ランサムウェア WannaCry vs Traps

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

パロアルトネットワークスは、ランサムウェア WannaCry の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。

 

パロアルトネットワークス社のWannaCryの対応は下記をご覧ください。

https://researchcenter.paloaltonetworks.com/2017/05/traps-protections-wanacrypt0r-ransomware-attacks...

 

 

下記はAdobe Flashの脆弱性を悪用し、WannaCryに感染するムービーとTraps導入時のムービーとなります。

 

 【WannaCryに感染するムービー】※クリックで拡大

 

 

【WannaCry感染前にTrapsが阻止するムービー】※クリックで拡大

 

※通常は1つの検知画面のみ表示され、起動が阻止されますが、

 本記事のために起動を阻止しないようにTrapsの設定を変更(ブロック→ログ取得)しマルウェアを起動させ、

 ランサムウェア防御(おとりファイル検査)のみブロックする設定としています。

 

 

【Trapsでは様々なテクノロジーで防御】 

2017-10-26_15h01_24.png

Trapsは、WannaCryの起動を阻止することができました。詳細を見ると、Trapsでは、

  •  脆弱性を悪用する攻撃を阻止
  • (Just In Time コンパイラを悪用する攻撃、Return Oriented Programmingを利用した攻撃)
  • 不審な実行ファイルの起動を阻止
  • 不審なDLLファイルの起動を阻止
  • 子プロセスの起動を阻止
  • おとりファイルを利用した、ランサムウェア起動後のファイルの暗号化処理を阻止

できることがわかります。

 

また、静的解析エンジン、子プロセス制御、脆弱性対策機能にて検知可能であるため、

オフライン環境など、WildFireの脅威情報を取得できない場合でも感染前に阻止できることを示しています。

よってTrapsを利用している場合は本攻撃を未然に防ぐことができたことを示しています。

 

 

▼検証環境
Windows 7 32bit × Traps 4.1.0

■検体ハッシュ値  (SHA-256)
1ECCFB5A45DB2D32B1AA41FB890BF4904EC6E82CA50E4AD84E9011C9DABCBF1A

バージョン履歴
改訂番号
7/7
最終更新:
‎10-25-2017 11:40 PM
更新者:
 
寄稿者: