ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
ストリートマジシャンには秘密があります。何かを隠したい場合は、目に見えないように隠してください。これが隠されたカードトリック、手先の早業、そしてほとんどのイリュージョンの仕組みです。残念なことに、悪意のある攻撃者は同じ概念を使って、従来のサイバーセキュリティツールをすり抜けてユーザーのコンピューターにマルウェアを忍び込ませる方法を学んでいます。さらに、企業のセキュリティとユーザーの生産性という 2 つの面で大混乱を引き起こしています。
4か月前、私たちはAdwind JRatの新しい亜種に気付きました。これは、Javaを使用してユーザーのマシンから制御を取得し、データを収集するリモートアクセス型トロイの木馬で、ログイン認証情報です。一般的な Java 機能を利用するマルウェアは、Web 上では Java が非常に一般的であるという単純な事実から、サンドボックス内で検出したり爆発させたりするのが非常に難しいことで有名です。実際、Java をブロックしたり制限したりしようとすると、インターネットの大部分がダウンすることになります。日常業務でリッチな Web アプリや SaaS プラットフォームへの依存度が高まっているユーザーにとって、これは何の役にも立ちません。
Adwind JRatは通常プラットフォームに依存しませんが、この新しいバリアントはWindowsマシンとエクスプローラーやOutlookなどの一般的なWindowsアプリケーションをターゲットにしているようです。興味深いことに、Braveのような新しいブラウザを含め、Chromiumベースのブラウザもターゲットになっています。マルウェアは、フィッシングメールのリンクから配信されたJARファイル、または安全でないサードパーティのコンテンツを提供する正規のサイトからダウンロードされたJARファイルです。また、古くて違法なWordpressサイトからの感染も多く確認されました。公開プラットフォームの脆弱性により、この配信方法の人気が高まっています。
Adwind JRat のこの新しいバリアントは、最初の JAR ファイルを難読化することで機能します。これにより、静的なシグネチャベースの検出は無効になります。最初の JAR は Qealler ヘッダークラスを復号化してリフレクションロードし、その後、ローダークラスを復号化してリフレクションロードします。その後、ローダークラスは最初のモジュールセットを復号化してリフレクションロードし、コントロールサーバーとコマンドサーバーで RAT を初期化するメインクラスを呼び出します。その後、Adwind JRat は設定ファイルを復号化して C2 サーバーの IP アドレスのリストを取得できます。アドレスが選択され、TCP ポート 80 経由で AES 暗号化要求が行われ、追加の JAR ファイルのセットをリモートで読み込むことができます。JAR ファイルがダウンロードされると JRat がアクティブになり、JRAT が完全に機能するようになり、コマンドとコントロールの要求を送信して、ブラウザやさまざまなアプリケーションからリモートサーバーにアクセスしたり、認証情報を送信したりできるようになります。これらの認証情報には、個人の銀行認証情報やビジネスアプリのログイン情報 (基本的には Windows 上で動作するブラウザーやアプリケーションに保存されているパスワードならどれでも) が含まれます。
このAdwind JRatトロイの木馬の最新版は、他のJavaコマンドと同様に動作することでその動作を隠すことができます。初期の JAR ファイルを動的に構築しなければ、脅威インテリジェンスには、企業ネットワークに出入りする数百万の Java コマンドの中から最初の JAR ペイロードを効果的に検出できる静的ルールまたはシグネチャを作成するためのヒューリスティックがほとんどまたはまったくありません。これは、何百万もの人々の群衆の中を歩き回って、ジャケットの下を見ることができないまま、緑色のアンダーシャツを着ている人を1人選び出そうとするようなものです。その存在、外観、さらには初期の動作についても、疑わしいことは何もありません。何もかもが普通に見えます。
ただし、例外があります。盗まれた認証情報を表示してリモート・サーバーに送信することは、Java コマンドの一般的な動作とはまったく異なります。そして、それはどんな手先のトリックにも当てはまります。やがて、異常な振る舞いが明らかにならなければなりません。その前提を踏まえると、階層化されたものをデプロイすることが重要です。 サイバーセキュリティソリューション これにより、ネットワークインフラストラクチャ全体で完全なサイバーセキュリティ保護が可能になります。この階層型ソリューションでは、既知の脅威をブロックし、他のすべてをクラウドのリモートブラウザで隔離し、組織内外のトラフィックを監視して異常な動作がないか調べる必要があります。手品のようなサイバーセキュリティ攻撃は、その仕方や手法が明らかになれば、もはや不可解なものではなくなります。いったん異常な振る舞いを特定できれば、攻撃者を阻止するのが簡単になります。これだけのレベルの保護をユーザーに提供できるのは、完全で階層化されたサイバーセキュリティソリューションだけです。
その方法を学ぶ 隔離機能を搭載したクラウドセキュリティプラットフォーム お客様のメールとウェブのセキュリティを支援しています。
