(レポート) Sophos Discover 2016: Threat Landscape 2016 #sophoslife

はじめに

本記事はSOPHOS DISCOVER 2016のセッション、 Threat Landscape 2016のレポートです。

スピーカーはSr. Security AdvisorのChester Winsniewski。

DSCN0206

レポート

今日のアジェンダ。エンドポイントプロテクション、データプロテクション、次世代ファイアウォール。

ランサムウェアについて。ランサムウェアは何をするか?ソーシャルエンジニアリング、Eメールを開くことだけが脅威だったのは昔の話だ。今は個人にカスタマイズされた脅威となっている。ランサムウェアはメモリに常駐しディスクに痕跡を残さないものもあり、フォレンジックで見つかりにくくなっている。PowerShell Script等、既存のテクノロジーを活用する。

DSCN0207

Lockyのスクリーンショット。Eメールからフィッシングサイトに誘導し感染を広げる。

DSCN0208

Lockyはどうやって動くのか?メールによって感染、本体(Python)をばら撒く。スリープタイマーを持ち、周期的に動作。拡張子をランダムに変更し隠蔽を図る。

DSCN0209

パス、ファイル名、拡張子をランダムに組み合わせ。Thumb.dbなどが含まれる。

DSCN0210

どうやって防止するか?EメールやWebのフィルタリング、アンチウイルスやIPSなど。Sophosでは様々な次世代テクノロジーで対応している。

DSCN0211

データを盗むマルウェアに感染する理由。複数のセキュリティ問題やヒューマンエラー、ユーザーの高権限付加、プアなアウトバウンド通信のフィルタリング。そもそもセキュリティのベースラインがない。ベースラインが無ければマルウェアやランサムウェアの感染を防ぐことが出来ない。

DSCN0212

どうやってデータを盗むのか。マルウェアからHTTPで外部サイトにデータをPUTしたり、外部に対してFTPでデータを送信したり、gmailのSMTPサーバを使ってメール添付で送信したり。

DSCN0213

SafeGuardのデモ。SafeGuardで暗号化され守られたファイルは緑の鍵マークが付き、外部に送信されたとしても開くことが出来ず、SafeGuardで守られている旨のメッセージが表示される。

DSCN0214

データ盗難マルウェアの防止。メールフィルタなどもそうだが、ベースラインを確立させ適用することがとても重要。

DSCN0215

ドキュメントマルウェアについて。マルウェアの動作。アクションのフローが定義されており、コードの中でjmp命令によって遷移する。

DSCN0216

デモ。Wordのマクロを動かす例。デモではメッセージを出すだけだが、システムやアプリケーションをクラッシュさせることができる。

DSCN0217

ドキュメントマルウェアの防止。Sandboxの活用。Googleのようなクラウドサービスの利用でも防止できる、Microsoftじゃないから。

DSCN0218

XG Firewallのテクニカルセッションもあるから来てね!というメッセージで本セッションは終了しました。

さいごに

最近のセキュリティ脅威の状況について知ることができました。質疑応答の英語があんまり聞き取れなくて内容が薄くなってしまいました。午後のセッションも英語頑張ります。