マクロ付きWord Ursnif vs Traps

Printer Friendly Page

パロアルトネットワークスは、ランサムウェア Ursnif の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。

パロアルトネットワークス社のUrsnifの詳細は下記をご覧ください。
https://www.paloaltonetworks.jp/company/in-the-news/2017/traps40_wildfire_ursnif


【Word機能時にTrapsが不正なマクロを検知して阻止した端末画面】

2017-11-01_13h59_16.png

UrsnifのWordファイルを起動すると、上記のようにTrapsはポップアップメッセージを表示してWordの起動を阻止しています。Trapsはファイル全体のハッシュ値に加え、マクロ部分のハッシュをWildFireへ問合せを行うことができます。

また、Trapsエージェント上で動作する静的解析も利用可能なことから、不正なマクロ付きのWordファイルのみを正確に検出することができます。

Trapsは、Ursnifの起動を阻止することができました。


【不審なWordを検知しブロック時のログ】

2017-11-01_14h03_36.png

 

次に、TrapsのOfficeファイル検査機能を無効化することで、どのような動作になるかを確かめてみます。

 

【Officeファイル検査を無効にした場合も、疑わしいプロセス作成を検知し、マルウェア起動をブロック】2017-11-01_14h22_47.png

 

TrapsのOfficeファイル検査機能を無効にした場合にはマクロが動作しますが、Trapsの子プロセス制御機能にてマルウェア本体の起動前に阻止することができました。

 

【Wordのマクロが動作し、不審な動作をしたためブロック時のログ】

2017-11-01_14h16_01.png


▼検証環境
Windows 7 32bit × Traps 4.1.1
■検体ハッシュ値  (SHA-256)
5b62775a59069e8dcbbf11fff9bb80c7de8f6f77c6a976812e42f4f75ba6c1f8

Ask Questions Get Answers Join the Live Community
記事ダッシュボード
バージョン履歴
改訂番号
1/1
最終更新:
‎10-31-2017 10:41 PM
更新者:
 
寄稿者: