(レポート) Sophos Discover 2016: Threat Landscape 2016 #sophoslife

はじめに

本記事はSOPHOS DISCOVER 2016のセッション、 Threat Landscape 2016のレポートです。

スピーカーはSr. Security AdvisorのChester Winsniewski。

レポート

今日のアジェンダ。エンドポイントプロテクション、データプロテクション、次世代ファイアウォール。

ランサムウェアについて。ランサムウェアは何をするか？ソーシャルエンジニアリング、Eメールを開くことだけが脅威だったのは昔の話だ。今は個人にカスタマイズされた脅威となっている。ランサムウェアはメモリに常駐しディスクに痕跡を残さないものもあり、フォレンジックで見つかりにくくなっている。PowerShell Script等、既存のテクノロジーを活用する。

Lockyのスクリーンショット。Eメールからフィッシングサイトに誘導し感染を広げる。

Lockyはどうやって動くのか？メールによって感染、本体(Python)をばら撒く。スリープタイマーを持ち、周期的に動作。拡張子をランダムに変更し隠蔽を図る。

パス、ファイル名、拡張子をランダムに組み合わせ。Thumb.dbなどが含まれる。

どうやって防止するか？EメールやWebのフィルタリング、アンチウイルスやIPSなど。Sophosでは様々な次世代テクノロジーで対応している。

データを盗むマルウェアに感染する理由。複数のセキュリティ問題やヒューマンエラー、ユーザーの高権限付加、プアなアウトバウンド通信のフィルタリング。そもそもセキュリティのベースラインがない。ベースラインが無ければマルウェアやランサムウェアの感染を防ぐことが出来ない。

どうやってデータを盗むのか。マルウェアからHTTPで外部サイトにデータをPUTしたり、外部に対してFTPでデータを送信したり、gmailのSMTPサーバを使ってメール添付で送信したり。

SafeGuardのデモ。SafeGuardで暗号化され守られたファイルは緑の鍵マークが付き、外部に送信されたとしても開くことが出来ず、SafeGuardで守られている旨のメッセージが表示される。

データ盗難マルウェアの防止。メールフィルタなどもそうだが、ベースラインを確立させ適用することがとても重要。

ドキュメントマルウェアについて。マルウェアの動作。アクションのフローが定義されており、コードの中でjmp命令によって遷移する。

デモ。Wordのマクロを動かす例。デモではメッセージを出すだけだが、システムやアプリケーションをクラッシュさせることができる。

ドキュメントマルウェアの防止。Sandboxの活用。Googleのようなクラウドサービスの利用でも防止できる、Microsoftじゃないから。

XG Firewallのテクニカルセッションもあるから来てね！というメッセージで本セッションは終了しました。

さいごに

最近のセキュリティ脅威の状況について知ることができました。質疑応答の英語があんまり聞き取れなくて内容が薄くなってしまいました。午後のセッションも英語頑張ります。