimikatz マルウェアの実行 Windows スクリプトホストによるスクリプトの実行 ファイルやフォルダの遠隔操作による作成、変更 PE、.INI、コアシステムの場所をリモートで作成または変更する行為 関連情報
以下の Trellix の出版物は、ランサムウェアファミリー全体に関する様々なデータを提供しています:
ランサムウェアを防御するための追加推奨事項:
免責事項この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
言語:この記事は、次の言語で表示可能です: |
|