アズジェント、ネットワーク迷宮化ソフト「illusive」がランサムウエアに対応
アズジェントは2016年8月23日、社内に侵入したマルウエアや攻撃者の活動を、実際には存在しない偽りのサーバー情報を利用して妨害するタイプのセキュリティソフト「illusive Deceptions Everywhere」(図1)を強化したと発表した。新機能として、暗号化ランサムウエアを検知してブロックする機能を追加した。価格(税別)は、端末5000台の場合に1端末当たり年額9840円。開発会社は、イスラエルのイリューシブネットワークス。 illusive Deceptions Everywhereの管理サーバーは、社内LAN上でActive Directory管理下にあるパソコンなどの端末にリモートアクセスし、メモリーキャッシュ情報を書き換える。実際には存在しないFTPサーバーやデータベースサーバーに対するログイン情報や、Webブラウザーの閲覧履歴などを、デコイ(偽情報)として埋め込む。
持続的標的型攻撃の手口解明:ARPスプーフィングを利用した情報探索 | トレンドマイクロ セキュリティブログ
持続的標的型攻撃の流れは、「1. 事前調査」「2. 初期潜入」「3. C&C通信」「4. 情報探索」「5. 情報集約」そして「6. 情報送出」の 6段階に分けることができます。このうち第4段階の「情報探索」の攻撃では、同一の「ローカル・エリア・ネットワーク(LAN)」上の他の PC へのアクセスを試みます。この攻撃を達成させる 1つの有用な攻撃ツールが「ARPスプーフィング」です。「アドレス解決プロトコル(Address Resolution Protocol, ARP)」と呼ばれる規則の特性を悪用し、偽った情報を伝えるこの攻撃は、他の PC にバックドア型不正プログラムを仕掛けるだけでなく、情報を収集をするさまざまな攻撃を実行するのに利用できます。トレンドマイクロは、2013年9月、ARPスプーフィングを利用した攻撃を自動化するハッキングツールを確認。この種の攻撃を利用し、Webサイトへ
最重要部へのバックドア設置を回避する
前回は、パターン1から3までに対しての対策をご紹介しました。今回はパターン4「システム内情報の捜索脅威」に対して、どういった対策があるかについて説明をしていくことにします。 新しいタイプの攻撃は組織のネットワーク内に侵入後、最深部にある重要なデータを狙います。重要なデータに到達することができれば、バックドアを経由して外部の攻撃者へ窃取したデータを送信したり、そのデータの破壊を試みます。この新しいタイプの脅威に対抗する方法を、システムの設計、構築面から考えていきます。 バックドアと外部の通信遮断に続く有効な対策は インターネットからの侵入を水際で食い止める入口対策は愉快犯的な無差別攻撃に対して有効ですが、新しいタイプの攻撃のように狙い撃ちで特定の組織が対象とした攻撃を防ぐには不十分です。ウイルスに侵入されてバックドアは既に設置されたという仮定で、出口対策によりバックドアと外部の通信を遮断しデ
ウイルスの拡散を検知して抑止する
共通脅威パターンの最後、5番目の「ウイルスのシステム内拡散、機能更新脅威」に対抗する設計と運用を考察していきます。4番までの対策で、外部C&Cとウイルス間の通信を遮断し、組織内の重要なサーバーにバックドアの感染を抑止できれば、残りはウイルスと設置されているバックドアを検知し、排除するという処置になります。 セグメントを分離してログを可視化、異常なログを拾い出す その端末がインターネットに直接接続していないから安心だということはありません。狡猾な方法でウイルスはバージョンアップや窃取・破壊活動を遂行します。また、P2Pを使ってウイルスが進化すると、パターンで検知するタイプのウイルス対策ソフトでは、合致パターンを見つけ出しにくくなり、検知や駆除は困難になってしまいます。 前回の対策でデータの窃取と破壊を防ぐために、深奥部のサーバーをVLANなどで分離するように設計するという話をしました。これと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
