人間操作型ランサムウェア攻撃でハッカーが使用する正規ツールの悪用を検出する

継続的に変化するサイバー脅威の状況と敵のツールキットの洗練度が増す中で、サイバーセキュリティ専門家間の情報交換は極めて重要です。 

2023年1月25日と26日に、グローバルなサイバー防御コミュニティは第6回 JSAC2023会議 を迎え、セキュリティアナリストがこの分野での専門知識を高めることを目的としています。この年次サイバーセキュリティイベントは、エンジニアを一堂に集め、インシデント分析と対応に焦点を当てた充実した知識共有を促進します。 

会議1日目には、日本のサイバーセキュリティソフトウェア会社であるトレンドマイクロを代表して、山重徹、仲谷義博、田中圭介が、人間が操作するランサムウェアにより悪用される一般IT業務向けの商業的に開発・配布されるツールについて講演しました。このプレゼンテーションでは、トレンドマイクロのチームが実際の使用ケースを取り上げ、悪用された正規ツールの背後にあるものを明らかにし、このツールキットを利用したサイバー攻撃を防ぐためのヒントを共有しました。

正規ツールを悪用した攻撃を検出するためのSigmaルール

人間が操作するランサムウェアの背後にいる敵は、正規ツールを悪用することで防御機構を回避することがよくあります。SOC Primeチームは、リモート管理ソフトウェアやバックアップ/同期ソフトウェアのような正規商業ツールを悪用したサイバー攻撃を事前に検出するために、関連するSigmaルールのセットをキュレートしています。ストリームラインされた検出コンテンツ検索のために、すべてのルールは対応するタグ「abuse_legit_sync_and_rmm_tools」でフィルタされています。これらの検出は、 MITRE ATT&CKフレームワーク v12に合わせて14の敵技術に対応しており、28以上のSIEM、EDR、およびXDRソリューションに適用可能です。

以下の Explore Detections ボタンをクリックして、上記のSigmaルールにアクセスし、そのようなサイバー攻撃に対して完全に備えた状態になります。ATT&CKやCTI参照、軽減策、実行可能なバイナリを含むサイバー脅威コンテキストに飛び込み、常に情報をキャッチアップしてください。

Explore Detections

上記のSigmaルールは、すでに設定されている追加フィルターを会社のニーズに合わせて適用することで、より効果的で誤検知が少なくなります。例えば、TeamViewerを活用している会社に対しては、1つの組織には許容されるが他の組織には関連しないかもしれない特定の例外が必要です。

人間操作ランサムウェアキャンペーンで正規ツールを悪用するサイバー攻撃を分析する 

によると、 チェック・ポイント, ランサムウェア運営者は、その制御と収益性の向上により、大幅に人間操作型のランサムウェアに移行しました。人間が操作するランサムウェアは、攻撃者が環境へのアクセスを得て、選ばれた場所でランサムウェアを展開することにより、影響を大きくします。そのため、人間操作型ランサムウェア攻撃は、より影響力があり、標的化される可能性があります。 

人間操作ランサムウェアの例の1つは、 Ransom Xです。実行後、コンソールを開き、攻撃者に情報を表示し、リモートアクセスツール、セキュリティソフトウェア、データベース、メールサーバーを無効にすることで、攻撃者にターゲットシステムのデータをさらなる妥協の緑信号を与え、感染を広げることができます。 

1月25日、トレンドマイクロのサイバーセキュリティ専門家が、日本で開催された年次JSAC2023会議中の講演で、正規商業ツールを悪用するサイバー攻撃とそのような侵入に対抗する方法についての洞察を共有しました。

2023年3月13日に JPCERT/CCが概観を発表しました のJSAC2023における初日のイベントに基づく講演内容には、トレンドマイクロのレポートからのハイライトが含まれていました。講演者は、Atera、 Remote Utilities, Ngrok、または AnyDeskskなどの正規リモート管理ツールの実際の悪用例を共有しました、そしてRCLONEやMEGA TOOLSに類似した、クラウドベースのファイル共有ユーティリティが人間操作ランサムウェアキャンペーンで悪用されることも可能です。 

トレンドマイクロによれば、このようなツールキットを利用したサイバー攻撃に対する最も効果的な対策は、通信の宛先を制御すること、ならびにアプリケーションのインストールと実行を徹底的に監視して可視化することです。

2021年から2023年にかけて, ランサムウェアは、サイバー脅威の状況における主要なトレンドの1つであり続け、侵入の洗練度が増し、急速に増加するランサムウェア関連者が示しています。そのため、積極的な検出は、組織のサイバーセキュリティ体制を強化するための鍵です。現在および新たに出現するランサムウェア攻撃を特定するために650以上のSigmaルールを入手し、常に先を行く adversaries.に追いつかれないようにしましょう。以下で無料で30以上のルールを取得 またはOn Demandで 全検出スタックを取得してください http://my.socprime.com/pricing.