Barracuda Threat Spotlight(バラクーダが注目する脅威): モジュール式マルウェア
進化する高度なモジュール式マルウェア攻撃からビジネスを保護しましょう。
バラクーダの調査担当者によって、モジュール式マルウェアの悪用が2019年初以降、急増していることが確認されています。バラクーダのお客様へのメール攻撃を分析した最近の結果によると、2019年の最初の5か月で15万個以上の悪意のあるファイルが検出されています。
モジュール式マルウェアを検出および防止できるように、攻撃とソリューションについて詳細に説明します。
主要な脅威
モジュール式マルウェア: サイバー犯罪者はメールによってモジュール式マルウェアを配信します。モジュール式マルウェアは、ますます増加しており、そのアーキテクチャは通常のドキュメントベースまたはWebベースのマルウェアより堅牢で危険であり、検出が困難です。モジュール式マルウェアは、攻撃の対象と目標によって異なるペイロードと機能を実装しており、選択的に実行できます。
増加の一途をたどるモジュール式マルウェアは、一般的なドキュメントベースまたはWebベースのマルウェアよりも堅牢で、見つけ辛く、危険なアーキテクチャを提供します。 #EmailSec
詳細
ほとんどのマルウェアは拡散したメールリストにスパムによって送信されるドキュメント添付ファイルとして配信されます。このリストはダークWeb上で販売、取引、集計、および更新されます。
感染したドキュメントを開くと、マルウェアが、自動的にインストールされるか、非常に難読化されたマクロ/スクリプトによって外部ソースからダウンロードおよびインストールされます。リンクなどのクリック可能なアイテムが悪用される場合もありますが、この方法はマルウェア攻撃よりフィッシング攻撃ではるかに悪用されています。
サイバー犯罪者によるコマンドを実行するボットネット、および拡散するように記述されたマルウェアが増加しているため、モジュール性が新しい基準になっています。マルウェア作成者は、ますます組織化され、QA(品質保証)、テストなどのソフトウェア業界の慣習を引き続き導入して、攻撃の精度を向上しています。モジュール式マルウェアは、1個の拡散するマルウェアファイルでさまざまなニーズを満たす必要に応じて、機能と柔軟性を向上するように進化してきました。
通常、モジュール式マルウェアは非常に基本的な初期ペイロードを実装しています。初期ペイロードは、システムに感染すると、追加ペイロードを選択するために、リモートのC2(コマンドアンドコントロール)サーバに接続します。このため、C2サーバがシステムに関する情報を送信および処理できます。また、追加ペイロードがこの情報に基づいてサーバサイドで選択されます。ただし、分析環境が検出されると、選択されない可能性があります。このアプローチは、Emotet、TrickBot、CoreBotなどのバンキング型トロイの木馬だけでなく、LokiBot、Ponyなどのインフォスティーラーでも使用されてきました。
モジュール式マルウェアの検出と防止
急速に進化する攻撃環境には、すべての企業がメールセキュリティパフォーマンスを最大限に向上し、モジュール式マルウェアなどの高度な攻撃を受けるリスクを最小限に抑制するために、技術と人間の間の差を縮める多層的なセキュリティ戦略が必要です。
ゲートウェイセキュリティ
マルウェア検出、スパムフィルタ、ファイアウォール、サンドボックスなどの高度なインバウンドおよびアウトバウンドセキュリティ技術を導入する必要があります。
悪意のあるドキュメントが添付されたメールの場合は、スタティック分析とダイナミック分析の両方によって、ドキュメントが実行可能ファイルをダウンロードおよび実行しようとしている可能性を検出できます。ヒューリスティックシステムまたは脅威インテリジェンスシステムを使用すると、実行可能ファイルのURLを警告できる場合が多いです。また、難読化がスタティック分析によって検出されると、ドキュメントが疑わしい可能性も検出できます。
多くの悪意のあるメールは説得力のあるものに見えますが、スパムフィルタ、および関連するセキュリティソフトウェアは、微妙な手がかりを検出し、脅威の可能性のあるメールと添付ファイルが受信ボックスに侵入しないように防止できます。ユーザが悪意のある添付ファイルを開くか、ドライブバイダウンロードへのリンクをクリックすると、マルウェアを分析できる高度なネットワークファイアウォールが、バイパスしようとする実行可能ファイルを警告して、攻撃を防止できます。
暗号化とDLP(データ損失対策)によって、過失または悪意によるデータ損失を防止できます。また、メールアーカイブはコンプライアンスとビジネス継続性にとって重要です。
回復性
バックアップによって削除されたデータをリカバリし、継続性によってサーバの停止中もクリティカルなメールを送信できます。
詐欺対策
メールゲートウェイをバイパスする可能性がある攻撃を防止します。AI(人工知能)によってスピアフィッシング対策を行う必要があり、DMARC(Domain-based Message Authentication, Reporting and Conformance)認証によってメールスプーフィングとドメインスプーフィングを検出および防止します。
ヒューマンファイアウォール
この最上位のメールセキュリティは、すべてのビジネスにとって最もクリティカルです。フィッシングシミュレーションとフィッシングトレーニングをセキュリティ意識トレーニングの一環として実施してください。その時点で必要なトレーニングの効果をテストし、攻撃を最も受けやすいユーザを評価して、エンドユーザが新しいタイプの攻撃を意識していることを確認しましょう。また、潜在的な脅威を識別する方法をエンドユーザに明示し、エンドユーザを潜在的な標的から「セキュリティレイヤ」に変えてください。
製品のご紹介:Barracuda Backup, Barracuda CloudGen Firewall, Barracuda PhishLine
原文はこちら
Threat Spotlight: Modular Malware
June 6, 2019 by Jonathan Tanner
https://blog.barracuda.com/2019/06/06/threat-spotlight-modular-malware/