脅威レポートMcAfee Labs

2017年9月

WannaCryの脅威を防ぐ

スクリプト ベースのマルウェアの急増

脅威ハンティングのプロになる

WannaCryはわずか24時間で30万台を超えるコンピューターに感染し、 被害は150か国以上に広がりました。

マルウェアの作成者は、不正なコードを配布するために、JavaScript、VBScript、PHP、PowerShellなどのスクリプトを使用しています。

脅威ハンティングは、アラートを待たずに攻撃や感染したマシンを見つけ出す プロアクティブなアプローチです。脅威ハンティングは、ネットワーク内に

1つ以上の感染システムが常に存在し、セキュリティ対策を回避しようとする 攻撃が発生していることを前提としています。

痕跡

McAfee Labsに送付されたPowerShellマルウェアのサンプル

McAfee Labsに送付されたNemucodマルウェアのサンプル

感染の最初の段階

効果的な脅威ハンティングの例McAfee Foundstone サービス セキュリティ コンサルティング チーム

McAfee Labsに送付された Hypertext-application/VBSマルウェア

統計情報

マルウェア第2四半期、新しいマルウェアのサンプルは5,200万件に増加しました（67%増）。マルウェア サンプルの合計数は前年よりも23%増加し、7億2千300万件になりました。

Mac OSを狙う マルウェアアドウェアの大量発生は収束し、Mac OSのマルウェアはいつもの水準に戻りました。第2四半期の増加は27,000件にすぎません。Windowsの脅威に比べると数は少なく、第2四半期のMac OSマルウェアの合計数は4%しか増加していません。

マクロ ウイルス第2四半期、新しいマクロ ウイルスは35%増加しました。新しいサンプルは91,000件増加し、合計数は110万件になりました。

ランサムウェア第2四半期、新しいランサムウェアのサンプルは54%増加しました。ランサムウェアのサンプルの合計は前年よりも47%増加し、1,070万件に達しています。

インシデント第2四半期に公開されたセキュリティ インシデントは311件で、第1四半期よりも3%増加しています。医療機関、公共機関、教育機関で全体の50%を占めています。第2四半期に公開されたセキュリティ インシデントの78%はアメリカ大陸で発生しています。

モバイル マルウェア世界のモバイル マルウェアの感染数は8%増加しています（アジアでは18%増加）。モバイル マルウェアの合計は前年よりも61%増加し、1,840万件になっています。

47%

3%

61% 35%

23% 4%

McAfee Global Threat IntelligenceMcAfee GTIが1日に受信したクエリーは平均で440億件です。

4,200万精度の向上により、McAfee GTIで阻止した不正なURLは1日あたり4,200万件で、前の四半期（9,500万件）よりも減少しています。

7,700万McAfee GTIで阻止した不審なプログラム（PUP）は1日あたり7,700万件で、前の四半期（5,600万件）よりも増加しています。

3,600万McAfee GTIで阻止した不正なファイル数は1日あたり3,600万件で、前の四半期（3,400万件）よりも増加しています。前のマルウェアの検出でローカル情報が向上しました。

5,700万早期検出により、McAfee GTIで阻止した危険なIPアドレスは1日あたり5,700万件で、前の四半期（6,100万件）よりも減少しています。

McAfee Labs脅威レポート: 2017年9月レポートの完全版は、www.mcafee.com/September2017ThreatsReportをご覧ください。

© 2017 McAfee, Inc.3580_0917_info-threats-report-wannacry

>300,000WannaCryが感染した コンピューターは

30万台以上

例1

指令に対する ハンティング仮説: ネットワーク上の感染システムが、 未検出のC&Cトラフィックを生成している方法: DNSとユーザー エージェントの両方でLFU分析を行う

例3

特権昇格の ハンティング仮説: システムに侵入した攻撃者が、ユーザーを特権グループに追加し、特権昇格を試みている方法: エンタープライズ ドメイン コントローラー（ドメイン以外では個々のコンピューター）でイベントID 4728、4732、4756の発生を確認する

例5

外部へのデータ送信に対するハンティング仮説: 攻撃者が、ビジネスに関係のない地理的場所にネットワーク内部から大量のデータを送信しようとしている方法: ネットワークの正常な状態をプロファイリングする。長時間継続している接続、海外への接続、大量のデータを送信する接続を監視する。

第3四半期

第3四半期

第3四半期

2015年

2015年

2015年

2016年

2016年

2016年

2017年

2017年

2017年

第4四半期

第4四半期

第4四半期

第1四半期

第1四半期

第1四半期

第2四半期

第2四半期

第2四半期

第3四半期

第3四半期

第3四半期

第4四半期

第4四半期

第4四半期

第1四半期

第1四半期

第1四半期

第2四半期

第2四半期

第2四半期

例2

持続性のハンティング仮説: 1つ以上のシステムが、自動的に起動するマルウェアの亜種に感染しているが、まだ検出されていない方法: 毎日スナップショットを取得して差分を取り、LFU分析で異常値を調べる

例4

移動に対する ハンティング仮説: ネットワーク上の攻撃者がMicrosoftのPsExec管理ツールを使用して移動を試みている方法: PsExecが実行された証拠となるイベントID 7045の発生を確認する。MetasploitのPsExecが実行された証拠となるID 7045とID 7030の生成を確認する。

>150150か国以上

不正な JavaScript

ダウンローダーされるマルウェア

<2424時間以内

感染した Webサイト/サーバー

IP

異常なDNS要求

DDoSの兆候と地理的な異常性

レジストリ/システム ファイルに対する不審な変更

同じファイルに対する大量の要求

ログインのレッドフラグ 総当たり攻撃など

特権ユーザー アカウントで実行される異常なアクティビティ

HTML応答サイズ

ドメイン

URL

ファイル名

ファイル ハッシュ

アプリケーション トラフィックでのポートの不一致

システムに対する予期しないパッチの適用

異常な方向に送信されるネットワーク トラフィック

54%

53%

52%

49%

46%

45%

45%

44%

42%

41%

40%

37%

34%

33%

29%

60%50%40%30%20%10%0%

脅威ハンティングによく使用するIOCは何ですか?

出典: McAfee脅威ハンティング調査（2017年5月）

出典: McAfee Labs、2017年9月.

出典: McAfee Labs、2017年9月.

出典: McAfee Labs、2017年9月.

25,000

20,000

15,000

10,000

5,000

2,000,000

1,600,000

1,200,000

800,000

400,000

1,600,000

1,200,000

800,000

400,000

0

0

0

スパム メール

• Miuref• Crowti• Fareit• Dridex

• Tescrypt• Locky• Gamarue• Kovter

• Cerber• CryptoWall