ランサムウェア「DARKSIDE」のオペレーションは終了したと報告されていますが、ランサムウェアの問題自体は悪化の一途をたどっています。ランサムウェアが重要な業務に影響を与えることは誰もが経験していることなので、あらゆる業界の組織がリスクを減らし、脅威に対抗するために警戒を続けなければなりません。残念ながら、この戦いは平等ではありません。脅威グループは、セキュリティを回避するための戦術、技術、手順(TTP)を常に変化させており、防御側はそれに対応する必要があります。
最近話題になったDARKSIDEによる攻撃は、RaaS(ransomware-as-a-service)の一例です。このモデルでは、あるグループがサービスを作成・維持し、別のグループがそのサービスを利用して被害者を狙い、受け取った身代金を「サービス提供者」と共有します。攻撃グループは、開発者がオープン・ソース・コードを使用するのと同じようにツールを使用します。この種の攻撃は短期間で発生するため、組織は適切なツールを用意して、適切に検知・対応する必要があります。
FireEye Endpoint Securityは、複数の保護エンジンと、最前線の経験から構築された顧客が導入選択可能なモジュールを使用して、これらの攻撃を防御します。FireEye Endpoint Securityのシグネチャベース、機械学習ベース、行動ベースの保護機能、UAC Protectモジュール、Process Guardモジュールの組み合わせは、お客様に最大限の保護を提供します。FireEyeは、現在入手可能なすべてのDARKSIDEサンプルが、FireEye Endpoint Securityによってプロアクティブにブロックされることを確認しています。
DARKSIDEの詳細と、検出および無効化の方法については、ブログの記事「DARKSIDE ランサムウェア・オペレーションのヒント」をお読みください。
Endpoint Securityを使用してDARKSIDEやその他のランサムウェアのオペレーターが使用するテクニックを打ち破るために、FireEyeはこの投稿で紹介されている以下の設定と機能設定を有効にすることを推奨します。
- Malware Protection – シグネチャベースおよび機械学習ベースの保護
- UAC Protect - User Access Control(UAC)バイパス攻撃からの保護モジュール
- Process Guard - クレデンシャル・ダンピングからの保護モジュール
- Real-Time Indicator Detection - IoC検知機能
Malware Protection
Admin -> Policiesと選択します。
目的のpolicy (複数選択可)を選択します。
Malware Protectionを選択します。
Malware Detection
Switch Signature and Heuristic DetectionをONに切り替え、MalwareGuard DetectionをONに切り替えます。
Quarantine
Signature and Heuristic QuarantineをONに切り替え、MalwareGuard QuarantineをONに切り替えます。
Saveをクリックします。
UAC Protect
DARKSIDEや同類の脅威は、WindowsのUser Access Control機能を悪用するため、FireEye Endpoint SecurityのUAC Protectモジュールをダウンロード、インストール、および有効化することが重要です。これにより、DARKSIDEなどによる攻撃対象を減らし、全体的なセキュリティ態勢を堅牢化することができます。この動画では、UAC Protect for FireEye Endpoint SecurityによるUACバイパス攻撃からの保護について説明しています。
モジュールのダウンロード
FireEye Marketにアクセスします。
UAC Protectをダウンロードします。
インストール
Modules->HX Module Administrationと選択します。
INSTALL MODULESをクリックし、前のステップでダウンロードしたUAC Protectモジュールを選択します。
有効化
Admin -> Policiesと選択します。
目的のpolicy (複数選択可)を選択します。
UAC Protectを選択し、Enable module for hosts を ONに切り替えます。
Saveをクリックします。
Process Guard
クレデンシャル・ダンピングは、DARKSIDEを含む多くの攻撃において、権限昇格のために使用される一般的な手法です。FireEye Endpoint SecurityのProcess Guardモジュールは、一般的なクレデンシャル・ダンピング攻撃からの保護が可能なため、FireEye Endpoint SecurityのProcess Guardモジュールをダウンロード、インストール、および有効化することが重要です。Process Guardを使用してこれらのタイプの攻撃から保護する詳細情報は、こちらのブログ記事と動画でご覧いただけます。
ダウンロード
FireEye Marketにアクセスし、Process Guardをダウンロードします。
インストール
Modules->HX Module Administrationと選択します。
INSTALL MODULESをクリックし、前のステップでダウンロードしたUAC Protectモジュールを選択します。
有効化
Admin -> Policiesと選択します。
目的のpolicy (複数選択可)を選択します。
Process Guardを選択します。
Enable Process Guard on the hostをONにし、Block on DetectionをONにします。
Saveをクリックします。
Real-Time Indicator Detection
FireEye Endpoint Securityは、DARKSIDEやその他の類似した脅威に関連するIOC検知に基づいてアラートを発するように設定することもできます。この機能を有効にするには、以下の手順に従って、Real-Time Indicator Detectionが有効になっていることを確認してください。
Admin -> Policiesと選択します。
目的のpolicy(複数選択可)を選択します。
Real-Time Indicator Detectionを選択し、Real-Time Indicator DetectionをONに切り替えます。
Saveをクリックします。
まとめ
FireEye Mandiantは、2020年8月からDARKSIDEを追跡してきています。Mandiantによる調査の際に最前線でサンプルやテクニックが発見された場合には、お客様に積極的に保護を提供しています。このブログ情報を利用して、DARKSIDEや同様の脅威から保護するようにFireEye製品を設定、有効化していることを確認してください。また、 Mandiant Managed Defense のお客様は、最大限の保護を提供するためのFireEye製品の設定と運用に関するサポートを受けることができます。
FireEyeのソリューションおよびMandiantのサービスは、DARKSIDEやその他の、注意が必要な脅威を包括的にカバーしています。FireEye Endpoint Security、Email Security、Network Security、そしてFireEyeのセキュリティ・オペレーション・コンソールであるHelixが、組織が全体像を把握するためのセキュリティへの段階的なアプローチをどのように提供しているかについては、上記のリンクからご確認ください。
本ブログは、米FireEyeが公開した May 20, 2021 「How FireEye Endpoint Security Protects Against Ransomware (Like DARKSIDE)」(英語)の日本語抄訳版です。
日本語版:Reviewed by Noriko Yokokawa