マイクロソフト ウクライナにおけるサイバー脅威:分析とリソース

マイクロソフトより、ウクライナにおけるサイバー脅威を監視し予防的な保護するための情報が公開されました。ご参考になりましたら幸いです。

Cyber threat activity in Ukraine: analysis and resources
MSRC / By msrc / February 28, 2022 / analysis, cyberthreat, Ukraine

UPDATE 02 MAR 2022: See Updated malware details and Microsoft security product detections below for additional insights and protections specific to the evolving threats we have identified impacting organizations with ties to Ukraine.

Microsoft Security Response Center

セキュリティのガイドラインと推奨事項

セキュリティ体制を確認し、レジリエンスを構築するためのベストプラクティスを実装することをお勧めします。以下は、推奨事項とリソースへのリンクです。

  1. サイバーハイジーン:組織は、潜在的な脅威からプロアクティブに保護するために、サイバーハイジーンの基本原則に従ってすべてのシステムを強化する必要があります。次の手順を実行することをお勧めします。
    • 多要素認証を有効にする
    • 最小特権アクセスを適用し、最も機密性の高い特権クレデンシャルを保護する
    • リモートアクセス インフラストラクチャのすべての認証アクティビティを確認する
    • 最新のパッチを適用してシステムを保護および管理する
    • マルウェア対策およびワークロード保護ツールを使用する
    • レガシーシステムを分離する
    • 重要な機能のロギングを有効にする
    • バックアップを検証する
    • サイバーインシデント対応計画が最新であることを確認する
  2. マイクロソフトセキュリティのベストプラクティス:セキュリティポスチャを改善し、環境がクラウドか、クラウドとオンプレミスデータセンターにまたがるハイブリッドエンタープライズであるかにかかわらず、リスクを軽減するように設計されています。マイクロソフトセキュリティのベストプラクティス
  3. ランサムウェアの脅迫からの保護:ランサムウェア攻撃は、ビジネスオペレーションに壊滅的な影響を与える可能性があり、クリーンアップが困難であるため、今後の為にも完全な排除が必要になります。ランサムウェア固有の技術ガイダンスに従って、攻撃の準備、被害範囲の抑止、および追加のリスクの除去を支援します。人間が操作するランサムウェア

破壊的なワイパー攻撃

1月にDEV-0586によって展開されたWhisperGateの破壊的なマルウェアを皮切りに、マイクロソフトはウクライナの組織に影響を与える破壊的なマルウェア攻撃を監視し続けており、これらの目的は、標的となるリソースの破壊(destruction)、混乱(disruption)、および崩壊(degradation)であると評価しています。

Microsoft Defender Antivirusは、ビルドバージョン1.359.813.0以降でワイパー攻撃の検出を提供しております。自動更新を利用している場合は、追加のアクションを実行する必要はなく、更新を管理している企業は、検出ビルド1.359.813.0以降を選択し、組織全体に展開する必要があります。

関連する攻撃のハンティング

Microsoft SentinelおよびMicrosoft Defender for Endpointでは、以下のクエリを通じて関連するアクティビティを探すことができます。

Microsoft Sentinel

このクエリは、クラッシュダンプが作成されないようにするために、ホストに設定されているレジストリキーを探します。
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SecurityEvent/Crashdumpdisabledonhost.yaml

このクエリは、デフォルトドメインポリシーまたはデフォルトドメインコントローラーポリシーを介して展開されたように見える、ホスト上で実行された実行可能ファイルを探します。これらのポリシーは通常、実行可能ファイルの配布には使用されません。
https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/NewEXEdeployedviaDefaultDomainorDefaultDomainControllerPolicies.yaml

このクエリは、元のプロセスの名前がsdelete.exeではないCドライブに対するSdeleteの再帰的使用に関連するコマンドラインパラメーターを検索します。https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/Potentialre-namedsdeleteusage.yaml

このクエリは、GPOを介して展開されているSdeleteを検索し、ホスト上で再帰的に実行します。
https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/SdeletedeployedviaGPOandrunrecursively.yaml

Microsoft Defender for Endpoint

このクエリを使用して、AppData \ RoamingパスのDLLを参照するコマンドラインで起動するMSHTAを探します。
(ご参考)

DeviceProcessEvents
| where FileName =~ "mshta.exe"
| where ProcessCommandLine has_all (".dll", "Roaming")
| where ProcessCommandLine contains @"Roaming\j"
| extend DLLName = extract(@"[jJ][a-z]{1,12}\.dll", 0, ProcessCommandLine)

このクエリを使用して、アクターのアクティビティに関連する可能性のあるスケジュールされたタスクを探します。
(ご参考)

DeviceProcessEvents
| where ProcessCommandLine has_all ("schtasks.exe", "create", "wscript", "e:vbscript", ".wav")

このクエリを使用して、名前が変更されたSysinternals sdeleteツールを使用して、ホストへの破壊的な攻撃の一部としてCドライブ上の複数のファイルを削除することに関連するコマンドラインパラメーターを探します。
(ご参考)

DeviceProcessEvents
| where InitiatingProcessFileName !~ "sdelete.exe"
and InitiatingProcessCommandLine has_all ("-accepteula", "-r", "-s", "-q", "c:/")
and InitiatingProcessCommandLine !has ("sdelete")

投稿者: 二本松 哲也

競争原理から共創原理へ SPbD Founder、 OWASP Member 、株式会社ラック セキュリティコンサルタント、総務省事業 テレワーク セキュリティ専門家、IPCC 地球温暖化防止コミュニケーター、キャリア(個人事業主:PG→SE→PL→PM)→ (会社員:システムコンサルティング事業部 部長:情シス、事業企画、プロダクト開発、知財、法務、情報セキュリティ委員会、Pマーク、IT補助金、IPO、在留資格申請、建設業許可申請)