更新 (2020 年 10 月 30 日): レポートを更新して、ランサムウェアとの戦いにおける最前線の可視性と対応の取り組みに基づく追加の保護および封じ込め戦略を含めました。最初のレポートに含まれる推奨事項の全範囲は変更されていませんが、次の戦略がレポートに追加されています。
- 特定のバイナリがエンドポイントからのアウトバウンド接続を確立するのをブロックするための Windows ファイアウォール規則の構成
- ドメイン コントローラーの分離と復旧の計画手順
- プロアクティブな GPO アクセス許可のレビューと監視のガイダンス
ランサムウェアは、あらゆる業界の組織を標的とする世界的な脅威です。成功したランサムウェア イベントの影響は、データ、システムへのアクセスの喪失、運用停止など、組織にとって重大な影響を与える可能性があります。ダウンタイムの可能性に加えて、復元、回復、および新しいセキュリティ プロセスと制御の実装のための予期しない費用が発生する可能性があります。ランサムウェアは、過去数年間で攻撃者にとってますます人気のある選択肢になりました。攻撃者に健全な金銭的利益を提供しながら、キャンペーンで利用するのがいかに簡単かを考えれば、その理由は容易に理解できます。
最新のレポート「ランサムウェアの保護と封じ込め戦略: エンドポイントの保護、強化、および封じ込めのための実践的なガイダンス」では、ランサムウェア イベントのダウンストリームへの影響を防ぐために、組織が環境を強化するために積極的に実行できる手順について説明しています。これらの推奨事項は、組織がランサムウェア イベントの発生後に封じ込め、その影響を最小限に抑えるために必要な最も重要な手順に優先順位を付けるのにも役立ちます。
ランサムウェアは、一般的に次の 2 つの方法で環境全体に展開されます。
- 攻撃者が環境に侵入し、管理者レベルの権限を環境全体に広範に取得した後、攻撃者による手動の伝播:
- 標的のシステムで暗号化ツールを手動で実行します。
- Windows バッチ ファイルを使用して環境全体にエンクリプターをデプロイします (C$ 共有をマウントし、エンクリプターをコピーして、Microsoft PsExec ツールで実行します)。
- Microsoft グループ ポリシー オブジェクト (GPO) を使用して暗号化を展開します。
- 被害組織が利用している既存のソフトウェア展開ツールを使用して、暗号化装置を展開します。
- 自動伝播:
- ディスクまたはメモリからの資格情報または Windows トークンの抽出。
- システム間の信頼関係 – Windows Management Instrumentation (WMI)、SMB、または PsExec などの方法を利用してシステムにバインドし、ペイロードを実行します。
- パッチが適用されていない悪用方法 (例: EternalBlue – Microsoft Security Bulletin MS17-010で対処)。
このレポートでは、組織がランサムウェア イベントのリスクを軽減し、封じ込めるのに役立つ、次のような技術的な推奨事項について説明します。
- エンドポイントのセグメンテーション
- 一般的な悪用方法に対する強化
- 特権アカウントとサービス アカウントの露出を減らす
- 平文パスワード保護
既存のランサムウェア イベントへの組織の対応を支援するためにこのレポートを読んでいる場合は、ランサムウェアが環境全体にどのように展開されたかを理解し、ランサムウェアへの対応を適切に設計することが重要です。このガイドは、そのプロセスにおいて組織を支援するはずです。
*注意: このレポートの推奨事項は、組織がランサムウェア イベントのリスクを軽減し、封じ込めるのに役立ちます。ただし、このレポートは、ランサムウェア インシデント対応のすべての側面をカバーしているわけではありません。バックドア (ランサムウェア オペレーターは被害者の環境に複数のバックドアを持っていることが多い) を特定して削除するための調査手法、脅威アクターとの通信と交渉、または復号化ツールが提供された後のデータの回復については説明しません。
参照: https://www.mandiant.com/resources/blog/ransomware-protection-and-containment-strategies
Comments