検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

脅威に関するダイジェスト: Shamoon 2攻撃の第2波、新たな戦術の可能性が明らかに

Christopher Budd Unit 42 1 16, 2017 at 01:00 午後

つい最近、Palo Alto NetworksのUnit 42脅威インテリジェンス チームが調査結果を新たに公表しました。これはShamoon 2攻撃のこれまで知られていなかった第2波を明らかにした次の記事です。Shamoon 2攻撃の第2波が確認される

私たちの分析では、この攻撃は2016年11月29日に発生するようになっていましたが、この日は私たちが以前記事にした最初のShamoon 2攻撃の12日後に当たります。

最初のShamoon 2攻撃と同様、この第2波はDisttrackワイパー マルウェアを利用しています。Disttrackはシステムを破壊するよう最適化されており、その破壊手段は、システムのハード ドライブを標的にし、侵入したネットワークを介して可能な限り拡散することです。そして今回も、Disttrackマルウェアはコマンド アンド コントロール(C2)サーバを一切使わずに動作するよう設定されていました。つまり、実質上、データ破壊に関する一方向ミッション用に最適化されていました。

しかし、このShamoon 2攻撃の第2波から、新たな戦術を秘めた兆候が見て取れます。Unit 42による分析により、最新のサンプルに、仮想デスクトップ インフラストラクチャ(VDI)ソリューション用の資格情報が含まれていることが分かっています。VDIソリューションは、華為(ファーウェイ)のFusionCloudがその一例ですが、Disttrackのような破壊的なマルウェアからの防御を可能とするものであり、防御方法として、ワイプされたシステムのスナップショットをロードしてワイパー攻撃から復旧する機能を使います。サンプル内のこれらの資格情報の存在から、攻撃者が、システムをワイプするだけでなく、VDIの導入ならびに任意のスナップショットに対して破壊的な活動も行うことで影響をさらに大きなものにしようとしたことが伺えます。

正規の資格情報を使用してVDIソリューションを標的にすることが考えられるため、今回取り上げた攻撃だけでなく将来の新たな攻撃でも、権限昇格が戦術に取り入れられることが伺えます。セキュリティ チームおよび管理者は、こうした展開を認識のうえ評価するための措置をただちに講じ、VDI導入に関連する資格情報を保護するため、予防策の新たな追加を検討する必要があります。

技術的な詳細情報については、すべて完全版のレポートに記載されています。詳細情報には関連するセキュリティ侵害の痕跡(IOC)も含まれており、このIOCはさらに詳細な分析と保護を実施するのにご利用できます。

Palo Alto Networksのお客様は、次の方法で、この攻撃で使用されるDisttrackペイロードから保護されます。

  • WildFireがDisttrackサンプルを悪意のあるものとして適切に分類します。
  • Virus/Win32.WGeneric.ktotoの脅威プロテクションAVシグネチャが新しいペイロードを検出します。

AutoFocusのお客様は、Disttrackタグを使用してDisttrackの活動を監視できます。

 


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.