Post on 04-Jul-2020
脅威レポートMcAfee Labs
2017年9月
WannaCryの脅威を防ぐ
スクリプト ベースのマルウェアの急増
脅威ハンティングのプロになる
WannaCryはわずか24時間で30万台を超えるコンピューターに感染し、 被害は150か国以上に広がりました。
マルウェアの作成者は、不正なコードを配布するために、JavaScript、VBScript、PHP、PowerShellなどのスクリプトを使用しています。
脅威ハンティングは、アラートを待たずに攻撃や感染したマシンを見つけ出す プロアクティブなアプローチです。脅威ハンティングは、ネットワーク内に
1つ以上の感染システムが常に存在し、セキュリティ対策を回避しようとする 攻撃が発生していることを前提としています。
痕跡
McAfee Labsに送付されたPowerShellマルウェアのサンプル
McAfee Labsに送付されたNemucodマルウェアのサンプル
感染の最初の段階
効果的な脅威ハンティングの例McAfee Foundstone サービス セキュリティ コンサルティング チーム
McAfee Labsに送付された Hypertext-application/VBSマルウェア
統計情報
マルウェア第2四半期、新しいマルウェアのサンプルは5,200万件に増加しました(67%増)。マルウェア サンプルの合計数は前年よりも23%増加し、7億2千300万件になりました。
Mac OSを狙う マルウェアアドウェアの大量発生は収束し、Mac OSのマルウェアはいつもの水準に戻りました。第2四半期の増加は27,000件にすぎません。Windowsの脅威に比べると数は少なく、第2四半期のMac OSマルウェアの合計数は4%しか増加していません。
マクロ ウイルス第2四半期、新しいマクロ ウイルスは35%増加しました。新しいサンプルは91,000件増加し、合計数は110万件になりました。
ランサムウェア第2四半期、新しいランサムウェアのサンプルは54%増加しました。ランサムウェアのサンプルの合計は前年よりも47%増加し、1,070万件に達しています。
インシデント第2四半期に公開されたセキュリティ インシデントは311件で、第1四半期よりも3%増加しています。医療機関、公共機関、教育機関で全体の50%を占めています。第2四半期に公開されたセキュリティ インシデントの78%はアメリカ大陸で発生しています。
モバイル マルウェア世界のモバイル マルウェアの感染数は8%増加しています(アジアでは18%増加)。モバイル マルウェアの合計は前年よりも61%増加し、1,840万件になっています。
47%
3%
61% 35%
23% 4%
McAfee Global Threat IntelligenceMcAfee GTIが1日に受信したクエリーは平均で440億件です。
4,200万精度の向上により、McAfee GTIで阻止した不正なURLは1日あたり4,200万件で、前の四半期(9,500万件)よりも減少しています。
7,700万McAfee GTIで阻止した不審なプログラム(PUP)は1日あたり7,700万件で、前の四半期(5,600万件)よりも増加しています。
3,600万McAfee GTIで阻止した不正なファイル数は1日あたり3,600万件で、前の四半期(3,400万件)よりも増加しています。前のマルウェアの検出でローカル情報が向上しました。
5,700万早期検出により、McAfee GTIで阻止した危険なIPアドレスは1日あたり5,700万件で、前の四半期(6,100万件)よりも減少しています。
McAfee Labs脅威レポート: 2017年9月レポートの完全版は、www.mcafee.com/September2017ThreatsReportをご覧ください。
© 2017 McAfee, Inc.3580_0917_info-threats-report-wannacry
>300,000WannaCryが感染した コンピューターは
30万台以上
例1
指令に対する ハンティング仮説: ネットワーク上の感染システムが、 未検出のC&Cトラフィックを生成している方法: DNSとユーザー エージェントの両方でLFU分析を行う
例3
特権昇格の ハンティング仮説: システムに侵入した攻撃者が、ユーザーを特権グループに追加し、特権昇格を試みている方法: エンタープライズ ドメイン コントローラー(ドメイン以外では個々のコンピューター)でイベントID 4728、4732、4756の発生を確認する
例5
外部へのデータ送信に対するハンティング仮説: 攻撃者が、ビジネスに関係のない地理的場所にネットワーク内部から大量のデータを送信しようとしている方法: ネットワークの正常な状態をプロファイリングする。長時間継続している接続、海外への接続、大量のデータを送信する接続を監視する。
第3四半期
第3四半期
第3四半期
2015年
2015年
2015年
2016年
2016年
2016年
2017年
2017年
2017年
第4四半期
第4四半期
第4四半期
第1四半期
第1四半期
第1四半期
第2四半期
第2四半期
第2四半期
第3四半期
第3四半期
第3四半期
第4四半期
第4四半期
第4四半期
第1四半期
第1四半期
第1四半期
第2四半期
第2四半期
第2四半期
例2
持続性のハンティング仮説: 1つ以上のシステムが、自動的に起動するマルウェアの亜種に感染しているが、まだ検出されていない方法: 毎日スナップショットを取得して差分を取り、LFU分析で異常値を調べる
例4
移動に対する ハンティング仮説: ネットワーク上の攻撃者がMicrosoftのPsExec管理ツールを使用して移動を試みている方法: PsExecが実行された証拠となるイベントID 7045の発生を確認する。MetasploitのPsExecが実行された証拠となるID 7045とID 7030の生成を確認する。
>150150か国以上
不正な JavaScript
ダウンローダーされるマルウェア
<2424時間以内
感染した Webサイト/サーバー
IP
異常なDNS要求
DDoSの兆候と地理的な異常性
レジストリ/システム ファイルに対する不審な変更
同じファイルに対する大量の要求
ログインのレッドフラグ 総当たり攻撃など
特権ユーザー アカウントで実行される異常なアクティビティ
HTML応答サイズ
ドメイン
URL
ファイル名
ファイル ハッシュ
アプリケーション トラフィックでのポートの不一致
システムに対する予期しないパッチの適用
異常な方向に送信されるネットワーク トラフィック
54%
53%
52%
49%
46%
45%
45%
44%
42%
41%
40%
37%
34%
33%
29%
60%50%40%30%20%10%0%
脅威ハンティングによく使用するIOCは何ですか?
出典: McAfee脅威ハンティング調査(2017年5月)
出典: McAfee Labs、2017年9月.
出典: McAfee Labs、2017年9月.
出典: McAfee Labs、2017年9月.
25,000
20,000
15,000
10,000
5,000
2,000,000
1,600,000
1,200,000
800,000
400,000
1,600,000
1,200,000
800,000
400,000
0
0
0
スパム メール
• Miuref• Crowti• Fareit• Dridex
• Tescrypt• Locky• Gamarue• Kovter
• Cerber• CryptoWall