TrickBot または Emotet の修復ワークフロー
TrickBot または Emotet 感染を修復するには、次の手順に従います。
はじめに
TrickBot または Emotet マルウェアスイートは、現在広く拡散されている効力のあるマルウェアスイートの 1つです。複数の手法と感染方法で環境全体に拡散し、侵害されたデバイスに常駐します。
効果的な保護対策のためには、Intercept X Advanced with EDR をお勧めします。
アクティブな TrickBot または Emotet インシデントが発生した場合、弊社にお問い合わせいただき、Managed Detection and Response サービスを購入されることをお勧めします。Managed Threat Response サービスは高度なトレーニングを受けたチームで、修復を支援し、根本原因解析を行います。
デバイスを確認する
デバイスが最新の状態で保護されていることを確認します。デバイスを確認するには、次の手順を実行します。
-
ネットワーク上のすべてのデバイスが動作し、アップデートされたバージョンの Sophos Endpoint Protection を搭載していることを確認します。
Sophos Anti-Virus (オンプレミス版) を使用して、TrickBot または Emotet 感染を修復することはお勧めしません。Sophos Anti-Virus には、Trickbot または Emotet から保護して修復するのに効果的な機能やツールがありません。
-
Sophos Endpoint をインストールできない古い OS を使用しているデバイスをアップデートまたは削除したり、適切な Windows アップデートを行います。
- デバイスに適切な Windows セキュリティ更新プログラムがすべて適用されていることを確認します。保護されていなかったり、修正プログラムが適用されていない単一のシステムは、保護対策や修正プログラムパッチが適用されている他のデバイスに感染する可能性があります。
-
修正中には、Windows 2008 R2 でないすべての Windows 2008、Windows 2003 XP、またはそれ以前のバージョンを実行しているデバイスの電源を切ります。これらのデバイスは、新しい感染が発生するリスクがあるため、ネットワークから除去してください。
ここでの OS のリストは、Windows のバージョンがサポートされなくなると今後変更されます。現在のシステム要件の詳細については、Sophos Central Windows Endpoint システム要件または Sophos Central Windows Server のシステム要件を参照してください。
問題の範囲を定義する
ネットワーク内のすべてのデバイスが保護されているとは限りません。また、ネットワーク上のすべてのデバイスを把握しているとは想定しないでください。ネットワーク上のデバイスを特定するには多くの方法があり、これを実行する方法を既に持っている可能性もあります。お客様に最適なオプションは、ネットワークのサイズやネットワークセグメンテーションによって変わってきます。
最も一般的な方法としては、ネットワークスキャンを実行して、現在ネットワーク上にある内容を検出します。
Advanced IP Scanner など、サードパーティ製のツールを使用してこれを実行することができます。
サードパーティ製のツールを使用しない場合は、Source of Infection Tool を使用できます。これは無償のソフォスツールです。これはウイルス対策製品ではなく、マルウェアを検出したり削除したりすることはありません。デバイス上で実行されたままにしておくと、そのデバイスに書き込まれたすべてのファイルがログに記録されます。書き込まれたすべてのファイルのリストを含むログファイルが生成されます。ログファイルには、各ファイルのフルファイルパス、書き込み日時、およびローカルプロセスとネットワークプロセスのどちらで書き込みが行われたかの情報が含まれます。ローカルプロセスに関しては、書き込みを行ったファイルの名前とパスが一覧されます。ネットワークプロセスの場合、リモート IP アドレスまたはデバイス名が一覧されます。ここでログファイルを使用して、検出されないマルウェアが含まれている可能性のあるデバイスを特定できます。たとえば、複数回の修復を行った後でも繰り返し検出されてします保護対象デバイスを調査するために使用できます。検出が繰り返される場合は、ネットワーク内の別のデバイスが感染していて、保護されたデバイスに再感染しようとしています。Source of Infection は、感染したデバイスを見つけるのに役立ちます。
Source of Infection の詳細については、次の文章を参照してください。
- Sophos の Source of Infection ツールl (SOI): ダウンロードと使用の手順
- ヘルプ: リモートコンピュータ上で Source of Infection (SOI) を実行する
ネットワークをスキャンするには、次のオプションから選択します。
-
Advanced IP Scanner を使用する。詳細は、Advanced IP Scanner を参照してください。
これは無償の簡単に使用できるツールです。
ネットワーク上のアクティブなデバイスのリストが生成され、ソフォス管理ソフトウェアにリストされているデバイスとのクロスチェックが可能になります。
-
Source of Infection を使用するには、次の手順に従います。
- Source of Infection のダウンロードについては SourceOfInfection.zip をご覧ください。
- Source of Infection を調査するデバイスに移動します。
SourceOfInfection.exe
をC
ドライブのルートに解凍します。- 管理者としてコマンドプロンプトを開きます。
SourceOfInfection.exe
を見つけて実行します。- Enter キーを押してコマンドを実行します。
-
Source of Infection を稼働させたままにします。これを行うには、コマンドプロンプトウィンドウを開いたままにしておく必要があります。
注
ネットワーク上の他のデバイスへの感染を試みるデバイスが、複数存在する場合があります。Source of Infection を長時間使用すれば、ログにそれらの情報が記録される可能性が高くなります。
-
デバイスで新しいマルウェアが検出された場合、コマンドプロンプトウィンドウを閉じて Source of Infection を停止します。
新しいマルウェア検出 は、状況に応じて数秒または数日で発生する可能性があります。
-
ログファイルを確認して、感染源を確認します。ログファイルは、
%temp%\Source of Infection Log.csv
で参照できます。ログファイルは CSV ファイルで、Microsoft Excel またはすべてのテキストエディタで開くことができます。
以下の例では、リモートネットワークの場所からデバイスに書き込まれた 2つの疑わしいファイルを表示しています。この 2つの IP アドレスは、感染したデバイスのものである可能性があります。
-
調査するすべてのデバイスについて、このプロセスを繰り返します。
- 感染したデバイスを検出、隔離、保護して、悪意のあるファイルが拡散するのを防ぎます。
保護対策を確認する
ソフォスには、脅威対策に関する推奨設定があります。これらは多層型の保護対策を使用します。これらの設定は、感染に対する保護対策を提供し、感染のクリーンアップを支援します。保護対策を確認するには、次の手順を実行します。
-
脅威対策ポリシーで推奨される設定を使用しているかどうかを確認します。
これらの設定の詳細については、以下の情報を参照してください。
-
推奨設定を使用していない場合は、脅威対策ポリシーでそれらの設定を有効にします。
-
推奨される設定をすべて使用しない場合は、疑わしいファイルやネットワークイベントに関するデータをコンピュータやサーバーに対処している Sophos Centralに送信するオプションをオンにする必要があります。これは、後で修正プロセスで必要になります。これには、次の手順を実行します。
- Sophos Central Admin にサインインします。
- 「エンドポイントプロテクション > ポリシー」の順に選択して、「コンピュータが疑わしいファイルやネットワークのイベントに関するデータを Sophos Central に送信することを許可する」を有効にします。
- 「サーバープロテクション > ポリシー」の順に選択して、「サーバーが疑わしいファイルやネットワークのイベントに関するデータを Sophos Central に送信することを許可する」を有効にします。
デバイスにセキュリティ更新プログラムを適用する
すべてのデバイスに最新の Windows セキュリティ更新プログラムが適用されていることを確認します。EternalBlue エクスプロイト向けの更新プログラムを必ず含める必要があります。TrickBot または Emotet は、このエクスプロイトを拡散手段の 1つとして使用します。
EternalBlue は Microsoft SMB にある脆弱性を利用するエクルプロイトで、WannaCry ランサムウェアの拡散で使用されたことでも知られています。デバイスにセキュリティ更新プログラムを適用して、この感染方法を除去すると、Trickbot や Emotet の使用が困難になり EternalBlueを使用する他のマルウェアからも保護されます。
EternalBlue に対するセキュリティ更新プログラムはマイクロソフトの更新プログラムMS17-010 でリリースされています。デバイスに更新プログラムが適用されているかどうかを確認する方法については、マイクロソフトの公式の文章で説明されてます。詳細は、MS17-010 がインストールされたことを確認する方法を参照してください。
ソフォスでは個別のコンピュータ上で実行して更新プログラムが適用されているかどうかを確認できるシンプルな PowerShell スクリプトを提供しています。詳細については、マシンが EternalBlue - MS17-010 に脆弱であるかどうかを確認する手順を参照してください。
更新プログラムを適用するには、次の手順を実行します。
- デバイスが EternalBlue に対して脆弱であるかどうかを確認します。
- 最新の Windows セキュリティ更新プログラムでデバイスを更新します。
デバイスのスキャンとクリーンアップ
デバイスをスキャンして、TrickBot または Embotet 感染の数を確認します。続いて、デバイスをクリーンアップして再感染を防止する必要があります。
これには、次の手順を実行します。
- すべてのデバイスに更新プログラムが適用され、Intercept X Advanced がインストールされていることを確認します。
-
すべてのデバイスでフルスキャンを実行します。デバイスをスキャンするには、以下の手順に従います。
- Sophos Central Admin にサインインします。
- 「エンドポイントプロテクション > ポリシー」または「サーバープロテクション > ポリシー」の順にクリックします。
- 「脅威対策」で、確認する必要のあるユーザー、コンピュータ、またはサーバーに割り当てられているポリシーをクリックします。
- 「設定」をクリックして「スケジュール検索」までスクロールダウンします。
- 「スケジュール検索を有効にする」を有効にします。
-
スキャンを実行する時間を設定します。
スキャンでは、デバイスの電源をオンにしてアクティブにしておく必要があります。
-
「詳細検索を有効にする - 圧縮ファイル内の検索 (.zip、.cab など)」と「すべてのファイルを検索する」を無効にします。
すべてのファイルのインデックスを作成するには、フルスキャンを実行する必要があります。これらの追加設定により、インデックス作成が遅くなるか、一部のデバイスでスキャンが完了しないことがあります。
-
フルスキャンの後、Sophos Central Admin を使用して感染をクリーンアップする必要があります。これには、次の手順を実行します。
- Sophos Central Admin にサインインし、「脅威解析センター > 脅威検索」をクリックします。
-
マルウェアの一般的なドロップ場所を検索します。
C:\
C:\Windows
C:\Windows\System32
C:\Windows\Syswow64
C:\ProgramData
C:\Users\*<Username\>*\AppData\Roaming\*<random name\>*
。
-
マルウェアのドロップ先の 1つに移動し、「ネットワーク接続」をクリックします。
これにより、リストはネットワーク接続を実行する実行可能ファイルのみに制限されます。TrickBot または Emotet は拡散を試み、ネットワーク接続を実行する必要があります。
-
目に見える実行可能ファイル、または不明な実行可能ファイルを探します。
- これらのファイルごとに、「新しい脅威ケースの生成」をクリックし、脅威ケース内から「最新の解析情報を要求」をクリックして、詳細情報を取得します。
- データを確認し、必要に応じて 「クリーン&ブロック」をクリックします。
ファイルに関する詳細情報が必要な場合はサンプルを送信し、 「疑わしいファイルのサンプルをソフォスに送信する方法」を参照してください。
-
脅威ケースおよび警告で、新しい検出と最近の検出を確認します。TrickBot またはEmotet 検出の兆候を探します。
CXmal/Emotet-C
HPmal/Emotet-D
HPmal/TrikBot-G
Mal/EncPk-AN
HPmal/Crushr-AU
Troj/Inject-DTW
Troj/LnkRun-T
AMSI/Exec-P
Troj/Emotet-CJW
-
次の検出があることを確認してください。
Mal/Generic-R
Mal/Generic-S
ML/PE-A
Code Cave
APC Violation
Safe Browsing
LoadLib
-
「脅威検索」の各ファイルについて、このプロセスを繰り返します。
- 感染ファイルをクリーンアップします。
- すべてのデバイスを再起動して、メモリ内の感染ファイルを消去します。
- TrickBot または Emotet の兆候がなくなるまで、この手順を繰り返します。
最終的な修正
それでも検出されない場合は、ネットワーク内のデバイスに感染が発生しています。
TrickBot または Emotet 感染は、ファイル形式やファイルレス形式で保持されます。これらの問題を軽減するには、両方の形式での複製する機能を減らす必要があります。このマルウェアの機能の詳細については、Emotet および TrickBot マルウェアの大規模感染を解決するを参照してください。
残りの感染デバイスを検出するには、次の手順に従います。
- このワークフローの手順を繰り返します。
-
検出元が見つからない場合は 「脅威解析センター > 脅威検索」の順にクリック して、TrickBot または Emotet が見つかった場所を確認します。
C:\Windows\<A Randomly Named EXE>
C:\windows\system32\<A Randomly Named EXE>
C:\Windows\Syswow64\<A Randomly Named EXE>
C:\stsvc.exe
C:\Users\<username>\AppData\Roaming\*<A Randomly Named EXE\>*
C:\Users\<username>\AppData\Roaming\<Six-Letter-Folder>
C:\ProgramData\<Randomly Named EXEs>
-
検出 を回避している実行可能ファイルが見つかったら、 サンプルを送信します。
- 実行可能ファイルが見つからない場合は Sophos MDR Rapid Response にお問い合わせください。
TrickBot または Emotet の修復に関する動画
この動画では、このワークフローについて説明します。