標的型攻撃やランサムウェアなどのランサムウェアから保護するための包括的なアプローチ

注釈

過去数年にわたり、自動化された標的型攻撃に対する保護の問題は、情報セキュリティ市場で深刻な問題になりましたが、一般的な意味で、標的型攻撃は、高価な重要なデータを取得するために組織されたサイバー犯罪者グループによる長い専門的な作業の結果として最初に見られました。 現在、技術開発を背景に、オープンソースフォーラム（Github、Redditなど）とDarknetの普及により、マルウェアのソースコードを提供し、それを修正する手順（署名分析による検出を防ぐため）とホストへの感染の手順を段階的に説明し、サイバー攻撃が大幅に増加しています簡素化。 自動化された情報システムの所有者に悲惨な結果を伴う攻撃を成功させるには、未熟なユーザーとインターネット/ダークネットで提供される資料の分析に対する熱意で十分です。



そのような犯罪行為を行う動機は、利益を上げることです。 最も簡単で最も一般的な方法は、ランサムウェアなどのマルウェアをネットワークホストに感染させることです。 過去2年間で、その人気は急速に高まっています。

• 2016年には、ランサムウェアトロイの木馬の既知のタイプ（ファミリー）の数が752％増加しました。2015年の29種類から2016年末までに247に（TrendLabsによると）。
• ランサムウェアウイルスのおかげで、サイバー犯罪者は2016年に10億ドルを稼ぎました（CSOによる）。
• 2017年第1四半期には、ランサムウェアトロイの木馬の11の新しいファミリーと55,679の修正が登場しました。 比較のために、2016年の2〜4四半期に、70 837の修正が登場しました（Kaspersky Labによる）。

2017年初頭、情報セキュリティツールの主要メーカー（Kaspersky Lab、McAfee Labs、SophosLabs、Malwarebytes Labs、TrendMicroなど）は、Ransomwareをさまざまな分野および活動範囲の政府および商業組織の情報セキュリティに対する主要な脅威の1つと呼びました。 そして歴史が示すように、彼らは間違っていませんでした：

• 2017年1月：ワシントンDCの警官カメラの70％が大統領就任の前夜に感染しました。 結果を排除するために、カメラは分解、再フラッシュ、または他のものと交換されました。
• 2017年2月ユーザーのサーバーとワークステーション（1000台以上のホスト）での大量データ暗号化による、オハイオ郡（米国）のすべての市町村サービスの1週間以上の中断。
• 2017年3月ペンシルベニア州議会議事堂（米国）のシステムの破壊。情報システムのデータへの攻撃とアクセスの妨害による。
• 2017年5月WannaCryランサムウェアウイルス（WanaCrypt0r 2.0）による大規模な攻撃。2017年6月26日時点で、150か国以上で、Windowsオペレーティングシステムをベースにした546万台以上のコンピューターとサーバーを攻撃しました。 ロシアでは、保健省、緊急事態省、ロシア鉄道、内務省、メガフォン、ズベルバンク、ロシア銀行などの大企業のコンピューターとサーバーが感染しました。 ユニバーサルデータデコーダーはまだ存在しません（Windows XPでデータを復号化する方法が公開されています）。 専門家によると、ウイルスによる総被害額は10億ドルを超えています。
• 2017年5月（WannaCry攻撃開始から1週間後）のXDataランサムウェアウイルスによる大規模な攻撃。SMBv1プロトコルと同じWannaCry脆弱性（EternalBlue）を使用して感染し、主にウクライナの企業セグメントに影響します（感染したコンピューターとサーバーの96％はウクライナにあります）その伝播速度はWannaCryの4倍です。 現在、暗号化キーが公開されており、ランサムウェアの被害者向けのデコーダが発行されています。
• 2017年6月ランサムウェアによる大規模な攻撃が、世界最大の大学の1つであるユニバーシティカレッジロンドンのネットワークにさらされました。 この攻撃の目的は、自動化された学生管理システムである共有ネットワークストレージへのアクセスをブロックすることでした。 これは、大学のファイルサーバーに論文を保存する学生が仕事を得るために詐欺師にお金を払う可能性が最も高い予備審査および卒業期間に達成されました。 暗号化されたデータと被害者の量は明らかにされていません。

ランサムウェアに感染することを目的とした標的型攻撃の多くのケースがあります。 攻撃者の主な標的はWindowsファミリーのOSに基づくシステムですが、UNIX / LinuxのOS、MacOSファミリー、iOSおよびAndroidモバイルプラットフォーム用のランサムウェアにはさまざまなバージョンがあります。



ランサムウェアの開発には、それらに対抗する方法もあります。 まず第一に、これはオープンプロジェクトです。 （www.nomoreransom.org）、攻撃の被害者にデータ復号化ツール（暗号化キーを開く場合）を提供し、2つ目-暗号化ウイルスに対する保護の特殊なオープンソース手段。 ただし、署名によってソフトウェアの動作を分析し、未知のウイルスを検出できないか、マルウェアがシステムに影響を及ぼした後にマルウェアをブロックします（データの一部を暗号化します）。 専用のオープンソースソリューションは、インターネットユーザーが個人/家庭用デバイスに適用できます。重要なものを含む大量の情報を処理する大規模な組織は、標的型攻撃に対する包括的な予防的な保護を提供する必要があります。

指向性攻撃およびランサムウェアに対する予防的な防御

サーバーまたはユーザーのワークステーションにある保護された情報へのアクセスの可能なベクトルを考慮してください。

• インターネットからローカルエリアネットワークの境界に影響を与えるには、次の方法があります。
• 企業メール;
• Webメールを含むWebトラフィック
• 境界ルーター/ファイアウォール;
• サードパーティ（組み込まれていない）インターネットアクセスゲートウェイ（モデム、スマートフォンなど）。
• 安全なリモートアクセスシステム。
• ネットワーク上のサーバー、ユーザーワークステーションへの影響：
• エンドポイント/サーバーからの要求に応じてエンドポイント/サーバーにマルウェアをダウンロードします。
• システム/アプリケーションソフトウェアの文書化されていない機能（脆弱性）の使用。
• ITおよびISサービスによって制御されていない暗号化されたVPNチャネルを介してマルウェアをダウンロードする。
• 不正なデバイスのローカルネットワークへの接続。
• サーバー、ユーザーワークステーション上の情報への直接的な影響：
• 外部ストレージメディアをマルウェアに接続する。
• エンドポイント/サーバーでのマルウェア開発。

保護された情報へのアクセスの種類ごとに脅威が発生する可能性を減らすには、情報を保護するための一連の組織的および技術的な対策を実装する必要があります。そのリストを図に示します（図1を参照）





図1.標的型攻撃とランサムウェアに対する予防的な防御

指向性攻撃およびランサムウェアに対する組織の防御

標的型攻撃とランサムウェアに対する予防的な防御のための主な組織的対策には次のものがあります。

• 情報セキュリティの分野で従業員の意識を高めます。
  
  従業員向けのトレーニングを定期的に実施し、ISの脅威の可能性を通知する必要があります。 最低限必要な対策は、ファイルとメールを扱うための原則の形成です。
  
  o二重の拡張子を持つファイルを開かない：二重の拡張子を持つ悪意のあるファイル（1Record.xlsx.scrなど）を識別するために拡張子を表示するようにユーザーを構成します。
  
  o信頼できないMicrosoft Officeドキュメントにマクロを含めないでください。
  
  oメールメッセージの送信者のアドレスを確認する
  
  o Webページへのリンク、未知の送信者からの添付ファイルを開かないでください。
• 組織内および外部の専門家の関与による保護の有効性の評価。
  
  ソーシャルエンジニアリングの方法の使用を含む侵入テストを実施するには、内部および外部の専門家の参加による攻撃のシミュレーションを使用して、人材育成の有効性を評価する必要があります。
• システムソフトウェアの定期的な更新（パッチ管理）。
  
  既知の脆弱性によるターゲットシステムへのマルウェア攻撃を防ぐには、更新の重要度レベルの優先順位を考慮して、システムおよびアプリケーションソフトウェアの更新のタイムリーなテストとインストールを保証する必要があります。
• データバックアップの体系化。
  
  情報システムサーバー、データストレージシステム、ユーザーワークステーションの重要なデータを定期的にバックアップする必要があります（重要な情報を保存する場合）。 バックアップコピーは、データストレージシステムのテープライブラリ、疎外されたストレージメディア（ストレージメディアがワークステーションまたはサーバーに永続的に接続されていない場合）、およびクラウドデータバックアップシステムとストレージに保存する必要があります。

標的型攻撃とランサムウェアに対する技術的な保護対策

ネットワークおよびホストレベルで、標的型攻撃およびランサムウェアに対する予防的な防御のための技術的対策が実施されます。

ネットワークレベルのプロアクティブな防御

• , (spam), , , (, JavaScript (JS) Visual Basic (VBS), (.exe), (SCR), Android Package (.apk) Windows (.lnk)).
• -, ( .. SSL- ), , -.
• , (Sandbox, ), . -, . , .
• 802.1x. , ( , , Windows). 802.1x NAC (Network Access Control).
• ( , VDI), . , PUM (Privileged User Management).
• , / / . (NCM / NCCM, Network Configuration (Change) Management), , , .
• NBA & NBAD (Network Behavior Analysis, Network Behavior Anomaly Detection), , «» . :
  
  
  
  o ;
  
  o ;
  
  o :«», « »;
  
  o ;
  
  o ;
  
  o ;
  
  o ;
  
  o .
• ( , , .) . , . , ( , / .).

• , , , , . / Endpoint Protection.
• . , , , , , , , , , , , . .
• , . HIPS (Host Intrusion Prevention).
• , : , (, 4G-), . / Endpoint Protection.
• , , , , ( ) . NGEPP (Next Generation Endpoint Protection).
• , . :
  
  o , - . , , , , ( — ), -, . : -, , , , (VPN).
  
  o () (sandboxie, cuckoo sandbox, shadow defender .).
  
  o (Bromium vSentry), ( ).
• , , , .

-

:

• - — . , . , (, 4G-).
• SIEM-, - . SIEM , , , , , -.

-

- , :

• , -.
• , .
• , - - .

2. -

Ransomware

- , :

• ;
• ;
• ;
• , : RansomFree, CryptoDrop, AntiRansomware tool for business, Cryptostalker . , .

(Android, iOS)

«» (, ) : , . , : , , , . ( 20-30%). , , . Kaspersky Lab, 1 2017 16% ( 4 2016 5%). — Android, iOS .



:

• :
  
  o Mobile Device Management (MDM), , , ;
  
  o — Mobile Information Management (MIM), , ;
  
  o Mobile Threat Prevention, , , .
• :
  
  o ;
  
  o ;
  
  o , .

(Ransomware, DDoS, - .) . .



«» , . , , , , . — .



: , «»

e.borodulin@infosec.ru