McAfeeは、新たなランサムウェアが企業環境で検出された事を確認しました。
脅威名は、Ransom-WannaCry(WCry、WanaCrypt、WanaCrypt0rとも呼ばれます)です。
マカフィーの観察と分析の情報:https://securingtomorrow.mcafee.com/business/analysis-wannacry-ransomware-outbreak/
マカフィー オフィシャルスレッドアドバイザリ: PD27077
マカフィーコミュニティ:
https://community.mcafee.com/docs/DOC-9829
マカフィーは Ransom-WannaCry に対応する緊急 DAT をリリースしました。
その後のバージョンでも随時検知を追加していきます。検知可能な最小 DAT バージョンは以下の通りです。
- VSE (8527) または以降のバージョン *
- ENS (2978) または以降のバージョン *
* 既知の亜種に対する定義ファイルでのコンテンツ保護
この記事に添付されている Extra.DAT は VSE 8530, ENS 2981 へそれぞれ含まれています。
ベストプラクティスは最小限の更新間隔でリポジトリの更新タスクを構成の上、新しい定義ファイルがリリースされた際に確実に適用されるようにすることです。この記事は追加情報が入手可能になると更新されますので、継続してご確認ください。
この記事のトピックス
感染したシステムの症状
VSE のAccess Protection ルール
ENSの Access Protection ルール
ENS アプリケーションの動的隔離ルール
McAfee NSP での WannaCry Ransomware カバレッジ
よくある質問
記事の更新
この記事の更新時に電子メール通知を受け取るには、ページの右側にある[購読]をクリックします。 登録するには、ログインが必要です。
| 日付 |
更新内容 |
| May 16, 2017 2:30 PM CDT |
Host IPS と ENS ATP での設定を追記しました。 |
| May 15, 2017 11:30 AM CDT |
ENS でのインプリを容易にするための Extra.DAT ファイル (EXTRA_20170514-2.zip) を更新しました。 |
| May 15, 2017 11:00 AM CDT |
FAQ 項目を追記 |
| May 15, 2017 10:00 AM CDT |
VSE 8530、および ENS 2981 へ含まれた Extra DAT に関する情報を更新しました。
DAC ルールセクションを更新しました。 |
| May 14, 2017 12:45 PM CDT |
Extra DAT の更新、および VSE で 8529 DAT を、ENS で 2980 をご利用のお客様も添付されている Extra DAT をご利用いただく旨を追記 |
| May 14, 2017 8:55 AM CDT |
オフィシャルスレッドアドバイザリへのリンクを追加 |
| May 14, 2017 7:30 AM CDT |
Extra.dat ファイルを更新 |
| May 13, 2017 3:05 PM CDT |
ENS アプリケーションの動的隔離ルールと、この記事のトピックスへの簡易的なアクセスを行うため内部リンクを追加しました。マカフィーコンシューマ向け顧客は、この記事のマカフィー製品が該当しない注記を追加しました。 |
| May 13, 2017 11:15 AM CDT |
Extra DAT の更新、および 8527/8528 DAT でも必要とする旨を更新 |
| May 13, 2017 9:15 AM CDT |
緊急 DAT リリース、および検知可能な最小 DAT バージョンについて追記 |
| May 12, 2017 11:55 PM CDT |
NSP シグネチャの入手先として KB55447 への案内を追記 |
| May 12, 2017 6:00 PM CDT |
NSP対応シグネチャの追記 |
| May 12, 2017 5:30 PM CDT |
ブログへのリンクおよび画像の更新 |
| May 12, 2017 5:00 PM CDT |
FAQの追記 |
| May 12, 2017 4:20 PM CDT |
Extra.dat ファイルの更新 |
| May 12, 2017 3:45 PM CDT |
- 感染端末におけるメッセージの画面ショット追加
- 重要事項:Critical Microsoft Patch MS17-010への更新案内を追記
|
| May 12, 2017 2:35 PM CDT |
- Ransom-WannaCry 用 Extra.dat ファイルの添付、および関連記事の追記
- VSEおよびENSのアクセス保護ルールに関する情報の掲載
|
| May 12, 2017 1:05 PM CDT |
類似する脅威名の追記 |
| May 12, 2017 12:30 PM CDT |
本記事の作成および公開 |
この脅威は、感染したシステムで次のような症状を示します。
・ファイルは .wnry, .wcry, .wncry、および .wncryt 拡張子で暗号化されます。 画面には、ランサムメッセージを含む文が表示されます。
・以下のRansom-WannaCry画面が表示されます。
・再起動すると、影響を受けるコンピュータでブルースクリーンエラーが発生し、起動できなくなります。
・ローカルホストとオープンSMB共有が暗号化されることを確認しています。
重要:SMB共有が暗号化されることを防ぐため、すぐにマイクロソフトのクリティカルパッチMS17-010をインストールする必要があります。
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
VirusScan Enterprise(VSE)およびエンドポイントセキュリティ(ENS)アクセス保護プロアクティブ対策
注意: VSEおよびENSアクセス保護ルールは、".WNRY" ファイルの作成を防止します。
このルールは、".WNCRYT"、".WNCRY"、および/または ".WCRY" 拡張子を含む、暗号化ファイルを作成するための、暗号化ルーチンを防ぎます。".WNRY" に対するブロックを実装すると、他の暗号化されたファイルの種類に対するブロックは必要ありません。
VSE のAccess Protection ルールを使用する場合:
ルール 1:
ルールのタイプ: レジストリのブロックルール
組み入れるプロセス: *
保護するレジストリのキーまたは値: HKLM - /Software/WanaCrypt0r
保護するレジストリのキーまたは値: キー
ブロックするレジストリのアクション: キーまたは値の作成
ルール 2:
ルールのタイプ: ファイル/フォルダのブロックルール
組み入れるプロセス: *
ブロックするファイルまたはフォルダの名前: *.wnry
禁止されたファイルアクション: 新規ファイルの作成
ENSの Access Protection ルールを使用する場合:
ルール 1:
実行ファイル 1:
対象ステータス: 含む
ファイル名またはパス: *
サブルール1:
サブルールの種類: レジストリ キー
操作: 作成
対象1:
対象ステータス: 含む
レジストリキーのパス: *\Software\WanaCrypt0r
サブルール2:
サブルールの種類: ファイル
操作: 作成
対象1:
対象ステータス: 含む
ファイル、フォルダー名またはファイル パス: *.wnry
Host Intrusion Prevention (Host IPS) カスタムシグネチャプロアクティブ対策
注意: Host IPS カスタムシグネチャルールは ".WNRY" ファイルの作成を防止します。これらのルールは ".WNCRYT", ".WNCRY" 、および/または ".WCRY" 拡張子を含む、暗号化されたファイルを表示する暗号化ルーチンを防止します。 ".WNRY" ファイル作成に対するブロックを実装することで、他の暗号化ファイルタイプをブロックする必要がなくなります。
Host IPS カスタムシグネチャルールの使用方法:
シグネチャルール 1:
新しい標準サブルール
ルールの種類 = Registry
操作 = 作成, 変更, 権限の変更
パラメータ, "を含む" "レジストリキー"
レジストリキー= \REGISTRY\MACHINE\SOFTWARE\WanaCrypt0r
実行ファイル = *
シグネチャルール 2:
新しい標準サブルール
ルールの種類 = Files
操作 = 作成, 書き込み, 名前の変更,読み取り専用属性と隠しファイル属性を変更する
パラメータ, include Files
ファイル= *.wnry
実行ファイル = *
Endpoint Security (ENS) with Adaptive Threat Protection (ATP) – Real Protect と Dynamic Application Containment (DAC)
ENS 10.5 Adaptive threat Protection Real Protect は Dynamic Application Containment と連携して、未知の脆弱性に対する次世代のプロテクションを提供します。
ENS with ATP では WannaCry の既知の亜種すべてに対して、完全なプロテクションを提供します。 WannaCry に関する未知の亜種を検出するため、マカフィーでは下記の ATP 構成を推奨します。
- 以下の設定を実施します。"Adaptive Threat Protection" - "Options" ポリシー:
Rule Assignment = Security (デフォルト設定は Balanced)
- 以下のルールを設定します。"Adaptive Threat Protection" – "Dynamic Application "Containment" ポリシー:
Dynamic Application Containment – Containment ルール
KB87843 – Best Practices for ENS Dynamic Application Containment Rues を参照のうえ、
推奨される DAC ルールを規定通りにブロックへ設定します。
ルール1:
ルール名: 任意の子プロセスの実行
ルール2:
ルール名: ユーザー Cookie の場所へのアクセス
ルール3:
ルール名: .html, .jpg、 または .bmp 拡張子がついたファイルの作成
ルール4:
ルール名: .exe 拡張子がついたファイル作成
ルール5:
ルール名: ユーザーのデータフォルダ変更
ルール6:
ルール名: スタートアップのレジストリ変更
ルール7:
ルール名: 重要な Windows ファイルとレジストリ変更
ルール8:
ルール名: ネットワーク上のファイルの読み取り、または変更
ルール9:
ルール名: .bat 拡張子がついたファイルの変更
ルール10:
ルール名: .vbs 拡張子がついたファイルの変更
ルール11:
ルール名: .bat 拡張子がついたファイルの作成
ルール12:
ルール名: ランサムウェがよく狙うファイルの読み取り
ルール13:
ルール名: ネットワーク上でのファイルの作成
ルール14:
ルール名: ランサムウェがよく狙うファイルへの書き込み
ルール15:
ルール名: 隠し属性ビットの変更
McAfee NSPでのWannaCry Ransomware カバレッジ
対応シグネチャ:
- 0x43c0b800- NETBIOS-SS: Windows SMBv1 identical MID and FID type confusion vulnerability (CVE-2017-0143)
- 0x43c0b400- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0144)
- 0x43c0b500- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145
- 0x43c0b300- NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability (CVE-2017-0146)
- 0x43c0b900- NETBIOS-SS: Windows SMBv1 information disclosure vulnerability (CVE-2017-0147)
NSPのリサーチチームは、CVE-2017-0148の情報を確認しUDSを作成しました。USDは登録済みユーザー向け KB55447より入手可能です。https://support.mcafee.com にアクセスし記事にアクセスしてください。
FAQ:Ransom-WannaCry
McAfee Application Control(MAC)をブロックモードで使用すると、感染を防止できますか?
はい、MACはホワイトリストに登録されていない新しいハッシュ値をすべてブロックします。
なぜアクセス保護ルールに名前を付けていますか?
ルール名はルール自体に影響を及ぼさず、自由に名前を付けることができます。
DATで問題が解決されますか? またはレジストリアップデートも必要ですか?
添付された Extra.DAT と緊急 DAT によって現時点で McAfee Labs へ提出されたすべての既知の亜種を検出し、今後の DAT バージョンでも対応を強化します。既知の Ransom-WannaCry 亜種をブロックするための一般的なアプローチとして、アクセス保護ルールを推奨しています。
McAfee は Extra.DAT をチョイスしたのは何故ですか? 保護するための情報を DAT へ直接含めなかったのは何故ですか?
驚異の亜種が新たに発見されたため、Extra.DAT リリースと本ナレッジを更新しました。プロダクション DAT ではこれらの新しい亜種に対応していないため、現行のプロダクション DAT と Extra.DAT の使用を推奨します。
関連情報:
KB50642 - VirusScan Enterprise 8.x に Extra.DAT をローカルで適用する方法
KB67602 - ePolicy Orchestrator 経由で EXTRA.DAT を手動でチェックインし配備する方法
