Trellix 紹介動画

Trellix の紹介

天文学者を夢見る人生における最高の一瞬は、最初の天体望遠鏡を買う、その瞬間です。

XDR ソリューション概要

XDR ソリューション概要

常に適応し続ける XDR エコシステムが企業を活性化するしくみをお伝えします。

 
 
Gartner Magic Quadrant のエンドポイント保護プラットフォーム部門

Gartner MQ (エンドポイント)

Magic Quadrant で、19 のベンダーについてビジョンの完全性と実行能力が評価されました。レポートをダウンロードして詳細をご覧ください。

Gartner マーケット ガイド (XDR)

Gartner® レポート: XDR のマーケット ガイド

Gartner によると、XDR は脅威の防止、検出、応答を改善する可能性を秘めた新しい技術です。

 
 
Log4J とメモリ - ニュース

2022 年の脅威予測

2022 年に注意が必要なサイバー セキュリティ脅威は?

Log4J とメモリ - ニュース

Log4J、そして知りすぎたメモリ

サイバー セキュリティ業界に安穏の時はありません。今こそ、この考え方を、ビジネスの活性化につながる利点として、また推進剤として念頭に置くべきです。

 
 
McAfee Enterprise と FireEye が Trellix として統合

McAfee Enterprise と FireEye が Trellix として統合

サイバー セキュリティの世界で信頼される二大リーダーが 1 つになって、耐久性の高いデジタル ワールドを実現します。

Trellix CEO

生きたセキュリティについて語る CEO

Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。

Trellix Threat Labs 調査レポート: 2022 年 4 月

Trellix Threat Labs による 2021 年第 4 四半期の脅威調査のインサイトと、最近の調査結果や検出事項

2021 年第 4 四半期に、世界は 2 年間のパンデミックからの出口を模索してきましたが、その間に攻撃者は Work From Anywhere (場所に縛られない働き方) の機会につけ込み、Log4Shell が招かれざる客として出現しました。2022 年第 1 四半期には、ユーラシア地域紛争において、ウクライナのインフラストラクチャに対してサイバー脅威を仕掛けるキャンペーンに脅威の的が移りました。最新の Trellix Threat Labs 調査レポートには、2021 年第 4 四半期の調査結果、政府高官に対する多段階スパイ攻撃の特定、および第 1 四半期中のウクライナを標的としたサイバー攻撃と新たに特定された HermeticWiper の最新分析が掲載されています。

弊社リード サイエンティストからのご挨拶

最新の脅威レポートをお読みいただき、ありがとうございます。

新年が開けてから 4 分の 1 近く経過しましたが、ゆったりとした年明けを迎えたといっても過言ではないでしょう。パンデミックから徐々に脱却しつつあるものの、最近のユーラシア地域紛争をめぐる不確実性が、私たちの日常生活や会話に大きな影響を及ぼしています。

まず、Trellix は平和を支持します。関係者がどのような紛争に巻き込まれていようとも、私たちの使命は、お客様を守り、国際法を遵守することです。このレポートを準備するにあたり、私たちは調査と警戒を続けました。たとえば、Lapsus$ グループは、当初南米諸国を拠点として世界中の大手企業を攻撃し、ソースコードや証明書などの機密データを流出させました。

私たちはその証明書が悪用されているのを観察しました。マルウェアのバイナリに署名する例として、オペレーティング システムやセキュリティ製品の信用をバイパスしようとする方法があります。このグループの詳細、最新の侵害と対応策については、こちらでお読みいただけます。

新会社発足後、2 回目となる脅威レポートでは、世界中で大ニュースとなった (サイバー) イベントがあったことを認めています。ウクライナのインフラストラクチャへの攻撃から、感染したマシンのブート セクタを破壊するマルウェアである HermeticWiper まで、新年は多くの人にとってサイバーセキュリティが最大の関心事となりました。また、2021 年第 4 四半期には、Log4shell の脆弱性が数億台のデバイスに影響を与えました。そして、多くの人が今、新年に現れる新たな脅威に備えて気を引き締めています。

Trellix Threat Labs チームは、長年にわたり、ランサムウェアの分析と研究の最前線に立ち続けています。公共部門とも協力し、2021 年 12 月に逮捕者が出て、ランサムウェアの運用が遮断されたときには、その成功を誇りに思いました。最近、ランサムウェア グループ Conti とマルウェア グループ Trickbot の両方からチャットが流出したインシデントでは、これらの運用がプロフェッショナルによる仕業であることが明らかになりました。したがって、こうした攻撃の混乱を阻止するには、公共部門と民間部門で統一された対策が必要であることが実証されています。

さらに、最新の脅威に関するコンテンツやビデオ、セキュリティ情報へのリンクが掲載されたTrellix 脅威ラボのブログ ページも確認してください。

本レポートでは、その他の流行中の一般的な脅威や攻撃についても取り上げています。

— Christiaan Beek
リード サイエンティスト

ウクライナに対するサイバー攻撃と HermeticWiper に関する Trellix の分析

Trellix チームがウクライナで展開されているワイパーの活動を分析した結果、Whispergate と新たに特定された HermeticWiper との間に関連がある可能性が高いという判断が下されました。

ウクライナ地域における脅威の活動に関する弊社のインテリジェンスと分析をさらに詳しくご確認ください。

初期アクセスを阻止するための推奨手順

組織は、ロシアの国家活動に関連する初期アクセスの戦術、手法、手順 (TTP) を見直して、侵入から環境を事前に保護することを目標とする必要があります。

  • 悪意のあるドメインの短縮 URL を利用したフィッシング詐欺/スピアフィッシング攻撃。
  • ブルートフォース活動を監視して、有効なアカウント認証情報と Microsoft 365 アカウントを特定します。
  • すべてのユーザーに対して、例外なく多要素認証 (MFA) を有効にします。
  • 外部公開されたシステムへの攻撃 – CISA は、悪用されていることが判明している CVE の全リストを維持しています
  • 必須ではないポートやプロトコル、特にリモート サービスに関連するものはすべて無効化します。
  • 過去の攻撃で確認された事業活動に関連のないオープンソース ツール (UltraVNC、AdvancedRun、wget、impacket) を探して、ブロックします。

その他にもウクライナを標的とした脅威のキャンペーンやグループがあります。

ACTINIUM APT

Agent Tesla

CaddyWiper

CERT-AU 4109

DDoS 攻撃

Gamaredon APT

GlowSpark

IsaacWiper

NOBELIUM APT

OutSteel

RURansom Wiper

SaintBot

Shuckworm APT

UAC-0056

ACTINIUM APT

Agent Tesla

CaddyWiper

CERT-AU 4109

DDoS 攻撃

Gamaredon APT

GlowSpark

IsaacWiper

NOBEpUM APT

OutSteel

RURansom Wiper

SaintBot

Shuckworm APT

UAC-0056

HermeticWiper などの新たな脅威をプレビューし、先手を打つには、Trellix 脅威センターをご確認ください。

Trellix Threat Labs は疑わしい DarkHotel APT 活動のアップデートを発見

3 月に、Trellix は、2021 年 11 月後半から中国マカオの高級ホテルを標的とした悪意のあるキャンペーンの第一段階を発見しました。この攻撃は、人事担当役員、アシスタント マネージャー、フロント オフィス マネージャーといった役割を担う、ホテルの管理職を宛先としたスピア フィッシング メールから始まりました。役職名から判断して、攻撃の対象者は、帳簿システムを含む、ホテルのネットワークに十分なアクセス権を持っていると推測されます。仕組み:

  • このスピア フィッシング攻撃に使用された電子メールには、Excel シートが添付されています。この Excel シートは被害者を騙すためのもので、それを開くと、埋め込まれた悪意のあるマクロが有効になります。
  • これらのマクロはいくつかのメカニズムを有効にします。そのことについては、テクニカル分析の部分で詳しく説明され、以下の感染フロー図に要約されています。
  • 最初に、マクロはスケジュール タスクを作成して、認識、データ リストの作成、データ流出を実行します。
  • そして、被害者データの流出に使用されるコマンド & コントロール サーバーとの通信を可能にするために、マクロは周知の LOLBAS (Living Off the Land Binaries and Scripts) 手法を使用して、信頼されたスクリプトとして PowerShell コマンド ラインを実行します。

弊社のブログでは、DarkHotel APT の背景、属性、キャンペーン、技術的な分析について詳しく説明しています。

Darkhotel Attack Flow Diagram

Trellix Threat Labs は総理官邸のセキュリティの危機を特定

1 月に、弊社のチームは、西アジアで国家安全保障政策を管轄する政府高官と防衛産業の要人を狙った、ある多段階のスパイ キャンペーンを特定しました。Trellix は、被害者にリリース前の開示を行い、既知の攻撃コンポーネントをすべて環境から削除するために必要なすべてのコンテンツを提供しました。

攻撃プロセスの分析は、MSHTML リモート コード実行の脆弱性 (CVE-2021-40444) に対するエクスプロイトを含む Excel ファイルの実行から始まります。これを利用して、第 3 段階のマルウェアのダウンローダーとして機能する、Graphiteと呼ばれる悪意のある DLL ファイルが実行されます。Graphite は、新たに発見されたマルウェア サンプルであり、Microsoft Graph API を介して One-Drive のアカウントをコマンド & コントロール サーバーとして利用する OneDrive Empire ステージャーをベースにしています。

APT の活動に関連すると考えられるこの多段階攻撃の最終段階では、最終的に被害者のコンピューターに Empire エージェントをダウンロードし、コマンド & コントロール サーバーに接続してシステムをリモート制御する目的で、さまざまな Empire ステージャーが実行されます。

次の図は、この攻撃の全体的なプロセスを示したものです。

Prime Minister's Office Comprimise Attack Flow Diagram

弊社のブログでは、ステージ、インフラストラクチャ、属性など、より詳細な分析について説明しています。

方法論

Trellix のバックエンド システムは、四半期ごとの脅威レポートのデータとして使用するテレメトリーを提供しています。私たちは、テレメトリーと、脅威に関するオープンソースのインテリジェンスや、ランサムウェア、国民国家の活動といった流行している脅威に関する独自調査を組み合わせて分析しています。

テレメトリーを話題にするとき、感染ではなく、検出がその焦点になります。検出とは、ファイル、URL、IP アドレス、その他の指標を弊社のいずれかの製品が検出し、弊社に報告することです。

大切なのは、お客様のプライバシーです。それは、テレメトリーやお客様のセクターおよび国へのマッピングを行う際にも重要です。国によって顧客基盤が異なるため、数字で見ると増えているように見えるかもしれませんが、もっと詳しくデータを調べなければ説明できません。たとえば、弊社のデータでは、電気通信セクターが常に高いスコアを記録しています。しかし、必ずしもこのセクターが多く狙われているというわけではありません。電気通信セクターには、企業が購入できる IP アドレス空間を所有する ISP プロバイダーも含まれています。それはどういう意味でしょうか?ISP の IP アドレス空間からの送信は電気通信セクターでの検出と見なされますが、異なるセクターで稼働している ISP クライアントからのものである可能性があります。

ランサムウェア

2021 年最終四半期に、ランサムウェアの状況は変化し続けました。前回のレポートで紹介した大規模な攻撃の代わりに、ランサムウェアの攻撃者は地下に新たな拠点を見つけなければなりませんでした。法執行機関がいくつかの有名なランサムウェア グループに対する取り締まりを強化し始めたからです。そうしたグループの 1 つに REvil/Sodinokibi があります。このグループは、第 3 四半期でもランサムウェア ファミリーの上位にランクインしています。しかし、REvil は、組織的なインフラストラクチャの破壊、何回もの内部紛争、メンバーの逮捕などを経て、ステージを去りました。Trellix は、マルウェアの分析、主要なインフラストラクチャの特定、複数の容疑者の特定など、REvil の捜査に協力できたことを誇りに思っています。

2021 年第 4 四半期のトップ 3 は、Lockbit、Cuba、および Conti ランサムウェアでした。REvil の残りのメンバーは、これらのランサムウェア ファミリーに新たな居場所を見つけた可能性が高いと思われます。

このレポートのインクが乾かないうちにも、状況は刻一刻と変化しています。最大規模のファミリーへと成長した Conti は、何千もの内部チャットがインターネット上に流出し、内部機密を暴露されたも同然となりました。私たちは、この情報漏えいを「Panama Papers of Ransomware (ランサムウェアのパナマ文書)」と名付け、次回の四半期レポートでその調査結果を紹介する予定です。

企業が脅威状況におけるランサムウェア攻撃の理解を深め、それを防御できるように、Threat Labs チームは、2021 年第 4 四半期からファミリー、手法、国、セクター、ベクトルなど、さまざまなランサムウェア脅威の流行に関する研究と調査結果を紹介しています。

289%

2021 年第 3 四半期から第 4 四半期にかけてメディアおよびコミュニケーション カテゴリで、これだけ増加しています。

61

米国を拠点とするクライアントのランサムウェア検出数は、2021 年第 3 四半期から第 4 四半期にかけて、これだけ減少しています。

最も多く報告されたランサムウェア MITRE ATT&CK 手法

1.

影響を与えるためのデータ暗号化

2.

File and Directory Discovery

3.

Obfuscated Files or Information

4.

Process Discovery

5.

Process Injection

各種ランサムウェアの検出状況

Lockbit

Cuba

Conti

Ryuk

BlackMatter

第 3 四半期

4%

8%

6.7%

7%

N/A

第 4 四半期

23%

19%

17%

11%

7%

第 3 四半期

第 4 四半期

Lockbit

4%

23%

Cuba

8%

19%

Conti

6.7%

17%

Ryuk

7%

11%

BlackMatter

N/A

7%

国民国家の活動

弊社チームでは、国民国家キャンペーンとそれに関連する指標や手法を追跡および監視しています。弊社の研究は、2021 年第 4 四半期から、脅威の主体、ツール、クライアントの国、顧客セクター、および MITRE ATT&CK 手法を反映しています。指標、YARA ルール、検出ロジックなど、これらのイベントに関するデータはすべて Insights で利用可能です。

最も多く報告された国民国家の MITRE ATT&CK 手法

1.

PowerShell

2.

Scheduled Task

3.

Obfuscated Files or Information

4.

Windows

5.

Web Protocols

95

2021 年第 4 四半期における国民国家の脅威ツールの観測結果では、Cobalt Strike が最高位を獲得しました。

30

2021 年第 4 四半期の国民国家の活動の総観測数のうち、APT 29 が第 3 四半期比 35% 増で、最高位を獲得しました。

26

2021 年第 4 四半期に検出された国民国家の活動では、トルコが全体の 26% を占めました。

流行している脅威の統計

弊社チームは、2021 年第 4 四半期に脅威のカテゴリを追跡調査しました。この調査では、観察された流行しているマルウェアのタイプ、関連するクライアントの国、企業顧客セクター、MITRE ATT&CK 手法での検出率が反映されています。

75

2021 年第 4 四半期の各種マルウェア ツールの脅威の観測数は、RedLine Stealer (20%)、Raccoon Stealer (17%)、Remcos RAT (12%)、LokiBot (12%)、Formbook (12%) で、ほぼ 75% に達しています。

62

2021 年第 4 四半期にセクターの中で最も標的にされたのは輸送業の顧客 (62%) で、残りの上位 10 セクターを合わせた数よりも多くなっています。

80

2021 年第 3 四半期から、米国の顧客に影響を与える観測値が上昇しています。

最も多く報告された MITRE ATT&CK 手法

1.

Obfuscated Files or Information

2.

Credentials from Web Browsers

3.

File and Directory Discovery

4.

Registry Run Keys/ Startup Folder

5.

System Information Discovery

各種ランサムウェアの検出状況

RedLine Stealer

Raccoon Stealer

Remcos RAT

LokiBot

Formbook

第 3 四半期

1.2%

N/A

24%

19%

36%

第 4 四半期

20%

17%

12%

12%

12%

第 3 四半期

第 4 四半期

RedLine Stealer

1.2%

20%

Raccoon Stealer

N/A

17%

Remcos RAT

6.7%

12%

LokiBot

19%

12%

Formbook

36%

12%

国、地域、セクター、ベクトルへの脅威

2021 年第 4 四半期のオープンソースの公表されたインシデントのうち、注目すべき国および地域の増加傾向は以下のとおりです。

150

2021 年第 4 四半期に報告されたインシデントのうち、最も高い増加率 (150%) を記録したのはドイツです。

38

2021 年第 4 四半期に最も多くのインシデントが報告されたのは米国でした。報告された全インシデントの 38% を占めています。

Living off the Land (環境寄生)

サイバー犯罪者は、カスタム ツールの開発を続けていますが、正規のバイナリや管理ユーティリティを悪用して悪意のあるペイロードをターゲット システムに送り込む LotL (Living off the Land: 環境寄生) 手法を利用することが多くなっています。2021 年第 4 四半期のイベントに基づいて、Trellix では、攻撃者が検知を逃れるために使用するツールの傾向に多少の変化があることを確認しました。

防御が強化され、セキュリティ コミュニティが仲間内で侵害の指標を共有するにつれて、戦術、手法、手順は変化しています。第 3 四半期のレポートでは、実動システムに存在する一般的な Windows バイナリや、管理スタッフが日常業務を遂行するために使用するバイナリについて紹介しました。また、必要なマシン ソフトウェアの導入、異常の監視、システムの効率化も推奨されました。第 3 四半期レポート以降も、攻撃グループはこれらのユーティリティの有用性を利用して不正な活動を行っていますが、第 4 四半期の悪用されたユーティリティを調べると、その使用方法が多少変化しています。攻撃グループは、検知を逃れようとしており、システムにすでに存在するものを悪用して、ランサムウェア、ビーコン、情報窃取、偵察ツールなどのペイロードを配信しているという事実は変わりません。

偵察段階でこれらのバイナリや管理上使用されるソフトウェアを特定するために、攻撃者は求人サイト、ベンダーが公開するお客様の声、または内部の共犯者から、使用される技術に関する情報を収集することがあります。

ネイティブ OS バイナリ コメント (カーソルを置いて詳細を表示) (タップして詳細を表示)

Windows Command Shell (CMD) (53.44%)

T1059.003

Windows Command Shell は、Windows の主要な CLI ユーティリティであり、代替データ ストリームでファイルやコマンドを実行するためによく使用されます。

PowerShell (43.92%)

T1059.001

PowerShell は、スクリプトや PowerShell コマンドを実行するためによく使用されます。

WMI/WMIC (33.86%)

T1218 T1564.004

WMIC は、WMI のコマンドライン インターフェースで、攻撃者がローカルに、代替データ ストリーム内で、またはリモート システムでコマンドやペイロードを実行するために使用される場合があります。

Rundll32 (24.34%)

T1218.011 T1564.004

Rundll32 は、ローカルの DLL ファイル、共有からの DLL ファイル、インターネットから取得した DLL ファイル、および代替データ ストリームを実行するために使用される可能性があります。

Regsvr32 (14.29%)

T1218.010

Regsvr32 は、攻撃者によって DLL ファイルの登録、悪意のあるコードの実行、アプリケーションのホワイトリストのバイパスに使用される可能性があります。

Schtasks (12.70%)

T1053.005

攻撃者は、持続性を維持したり、追加のマルウェアを実行したり、あるいは自動化されたタスクを実行したりするタスクをスケジュールする可能性があります。

MSHTA (10.05%)

T1218.005

MSHTA は、攻撃者が JavaScript、JScript、および VBScript ファイルを実行するために使用される可能性があり、ローカルに、および代替データ ストリーム内の HTA ファイルに隠されているか、リモートロケーションから取得される可能性があります。

Excel (8.99%)

T1105

ネイティブにインストールされているわけではありませんが、多くのシステムには表計算ソフトが含まれています。攻撃者は悪意のあるコードやスクリプトを含む添付ファイルをユーザーに送信し、それが実行されると、遠隔地からペイロードを取得するために使用される可能性があります。

Net.exe (7.94%)

T1087 とサブ手法

攻撃者が脆弱なマシンのユーザー、ネットワーク、サービス機能を特定するなどの偵察タスクを実行できるようにする Windows のコマンド ライン ユーティリティ。

Certutil (4.23%)

T1105, 1564.004 T1027

Windows コマンド ユーティリティは、証明機関情報の取得や証明書サービスの設定に使用されます。また、攻撃者は certutil を使用して、リモート ツールやコンテンツを収集し、ファイルをエンコードおよびデコードするだけでなく、代替データ ストリームにアクセスすることもできます。

Reg.exe (3.70%)

1003.002 1564.004

Reg.exe は、攻撃者がレジストリ値の追加、変更、削除、および代替データ ストリームに保存される可能性のあるレジストリ値のエクスポートを行うために使用される可能性があります。さらに、reg.exe は SAM ファイルから認証情報をダンプするために使用される場合もあります。

管理ツール コメント (カーソルを置いて詳細を表示) (タップして詳細を表示)

リモート サービス (35.98%)

T1021.001 T1021.004 T1021.005

AnyDesk、ConnectWise Control、RDP、UltraVNC, PuTTY

WinSCP リモート サービス ツールは、Windows ネイティブのものもサードパーティ ソフトウェアも、攻撃者によって、マシンやインフラストラクチャへのリモート アクセス、ツールやマルウェアの入力転送、データの漏えいなどに、有効なアカウントとともに使用される可能性があります。

アーカイブ ユーティリティ (6.35%)

T1560.001

7-Zip、WinRAR

WinZip 攻撃者は、アーカイブ ユーティリティを使用して、収集したデータを圧縮し、ファイルや実行可能ファイルを解凍して、漏えいさせる準備をする可能性があります。

BITSAdmin (3.70%)

T1105 T1218 T1564.004

BiTSAdmin は、持続性の維持、成果物のクリーンアップ、設定された基準を満たした場合の追加アクションの起動によく使用されます。

ADFind (2.65%)

T1016 T1018 T1069 とサブ手法、T1087 とサブ手法、T1482

攻撃者が信頼できるドメイン、権限グループ、リモート システム、ネットワーク設定などのアクティブ ディレクトリ情報を発見するために使用される可能性のあるコマンド ライン ユーティリティ。

PsExec (2.12%)

T1569.002

PsExec は、リモート システム上でコマンドやプログラムを実行するために使用されるツールです。

fodhelper.exe (0.05%)

T1548.002

Fodhelper.exe は、攻撃者が脆弱なマシン上で昇格された特権を使用して悪意のあるファイルを実行するために使用される可能性がある Windows ユーティリティです。

レポートおよびリサーチ

Alfred Alvarado

Douglas McKee

Christiaan Beek

Tim Polzer

Marc Elias

Steve Povolny

John Fokker

Thibault Seret

Tim Hux

Leandro Velasco

Max Kersten

 

Alfred Alvarado

Christiaan Beek

Marc Elias

John Fokker

Tim Hux

Max Kersten

Douglas McKee

Tim Polzer

Steve Povolny

Thibault Seret

Leandro Velasco

リソース

最新の脅威や研究については、弊社チームのリソースをご覧下さい。
脅威センター — 弊社チームが現在の影響力の強い脅威についてご説明します。

Twitter: