AutoFocusによる脅威インテリジェンスの活用と最新脅威動向 パロアルトネットワークス株式会社 Unit 42 サイバースレットインテリジェンスアナリスト 林 薫 Unit 42 ミッション ミッション:顧客が日々直面す る脅威をより理解するため、 Palo Alto Networks で収集し たデータを解析し、攻撃者と その動機、リソースおよび戦 術を明らかにする。 リソース 戦術 動機 攻撃者のリソースと動機 利益目的 マルウェア ツール C&C エクスプロイット ハクティ ビズム スパイ いたずら 攻撃ライフサイクル 偵察 武器化と配布 不正アクセス 攻撃 インストール 遠隔操作 不正使用 任務遂行 最新の調査報告 Angler エクスプロイト キットを理解する (2016年6月6日) OilRig攻撃活動: サウジアラビアの組織への攻撃でHelminthバックドアを配信(2016年5月27日) DNSリクエストをコマンド アンド コントロールメカニズムとして使用する新たなWekby攻撃(2016年5月 25日) Operation Ke3changが新型TidePoolマルウェアで再び姿を現す(2016年5月24日) KRBanker、アドウェアとエクスプロイト キットを介して韓国を標的に (2016年5月10日) プリンス オブ ペルシャ:10年間、標的型攻撃でアクティブなInfyマルウェア (2016年5月10日) Bucbiランサムウェアがウクライナの改造版として復帰 (2016年5月10日) Afraidgate:主要のエクスプロイトキット攻撃がLockyランサムウェアをCryptXXXに移行(2016年5月6 日) 香港の民主化運動の活動家を標的にした「Poison Ivy RAT」の新たな亜種を発見 (2016年4月26日) Pythonを使ったPWOBotが欧州の諸機関を標的に (2016年4月20日) クリック詐欺Ramdoマルウェアファミリの感染が続く (2016年4月12日) Locky、TeslaCryptなどのランサムウェアが新たな手法を使って検出を回避 (2016年4月10日) エイプリル フールで担がれないようよくある電話詐欺の内情を探る (2016年4月4日) Angler EKにつながるElTest攻撃キャンペーンの進化過程 (2016年4月1日) 次世代セキュリティプラットフォーム 脅威インテリジェンスクラウド WildFire AutoFocus Aperture ※2016年中に日本市場で提供予定 Traps 次世代ファイアウォール アドバンスド エンドポイント プロテクション Global Protect WildFire と AutoFocus 9000社 AUTOFOCUS WildFire サービスの増加 120,000,000 100,000,000 80,000,000 60,000,000 前年度同月比 40,000,000 総スキャンファイル 120% マルウェア 690% 20,000,000 0 Apr-15 May-15 Jun-15 Jul-15 Aug-15 Sep-15 Oct-15 Benign Malware Nov-15 Dec-15 Jan-16 Feb-16 Mar-16 Apr-16 世界中で共有されている脅威インテリジェンス 9000社 WildFire使用 AUTOFOCUS 10億のサンプル 毎日300 – 500万増加 数十億の痕跡 UNIT 42 インテリジェンス pDNS 広範囲な関連付け 攻撃タイプ 標的型 • 狙った個人・組織のみ • 情報搾取、破壊行為、 莫大な金銭 • マルウェアの大量配布 なし 量 ばらまき型 攻撃対象 • 不特定多数 • 主に利益目的 • 同じマルウェアを大量 に配布 現在主流の脅威 ランサムウェア Locky, Shade, CryptXXX, Nymaim, バンキング型トロイの木馬 利益目的 Dridex, Shiotob, Rovnix ダウンローダー Rockloader, Bartallex, Andromeda, エクスプロイット マルウェア RAT (Remote Access Tool) NanoCoreRAT, NetWireRAT スパイ Shiotob バンキング型トロイの木馬 • 目的 • • 感染経路 • • オンラインバンクユーザのコンピュータに感染し、認証情報を 盗むなどして預金を奪う スパム ターゲット • • 世界中 日本を狙った多くのスパムを観測 ランサムウェア ransom = 身代金 n. ran·som /rǽns(ə)m/ 拘束されている人もしくはモノを解放することを目的とした金銭や要求 ランサムウェア概要 ランサムウェアの検体を160万 個以上 WildFire で収集 30以上の異なるランサムウェア ファミリーを AutoFocus で追跡 CryptoLocker と CryptWall だ けで少なくとも4500万ドルの被 害 Locky ランサムウェア 目的 重要なデータを暗号化し、身代金 を要求 感染経路 スパム(直接、ダウンローダー) Exploit Kit ターゲット 世界中 日本語を含む14ヶ国語で身代金 を要求 Samsa ランサムウェア 2015年登場 メール等でのばらまきを行わない 狙ったターゲットに侵入し、感染させる 金融機関もターゲット 亜種はわずか 31 (5月18日現在) 10万ドル以上の被害を確認 Samsa ランサムウェア デモ 脅威インテリジェンスの活用 重要なイベントを発見 攻撃の背後に誰がいるのか クリティカルなイベントをタグ 付けし、統計的に分析 攻撃者と攻撃手法を特定 インシデントへの対応 関連するインジケータをブロック ブログ: www.paloaltonetworks.jp/company/in-the-news.html ツイッター: twitter.com/unit42_jp
© Copyright 2024 ExpyDoc