ランサムウェア Saturn vs Traps

Printer Friendly Page

ランサムウェア Saturn vs Traps

パロアルトネットワークスは、ランサムウェア Saturn の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。

 

【ランサムウェア Saturnに感染時の端末画面】

ランサムウェア Saturnに感染すると下記のようにファイルが暗号化され、ポップアップメッセージが表示されます。暗号化されたファイルは「.saturn」の拡張子となります。

2018-02-21_11h46_39.jpg感染後に表示されるポップアップメッセージ12018-02-21_11h46_14.jpg感染後に表示されるポップアップメッセージ22018-02-21_11h51_38.jpg暗号化されたファイル

 

【Trapsの検知画面】

TRAPS_DETECT_LA.jpg

TrapsエージェントがWildFireの脅威情報を取得できない状態(例:ネットワーク未接続状態)においても、

機械学習による静的解析エンジンによりSaturnの起動を阻止することができました。

もちろん、ネットワークに接続されていれば、世界中でリアルタイム解析&共有されたWildFireの脅威情報を利用した検知が可能です。

 

TrapsのWildFire連携や静的解析エンジンのセキュリティ機能をあえて無効にして、今回入手したSaturnの動作を見てみました。その場合、Trapsは下記の2つの検知を行っています。

 

・疑わしいプロセス制御機能(子プロセス制御)の検知

 →バックアップから復元できないように、ボリュームシャドウコピーを消す動作をTrapsが検知

・おとりファイルを利用した、ランサムウェア起動後のファイルの暗号化処理を阻止

 →ランサムウェアは実行されてしまったが、実ファイルを暗号化されずに保護することが可能

 

【子プロセス制御での検知ログ】

TRAPS_LOG_CHILDPROCESS.jpg

静的解析でブロックしたログは以前のBadrabbitと同様のログになりますので割愛しますが、本記事では子プロセス制御の検知についてのログについて解説します。

このSaturnの検体においては、cmd.exeからvssadminを呼び出し、delete shadows /all /quiteコマンドにてボリュームシャドウコピーを削除することにより、バックアップから復元できないようにしている動作をTrapsが疑わしいと見なして検知し、その動作を実行前に阻止していることが確認できます。

 

▼検証環境
Windows 7 32bit

Traps 4.1.2 Content Update 33-2266

 

■検体ハッシュ値  (SHA-256)

b3040fe60ac44083ef54e0c5414135dcec3d8282f7e1662e03d24cc18e258a9c

 

ラベル(1)
Ask Questions Get Answers Join the Live Community
バージョン履歴
改訂番号
3/3
最終更新:
‎02-20-2018 08:15 PM
更新者:
 
寄稿者: