リアルタイム対処: Antigenaがゼロデイランサムウェアを無害化する方法

Max Heinemeyer, Director of Threat Hunting | 2020年1月15日水曜日

FBIの試算によれば、2016年以来、毎日4,000件以上のランサムウェア攻撃が発生しています。マシンスピードで動作するランサムウェアは、わずか数秒でデジタルエンタープライズを大混乱に陥れることができます。そして残念なことに、従来型のセキュリティツールはルールやシグネチャを使って既知のサイバー脅威だけを検知するようプログラムされており、これまでに見られたことのない、標的に合わせて作られた新しいランサムウェアに気づくことはできませんでした。

サイバー防御に対するDarktraceの根本的なアプローチは発生した脅威を特定するのにルールやシグネチャに依存していないため、新種の攻撃を無害化できる独自の優位性があります。ある顧客の環境において発生した最近の事例では、Darktrace Antigenaは電子機器メーカーを標的としたそれまでに知られていない「ゼロデイ」ランサムウェア攻撃を阻止しました。Darktrace Antigenaはデジタルエステートのごく一部に導入されたものでしたが、これまでに出現したことのないこのランサムウェアの亜種に対し、それが被害を及ぼす前に対処することができたのです。

不完全な可視性、完全な対処

DarktraceはEメールからクラウド、IoTやネットワークまでデジタルインフラ全体に100%のカバレッジを提供しますが、ビジネス上の課題により自社の環境に対する完全な可視性を得られないこともあります。しかし、不完全なデータや最適とは言えないカバレッジであっても、Cyber AIは脅威の出現を特定することができました。以下に解説する攻撃事例では、Darktraceは最初の感染とC&Cの確立を含む攻撃ライフサイクルの最初の段階をカバーしていなかったにもかかわらず、AIはこの攻撃が危機に発展する前に数秒で自律的に対処しています。

ランサムウェア攻撃の構成

この事例において、DarktraceのAIは社内での通常の行動パターンから著しく逸脱しているゼロ号患者を特定しました。これは患者ゼロの接続パターンに発生したスパイクと、短時間に発生した一連の高確度アラートが示していました。これには次が含まれます:

  1. Compromise / Ransomware / Suspicious SMB Activity — デバイスが組織内で普段とは異なるSMB接続を実行し始めると発生します
  2. Antigena Ransomware Block — 挙動がランサムウェアと著しく一致している場合にAntigenaによるアクションをトリガします。
  3. Device / Reverse DNS Sweep — デバイスが不審なリバースDNSルックアップを行うと発生します。これは偵察活動でよく使われる戦術です。

図1:いくつかのDarktraceアラートが発生し、通常の生活パターンからの逸脱が可視化されています

実際に、このデバイスは予期されていない大量の接続を行っただけでなく、多数のSMBファイルを読み書きし、このデータを社内で普段は通信することのなかったサーバに転送していることが観測されました。ゼロ号患者とサーバの間の内部接続の急激な増加は、マルウェアがネットワーク内を水平移動しようとしていることを強く示すものでした。

図2:10月30日に4件のモデル違反が観測され、Antigenaが取ったアクションが点線で示されています

SMBアクティビティをさらに調査すると、数百件のDropbox関連のファイルがSMBシェアでアクセスされましたが、このデバイスはこれまでこれらのファイルにアクセスしていませんでした。さらに、これらのファイルのいくつかが暗号化され始め、[HELP_DECRYPT]拡張子が付けられました。

図3:DarktraceはDropboxファイルに関連したSMBアクティビティを検知

幸いなことに、Antigenaはアクティブモードに設定されており、数秒後に発動したため、異常な接続を5分間ブロックして通常の生活パターンを強制し、即座に暗号化を阻止することができました。DarktraceのAIがアクションを取るまでに、暗号化に成功したのはわずか4個のファイルでした。

図4:Darktrace Antigenaはランサムウェアが検知された1秒後に応答

図5:さらなるAntigenaアラートと異常なアクティビティ検知の明確な表示

Antigenaはその後ランサムウェアが他のデバイスに広がらないようにする2つ目のアクションを取りました。各種の異常なアクティビティの組み合わせは自動対処機能が脅威の無害化をするのに十分な証拠となりました。患者ゼロは24時間検疫され、サーバーやネットワーク内の他のデバイスに接続できないようにされました。

図6:Antigenaは感染したデバイスによる水平移動やランサムウェアのアクティビティの実行を阻止

このように、Darktrace Antigenaは進行中の暗号化アクティビティを阻止しただけではなく、攻撃者がネットワーク内を自由に水平移動(スキャニング、admin認証情報の使用、あるいは内部偵察活動など)できないようにしました。自動対処機能は通常のビジネスオペレーションは継続させたまま、正確かつ的を絞って介入し、マルウェアの拡散を停止させたのです。

ブラックリスト無しでも問題無し

実は、このランサムウェアの亜種はブラックリストされたC2ドメインやマルウェアファイルハッシュなど、一般に知られているいずれの侵害インジケータとも関連がありませんでした。Darktraceはいままでに見られたことのないこの攻撃を、組織内のあらゆるデバイスおよびユーザーの通常の生活パターンに対する包括的な理解にのみ基づいて検知することができたのです。この正常な動作からの逸脱が特定されると、Antigenaはルール、シグネチャあるいは過去のデータに頼ることなく、即座にこれを阻止することができました。自動対処が即座に決定的なアクションを取ったため、セキュリティチームは事態を把握し人手による対応作業を行うための十分な時間が得られました。

DarktraceのAIは、デバイスの挙動に含まれる逸脱を特定するEnterprise Immune Systemの能力と、接続を阻止してランサムウェアを封じ込めエンタープライズ内に広がるのを防ぐAntigenaのアクションという強力な組み合わせを提供します。AIによる自動対処はこれらの異常な内部アラートが示す死の処方箋を認識し、ランサムウェアに対して的を絞ったアクションを取ることにより脅威を無害化しました。ステルス性を持ったこのランサムウェアの亜種は、従来型ツールに依存したセキュリティチームでは気づかれず、まして止めることはできなかったと思われます。

サイバーセキュリティ支出に関してはROSI(Return-On-Security-Investment)がしばしば話題となりますが、このインシデントはROSIが実証されたよい例と言えます。最近のランサムウェア攻撃では通常身代金として何十万ドルもの要求がなされるからです。Darktrace Antigenaがこの脅威を早い段階で封じ込めていなければ、数千のファイルが暗号化されていたことでしょう。Cyber AI技術を駆使することで、この企業は進化を続ける敵に対して優位性を取り戻し、時間、お金、リソース、そしておそらく最も重要な、企業の評判を救ったのです。

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.