スパイウェア シグネチャー(ダウンローダー)の方向を確認する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to verify the direction of spyware signatures for downloaders
https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-verify-the-direction-of-spyware-signatur...

 

 

本記事は、脅威ログに記録されるダウンローダー タイプのスパイウェア シグネチャーの方向(Direction)の確認方法について記載しています。

 

詳細

以下の表にあるシグネチャーは、電子メールに添付されている悪意のあるダウンローダーを検知します。これらのシグネチャーはSMTPおよびPOP3の両方で機能します。すなわち、a) 攻撃者がSMTPを利用して悪意のあるファイルを外部から送信して来た場合、b) 被害者がそのファイルをPOP3を利用してメールサーバーから受信した場合、のどちらの場合でも検知を行います。

 

ID 脅威名(Threat Name) 方向(Direction)
13129 JSDownloader.Gen Javascript Detection server-to-client
13606 Nemucod.JSDownloader.Gen Javascript Detection server-to-client
13996 JS.DownLoader.2332 Javascript Detection server-to-client
14119 JSDownloader.Gen javascript Detection server-to-client
14283 Locky.JSDownloader.Gen Javascript Detection client-to-server
14337 LF.JSDownloader.Gen Javascript Detection server-to-client
14542 KV.JSDownloader.Gen Javascript Detection server-to-client
14567 Nemucod.JSDownloader.Gen Javascript Detection server-to-client
14613 Locky.JSDownloader.Gen Javascript Detection server-to-client
14616 Swabfex.JSDownloader.Gen Javascript Detection server-to-client
14680 Dridex.JSDownloader.Gen Javascript Detection server-to-client
14700 Locky.LNKDownloader.Gen Script Detection server-to-client
14834 Locky.JSDownloader.Gen Javascript Detection server-to-client
14847 Cerber.JSDownloader.Gen Javascript Detection server-to-client

 

各シグネチャーの方向(direction)は、ID: 14283を除き、全てserver-to-clientとして定義されています。server-to-clientというのは単にログにそのように記録されるだけで、実際には前述した通りどちらの方向でも検知は行われます。ID: 14283に関しては、SMTPで検知されたという報告が多かったため、その状況に基づいて方向をclient-to-serverにする変更が施されています。

 

 

172.28.30.225 : POP3 サーバー / SMTP サーバー

192.168.226.225 : メール クライアント(ユーザ)

脅威 ID : 14283

 

悪意のあるメールがファイアウォールを経由してSMTPサーバーへ送信され、そのメールがPOP3サーバーから受信されたとします。

 

以下はファイアウォールからエクスポートした脅威ログの一部です。

TID14283.png

 

脅威ID: 14283の方向はclient-to-serverなのでPOP3で記録されたログにおいて、あたかもユーザ(192.168.226.225)がサーバー(172.28.30.225)に対して攻撃を行っているかのように見えます。

 

同様に、方向がserver-to-clientとなっているその他のシグネチャーについては、SMTPの場合に脅威ログが逆方向に記録されいてるように見えます。

 

これは、脅威ログを生成する際の制限事項であり、期待された動作となります。

 

 

著者: ymiyashita