KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】柔軟な働き方を支える、エンドポイントセキュリティとは

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一     IMG_9334_385x404

こんにちは。 CSS 部 エバンジェリストの内山です。

新型コロナウイルスの感染拡大によりご自宅でテレワークをされている方もいらっしゃるかと思います。
2月中旬以降、私自身もテレワークを始めております。
Web会議や電話会議を行う機会も増えてきましたが、個人的には対面と比べて相手の表情や仕草が分かりづらく意思疎通に少し慣れが必要かな、と感じております。(古いタイプの人間です)
対面も遠隔も、それに適した準備と対応は必要ですね。

柔軟な働き方を支援するエンドポイントセキュリティ
新型コロナウイルスの対応以前より、テレワークといった柔軟な働き方が広がりつつあります。 [1]
外出先からオフィスに戻らず、カフェやコワーキングスペースで仕事を継続することも珍しくなくなりました。
そのような働き方を実現するための一要素として、エンドポイントセキュリティがあります。
最近のエンドポイントセキュリティは、端末で検知したアラートをクラウド上の管理コンソールで管理・対応するアーキテクチャが主流になっています。
ですので、端末をインターネットに接続しさえすれば、働く場所を問わずに端末の状況をコントロール配下に置くことができます。
もし、皆さんが不自由なくテレワークをされているとしたら、このような仕組みがあるかもしれませんね。
エンドポイントセキュリティ以外にも安全な社内システムへのアクセス、社内規程等があって、はじめて柔軟な働き方が実現しています。(これらの環境実現、そして支えている方々には感謝しかありません)
図1_1072x589  図 1 :エンドポイントセキュリティのアーキテクチャ

エンドポイントセキュリティは NGAV EDR が主流に
このエンドポイントセキュリティですが、現在は EPP EDR の統合が進んでいます。
ここからは、 EDR のおさらいを兼ねて、大まかではございますが、少しその辺りをお話します。
まず、 EDR とは、「 Endpoint Detection and Response 」 といった、その名が示すとおり端末の不審な動きを検知し、その後の調査を迅速に行うためのツールです。
インシデントレスポンスを効率よく行うためのツールと捉えて差し支えないでしょう。
図2_1201x667
2 EDR とは

では、 EPP (従来のウイルス対策ソフト)との違いはどこにあるでしょうか。
以下の図 3 をもとにご説明いたします。
図3_1213x665
3 EPP EDR の違い

まず、従来のアンチウイルス( Anti-Virus )は、一般的には定義ファイル型です。
マルウェアに対応した定義ファイルが端末に配信されていない場合、マルウェアを防御することはできません。
例えとしてよく挙がるのが、指名手配のポスターですね。
指名手配犯もつかまるわけにはいきませんので、変装や整形で手配書の写真と異なる容貌に変え、追跡の手から逃れようとします。
これと同じように、マルウェアも検知回避機能の実装や間をおかずして亜種が登場する状況にあり、もはや定義ファイル型のみでは不十分な状況にあることは想像に難くありません。
そこで登場したのが次世代型アンチウイルス( Next Generation Anti –Virus )です。
ベンダーによって実装されている機能に差異はありますが、定義ファイル型に加えて振る舞い検知機能や機械学習等によって検知・防御機能の強化がなされています。
如何にも怪しげな振る舞いや風貌の人を職務質問する頼りになる警察官といったイメージでしょうか。
ここまでが、いわゆる EPP Endpoint Protection Platform )と言われるもので、機能としては「防御」にあたります。
一方、 EDR の役割は「防御」ではなく、「検知・対応・復旧」です。
EDRは EPP の置き換えはできなく、逆もまた然りです。
もう少し、別の目線で比較してみます。
4 は、 EPP EDR の関係を縦軸に未知と既知の脅威、横軸に事前と事後の対応で表した 4 象限マトリックス上で表したものです。
図4_1192x675
4 4 象限マトリックスで表した EPP EDR の関係

あくまで概念イメージですので絶対はあり得ませんが、これをふまえると EPP(NGAV) EDR の組み合わせが全方位的な対処が期待できると解釈できます。
従って、昨今のエンドポイントセキュリティは、セキュリティ侵害は不可避であるという認識に基づいて、高度な脅威の検知・調査・対応機能が実装されているソリューションが主流になってきています。
本稿の冒頭で EPP EDR の統合が進んでいるといった背景がここにあります。 

脅威の可視化と調査
ここからは、 NGAV EDR にあたるソリューションで、どのように脅威が可視化できるかご説明いたします。
対象は、 2 月8日より国内で観測された顔文字の不審メールに起因して感染する、ランサムウェア Nemty を取り上げてみます。
図5_983x751

5 :顔文字の不審メールに関する注意喚起

出典:国立大学法人 電気通信大学 情報基盤センター
2020/2/8 】ばらまき型攻撃メール(表題が顔文字)に関する注意喚起 [2]

メールに添付された Zip ファイルを解凍し、展開されるスクリプトファイルを実行すると、最終的にランサムウェア Nemty に感染します。
隔離された環境にて、このスクリプトファイルを実行した時の挙動を Cisco 社の Cisco AMP for Endpoints でトレースしてみました。
6-1 6-2 Cisco AMP for Endpoints の管理コンソールへのログイン画面とダッシュボードです。
私は Google Authenticator による多要素認証( MFA )で管理コンソールへアクセスしています。
図6-1_1874x862

6-1 Cisco AMP for Endpoints の管理コンソール(ログイン画面)


図6-2_1679x861
6-2 Cisco AMP for Endpoints のダッシュボード

少しでも最近のエンドポイントセキュリティの雰囲気を感じてもらうためにログイン画面とダッシュボードをお見せしましたが、 Cisco AMP for Endpoints のベネフィットや主な機能については、本稿の趣旨から外れてしまいますので、またの機会とさせていただきます。

では、ランサムウェア Nemty の感染プロセスをトレースした中から、幾つかピックアップしていきます。
これ以降、図で示しているのは Cisco AMP for Endpoints で感染プロセスをトレースしている画面です。
図では、やや記載が見づらいかもしれませんが、赤いラインがマルシャス、グリーンのラインがクリーンと、其々システムによって判定されているプロセスです。
一方、グレーなラインは、現時点のシステムではマルシャスかクリーンか判定できていないプロセスです。
他製品でも同様の機能があり、各社ならではの可視化イメージの表示や、このような画面からダイレクトに調査や封じ込め等のアクションがとれるようになっています。
では、ここから実際の画面を示しながら見ていきましょう。
7 と図 8 からは、 Nemty ランサムウェアが、より確実にターゲットマシンのデータを暗号化するためにユーザーが使用しているアプリケーションや起動中のサービスを強制終了させる意図があるように見受けられます。
この処理自体は、データの暗号化処理の前に行われます。
図7_1889x781
7 :プロセスを強制終了させるコマンド

【図 7 のコマンド】
C:\Windows\System32\cmd.exe /c taskkill /f /im sql.* & taskkill /f /im winword.* & taskkill /f /im wordpad.* & taskkill /f /im outlook.* & taskkill /f /im thunderbird.* & taskkill /f /im oracle.* & taskkill /f /im excel.* & taskkill /f /im onenote.* & taskkill /f /im virtualboxvm.* & taskkill /f /im node.* & taskkill /f /im QBW32.* & taskkill /f /im WBGX.* & taskkill /f /im Teams.* & taskkill /f /im Flow. *

7 のコマンドからは、 MS Office 系やメーラーといったユーザーが日常的に利用するソフトウェアが目につきますね。
Teams といったコラボレーションアプリもあったりして、なかなか趣深いです。
図8_1881x781

8 :サービスを強制終了させるコマンド

【図 8 のコマンド】
C:\Windows\System32\cmd.exe /c net stop DbxSvc & net stop OracleXETNSListener & net stop OracleServiceXE & net stop AcrSch2Svc & net stop AcronisAgent & net stop Apache2.4 & net stop SQLWriter & net stop MSSQL$SQLEXPRESS & net stop MSSQLServerADHelper100 & net stop MongoDB & net stop SQLAgent$SQLEXPRESS & net stop SQLBrowser & net stop CobianBackup11 & net stop cbVSCService11 & net stop QBCFMontorService & net stop QBVSS

8 のコマンドは、 Dropbox Acronis 等のバックアップのサービス停止を狙っています。暗号化したデータをバックアップサービスから復元されることを回避する意図があるように見受けられます。

データの暗号化の処理が始まると、図 9 10 のようにシャドウコピーを削除するといったコマンドが実行されます。
これは、 Windows が持つバックアップ機能を削ぐことを意図したものと思われます。
図9_1881x781

9 :バックアップカタログとシャドウコピーを削除するコマンド

【図 9 のコマンド】
C:\Windows\System32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete

10 は、ご覧のとおり PowerShell コマンドが難読化されており、一見すると意味をなさない文字列です。
このままでは、攻撃者によって何が実行されたか読み取れないため難読化の解除を行います。
図10_1879x777

10 :シャドウコピーを削除する PowerShell

【図 10 のコマンド】
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -e
RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGM
AbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAG
UAbABlAHQAZQAoACkAOwB9AA==


11 は、この難読化された PowerShell コマンドを CyberChef [4] でデコードしたものです。
これで中身が見えるようになりました。

図11_1535x821

11 :デコードした PowerShell

【デコード後のコマンド】
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -e Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

Nemtyランサムウェアは、暗号化プロセスの過程でターゲットマシンのデスクトップに脅迫文を表示します。
12 は関連するコマンド、そして図 13 は脅迫文です。
図12_1873x809

12 :デスクトップに脅迫文を置くコマンド

【図 12 のコマンド】
C:\Windows\system32\NOTEPAD.EXE C:\Users\Administrator\Desktop\NEMTY_DXFB93H-DECRYPT.txt
図13_1026x577

13 :脅迫文
出典: ANY.RUN [5]
jap.exe( MD5:542BAB6A93E8FBD7141975DB19A59853

今までご案内してきたものをまとめてみますと、 Nemty ランサムウェアは、暗号化処理を行う前に、より確実にデータを暗号化するため、 taskkill コマンドや net stop コマンドを使って、プロセスや起動サービスの強制終了を行います。
そのうえで、データ復旧手段を奪うべく、バックアップカタログとシャドウコピーを削除します。
本稿では割愛しておりますが、メールに添付されたスクリプトの実行後や暗号化処理の過程で不審な外部通信も発生しており、こちらについてもトレースすることができました。

このように最近のエンドポイントセキュリティ( NGAV EDR )は、マルウェア自体を水際で止めること以外に、マルウェア自身の挙動を捕捉することで、感染端末で何が行われたかを可視化します。
そして、管理コンソールから、感染端末(被疑端末も含む)のリモート隔離や、調査対応の過程で得られたマルウェアの通信先や発見した不審プロセスのブラックリスト登録といった、迅速な初動対応を実現する頼もしいツールです。

いつでも、どこでも柔軟に働く環境がある裏に、このようなセキュリティの仕組みがあって、脅威から組織を守る人達の活動によって、安全・安心な IT サービス利用やテレワークが実現できていることに感謝しています。

それでは、次のエントリーでお会いしましょう!

------------
脚注および参考情報
[1] 総務省:平成 30 年通信利用動向調査
[2] 電気通信大学:【 2020/2/8 】ばらまき型攻撃メール(表題が顔文字)に関する注意喚起
[3] Cisco: Cisco AMP for Endpoints
[4] CyberChef
Base64、 URL Encode 等のエンコード / デコード、 16 進数変換等の様々な処理を行う Web アプリケーション
[5] ANY.RUN
マルウェアの表層・動的解析が可能な Web サービス型のサンドボックス


当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

内山 史一

株式会社インフォメーション・ディベロプメント 先端技術部 エバンジェリスト

この執筆者の記事一覧

関連するナレッジ・コラム

地味に見えて優秀!マネージドプレフィックスリストでアドレス管理を効率化

DockerでJupyterLabの環境を作ろう

残された攻撃の痕跡を追え! ~Post-Exploitationで起きていること~