Minervaのサイバーセキュリティ専門家は最近、「Beep」というタグが付いた新しいマルウェアを発見しました。このマルウェアは、セキュリティソフトウェアによる検出と分析を回避する機能を備えています。同サイバーセキュリティ組織は、サンプルがVirusTotalにアップロードされた後にBeepを発見しました。
Beepが検出を回避する仕組み
Beep はまだ開発の初期段階にあり、いくつかの基本的なマルウェア攻撃機能が欠けているものの、Minerva のレポートでは、脅威の攻撃者がドロッパー、インジェクター、ペイロードという 3 つの主要コンポーネントを使用して、感染したシステムに追加のペイロードをダウンロードして挿入できることが示されています。
Beepと他のマルウェアの違いは、独自の検出回避技術を用いて検出を回避する能力にあります。例えば、Beepはサンドボックス回避技術を用いて、疑わしいプログラムのマルウェア活動をテストするために使用されるサンドボックスセキュリティシステムを回避します。また、Beepは暗号化技術を用いて悪意のある活動を隠蔽することで、検出をさらに困難にしています。
参照: たった30ドルで倫理ハッキングのコースを9つ受講可能 (TechRepublic Academy)
さらに、Beep は、動的文字列難読化、アセンブリ実装、システム言語チェック、アンチデバッグ NtGlobalFlag フィールド、RDTSC 命令、Beep API 関数アンチサンドボックスなど、他の方法を組み合わせて採用しています。
Beepマルウェアに関する最大の懸念は、検知されなかった場合の企業への潜在的な影響です。他のマルウェアと同様に、ログイン認証情報や金融データといった機密情報の窃取が標的となる可能性が最も高いと考えられます。
ミネルバ・ラボの研究員ナタリー・ザルガロフ氏は、「このマルウェアの作成者は、できる限り多くのアンチデバッグとアンチVM(アンチサンドボックス)戦術をインストールしようとしていたようだ」とコメントした。
企業がBeepマルウェア攻撃を軽減する方法
Beepはサイバー犯罪者によってランサムウェア攻撃に利用される可能性があります。企業がこのセキュリティリスクを軽減するために実施できる重要な対策をご紹介します。
エンドポイントを強化する
企業はシステムを構成する際にセキュリティを最優先に考慮する必要があります。安全な構成設定を実装することで、組織の攻撃対象領域を縮小し、構成の不備に起因するセキュリティ上の脆弱性に対処することができます。
CISベンチマークは、コンセンサスに基づいて策定された業界をリードする構成標準の導入を目指す組織にとって優れた選択肢となります。AWS、IBM、Microsoftなどの大企業は、安全な構成のためにCISベンチマークを推奨しています。
ポート設定を確認する
多数のランサムウェアの亜種が、リモート デスクトップ プロトコル ポート 3389 とサーバー メッセージ ブロック ポート 445 を悪用します。組織でこれらのポートを開いたままにして、信頼できるホストへの接続を制限する必要があるかどうかを判断します。
オンプレミス環境とクラウド環境の両方で、これらの設定を分析し、クラウド サービス プロバイダーと協力して、未使用の RDP ポートを無効にします。
侵入検知システムを設置する
潜在的に有害なアクティビティを特定するために、企業は侵入検知システム(IDS)を活用できます。このシステムは、ネットワークトラフィックのログと既知の悪意のある動作を検出するシグネチャを照合します。信頼性の高いIDSは、シグネチャを定期的に更新し、悪意のある可能性のあるアクティビティを検知した場合は直ちに組織に通知します。
ソフトウェアを最新の状態に保つ
Beepやその他のマルウェア攻撃を防ぐためのもう一つの重要なステップは、すべてのソフトウェアとオペレーティングシステムを最新のセキュリティパッチとアップデートで最新の状態に保つことです。サイバー犯罪者は、古いバージョンのソフトウェアの脆弱性を悪用してシステムにアクセスすることが多いため、すべてを最新の状態に保つことで、これらのリスクを最小限に抑えることができます。
ウイルス対策ソフトウェアとマルウェア対策ソフトウェアを使用する
強力なウイルス対策ソフトウェアとマルウェア対策ソフトウェアを導入することで、ランサムウェア攻撃を防ぐことができます。Beepは検出を回避する驚異的な能力を発揮していますが、企業にとってシステムにマルウェア対策ソフトウェアプログラムをインストールすることは依然として不可欠です。
高品質なウイルス対策ソフトウェアとマルウェア対策ソフトウェアは、マルウェアが被害を及ぼす前に検出・隔離するのに役立ちます。また、他の種類のサイバー脅威に対する追加の保護層も提供します。
強力なパスワードポリシーを実装する
脆弱なパスワードはセキュリティ上の大きな脆弱性となる可能性があるため、強力なパスワードポリシーを導入することで、システムやデータへの不正アクセスを防ぐことができます。これには、複雑なパスワードの使用を義務付ける、定期的にパスワードを変更する、多要素認証を使用してセキュリティをさらに強化するといった方法が含まれます。
ランサムウェアについて従業員を教育する
ランサムウェア攻撃のリスクと潜在的な脅威の見分け方について、従業員を教育することが不可欠です。これには、サイバー心理学やヒューマンファクターに関する研修、フィッシングメールやその他のソーシャルエンジニアリング攻撃の見分け方に関する組織固有のセキュリティ研修、そして疑わしいメールやその他のコミュニケーションへの対処に関するベストプラクティスに関するガイダンスなどが含まれます。
次に読む: セキュリティ意識向上とトレーニングポリシー (TechRepublic Premium)
