AhnLab Security Emergency response Center (ASEC)では毎週、週間マルウェア統計を整理して掲載している。
https://asec.ahnlab.com/jp/53680/
このうち、拡散が続いているインフォスティーラー型マルウェアである AgentTesla を、EDR(Endpoint Detection and Response)を活用するとどのように検知されるのか、追跡と対応方法について共有する。
AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。AhnLab EDR 製品では、特定タイプの PE がユーザーアカウント情報ファイルにアクセスする振る舞いを脅威として検知する。
アカウント情報を窃取する振る舞い検知の詳細情報からダイアグラムを確認すると、AgentTesla の振る舞いを追跡できる。
[図3]を確認すると、AgentTesla は %appdata% パスにファイルをコピーし、Windows Defender に検知されないように例外ファイルとして登録する。また、タスクスケジューラを通じて持続的に実行されるよう設定することが確認できる。
その後再帰処理を行い、Web ブラウザに保存されたユーザーアカウント情報等を窃取したあと、攻撃者の IP に SMTP ポートで収集されたデータを送信する。
上記のように確認された情報により、自動実行登録の削除、ファイルの削除等の対象 PC への措置を講じたあと、カスタムルールポリシーを追加すれば効果的に内部への拡散を防止することができる。
まずは事前に確保した情報により、EPP -> ポリシー -> EDR カスタムルール -> 追加 -> 新規作成タブを利用してカスタムルールを作成しなければならない。
ルール名を識別しやすいように設定し、この振る舞いは不正なサンプルから確認された情報で生成するため、危険度を High に設定する。脅威項目に表示される検知名、検知メッセージを設定したあと、振る舞いベースのルールを選択する。
続いて、[図4]で確認した IP の213.165.67.115:587をネットワーク動的条件に追加する。ネットワーク接続の動的条件は正常なプロセスでも非常に頻繁に発生するため、これを静的条件なしで使用するとパフォーマンスに問題が生じる可能性がある。したがって、静的条件を追加することを推奨する。
保存すると、AgentTesla の C2 に接続する時に検知するルールが作成される。このルールをエージェントに適用するために、新規の EDR カスタムルールポリシーを追加しなければならない。
カスタムルールポリシーは EPP -> ポリシー -> セキュリティ製品ポリシー -> 追加 -> EDR ポリシー -> EDR カスタムルールポリシーで追加できる。
カスタムルールポリシーの追加画面で[追加]ボタンをクリックすることで、事前に[図7]で作成した振る舞いベースのルールを追加する。
追加されたら、[自動対応]の下にある[未使用]をクリックして、当該ルールが発生したときの自動対応処理を指定できる。
このようにして作成したポリシーを適用すれば、今後別の PC で対象の C2 に接続される場合、自動で遮断および対応が可能になる。
このように、EDR 製品を活用すればマルウェアの振る舞いを追跡し、さらなる拡散を防止するための対応が可能になる。
[ファイル検知]
Trojan/Win.PWSX-gen (2023.05.31.02)
[ビヘイビア検知]
Infostealer/EDR.Event.M2460
[IOC]
928eaefb92ff4d1ed3453bde534e6554
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知