TrickBot や Ryuk の攻撃が心配? HCL BigFix は重要な防衛と修復機能を提供
2020年11月3日
著者: Ben Dixon / HCL BigFix Technical Marketing Manager & BigFix Evangelist
今年に入り、多くの金融機関や医療機関で Ryuk ランサムウェアの攻撃が大幅に増加しています。Ryuk は実は多段階攻撃の最終段階で、EternalBlue の脆弱性を利用して企業のネットワークを介して拡散する TrickBot トロイの木馬に先行しています。Ryuk は、攻撃の最終段階でシステムを暗号化して身の代金を要求する「ビジネス」ペイロードです。
攻撃のプロセスは、悪意のあるリンクを含むフィッシングメールから始まる。Trustwave SpiderLabs Digital Forensics and Incident Response のディレクターである Shawn Kanady 氏によると、攻撃者の 90%はフィッシングメールから攻撃キャンペーンを開始するそうです [1]。その理由は?簡単で低コストの配信方法であり、最近のフィッシングメールはユーザーをターゲットにしており、非常に説得力のあるものになっています。マルウェアは感染したシステムに組み込まれ、駆除するのは困難です。
BigFixユーザーのための推奨事項
パッチ:CVE-2017-0144 ((Eternal Blue)の脆弱性に対応) を確認します。
防衛の奥深さ
システムへのマルウェアの感染を防ぐツールは 1つではありませんが、この2つのアイテムがなければ、他の何をするにしても「モグラたたき」のようなものであることは確かです。これらの最前線の防御策を確立することで、これらの防御策が破られたときに存在する危険性に焦点を当てることができます。悪い役者は頭が良く、教育やフィルターに対抗する方法を考え出します。このような理由から、私たちには詳細な防御が必要であり、BigFix はシステム上のマルウェアとの戦いを支援することができます。ここでは、3つの防御領域を見てみましょう。BigFix が提供するリアルタイムの可視性、迅速な対応、継続的な実施が、これらの攻撃との戦いにどのように役立つかを見てみましょう。
システムへのパッチ適用
TrickBot/Ryukの対処法
Crowdstrike では、エンドポイントからTrickBotマルウェアを手動で削除するための3つのステップを推奨しています。これらのステップはBigFixで簡単に自動化することができます。
Crowdstrikeによると、TrickBot マルウェアによるシステムへの影響を防ぐための対策の 1つとして、CVE-2017-0144(Eternal Blue)の脆弱性に確実に対処すること [2]、つまり Microsoft MS17-010 Security Update を適用することが挙げられています。このパッチは 2017年3月に公開されてから 1200日以上が経過していますが、今でもインストールを勧められています。パッチ適用がそんなに重要なら、もっと真剣に取り組んでみてはどうだろうか。今日この脆弱性に対処していないシステムは、Ryuk ランサムウェアの配信を容易にする TrickBot トロイの木馬の脆弱性を持つ可能性があります。
ほとんどの企業では、パッチ管理プログラムを導入していますが、パッチ適用プロセスに追いつくことが不可能だと感じています。その理由の 1つは、エンドポイントのコンプライアンス状態を可視化できていないことです。BigFix を使用することで、エンドポイントの状態をリアルタイムで可視化することができます。また、自動化されたパッチポリシーを実装して、新しいパッチ、更新されたパッチ、および置き換えられたパッチを自動的にチェックし、システムが最新のパッチリリースに準拠した状態を維持できるようにすることもできます。これにより、毎月脆弱性から保護され、2017年や他の年にリリースされたパッチを気にする必要がなくなります。
セキュリティ構成の強制
セキュリティ設定項目を実装し、実施する。パッチ対応と同様に、ネットワークやそれにアクセスするシステムのセキュリティ設定にも気を配る必要があります。また、ハードニングとも呼ばれるシステム設定の実施に関しても、積極的に対応しなければなりません。
TrickBot や Ryuk は、SMBv1 のようないくつかの誤設定を悪用しています。BigFix は、Center for Internet Security (CIS) BenchmarksやDISA (Defense Information Systems Agency) Security Technical Implementation Guidelines (STIGs) などのセキュリティ設定を強化するためのお手伝いをします。BigFix を使用して、これらのチェックリストを環境に適用し、推奨される構成と設定値を強制します。また、BigFix はポリシーを使用して環境内のシステムにこれらの構成設定を強制し、悪質な行為者による脅威に対する継続的なコンプライアンスを保証します。
BigFix を使用して、侵入の痕跡を特定し、修復します
防御のオーケストレーション
BigFixは、場所や接続タイプに関係なく、すべてのエンドポイントで環境の継続的なコンプライアンスを維持するためのポリシー施行を提供します。
BigFix はフル機能のEDRソリューションではありませんが、管理しているすべてのエンドポイント上の既知の脅威指標を検出し、指定した条件や指標を通知することができます。Ryuk と TrickBot は、分析するのに十分な期間が経過しており、インストールフォルダー、ファイル名とハッシュ、レジストリ設定、実行中のプロセスなど、それぞれの構成要素は、マルウェアのリリース間に多少変化しても既知です。
Crowdstrike では、エンドポイントから TrickBot マルウェアを手動で削除するための3ステップのプロセスを推奨しています [3] が、これらのプロセスは BigFix を使用して自動化することができます。
WannaCry ランサムウェア攻撃と同様に、BigFix は暗号化されたファイル(Ryuk の場合は拡張子が「.ryk」のファイル)の存在を警告し、他の人に影響を与えないようにシステムを隔離するなどの措置を取ることができます。
教育と認識
エンドユーザーを教育することも、TrickBot や Ryuk の予防と軽減のための重要なステップです。ユーザーがメールのリンクをクリックしないことを知っていれば、フィッシング攻撃が成功する確率は大幅に低下します。サイバー教育ですべての攻撃を止めることはできませんが、適切な教育を行うことで差をつけることができます。 その他の仕事に役立つツール
教育に加えて、受信メールをフィルタリングするためのメールゲートウェイなど、具体的にメールの問題に対処するためのツールを導入する必要があります。メールがユーザーに届かないようにしたり、不審なリンクや添付ファイルを取り除くことができれば、攻撃が成功する可能性はさらに低くなります。
警戒!
BigFix は、エンドポイントを保護する作業をより管理しやすくしますが、セキュリティを認識するプロセスでは、警戒心を持つ必要があります。悪質な行為者は、あなたと同じくらい脆弱性について知っており、パッチが適用されていないシステムでは 1日1日が経過するごとに、その脆弱性を悪用しようとする可能性があることを覚えておいてください。
BigFix は、脆弱性の可視性、脆弱性に対応するために必要なツール、およびロケーションや接続タイプに関係なく、すべてのエンドポイントの環境で継続的なコンプライアンスを維持するためのポリシーの実施を提供することで、防御のオーケストレーションを支援することができます。
現在 BigFix のお客様ではない場合は、BigFix が提供する機能とメリットのデモンストレーションをご希望の方は、こちらまでご連絡ください。システムにマルウェアが侵入しないようにするためのお手伝いをさせていただきます。
[1] Colon, Marcus, Analysis, Advice and Predictions from a Ransomware First Responder, August 27, 2019, (https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/analysis-advice-and-predictions-from-a-ransomware-first-responder/)
[2] Hanel, Alexander, Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware, January 10, 2019, (https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/)
[3] Campbell, Ryan and Cargill, Devin, Automating Remote Remediation of TrickBot via Falcon’s Real Time Response API: Part 1, July 7, 2020, (https://www.crowdstrike.com/blog/automating-remote-remediation-of-trickbot-part-1/)