COVID-19は世界中で拡大を続けている不安定な状況下、マルウェアの作者たちがこのパンデミックを悪用していることは驚くことではありません。マカフィーでは、「リモートワーク、在宅勤務の際の安全性の維持」、「COVID-19の脅威アップデート-今や血液販売まで?」、「大規模な在宅勤務への移行ー信頼する前に確認を」、といったCOVID-19関連の脅威に関するブログをリリースしました。1つ目は、攻撃者がこのパンデミックを司式への攻撃の機会としてどのように活用するかについて、2つ目は、予防や治療法を探す消費者を狙う詐欺を働くような攻撃者のプレビューを、そして3つ目は、急激に増加したリモートの労働力による企業へのセキュリティリスクと、リスクを軽減する方法について伝えています。今回のブログでは、COVID-19をテーマにした攻撃とそれらへの対策について説明します。
この数週間の外出等の自粛により、個人や組織は在宅勤務の状態に迅速に適応する必要がありました。屋内とオンラインで過ごす時間が大幅に増え、正常な状態にいつ回復するか不安が続いています。今のところ、パンデミックを巡る大量のニュース記事に対処し、店舗やオンラインで家庭用品の調達を行い、予防マスク、手袋、消毒剤などの医薬品の不足への対応が取られています。これらは私たちにとっては試練の時であり、マルウェアの犯罪者を脅かす恐れがあります。
2020年のこの数か月間、当社の研究者たちは、COVID-19の脅威の状況をより適切に管理するために、より直接的な監視と適応に尽力してきました。これは、COVID-19の絶えず進化する脅威状況の特性上、完全なレポートを意図するものではありませんが、マルウェア、スパム、悪意ある/詐欺のURLキャンペーン等、脅威の一部をカバーしています。
またこのブログは、当社の製品をご利用であれば、エンドポイント製品およびMcAfee Unified Cloud Edgeなどの拡張ポートフォリオに存在するさまざまな機能を利用する際の参考になると思います。IOCセクション(この記事に基づく部分的なIOCリスト)、エキスパートルールセクション(この記事に基づくいくつかの戦術について説明)などの各セクションをご覧ください。マカフィーは、サイバー脅威アライアンスの一環として他の業界パートナーとのコラボレーションを含む、マルウェアの収集にいくつかの内部および外部の調達手段を利用しています。
目次
タイムライン
以下のタイムラインは、COVID-19 / Coronavirusを参照して、スパムトラップで観察された一般的なマルウェアファミリーのサブセットを示しています。このタイムラインに示されているマルウェアは、それらの被害能力(ランサムウェアなど)または感染能力(Emotet for spamまたは他のワームのような活動)のために選択されました。
既知のCOVID関連のすべてのIOCの週ごとの分布を以下に示します。
マルウェア
このセクションでは、上記のタイムラインに含まれるマルウェアファミリのサブセットについて説明し、ウイルスを参照したさまざまなIOCを示します。IOCのより包括的なリストについては、IOCセクションを参照してください。
Ursnif
パンデミックを利用して最初に確認した脅威はUrsnifでした。Ursnifは、銀行の資格情報を盗むことを目的としたバンキング型トロイの木馬で、より強力になるように進化しています。Ursnifは、被害者のシステムアクティビティを収集し、キーストロークを記録し、ネットワークトラフィックとブラウザアクティビティを追跡します。
2020年1月以降、UrsnifがCOVID-19ファイル名を使用してユーザーを誘惑していることが確認されています。
VBSファイルを実行すると、C:\ Programdata \ FxrPLxT.dllにdllがドロップされ、rundll32.exeで.dllが実行されます。dllはiexplorer.exeに挿入され、http get要求を使用してC&Cサーバーと通信します。
MITER ATT&CK™マトリックス:
Fareit
Fareitは、Webブラウザー、FTPプログラム、電子メールクライアント、および感染したマシンにインストールされている100を超えるさまざまなソフトウェアツールからデータを盗む情報スティーラーです。COVID / Coronavirusの名前が付いたFareitのフィッシングメールがいくつか確認されています。それらのいくつかを以下に示します。
Fareit Spam 1:
IOC
MITER ATT&CK™マトリックス:
Fareit Spam 2:
IOC
MITER ATT&CK™マトリックス:
Fareit Spam 3:
IOC
MITER ATT&CK™マトリックス:
Fareit Spam 4:
IOC
MITER ATT&CK™マトリックス:
COVID-19ランサムウェア
新しいランサムウェアファミリーが登場したのは当然のことです。Ransomware-GVZが実行されると、vssadminでシャドウコピーが削除され、pe以外のすべてのファイルタイプの暗号化が続行されます。フォルダー全体が暗号化されると、以下の身代金ノートファイルが作成されます。
Ransomware-GVZはロック画面コンポーネントも作成するため、マシンを再起動すると次のメッセージが表示されます。
IOC
MITER ATT&CK™マトリックス:
Emotet
Emotetは、フィッシングメールを介して配布されるもう1つの一般的な脅威です。英語に翻訳された以下のメールが配信されているのを確認しました:
Subject:Break !!! COVID-19 solution announced by WHO at the end How a total control method is discovered
Email Body:As published in the newsletter of the World Health Organization 3/17/2020 7:40:21 a.m. A new collaborative study identified and studied antibodies to the COVID-19 virus which could be used to design effective universal therapies against many different species of COVID-19 viruses. The results have recently been published in Nature Microbiology.
These are based on natural activities and how heat helped inhibit the virus from growing.
The COVID-19 virus causes a serious disease with high mortality badgers in humans. Several strategies have been developed to treat COVID-19 virus infection, including ZMapp, which has proven effective in non-human primates and has been used below compassionate treatment protocols in humans …
Please download the full text in the attached document …
Also share with all contacts to ensure quick epidermal control.
件名:ブレイク!!! 最後にWHOが発表したCOVID-19ソリューション総合的な制御方法の発見方法
メール本文:WHO ニュースレター 発表 3/17/2020 7:40:21 am
新しい共同研究では、COVID-19ウイルスの抗体を特定して調査を行いました。この抗体を使用して、さまざまな種のCOVID-19ウイルスに対する効果的な普遍的な治療を設計可能です。結果は最近Nature Microbiologyに掲載されました。
これらは、自然の活動と、熱がウイルスの増殖を抑制するのにどのように役立ったかに基づいています。
COVID-19ウイルスは、死亡率の高い深刻な病気を引き起こします。 COVID-19ウイルス感染を治療するために、いくつかの戦略が開発されました。ZMappは、ヒト以外の霊長類で効果的であることが証明されており、ヒトの特別治療プロトコルの基で使用されています…
添付ドキュメントの全文をダウンロードしてください…
また、すべての連絡先と共有することで迅速な制御を確実にします。
電子メールには、圧縮されたEmotet実行可能ファイルが含まれています。この実行ファイルは、一度実行されると、プロセスホローイング技術を使用してregasm.exeに挿入します。その後、C&Cサーバーに接続し、スパムメールを送信します。
IOC
MITER ATT&CK™マトリックス:
Azorult
Azorultは、被害者のマシンからユーザー名、パスワード、暗号通貨、閲覧履歴、Cookieなどのデータを盗むマルウェアです。また、被害者のマシンに追加のマルウェアをダウンロードすることもできます。このレポートで説明されている他のマルウェアとAzorultの違いは、Azorultの作成者が偽のコロナウイルス感染マップWebサイト(corona-virus-map [。] com)を作成したことです。偽のWebサイトは次のように表示されます。
IOC
MITER ATT&CK™マトリックス:
NetWalker
COVID-19を活用したもう1つのランサムウェアはNetwalkerです。ランサムウェアは、ファイル名「CORONAVIRUS_COVID-19.vbs」を使用して、ユーザーをだまして実行させました。VBSファイルには、埋め込まれたランサムウェアペイロードが含まれていました。
vbscriptの実行時に、ランサムウェアは「C:\ Users \ <ユーザー名> \ AppData \ Local \ Temp \ qeSw.exe」にドロップされ、実行されます。
vssadmin.exeを使用してマシンからシャドウコピーを削除し、ファイルの復元をより困難にします。
以下は、難読化されたvbscriptを示しています
ランサムウェアは感染したマシンのフォルダを反復処理し、ファイルを暗号化します。暗号化されると、ファイル拡張子は
に変更されます。身代金メモは、ファイルが暗号化された各フォルダーにもドロップされます。この注記を以下に示します。
IOC
MITER ATT&CK™マトリックス:
Nanocore RAT
NanoCoreはリモートアクセストロイの木馬(RAT)であり、高度にカスタマイズ可能なプラグインにより、攻撃者はその機能をニーズに合わせて調整できます。このRATは、COVID-19を使用して、「Covid-19緊急予防策」などの電子メールの件名を使用して自身を配布していることも判明しています。
IOC
MITER ATT&CK™マトリックス:
Hancitor
Hancitorトロイの木馬は、COVID–19のテーマも使用し、保険会社からのメールを装って拡散します。電子メールには、VBSファイルをダウンロードする偽の請求書をダウンロードするためのリンクが含まれています。
VBSを実行すると、Hancitor dll temp_adobe_123452643.txtが%AppData / Local / Tempフォルダーに作成されます。DLLはRegsvr32.exeを使用して実行され、C&Cとの通信を開始します。
IOC
MITER ATT&CK™マトリックス:
ヒートマップ
この検出ヒートマップは、マカフィーが1月中旬から既知のIOCの検出を観察したさまざまな国のスナップショットを示しています。COVID-19のパンデミックの影響を受けたほとんどすべての国で検出が確認されています。
スパム
毎日何千ものCOVID-19をテーマにしたスパムメールが送信されています。それらは、医薬品の詐欺から恐喝まで多岐にわたります。以下は、私たちが観察した例のいくつかです。
URL
過去数週間に、COVID-19およびコロナウイルスの急増に関連する悪意のあるURLの数が観察されました。この数は数週間前の1,600から第13週には39,000以上に増加しました。これは、悪意のあるサイトの数が急激に増加しているため、リンクをクリックしてWebサイトにアクセスする際に注意する重要性を示しています。
以下は、悪意のあるWebサイトの例です。虚偽の広告は、そのような世界的流行の間の一般的な習慣です。この記事の執筆時点では、利用可能なクイックテストキットはありません。また、テストは医療提供者によって開始されるため、自分自身や周囲の人々が詐欺に陥らないように教育することが重要です。
以下は、コロナウイルステストサービスを提供する偽のWebサイトの例です。
フェイスマスクは需要が高く、多くの場所で不足しています。さらに、ヘルスケアコミュニティでもマスクが不足しています。パニックや不足が発生した場合、スパマーが医療機器を所持していると主張する偽サイトへのリンクを送信することはよくあります。こちらはフェイスマスクを販売している偽のオンラインショップのスクリーンショットです。
GTIは、マルウェア、フィッシング、詐欺などに対応するリンクの分類と種別を提供します。McAfee製品は、URL保護にGTIを利用しています。また、McAfeeのUnified Cloud Edgeは安全なアクセスを提供し、URL保護の機能を拡張します。
ここで、1人のMcAfee研究者が3Dプリンティングマスクとシールドによってコミュニティを支援した例をご紹介します。ぜひご覧ください。
IOC
以下は、Covid-19の発生を利用した、フィールドで観察されたIOCのリストの一部です。このセクションのIOCは、McAfeeのソリューションによって検出されたもののサブセットです。私たちのポートフォリオには、GTIクラウド、ゲートウェイ、ATP、およびその他の製品によって提供される幅広いカバレッジがあります。
推奨事項
このセクションには、推奨されるいくつかの事項が含まれています。さらに、次のブログもお読みください。リモートで作業する従業員を抱える組織向けのガイダンスと、McAfee Unified Cloud Edgeがどのように役立つかについても説明しています。
ソフトウェアの更新
すべての出版物と同様に、すべてのお客様にMcAfeeソフトウェアを最新の状態に保つことをお勧めします。これにより、このレポートで言及されている脅威と同様の脅威からの保護に役立つ最新のシグネチャとルールを確実に入手できます。
また、最新のOSパッチ、VPNパッチ、その他すべてのソフトウェアアップデートをマシンにインストールすることをお勧めします。さらに、McAfeeのUnified Cloud EdgeなどのSASEソリューションを利用することを強くお勧めします。
スパム/フィッシングメールのスポッティング
悪意のあるファイルは添付ファイルやリンクを使用して電子メールで配布されることが多いため、自分を保護する最善の方法は、迷惑メールを開かないことです。悪意のある電子メールを特定するために、このブログを読んでください:フィッシングルアーを見つける方法
グローバル脅威インテリジェンス(GTI)
McAfee GTIは、オンアクセススキャンとオンデマンドスキャンを通じて、疑わしいファイルのヒューリスティックとファイルレピュテーションチェックを使用します。これにより、ほぼリアルタイムの保護を提供できます。以下のKB記事は、マカフィー製品のGTIの感度レベルを変更するための手順が含まれています。
検出されたサンプルがマルウェアであるかどうかを判別するときにMcAfee GTIが使用する感度レベルを設定できます。McAfee GTIの感度レベルは、デフォルトで[中]に設定されています。オンアクセススキャンとオンデマンドスキャンの設定で、各スキャナーの感度レベルを構成します。
感度レベル:
・Very low—信頼性の高い検出。それほど積極的ではないGTI設定であり、FPが最も発生しにくい。
・Low—この設定は、強力なセキュリティフットプリントを備えたシステムの最小推奨値です。
・Medium-ほとんどの製品のデフォルト設定。
・High—この設定は、定期的に感染するシステムまたは領域への展開に使用します。
・Very high—最も攻撃的。このレベルで検出されたものは悪意があると推定されますが、完全にはテストされていません。McAfeeでは、最高レベルのセキュリティを必要とするが誤検出率が高くなる可能性があるシステムには、このレベルを使用することをお勧めします。
Endpoint Security(ENS)製品
ENSは当社のEndpoint Security製品であり、幅広いデフォルト保護、セルフヘルプ保護、および検出機能を提供します。
エキスパートルール
エキスパートルールは、ENS Threat Prevention 10.5.3以降のエクスプロイト防止ポリシーで作成できるテキストベースのカスタムルールです。
エキスパートルールは追加のパラメータを提供し、アクセス保護ポリシーで作成できるカスタムルールよりもはるかに柔軟に使用できます。また、システム管理により、エンドポイントシステムを非常に細かいレベルで制御/監視できます。これは管理者とSOCにとって非常に便利なツールキットであり、機能を検出して保護するための強力な拡張機能をすばやく作成して展開できます。プロセス、ファイル、メモリインジェクション、モジュールのロードおよびアンロードイベントなどの監視とブロックを作成できます。
エキスパートルールの使用方法を説明し、悪意のある可能性のあるアクティビティをブロックするのに役立ついくつかの良い例を示す次のブログを読むことをお勧めします。
・ENSでエキスパートルールを使用して悪意のあるエクスプロイトを防止する
・Endpoint Security 10.6脅威対策製品ガイド
Covid-19関連の脅威に対してエンドポイントで利用するために作成できるクイックエキスパートルールの例をいくつか示します。
Example Rule – 1
次のルールは、アーカイブされたコロナという名前の実行可能ファイルを、アーカイブされたメールの添付ファイルからアクセスできるようにブロックするのに役立ちます。
Rule {
Process {
Include OBJECT_NAME { -v “**” }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v “**\\appdata\\Local\\temp\\Rar*\\*corona*.exe” }
Include OBJECT_NAME { -v “**\\appdata\\Local\\temp\\Rar*\\*covid*.exe” }
Include -access “CREATE”
}
}
}
Example Rule – 2
次のルールは、電子メールの添付ファイルまたはダウンロードされた場所からアクセスされるマクロを含むCOVID名前付きドキュメントをブロックするのに役立ちます。
Rule {
Process {
Include OBJECT_NAME { -v “**\\winword.exe” }
Include PROCESS_CMD_LINE { -v “**corona**” }
Include PROCESS_CMD_LINE { -v “**covid**” }
}
Target {
Match SECTION {
Include OBJECT_NAME { -v “**\\vbe7.dll” }
Include OBJECT_NAME { -v “**\\vbe7intl.dll” }
}
}
}
Example Rule – 3
次のエキスパートルールは、特定のバージョンのFoobar Communicationソフトウェアが実行されないようにします。
Rule {
Process {
Include OBJECT_NAME { -v “**” }
}
Target {
Match PROCESS {
Include DESCRIPTION { -v “FooBar Communications ” }
Include VERSION { -v “4,5,**” }
Include -access “CREATE”
}
}
}
エキスパートルールには柔軟性があり、SOCのアナリスト/作成者はレポートのみモードでルールをテストしてから、環境内の潜在的な偽をチェックできます。最後に、それらをオンにしてブロックモードにすることができます。
JTIルール
JTIルールは2週間ごとにリリースされ、疑わしいプロセスチェーンとコマンドラインの脅威を対象としています。さらに、場所/特性に基づいて疑わしいファイルを検出します。JTIルールのコレクションから、高度な脅威保護のためにいくつかのEvaluateまたはHighOnルールをオンにすることをお勧めします。これらのルールは、EPOコンソールからデフォルトでオンにすることができます。
・マルウェアが悪意のあるアクティビティのコマンドラインパラメーターを使用してPowerShellを呼び出す不審なコマンドラインパラメーターからの保護。このルールは、EPOコンソールでルールID 262を使用して識別できます。
・ルール:262 –セキュリティルールグループの割り当てに対する疑わしいコマンドパラメーターの実行を特定する
・WScript、CScript、PowerShellなどの疑わしいコマンドラインベースのスクリプトアプリケーションを起動するマルウェアからの保護。このルールは、EPOコンソールでルールID 320で識別できます。
・ルール:320 – cmd.exeがデフォルトでセキュリティルールグループの割り当てでのみ、CScriptやPowerShellなどの他のスクリプトインタープリターを起動しないようにする
・\ windows \ fontsや\ windows \ resourcesの場所など、非標準の場所から実行されるファイルからの保護。このルールは、foobar.exeなどの疑わしいプロセスからwmiprvse.exeの起動を保護します。このルールは、ルールID 238のEPOコンソールで識別できます。
・ルール238 –非標準の場所から生成された共通プロセスの悪用を特定する
隔週でリリースされるJTIルールは、通常、評価またはHighOn設定でリリースされます。EPO管理者は、製品のリリースノートを確認し、環境に適したルールを有効にすることをお勧めします。
AMSIを有効にする
AMSIはデフォルトで監視モードに設定されています。これをブロックモードに変更することをお勧めします。これは、JavaScriptダウンローダーなどの電子メールベースの脅威の大部分を検出するためです。
AMSIの詳細と、AMSIが検出するのに役立つ脅威については、このブログをご覧ください。
不審なメール添付ファイルの検出
このレポートに示されているように、電子メールは依然として攻撃者にとってのトップベクトルです。McAfeeエンドポイント製品は、俊敏性を高めるために製品の機能とコンテンツを組み合わせて使用します。McAfee Endpoint Security(ENS)10.5以降では、このような保護は「疑わしい電子メールの添付ファイルを検出する」オプションによって有効になり、DATコンテンツを通じて維持されます。この機能は、アプリケーションやスクリプトをブロックするだけでなく、ネイティブ形式のさまざまな脅威タイプや、圧縮されてアーカイブやその他の形式に含まれている脅威タイプによっても、電子メールクライアントが提供する保護レベルを超えています。
これを有効にする方法のガイドについては、次の記事を参照してください:McAfeeは不審な電子メールの添付ファイルから保護
ATP(適応脅威対策)
McAfee ATP(適応脅威対策)は、Real Protect Moduleを介して機械学習を利用します。これにより、ローカルおよびクラウドにデプロイされたMLモデルを使用して、脅威の実行前後の監視が提供されます。さらに、ATPは、静的および動作機能に基づく脅威評価のための高度なルールを備えた追加の保護層を提供します。
少なくともデフォルト設定でReal Protectを有効にすることをお勧めします。ATPルールには、Evaluate、DefaultOn、HighOnの 3つの形式があります。
・評価ルールは、悪意のあるアクティビティを検出するのに十分な堅牢性があるかどうかを判断するために、McAfeeによってフィールドでテストされます。デフォルトではブロックされませんが、ATPログにアクティビティが記録されます。このようなルールは、EPOを介して管理者が有効にしてブロックすることができます。McAfeeの研究者は定期的にそのようなルールのパフォーマンスを分析し、DefaultOn(バランスのとれたルールの割り当て(デフォルト))またはHighOn(セキュリティのルールの割り当て)にプロモートするように変更を加えます。ブロックモードを手動で有効にする前に、ATPログを介してトリガーを観察し、環境に適合することを確認することをお勧めします。
・DefaultOnルールは、ENS ATPおよびMVISION Endpoint内でデフォルトでブロックする高信頼性ルールです。EPO内から管理者が必要に応じて、これらをオフにすることができます。
・HighOnルールは、悪意のあることがわかっている動作を検出しますが、悪意のないアプリケーションと一部重複する可能性があります。これらのルールは、バランスのとれた姿勢では評価として機能しますが、セキュリティの姿勢ではDefaultOnとして機能します。管理者は、監視とデフォルトのブロックのためにマルウェアの活動が多いイベント中にこの設定を使用することをお勧めします。
ルールの説明、セキュリティ体制、設定の詳細については、次のKB記事を参照してください:https : //kc.mcafee.com/corporate/index?page=content&id=KB82925
Unified Cloud Edge
McAfeeのUnified Cloud EdgeなどのSASE(Secure Access Service Edge)で設計されたWeb保護ソリューションを入手してください。これにより、VPNを使用している場合でも、インターネットに直接接続している場合でも、Webトラフィック、クラウドネイティブ、クラウドからクラウドへのトラフィックに対して、いつでもどこでも(WFHシナリオのような)保護を提供します。例として、悪意のある電子メールからリンクにアクセスしたり、VPN以外の設定で悪意のあるサイトにアクセスしたりした場合でも、悪意のあるサイトやダウンロードから保護するために、GTIおよびクラウドベースの脅威の恩恵を受け続けます。Unified Cloud Edgeは、以下を提供することにより、URL保護の機能を拡張できます。
1.悪意のあるURL – GTIとURLでブロック
2.無害なURLからのダウンロードをブロック(例:onedrive.live.com)–テナント制限によりブロックすることが可能です。例:許可された企業Onedrive、個人(live.com)または他の企業のブロック。
3.悪意のあるダウンロード– AV、GAM、GTIなどのクラウドゲートウェイファイルエンジンによってブロック。
4.3番目の(会社Onedriveにオープン共有にペイロードを配置する)パーティ悪意のあるアップロード-法人認可サービスのAPIベースのスキャン、検査の同じAV / GAM / GTI層を経由してブロックされました。
MVISION Unified Cloud Edgeは、デバイスからクラウドへのデータを保護し、企業ネットワークからは見えないクラウドネイティブの脅威を防ぎます。これにより、クラウドサービスを導入するための安全な環境が作成され、任意のデバイスからのクラウドアクセスが可能になり、従業員の生産性が大幅に向上します。
結論
このレポートからわかるように、このパンデミックを悪用するさまざまな脅威があります。私たちは引き続き、この困難な時期に安全を維持するための推奨事項をお伝えしていきます。オンラインでは特に警戒し、常に安全で健康な状態を保ちましょう!
最新のデータに基づき推奨事項を継続的に提供していますので、McAfeeブログを定期的に読み、脅威のパターンと保護情報の定期的な更新を確認いただくことをお勧めします。
※本ページの内容は2020年5月7日(US時間)更新の以下のMcAfee Blogの内容です。
原文:COVID-19 – Malware Makes Hay During a Pandemic
著者:Sriram P,Abhishek Karnik and Lynda Grindstaff