Traps

ランサムウェア Badrabbit vs Traps

開始者 tmuroi ‎10-25-2017 05:15 PM - 編集済み ‎10-25-2017 11:27 PM (2,988 閲覧回数)

 

パロアルトネットワークスは、ランサムウェア Badrabbit の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。

 

パロアルトネットワークス社のBadrabbitの対応は下記をご覧ください。

https://researchcenter.paloaltonetworks.com/2017/10/palo-alto-networks-protections-bad-rabbit-ransom...

 

 

【感染時、マスターブートレコードが破壊され、起動時の端末画面】

2017-10-25_15h39_03.png

 

【Trapsの検知画面】

(通常は1つの検知画面のみ表示され、起動が阻止されますが、

 本記事のために起動を阻止しないようにTrapsの設定を変更し、マルウェアを起動させています)

 

2017-10-25_15h10_11.png

Trapsは、Badrabbitの起動を阻止することができました。

詳細を見ると、Trapsでは、

・不審な実行ファイルの起動を阻止

・不審なDLLファイルの起動を阻止

・おとりファイルを利用した、ランサムウェア起動後のファイルの暗号化処理を阻止

できることがわかります。

 (但し、Badrabbitが起動してしまうと、暗号化処理前にマスターブートレコードを変更するため、

  おとりファイルを利用した機能ではマスターブートレコードの書き換えは阻止できません)

 

【不審なDLLを検知しブロック時のログ(静的解析エンジンがrundll32.exeからの不審DLL呼び出しをブロック)】

2017-10-25_15h02_06.png

※静的解析エンジンにて検知可能であるため、オフライン環境など、

 WildFireの脅威情報を取得できない場合でも感染前に阻止することができます。

 よってTrapsを利用している場合は本攻撃を未然に防ぐことができたことを示しています。

 

▼検証環境
Windows 7 32bit × Traps 4.1.1

■検体ハッシュ値  (SHA-256)
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da