サイバーリーズンのお客様環境で実際に確認されたサーバーの脆弱性を突いたランサムウェア攻撃をご紹介します。

攻撃の流れ：

1. 外部公開のウェブサーバーの脆弱性を悪用して、リモートで攻撃コードを実行
2. 攻撃に成功した後、正規のウェブサービスからマルウェアのダウンロード
3. ダウンロードされたマルウェアは最新のGandCrabランサムウェアを実行

Gandcrabランサムウェアは今年に日本を含め世界的に猛威を奮ったランサムウェアで、頻繁に機能がアップデートされることで知られています。

お客様環境で発生したのは上述の（１）のみでしたが、今回の攻撃に対してサイバーリーズンのNGAV機能をテストしたところ、GandCrabのダウンロードから実行までの全ての重要な局面で攻撃を検知、ブロック出来ることが確認できました。

（今回の攻撃のブロック時の通知）

今回のような攻撃事例を、多層防御に焦点を当てたサイバーリーズンの価値を証明する一例と感じて頂ければ幸いです。

１）外部公開のWebサーバーの脆弱性を悪用して、攻撃コードを実行

今回のシナリオでは、お客様の本番Webサーバーの脆弱性を利用した攻撃が行われました。
これは、Webサーバーが通常実行しないはずのコードを実行させることに成功したことを指します。

脆弱性を突かれたWebサーバー(java.exe)が攻撃者のコマンド(cmd.exe)を実行する例：

２）Pastebinサービスからのマルウェアのダウンロード

攻撃コードの実行に成功した攻撃者は、マルウェアを外部からダウンロードし、実行するケースが多いです。

今回は、正規のサービスであるPastebin上に公開された悪質なPowershellのスクリプトがダウンロード元に利用されました。
近年では個別のC2サーバーではなく、このような正規のアクセスがブロックされづらかったり、悪意あるものとの判別が付きづらいサービスをマルウェアのダウンロード元に利用する攻撃が増えています。

（pastebin上に保存された悪質なPowershellスクリプト）

３）Powershellを利用したGandCrabランサムウェアの実行

PastebinからダウンロードされたPowershellスクリプトは、今年世界各地で確認されているGandCrabランサムウェアを実行するものでした。

GandCrabによる暗号化時：

ただ、今回の攻撃に対してサイバーリーズンのNGAV機能をテストしたところ、全ての重要な局面で攻撃者のペイロード（攻撃データ本体）を検知、ブロック出来ることが確認できました。

サイバーリーズンが今回のケースに対して出来ること:

• PastebinからのPowershellスクリプト実行のブロック
• PowershellからのGandcrabランサムウェア実行のブロック
• Gandcrabランサムウェアによるファイル暗号化のブロック

そのためお客様の環境では、たとえ攻撃が続行していたとしても、被害を防ぐためにサイバーリーズンのNGAVが三重の防御が準備出来ていたことになります。

また、いつも通り、今回の攻撃を追跡し、容易に攻撃手法を断定することが出来たのは、EDRによる可視化が大きな役割を担っています。

今回のような攻撃事例を、多層防御に焦点を当てたサイバーリーズンの価値を証明する一例と感じて頂ければ幸いです。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606