数年前、標的型マルウェア攻撃のプロジェクトで、私はボットネットに巻き込まれた1万台以上のコンピュータを調査しました。これらのコンピュータの主な問題は、脆弱性テストが行われていなかったり、従来のアンチウイルス・ソフトウェアに過度に依存していたりと、セキュリティ対策が極めて脆弱であったことです。また、セキュリティ・チーム、デスクトップ・サポート・チーム、IT管理者、その他の関係者間のコミュニケーションも崩壊していました。これは非常に致命的でした。
「ブロイラー」とそのコマンド・アンド・コントロール・サーバは、高度なマルウェアに分類されます。この高度なマルウェアの巧妙さ、問題の潜在的な複雑さと広範さについてさらに多くのことが明らかになるにつれ、ボットネットのクリーンアップが単純な作業でないことは明らかです。残念ながら、組織がこの問題に遭遇した場合、管理者がシステムをシャットダウンしてイメージを再インストールするだけで、この問題を回避する方法はありません。
私が遭遇したように、ブロイラー感染はITプロフェッショナルとして最も厄介なものの1つになり得ますが、既存の仕事に大きな影響を与えることはありません。
このようなマルウェア感染への対処方法とブロイラー駆除について、組織のIT管理者として留意すべき5つの重要なステップをご紹介します。
ITリスクを効果的に管理しようとするならば、整備されたインシデント対応プロセスが必要です。アクションプランの欠如は、効果的なセキュリティ対応の最大の障害であると言っても過言ではありません。マルウェア攻撃による潜在的な影響を最小限に抑えるために、予防的な対策をすぐに実行に移しましょう。組織がボットネットに乗っ取られた場合に対処できるようにするには、さまざまなエンドポイント、ネットワーク・アクセス、データ管理、および未知のユーザーについて詳細に定義した優れた計画が必要です。
諺にもあるように、治療の手柄の半分は診断にあります。では、感染ポイントはどこなのでしょうか?それはマルウェアにとって64,000ドルの価値がある質問です。
暗号化された高速のDNS変更を使用する攻撃は「Fast Flux Service Networks」と呼ばれ、多くの典型的なボットネットやC&Cコードは、従来のセキュリティ制御のレーダーをかいくぐるためにこのアプローチを使用します。そのため、適切なツールがなければボットネットを検出することは困難です。しかし、マルウェアが起動されたホストを見つけることができれば、調査を強化し、その範囲を抑えるようにしましょう。ヒント:Windowsクライアントが感染している可能性が高いですが、Windowsサーバの可能性もあります。
マイクロソフトのSysinternalsツールを使うのが良いスタートです。特に、疑わしいマシンに入力されたパスワードや、そこからアクセスされた他のシステムなどに注意する必要があります。Wiresharkのようなネットワーク分析ツールでは、OmniPeekはネットワークレベルで何が起こっているかを見るための追加ビューを提供することができます。
さらに、マルウェア感染を効果的に追跡し、ブロイラー除去を実行するには、Damballa や FireEye のようなベンダーが提供する、より高度な技術が必要になるかもしれません。
マルウェア感染について十分な知識があれば、マルウェアが駆除されるまで、緊急ネットワークアクセス制御リストやファイアウォールルールを適用して、マルウェアからのインバウンドまたはアウトバウンドのネットワークトラフィックをブロックすることができます。
また、マルウェア感染に対抗する基本的なツールとしてホワイトリスト、ローカルポリシー、グループポリシーを、高度なツールとしてBit9の「ポジティブセキュリティコントロールポリシー」を使用することができます。
単純なウイルス対策スキャンを実行するだけでは、ブロイラーを除去することはできません。マルウェアの異常な動作を検出することもできません。たとえ検出できたとしても、悪意のあるコードはオペレーティング・システムやレジストリに絡み付いていることが多いため、主流のウイルス対策ソフトでは対処のしようがありません。
特にWebrootやMalwarebytesのような、より高度な脅威にも比較的詳しいツールをお勧めします。また、オペレーティングシステムを再インストールするしかないかもしれません。
また、オペレーティング・システムを再インストールする際には、データ損失のリスクにも注意してください。私が担当したプロジェクトでは、社内のセキュリティ評価がほとんど行われておらず、ワークステーションにある機密情報のバックアップ・コピーも見つかっていません。
マルウェア感染にとって、JavaやAdobe、関連するサードパーティ製ソフトウェアを定期的にアップデートしていないユーザーほど大敵はありません。次善の策は、Windows XPの引退が間近に迫っていることです。
組織のシステムを更新することで、脅威を排除したり、少なくともマルウェアの拡散を防ぐことができます。だからこそ、何か問題が発生した場合に備えて、サードパーティ製ソフトウェアのパッチ管理について考え始める時期なのです。
エンドポイントからマルウェアを駆除することは、リスクを最小化するための一つの側面です。脅威インテリジェンスは非常に重要です。これは基本的な管理原則に立ち返ります。少し退屈に聞こえるかもしれませんが、何が「正常」なのかを実際に知ることで、異常なアクティビティに対して適切な判断を下すことができるようになります。
適切な情報を取得するためのツールやプロセスがない場合は、今すぐ始めてください。エンドポイントをコントロールするためには、ボットネットと戦うための優れたネットワーク分析ツールとイベント・モニタリング・ツールが必要です。私の好きな言葉に、"敵を知り、己を知れ "というものがあります。
マルウェアの問題は、時間の経過とともに改善される兆しはありません。そのため、デスクトップ管理者やネットワーク管理者は、脅威アナリスト、データサイエンティスト、インシデント対応者として成長するために、今スキルを向上させる必要があります。現時点ではこれらの分野は仕事に影響しないとしても、いつか必ず役に立つ日が来るでしょう。
この記事の出典
