見逃さないで!ランサムウェアのIOCと感染経路を徹底解説

当ページはアフィリエイト広告を利用しています

記事内に広告が含まれています。
見逃さないで!ランサムウェアのIOCと感染経路を徹底解説
提供:photoAC「chiakimru様」

ランサムウェア攻撃は一気に発生するわけではなく、段階的に防御を突破します。攻撃は静かに始まり、目に見えない警告サインを伴って進行し、暗号化が始まる頃には手遅れとなります。

ランサムウェアの感染経路

ランサムウェアの感染経路には、フィッシングメール、ドライブバイダウンロード、ソフトウェアの脆弱性、リモートデスクトッププロトコル(RDP)の悪用、マルバタイジング、USBドライブなどがあります。

ランサムウェア攻撃の三つのステージとその検出方法

1. 暗号化前の準備

攻撃者は暗号化が始まる前に以下のステップを踏みます。

  • シャドウコピーとバックアップの削除
  • 信頼されたプロセス(explorer.exeやsvchost.exeなど)にマルウェアを注入
  • ランサムウェアの動作を保証するためのミューテックス作成

ミューテックス(Mutex、Mutual Exclusionの略)は、複数のプロセスやスレッドが同じリソースに同時にアクセスしないように制御するための同期オブジェクトです。ランサムウェアにおいては、ミューテックスは特定の目的で使用されます。

ミューテックスの役割

  1. 複数のインスタンスの防止
    • ミューテックスを使用することで、同じランサムウェアが同時に複数のインスタンスを実行するのを防ぎます。これにより、システムリソースの無駄な消費を抑えることができます。
  2. リソースのロック
    • ミューテックスを使用して、特定のリソースへのアクセスを制御します。例えば、ファイルの暗号化中に他のプロセスが同じファイルにアクセスするのを防ぐことができます。
  3. 自己終了のトリガー
    • 一部のセキュリティソフトウェアは、既知のランサムウェアのミューテックスを事前に作成することで、ランサムウェアが既に実行されていると誤認させ、自己終了をトリガーさせることがあります。

これらの初期段階の活動(インディケーター・オブ・コンプロマイズ、IOC「脅威の兆候」や「妥協の指標」)は、検出できれば攻撃を阻止するチャンスがあります。

2. 暗号化:システムのロックアウト

攻撃者が制御を得たら、暗号化プロセスを開始します。一部のランサムウェアは迅速にシステムをロックしますが、他のものは目立たずに暗号化を完了させます。暗号化が発見された時点では、ほとんどの場合手遅れです。

3. 暗号化後:身代金の要求

ファイルが暗号化されると、攻撃者は身代金要求を行います。多くの場合、デスクトップにメモを残すか、暗号化されたフォルダ内に埋め込まれます。この段階では、組織は身代金を払うか、回復を試みるかの選択を迫られます。

IOC『脅威の兆候』

IOCを検出することで、攻撃の展開を防ぐことができます。以下に重要なIOCを挙げます:

  1. シャドウコピーの削除
    • 攻撃者はWindowsボリュームシャドウコピーを消去して、ファイルの復元を防ぎます。
    • 例: vssadmin.exe delete shadows
  2. ミューテックスの作成
    • ミューテックスは、ランサムウェアの複数のインスタンスが同時に実行されるのを防ぎます。
    • 一部のセキュリティツールは、既知のランサムウェア株に関連するミューテックスを事前に作成して、自己終了させることがあります。
  3. プロセス注入
    • ランサムウェアは、正当なシステムプロセスに悪意のあるコードを注入して、検出を回避します。
    • 例: DLL注入、反射的DLLローディング、APC注入
  4. サービス終了
    • ランサムウェアは、暗号化が中断されないように、セキュリティサービスを終了させます。
    • 例: taskkill /F /IM MsMpEng.exe(Windows Defenderの終了)

これらの兆候が確認された場合、迅速に対応することで、被害を最小限に抑えることが可能です。適切なセキュリティツールと監視体制を整えることで、これらのIOCを検出し、迅速な対応を行うことが重要です。

継続的なランサムウェア検証の重要性

IOCは検出が難しいため、セキュリティチームは継続的なランサムウェア検証を通じて防御システムを確認する必要があります。Penteraのようなツールを使用して、ランサムウェア攻撃パスをエミュレートし、セキュリティコントロールが適切に反応するかを検証します。

年次テストでは不十分

防御を年に一度テストするだけでは、残りの364日間は脆弱です。ランサムウェアは絶えず進化しており、IOCも変化しています。したがって、継続的なランサムウェア検証が必要です。自動化されたプロセスを使用することで、最新の脅威に対して防御を常にテストできます。

強力なランサムウェア防御

適切な検出と対応システムは、防御の第一線です。しかし、定期的な検証がなければ、最高のXDRでもランサムウェアに対処しきれない場合がありますので、継続的なセキュリティ検証が重要です。検出能力を強化し、組織のセキュリティや潜在的な脅威に対処する専門家のグループである『SOCチーム』のスキルを向上が今後も一層求められます。

出典

The Hacker News『Becoming Ransomware Ready: Why Continuous Validation Is Your Best Defense