Intel Security Group

Intel Security Group
ランサムウェアとの闘い
ランサムウェアからの保護
新しい保護レイヤーの提供
Crypto ベースのランサムウェアは、セキュリティ保護をすり抜けるための進化を続けており、新しいバリアントは、セキュリティ ベン
ダーによる検出を回避するようなテストもされています。Cryptolocker やCTB-Locker など、力が弱まっているものもあれば、
Teslacrypt や CryptoWall のように拡大を続けているものもあります。同様の振る舞いをする新しいバリアントは今後も再出現すると
考えら、監視を広げることが必要です。
このドキュメントでは、既知のセキュリティのすり抜けや、安全でないシステムや古くなっているシステムの脆弱性を常に狙っている、高
度で専門的な営利目的のマルウェア ビジネスに対して、別の保護層を提供することを目的としています。さまざまなバリアント内に同
様の動作パターンを見つけることにより、エンドポイント製品である VirusScan Enterprise (VSE) と Host Intrusion Prevention (HIP)
用のプロアクティブ ルールがいくつか用意されています。これらのルールは、このようなすべての脅威における、これまでのバリアン
ト、現在のバリアント、および今後出てくる新型バリアントのインストールやペイロードを効果的に防ぐことを目的としています。
このドキュメント内で、特定のバリアントへの対応として提示されているルールは、特に明示されていない限り、それ以前のバリアント
やその他のバリアントに対する保護には対応していません。そのため、これらのルールは累積的に実装する必要があります。
ペイロードで使用される暗号化技術は、いったん実行されると、必要なプライベート キーについては作成者にしかわからないため、暗
号化されたファイルを復元することはできなくなります。
実践ビデオや以下のセクションで詳しく説明する HIP ルールは、これらの脅威の現在のバリアントや新しいバリアントの侵入を食い止
めるのに非常に有効であることが実証されています。これらのルールの検討、テスト、実装をお勧めします。
以下の推奨事項を実装する前にルールを徹底的にテストして、その整合性を確認し、そのルールによって、社内外で開発された正当
なアプリケーションが悪意あるアプリケーションだと認識されて、 実稼働環境でその実行が阻害されるようなことが発生しないことを確
認する必要があります。
さまざまな Cryptolocker のバリアント、症状、攻撃方法、防止テクニックの詳細については、次のビデオをご参照ください。
1.
Cryptolocker Malware Session (Cryptolocker マルウェア セッション) (こちら) (英語)
2.
Cryptolocker Update (Cryptolocker の更新) (こちら) (英語)
『Cyptolocker Malware Session (Cyptolocker マルウェア セッション)』に対応する Q&A ドキュメントはこちら (英語)からご確認いただけま
す。
VSE アクセス保護
このセクションで紹介するルールは、テスト目的で「レポート専用」モードに設定して、現在の環境下で競合が発生しないことを検査す
ることができます。正当なアプリケーションの動作がブロックされないことが確認されると、すべての関連システムに対するこれらの設
定のブロックまたは適用を設定できます。
紹介するアクセス保護ルールのパスは、オペレーティング システムの言語が英語以外の場合、その言語に対応する場所へ変更する
必要があります。
免責事項:
アクセス保護ルールで「*.*」を使用すると、すべての種類のファイルに対して特定の場所からの実行およびアクセスができなくなりま
す。[追加するプロセス] でプロセス パスを指定する場合、フォルダー名に対してワイルドカードを使用すると、予期しない動作が起きる
場合があります。このルールは可能な限り、範囲を細かく指定して使用するようにしてください。
VirusScan Enterprise でアクセス保護ルールを設定する方法については、次の KB 記事をご参照ください。
KB81095 - ePO 5.x コンソールからユーザー定義のアクセス保護ルールを作成する方法)
KB54812 - VirusScan Enterprise 8.x で除外設定を行う場合にワイルドカードを使用する方法)
Cryptolocker v.I
これらは現在の環境へのこのバリアントのインストール、およびペイロードを防ぐための、VSE に設定できるアクセス保護ルールです。
ルール
番号
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
レジストリのブロック ルール
追加するプロセス
ブロックする値 (HKCU)
1
2
3
1
Windows 7
アクション
*
*\Users\*\AppData\*.exe
防止されるファイル アクション
新規ファイルの作成
実行中のファイル
1
*\Users\*\AppData\Roaming\*.exe
*.tmp.*
1
*
Software/CryptoLocker*
新規ファイルの作成
キーまたは値の作成
Windows XP を使用している場合: *\Documents and Settings\*\Application Data\*.exe
Cryptolocker v.II
VSE アクセス保護ルールは、このバリアントのペイロードに影響を与えることはできません。
Cryptolocker v.III
ルール番号
1
1
アクション
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
Windows 7
*\Users\*\AppData\Roaming\*.exe
*.*.cry
防止されるファイル アクション
1
新規ファイルの作成
Windows XP を使用している場合: *\Documents and Settings\*\Application Data\*.exe
Cryptolocker v.IV
次のアクセス保護ルールを設定すると、インストールと暗号化を防ぐことができます。
ルール番号
1
2
3
1
アクション
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
Windows 7
防止されるファイル アクション
新規ファイルの作成
実行中のファイル
*
*decrypt_instruction*.*
*\Users\*\AppData\Roaming\*.exe
*.*.encrypted
*
*\Users\*\AppData\Roaming\*.exe
1
新規ファイルの作成
ファイルに対する書き込みアクセス
1
Windows XP を使用している場合: *\Documents and Settings\*\Application Data\*.exe
CryptoWall
この感染では、ペイロードによってexplorer.exe へ挿入され、さらにsvchost.exe へ挿入された後に 、続いて暗号化ルーチンが呼び
出されます。このルールは、このルーチンの中断させるために役立ちます。
ルール番号
1
アクション
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
Windows
防止されるファイル アクション
explorer.exe
svchost.exe
実行中のファイル
再起動メカニズムを停止する方法は次のとおりです。
ルール番号
アクション
レジストリのブロック ルール
追加するプロセス
ブロックする値 (HKALL)
2
Windows
防止されるファイル アクション
explorer.exe
Software/Microsoft/Windows/CurrentVersion/Run
キーまたは値への
書き込み
Teslacrypt v.I / v.II
この脅威は、ユーザーのアプリケーション データ ディレクトリへの書き込みを行います。ペイロードによるこのディレクトリへの書き込
みを防止しても、ファイルへの書き込みの試行は無限ループのままとなります。再起動メカニズムが導入されていないため、再起動が
発生すると、この脅威は生き残れません。
このことを行うために次のルールが推奨されます。
ルール番号
1
アクション
ファイル/フォルダーのブロック ルール
追加するプロセス
より範囲を限定する場合
ブロックするファイルまたはフォルダーの名前
Windows 7
防止されるファイル アクション
*
*\Users\*\AppData\Local\temp\* 1
*\Users\*\AppData\Roaming\*.exe 2
新規ファイルの作成
実行中のファイル
1
Windows XP を使用している場合: *\Documents and Settings\*\Local Settings\Temp\*
2
Windows XP を使用している場合: *\Documents and Settings\*\Application Data\*.exe
Teslacrypt v.III
VSE アクセス保護ルールは、このバリアントのペイロードに影響を与えることはできません。
Teslacrypt v.IV
この脅威は、ユーザーのドキュメント ディレクトリへの書き込みを行います。実行可能プログラムがシステムへの書き込みを行ったり、
システム上に何かを作成したりすることを防いで、このマルウェアによるユーザーのファイルの暗号化を防止できます。
このことを行うために次のルールが推奨されます。
ルール番号
1
3
アクション
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
Windows 7
*\Users\*\Documents\*.exe
*
防止されるファイル アクション
1
ファイルに対する書き込みアクセス
新規ファイルの作成
Windows XP を使用している場合: *\Documents and Settings\*\My Documents\*.exe
Locky v.I
このマルウェアは、HKCU にレジストリ キーを作成しようとします。ペイロードによるキーの作成を防止すると、このマルウェアは
cmd.exe /C del /Q /F <payload> を実行します。再起動メカニズムが導入されていないため、再起動が発生すると、この脅威は生き
残れません。このことを行うために次のルールが推奨されます。
ルール番号
1
アクション
レジストリのブロック ルール
追加するプロセス
ブロックするキー
Windows
防止されるファイル アクション
*
[HKCU] /Software/Locky
キーまたは値の作成
Locky v.II
このマルウェアではキーがランダムに生成されるため、VSE アクセス保護ルールがこのバリアントのペイロードに直接影響を与えるこ
とはできませんが、若干攻撃的な汎用ルールの 4 番を利用することにより、JS/Nemucod Downloader からの保護に役立てること
ができます。
NanoLocker
このマルウェアは、%USERPROFILE%\AppData\Local 内の lansrv.ini という名前のテキスト ファイルに、暗号化した全ドキュメントの完
全パスを格納しようとします。このファイルの作成に失敗すると、ファイルへの暗号化も置換も行われないまま実行が停止します。
このことを行うために次のルールが推奨されます。
ルール番号
1
1
アクション
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
Windows 7
防止されるファイル アクション
*
*\Users\*\AppData\Local\lansrv.ini
新規ファイルの作成
1
Windows XP を使用している場合: *\Documents and Settings\*\Local Settings\Application Data\lansrv.ini
Petya
VSE アクセス保護ルールは、このバリアントのペイロードに影響を与えることはできません。
若干攻撃的な汎用アクセス保護ルール
以下のルールは、一部の追加バリアントの防止に使用できます。実稼働環境への展開前に、除外ルールが適切に組み込まれるよう
に十分なテストを行ってください。これらのルールはこれらの脅威のブロックには非常に効果的ですが、設定が不適切な場合、正当な
アプリケーションの動作までブロックして、業務に影響する場合があります。
ルール番号
1
2
3
4
アクション
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
Windows 7
*
*\Users\*\AppData\*\*.exe
*
*\Users\*\AppData\*\*.scr
防止されるファイル アクション
1
実行中のファイル
2
iexplore.exe
*\Users\*\AppData\Local\Temp\*.tmp
?SCRIPT.EXE
*\Users\*\AppData\Local\temp\*.exe
1
Windows XP を使用している場合: *\Documents and Settings\*\Application Data\*\*.exe
2
Windows XP を使用している場合: *\Documents and Settings\*\Application Data\*\*.scr
3
Windows XP を使用している場合: *\Documents and Settings\*\Local Settings\Temp\*.tmp
4
Windows XP を使用している場合: *\Documents and Settings\*\Local Settings\Temp\*.exe
新規ファイルの作成
実行中のファイル
新規ファイルの作成
3
新規ファイルの作成
4
これらの脅威によって影響を受けているシステムの追跡に役立つルール
これらの脅威により影響を受けているシステムの特定に役立つルールもあります。これらのルールは、情報提供または追跡を目的と
しているため、感染または暗号化を防止しません。
ルール番号
1
2
3
アクション
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
ファイル/フォルダーのブロック ルール
追加するプロセス
ブロックするファイルまたはフォルダーの名前
ファイル/フォルダーのブロック ルール
追加するプロセス
Windows
*
*HELP_DECRYPT.HTML
*HELP_DECRYPT.TXT
*
*Howto_RESTORE_FILES.BMP
*Howto_RESTORE_FILES.HTML
*
防止されるファイル アクション
新規ファイルの作成
新規ファイルの作成
新規ファイルの作成
ブロックするファイルまたはフォルダーの名前
*HELP_YOUR_FILES.HTML
*HELP_YOUR_FILES.TXT
*HELP_YOUR_FILES.PNG
Host Intrusion Prevention の署名
信頼されたアプリケーションまたは除外リストにより、現在の環境下で誤検知が発生しないように適切な計画および設定を確実に
行ってください。以下に記載されているルールの HIP での設定方法に関する説明ビデオを用意しています。このビデオをご覧いただ
き、HIP ルールとともに次のリンクにある最新の TXT ファイルを使用することをお勧めします。
これらの HIP ルールは、ネットワーク全体に適用する前に、業務に影響しない本稼働の代行サブセットに対してテストを行ってくださ
い。
ビデオは https://community.mcafee.com/videos/1859 からご覧いただけます。
現在の全 Cryptolocker バージョンと CryptoWall をカバーするために更新された HIP ルールのテキスト ファイルはコミュニティ
(https://community.mcafee.com/docs/DOC-6553) からダウンロードできます。
署名 3894 の有効化、アクセス保護 - svchost による非 Windows 実行可能ファイルの実行を防ぎます。
***注意: この署名は、デフォルトでは無効になっているため、有効にする必要があります。
CryptoWall
HIP 署名の 6010 と 6011 はインジェクションを即時ブロックします。有効になっていることを確認してください。
ターゲット拡張子:
3DM、3DS、3G2、3GP、7Z、AB4、ACCDB、ACCDE、ACCDR、ACCDT、ACH、ACR、ACT、ADB、ADS、AI、AIT、AL、APJ、ARW、
ASF、ASM、ASP、ASX、AVI、BACK、BACKUP、BAK、BANK、BAY、BDB、BGT、BIK、BKF、BKP、BLEND、BPW、C、CDB、CDF、
CDR、CDX、CE1、CE2、CER、CFP、CGM、CLASS、CLS、CMT、CNV、CPI、CPP、CR2、CRAW、CRT、CRW、CS、CSH、CSL、
CSV、DAC、DB、DB3、DBF、DBR、DBS、DC2、DCR、DCS、DCX、DDD、DDOC、DDS、DER、DES、DESIGN、DGC、DJVU、DNG、
DOC、DOCM、DOCX、DOT、DOTM、DOTX、DRF、DRW、DTD、DWG、DXB、DXF、DXG、EBD、EDB、EML、EPS、ERF、EXF、
FDB、FFD、FFF、FH、FHD、FLA、FLAC、FLV、FM、FP7、FPX、FXG、GDB、GRAY、GREY、GRW、GRY、H、HBK、HPP、IBD、IDX、
IIF、INDD、JAVA、JPE、JPEG、JPG、KDBX、KDC、KEY、LACCDB、LUA、M、M4V、MAF、MAM、MAQ、MAR、MAW、MAX、
MDB、MDC、MDE、MDF、MDT、MEF、MFW、MMW、MOS、MOV、MP3、MP4、MPG、MPP、MRW、MSO、MYD、NDD、NEF、
NK2、NRW、NS2、NS3、NS4、NSD、NSF、NSG、NSH、NWB、NX1、NX2、NYF、OBJ、ODB、ODC、ODF、ODG、ODM、ODP、
ODS、ODT、OIL、ONE、ORF、OTG、OTH、OTP、OTS、OTT、P12、P7B、P7C、PAGES、PAS、PAT、PBO、PCD、PCT、PDB、
PDD、PDF、PEF、PEM、PFX、PHP、PIP、PL、PLC、POT、POTM、POTX、PPAM、PPS、PPSM、PPSX、PPT、PPTM、PPTX、
PRF、PS、PSAFE3、PSD、PSPIMAGE、PTX、PUB、PUZ、PY、QBA、QBB、QBM、QBW、QBX、R3D、RAF、RAR、RAT、RAW、
RDB、RM、RTF、RWZ、SAS7BDAT、SAY、SD0、SDA、SDF、SNP、SQL、SR2、SRF、SRT、SRW、ST4、ST5、ST6、ST7、ST8、
STC、STD、STI、STW、STX、SVG、SWF、SXC、SXD、SXG、SXI、SXM、SXW、TEX、TGA、THM、TLG、TXT、VOB、VSD、VSX、
VTX、WAV、WB2、WBK、WDB、WLL、WMV、WPD、WPS、X11、X3F、XLA、XLAM、XLB、XLC、XLK、XLL、XLM、XLR、XLS、
XLSB、XLSM、XLSX、XLT、XLTM、XLTX、XLW、XPP、XSN、YUV、ZIP
Cryptolocker v.I、v.II、v.IV、Teslacrypt、Locky
これらのマルウェアは、独自のプロセスで暗号化を実行します。
これらのバリアントから保護するには、信頼されていないプロセスが保護対象の拡張子リストに対して書き込み、名前変更、削除の
実行を防止するルールの設定が必要になります。https://community.mcafee.com/docs/DOC-6553 からダウンロードできるルー
ルをテンプレートとして使用し、アクションとファイル タイプを更新してください。
Cryptolocker ターゲット拡張子:
3DS、7Z、AB4、AC2、ACCDB、ACCDE、ACCDR、ACCDT、ACR、ADB、AI、AIT、al、APJ、ARW、ASM、ASP、BACKUP、BAK、
BDB、BGT、BIK、BKP、BLEND、BPW、C、CDF、CDR、CDX、CE1、CE2、CER、CFP、CGM、CLS、CMT、CPI、CPP、CR2、CRAW、
CRT、CRW、CSH、CSL、CSS、CSV、DAC、DB、DB3、DBF、DC2、DCR、DCS、DDD、DDOC、DER、DESIGN、DGC、DJVU、
DNAXML、DNG、DOC、DOCM、DOCX、DOT、DOTM、DOTX、DRF、DRW、DWG、DXB、ERF、EXF、FDB、FFD、FFF、FH、FHD、
FPX、FXG、GRAY、GREY、GRY、H、HBK、HPP、IBD、IDX、JPEG、JPG、JS、KDBX、KDC、LUA、MDB、MDC、MEF、MFW、
MMW、MOS、MPG、MRW、MYD、NDD、NEF、NRW、NS2、NS3、NS4、NSD、NSF、NSG、NSH、NWB、NX1、NX2、NYF、ODB、
ODF、ODG、ODM、ODP、ODS、ODT、ORF、OTG、OTH、OTP、OTS、OTT、P12、P7B、P7C、PAT、PCD、PDF、PEF、PEM、
PFX、PHP、PL、POT、POTM、POTX、PPAM、PPS、PPSM、PPSX、PPT、PPTM、PPTX、PS、PSAFE3、PSD、PTX、PY、RAF、
RAR、RAW、RDB、RTF、RWZ、SAS7BDAT、SAV、SD0、SD1、SDA、SDF、SQL、SR2、SRF、SRW、ST4、ST5、ST6、ST7、ST8、
STC、STD、STI、STW、STX、SXC、SXD、SXG、SXI、SXM、SXW、TXT、WB2、X3F、XLA、XLAM、XLL、XLM、XLS、XLSB、
XLSM、XLSX、XLT、XLTM、XLTX、XLW、XML、ZIP
Teslacrypt ターゲット拡張子:
7Z、ACCDB、AI、APK、ARCH00、ARW、AVI、BAR、BAY、BIG、BIK、BKF、BKP、BLOB、BSA、CAS、CDR、CER、CFR、CR2、CRT、
CRW、CSS、CSV、DAS、DB0、DBA、DBF、DCR、DER、DESC、DMP、DNG、DOC、DOCM、DOCX、DWG、DXG、EPS、ERF、
ESM、FF、FLV、FORGE、FOS、FPK、FSH、GDB、GHO、INDD、ITL、ITM、IWD、IWI、JPE、JPEG、JPG、JS、KDB、KDC、
LAYOUT、LRF、LTX、LVL、M2、M3U、M4A、MAP、MDB、MDBACKUP、MDF、MEF、MENU、MOV、MP4、NCF、NRW、ODB、
ODC、ODM、ODP、ODS、ODT、ORF、P12、P7B、P7C、PAK、PDD、PDF、PEF、PEM、PFX、PNG、PPT、PPTM、PPTX、PSD、
PSK、PST、PTX、PY、QDF、QIC、R3D、RAF、RAR、RAW、RB、RTF、SAV、SB、SID、SIS、SLM、SNX、SQL、SR2、SRF、SRW、
SUM、SVG、TAX、TOR、TXT、UPK、VCF、VDF、VPK、VTF、W3X、WB2、WMA、WMO、WMV、WPD、WPS、X3F、XLK、XLS、
XLSB、XLSM、XLSX、XXX、ZIP、ZTMP
このルールはユーザー インターフェース上では次のように表示されます。
***注意: コミュニティでビデオが作成されてから、Cryptolocker v.IV と CryptoWall が含まれるようにファイル ディレクティブ
rename/delete が追加されました。これは、最新の HIP ルール TXT ファイルには反映されています。
Cryptolocker v.III
このバリアントと闘うには、信頼されてないプロセスが信頼されたプロセスを呼び出さないようにするルールを設定する必要がありま
す。
このルールは次のように表示されます。
HIP の設定方法については、次の KB 記事をご参照ください。

Host Intrusion Prevention のカスタム署名を使ってアプリケーションをブラックリストに追加する方法: KB71329


バイナリの実行を防ぐアプリケーション ブロック ルール ポリシーを作成する方法: KB71794
特定の実行可能ファイルによってその他の実行可能ファイルがフックされることを防止するアプリケーション ブック ルール ポリ
シーの作成方法: KB71794

特定の IP アドレスからの攻撃を McAfee NitroSecurity IPS でブロックする方法: KB74650
拡散の防止
これらの脅威は、一般的に、ファイルが添付されたスパム メールから社内環境に広がります。一見、このメールは正当な送信元から
送られてきているように見え、添付ファイルをクリックするように指示されます。次の設定により、別の保護層を実装することができま
す。
二重拡張子の添付ファイルをブロック
VirusScan の配信時電子メールのヒューリスティック セクションで、[複数の拡張子を持つ添付ファイルを検索] を設定できます。
HIP の署名 413「不審な 2 重拡張子を持つファイルの実行」は、二重の拡張子が付いた添付ファイルの実行を防止できます。デフォ
ルトでは、この署名は重大度レベル高で有効になっています。
ファイルのフィルタリング
McAfee Email Gateway や McAfee Security for Microsoft Exchange などの McAfee ゲートウェイ製品は、ファイルの名前または
ファイルの形式別にファイルのフィルタリング ポリシーを実装でき、.SCR、.EXE、.CAB の各ファイルがユーザーのデスクトップにアクセ
スするのをブロックできます。これらのポリシーを実装することにより、この拡散方法を利用する新しいバリアントを減らすことができま
す。
© 2016 Intel, Inc. All rights reserved.