脅威のスポットライト:プロが教えるSamSamランサムウェア感染防止のヒント

By Scott Scheferman

本ブログ記事は、2018年11月8日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

「SamSamランサムウェアは今なお全米の組織で猛威を振るっている。新たに67の標的が新しい攻撃の対象となっており、そこには間近に迫った中間選挙の管理に関係する組織が少なくとも1つ含まれる…」これはZDnetの記事の見出しですが、SamSamランサムウェアが現在も大きな脅威であることを裏付けています。

サイランスは2016年に、SamSamによる複数の攻撃が注目を集めた後、SamSamランサムウェアファミリー(SamsaおよびSamas)の検証を行いました 。このランサムウェアを利用している攻撃者は主に医療業界を標的にしていますが、それ以外に焦点を当てているキャンペーンも多数存在します。

プロが教えるSamSamの防御のヒント

以下に、SamSamの被害者にならないために講じることのできる対策をいくつか示します。すべての組織には固有のセキュリティアーキテクチャがあり、固有のセキュリティの課題に直面しているため、1つですべてのランサムウェアを阻止できる解決策はないことを覚えておいてください。ただし、これらのヒントは戦略を立てるときに役立つ可能性があります。

パッチの適用とスキャン

インターネットに接続しているすべてのアプリケーションとサービスの、いずれの脆弱性に対するパッチも、常に適用されているよう徹底します。特に、これまでの経緯からSamSamの足掛かりとして最もよく使われるRDP、JBOSS、Java Server Faces(JSF)、Seamフレームワーク、RMI over HTTP、Jenkins CLI RCE、リモートJMXには注意してください。Shodanなどのサービスを利用して予防的なスキャンを実行し、組織のインターネットに接続している脆弱なサービスを検知します。

多要素認証

インターネットに接続しているすべてのアプリケーションで必ず2要素認証(2FA)を使用するようにします。これは、攻撃者がDeep Dark Web(DDW)上で資格情報を簡単に購入できないようにするとともに、SamSamの攻撃者がよく用いる手法であるブルートフォースを阻止するのに役立ちます。

検知/対処以上の防御

今日の予測AI技術を利用して、マルウェアのペイロードを予測し、実行を防止します。攻撃者はいずれは必ず脆弱なサービスを見つけ出すことになりますが、最新のAIの速度を超えることはできません。最新のAIでは、現実の世界で発見されるよりも平均25ヶ月前にマルウェアを検知して阻止することができるのですから

攻撃者が足掛かりを得るために、現在判明しているいかなる脆弱性を悪用しようとしても、SamSamの攻撃者の中心的なペイロードを実行することはできず、デバイスが暗号化されることもありません。

適切な注意

サードパーティのDDWスキャンサービスを利用して、組織に関連する侵害された資格情報、売買されているシェルアカウント、RDPアカウントなどがないかどうかを予防的に調査します。

ファイルレス攻撃への備え

SamSamや他の攻撃者が用いるファイルレス攻撃(「環境寄生型」攻撃)に対して、AIを活用した検知を利用します。 今日のAIベースのソリューションは、人間のアナリストであれば発見してから悪意があるものと認識するまでに数時間はかかるであろうワンライナー攻撃の変化を発見できます。

AIは、組織がこのような戦術の検知を自動化するのに役立つだけでなく、以降の子プロセスの実行もすべてリアルタイムに阻止できます。データをクラウドに送信して、「問題発覚後」に相関付け、拡張、分析を行う必要はありません。

言い換えれば、AIは機械の速度で自立的にキルチェーンを遮断することにより進行中の攻撃を未然に阻止して、しかもそれをエッジのローカルインテリジェンスで実行することができます。

インシデント封じ込めリテーナーの配置

必ず、インシデント封じ込め(IC)またはインシデント対応(IR)リテーナーを配置し、インシデント処理を支援するサードパーティのリソースを必要時に迅速に確保できるようにしてください。

組織がSamSamのような壊滅的な攻撃に襲われた場合、個人のマシンや小規模な部門が襲われた場合とは状況が異なります。上流および下流の顧客やサプライヤーから株主、法務担当、およびその間に存在する他の関係者すべてに至るまで、組織全体に影響が及びます。

ビジネスによっては、SamSamのイベントに適切に対処できるかどうかが、ビジネスの存続と廃止の分かれ目になる可能性があります。ICリテーナーを配置しておけば、ICベンダーとの面倒な法的手続がなくなると同時に、サービスレベル契約(SLA)で定められた応答時間も確実に実現されます。

バックアップの限界

「ランサムウェアに対抗する最適な方法は、ランサムウェアに襲われても直ちにシステムを復旧できるオンラインバックアップを用意しておくことである」  と専門家から聞いたことが何度もあるでしょう。ですが、攻撃者が40種類を超えるバックアップファイルを削除してからファイルを暗号化するSamSamのような脅威に対処する場合には注意が必要です。

バックアップを用意する場合には、ミッションクリティカルなバックアップは必ずオフラインとオフサイトの両方に保管しておくようにしてください。このような脅威による被害に備えるには、Windowsボリュームシャドウコピーサービス(VSS) を利用するか、エンドユーザーに重要なファイルをマップされた共有ドライブなどにバックアップしておいてもらうようにします。また、現状に即して、または机上訓練(TTX)の一環として、バックアップの復元テストを実施してください。

オンラインバックアップソリューションを導入したものの、実際に復元する段階になってみると、LAN上での数テラバイトの復元がソリューションの宣伝文句のようにはうまくいかないことがすぐにわかってしまうことがよくあります。このようなインシデントからの復旧が必要になったときに、どれだけ迅速に行えるかを理解しておくことが重要です。

皮肉なことに、バックアップを主要なリスク低減手段としている場合、それらのバックアップファイルが削除されてしまうと被害者の組織は容易に孤立してパニックに陥ってしまうことになります。これは、SamSamの攻撃者が数万ドルもの身代金を要求するときの状況とまったく同じです。

エンドユーザーのトレーニングについて

「やたらとクリックしない」ようエンドユーザーをトレーニングすることが非常に重視されていますが、次の2つのことを覚えておいてください。 

  • 十分なトレーニングを受けたエンドユーザーであっても、悪意のあるコンテンツをクリックしたり、悪意のあるWebサイトにアクセスしたり、間違いを犯したりすることがあります。日常の業務を終わらせるために長時間、熱心に、しかも急いで仕事をしていると、人間にはこのようなことが起きます。
  • SamSamなどの脅威から確実にわかることは、どれだけエンドユーザーのトレーニングを実施し、意識の向上を図っても、同じようなTTPを使用する侵害を防止することはできない ということです。したがって、エンドユーザーを非難するのではなく、パッチが適用されていない、2FAが有効になっていない、SamSamで使われたようなマルウェアのペイロードに対して十分な効果がある防御機能を導入していないなど、テクノロジースタックを非難する方向へと変わっていく必要があります。

マルウェアと攻撃者の進化

インターネットに接続しているサービスで新たな脆弱性が明らかになったら、SamSamのTTP(戦略、技術、手法)もそうした脆弱性に適応したものに変更しなければなりません。PyRoMineや他の暗号通貨マイナーが、NSAから流出したEternalRomanceのような脆弱性を悪用したのと同様に、SamSamの攻撃者は、まだパッチが適用されていない組織に広範にわたる脆弱性がないかどうかを探します。

例えば、SamSamの攻撃者がブルートフォースや資格情報の窃取といったより一般的な手法を用いずに、パッチが未適用のRedisサーバーを標的にしたり、EternalRomanceを利用してリモートコード実行(RCE)によりRDPを標的にしたりしても、何ら不思議はありません。

その主な理由は、SamSamの攻撃者が多くの侵入活動を手動で実行しているからです。これは標的を定め、足掛かりを得て、検知されずに存続できるようにするためだけでなく、暗号化活動を開始する前に水平に移動し、拡散して、できる限り多くの足掛かりを得ておくためです。

言い換えれば、これらは自動化されたばらまき型の日和見的なマルウェアスパマーではなく、脆弱な組織を狙った適応性のある 人間 の攻撃者なのです。彼らは適応力があり、利用身代金という概念を十分に理解したうえで悪用しています。つまり、暗号化できる資産が多いほど、組織がパニックに陥って態度を一変して、身代金を支払う確率が高くなります。

SamSamの攻撃者は暗号化ルーチンを開始する前に数ヶ月待機することがわかっています。彼らはその間に、ネットワークセグメントをまたいでエンタープライズネットワークまたは運用/OTネットワークのより広範囲にわたって影響を及ぼそうと、活発に活動します。最近の暗号化ルーチンは、日中に検知されるのを避けようとしているのか、被害者のローカルタイムゾーンで夜中になってから起動されています。

過去に支払いに応じた組織を再び標的にする動きも見られます。攻撃者が複数のバージョンのSamSamマルウェアを試した末に、ホストの防御をかいくぐって、合計6個の固有のバイナリのすべてを、侵害された同じRDPセッションの実行中にダウンロードした事例も確認されています。攻撃者は、1つのペイロードをホストの防御を回避するようパックするまで、1つのペイロードが失敗したら別のペイロードを試し、さらに別のペイロードというように試していました。

彼らは、組織の内部に侵入するための試行とテストを重ねたTTPを用いる持続的な攻撃者です。さらに、被害者との交渉にも長けており、「身代金の額を完璧に設定する」傾向があります。多くを要求しすぎないようにしながら最高の金額を組織から巻き上げる術を心得ているのです。

まとめ

SamSamは2019年を迎えようとしている今も進化を続けています。脆弱な組織を標的にして、バックアップを破壊し、人命や安全さえも盾にして被害者から金を奪うという中核的な戦略に従って、1 つの攻撃者のグループが数百万ドルを手に入れています。

SamSamは現在のところ最も一貫した効果を得られる、人間の手による標的型犯罪キャンペーンです。攻撃者らは、自分たちがそうした活動をしていることを特定されないようにするためにあらゆる予防策を講じて、長期戦を繰り広げようとします。

救いがあるとすれば、このような攻撃は、適切なベストプラクティス(すなわち2FA)、パッチの適用、そしてAI対応のエンドポイント防御によって完全に阻止できることです。

Tags: