Traps

パロアルトネットワークスは、ランサムウェア Saturn の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。   【ランサムウェア Saturnに感染時の端末画面】 ランサムウェア Saturnに感染すると下記のようにファイルが暗号化され、ポップアップメッセージが表示されます。暗号化されたファイルは「.saturn」の拡張子となります。 感染後に表示されるポップアップメッセージ1 感染後に表示されるポップアップメッセージ2 暗号化されたファイル   【Trapsの検知画面】 TrapsエージェントがWildFireの脅威情報を取得できない状態(例:ネットワーク未接続状態)においても、 機械学習による静的解析エンジンによりSaturnの起動を阻止することができました。 もちろん、ネットワークに接続されていれば、世界中でリアルタイム解析&共有されたWildFireの脅威情報を利用した検知が可能です。   TrapsのWildFire連携や静的解析エンジンのセキュリティ機能をあえて無効にして、今回入手したSaturnの動作を見てみました。その場合、Trapsは下記の2つの検知を行っています。   ・疑わしいプロセス制御機能(子プロセス制御)の検知  →バックアップから復元できないように、ボリュームシャドウコピーを消す動作をTrapsが検知 ・おとりファイルを利用した、ランサムウェア起動後のファイルの暗号化処理を阻止  →ランサムウェアは実行されてしまったが、実ファイルを暗号化されずに保護することが可能   【子プロセス制御での検知ログ】 静的解析でブロックしたログは以前のBadrabbitと同様のログになりますので割愛しますが、本記事では子プロセス制御の検知についてのログについて解説します。 このSaturnの検体においては、cmd.exeからvssadminを呼び出し、delete shadows /all /quiteコマンドにてボリュームシャドウコピーを削除することにより、バックアップから復元できないようにしている動作をTrapsが疑わしいと見なして検知し、その動作を実行前に阻止していることが確認できます。   ▼検証環境 Windows 7 32bit Traps 4.1.2 Content Update 33-2266   ■検体ハッシュ値  (SHA-256) b3040fe60ac44083ef54e0c5414135dcec3d8282f7e1662e03d24cc18e258a9c  
記事全体を表示
tmuroi ‎02-20-2018 08:15 PM
2,726件の閲覧回数
0 Replies
1 Like
パロアルトネットワークスは、CVE-2018-0802を悪用する検体を入手し、 次世代エンドポイントセキュリティ Traps  で検証を実施し、防御可能なことを確認しています。   CVE-2018-0802に関する情報は、こちらに詳細を記載しておりますので、ご参照ください。
記事全体を表示
tmuroi ‎02-05-2018 03:06 AM
2,527件の閲覧回数
0 Replies
パロアルトネットワークスは、CVE-2018-4878の検体を入手し、次世代エンドポイントセキュリティ Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。 本記事を記載している時点では、Adobe社からの修正プログラムは公開されておらず、ゼロデイ脆弱性の状態となっております。       【Trapsエージェント上で攻撃を阻止した画面】 (脆弱性対策機能:DLLSec)                    Adobe Flash PlayerがインストールされたInternet Explorer 11に攻撃ファイル(SWF)を読み込ませると、 Trapsは、CVE-2018-4878の攻撃を阻止することができました。   Trapsが多数持つ脆弱性対策技術の中で、下記の機能により阻止可能であり、 どちらか一方の機能が無効になっていたとしても阻止することが可能です。  ・DLLへの不審なアクセスによる防御(DLLSec)  ・安全でないコードエリアからの疑わしいAPIコール(JIT Mitigation)      【ブロック時のログ】 (脆弱性対策機能:JIT Migigation)                       Trapsでは脆弱性が悪用された場合は、攻撃時に発生した通信やアクセスしたファイル、メモリダンプなどを取得し、調査に必要なデータを取得することができます。   万が一Trapsの脆弱性機能を無効にしており、脆弱性を悪用されて不正なマルウェアファイルが実行された場合でも、Trapsは下記に代表される機能で攻撃を阻止することができます。 ・悪意のあるプロセス制御 ・クラウド上の脅威データベース ・機械学習/静的解析 ・クラウド上での動的解析   ▼検証環境 Windows 7 32bit Internet Explorer 11 + Adobe Flash Player 28.0.0.137 Traps 4.1.1 Content Update 32-2204   ■検体ハッシュ値  (SHA-256) 1a3269253784f76e3480e4b3de312dfee878f99045ccfd2231acb5ba57d8ed0d
記事全体を表示
tmuroi ‎02-05-2018 01:32 AM
2,843件の閲覧回数
0 Replies
パロアルトネットワークスは、ランサムウェア Ursnif の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。 パロアルトネットワークス社のUrsnifの詳細は下記をご覧ください。 https://www.paloaltonetworks.jp/company/in-the-news/2017/traps40_wildfire_ursnif 【Word機能時にTrapsが不正なマクロを検知して阻止した端末画面】 UrsnifのWordファイルを起動すると、上記のようにTrapsはポップアップメッセージを表示してWordの起動を阻止しています。Trapsはファイル全体のハッシュ値に加え、マクロ部分のハッシュをWildFireへ問合せを行うことができます。 また、Trapsエージェント上で動作する静的解析も利用可能なことから、不正なマクロ付きのWordファイルのみを正確に検出することができます。 Trapsは、Ursnifの起動を阻止することができました。 【不審なWordを検知しブロック時のログ】   次に、TrapsのOfficeファイル検査機能を無効化することで、どのような動作になるかを確かめてみます。   【Officeファイル検査を無効にした場合も、疑わしいプロセス作成を検知し、マルウェア起動をブロック】   TrapsのOfficeファイル検査機能を無効にした場合にはマクロが動作しますが、Trapsの子プロセス制御機能にてマルウェア本体の起動前に阻止することができました。   【Wordのマクロが動作し、不審な動作をしたためブロック時のログ】 ▼検証環境 Windows 7 32bit × Traps 4.1.1 ■検体ハッシュ値  (SHA-256) 5b62775a59069e8dcbbf11fff9bb80c7de8f6f77c6a976812e42f4f75ba6c1f8
記事全体を表示
tmuroi ‎10-31-2017 10:41 PM
3,476件の閲覧回数
0 Replies
パロアルトネットワークスは、ランサムウェア WannaCry の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。   パロアルトネットワークス社のWannaCryの対応は下記をご覧ください。 https://researchcenter.paloaltonetworks.com/2017/05/traps-protections-wanacrypt0r-ransomware-attacks/     下記はAdobe Flashの脆弱性を悪用し、WannaCryに感染するムービーとTraps導入時のムービーとなります。    【WannaCryに感染するムービー】※クリックで拡大     【WannaCry感染前にTrapsが阻止するムービー】※クリックで拡大   ※通常は1つの検知画面のみ表示され、起動が阻止されますが、  本記事のために起動を阻止しないようにTrapsの設定を変更(ブロック→ログ取得)しマルウェアを起動させ、  ランサムウェア防御(おとりファイル検査)のみブロックする設定としています。     【Trapsでは様々なテクノロジーで防御】  Trapsは、WannaCryの起動を阻止することができました。詳細を見ると、Trapsでは、  脆弱性を悪用する攻撃を阻止 (Just In Time コンパイラを悪用する攻撃、Return Oriented Programmingを利用した攻撃) 不審な実行ファイルの起動を阻止 不審なDLLファイルの起動を阻止 子プロセスの起動を阻止 おとりファイルを利用した、ランサムウェア起動後のファイルの暗号化処理を阻止 できることがわかります。   また、静的解析エンジン、子プロセス制御、脆弱性対策機能にて検知可能であるため、 オフライン環境など、WildFireの脅威情報を取得できない場合でも感染前に阻止できることを示しています。 よってTrapsを利用している場合は本攻撃を未然に防ぐことができたことを示しています。     ▼検証環境 Windows 7 32bit × Traps 4.1.0 ■検体ハッシュ値  (SHA-256) 1ECCFB5A45DB2D32B1AA41FB890BF4904EC6E82CA50E4AD84E9011C9DABCBF1A
記事全体を表示
tmuroi ‎10-25-2017 11:40 PM
3,462件の閲覧回数
0 Replies
  パロアルトネットワークスは、ランサムウェア Badrabbit の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。   パロアルトネットワークス社のBadrabbitの対応は下記をご覧ください。 https://researchcenter.paloaltonetworks.com/2017/10/palo-alto-networks-protections-bad-rabbit-ransomware-attacks/     【感染時、マスターブートレコードが破壊され、起動時の端末画面】   【Trapsの検知画面】 (通常は1つの検知画面のみ表示され、起動が阻止されますが、  本記事のために起動を阻止しないようにTrapsの設定を変更し、マルウェアを起動させています)   Trapsは、Badrabbitの起動を阻止することができました。 詳細を見ると、Trapsでは、 ・不審な実行ファイルの起動を阻止 ・不審なDLLファイルの起動を阻止 ・おとりファイルを利用した、ランサムウェア起動後のファイルの暗号化処理を阻止 できることがわかります。  (但し、Badrabbitが起動してしまうと、暗号化処理前にマスターブートレコードを変更するため、   おとりファイルを利用した機能ではマスターブートレコードの書き換えは阻止できません)   【不審なDLLを検知しブロック時のログ(静的解析エンジンがrundll32.exeからの不審DLL呼び出しをブロック)】 ※静的解析エンジンにて検知可能であるため、オフライン環境など、  WildFireの脅威情報を取得できない場合でも感染前に阻止することができます。  よってTrapsを利用している場合は本攻撃を未然に防ぐことができたことを示しています。   ▼検証環境 Windows 7 32bit × Traps 4.1.1 ■検体ハッシュ値  (SHA-256) 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
記事全体を表示
tmuroi ‎10-25-2017 11:27 PM
3,395件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community