Incident Response Timeline – Ransomware Attack & Containment

インシデントレスポンスのタイムライン

ランサムウェア攻撃と封じ込め 検知からエスカレーションまで:1分

公益事業業界のお客様に対する実際にあった攻撃を紹介します。脅威アクターはエンコードされた悪意のあるPowerShellスクリプト(Base64)を利用、その検知から1分以内にArctic Wolf Labsチームが調査を開始しました。
Arctic Wolf がこのお客様に対し、攻撃を阻止し、将来の攻撃を防ぐためのロードマップを策定するまで支援した過程を、時系列で説明します。
攻撃開始
数分が重要な局面では、業界をリードするセキュリティ運用に助けを求め、インシデントがビジネスに影響を与える前に検知、調査、エスカレーションを行います。
サイバーリスクを終わらせる準備はできていますか?
業界平均

ランサムウェア攻撃を検知し、修復するまでの平均日数情報源を表示
ソースを表示

Arctic Wolfを利用すれば

この実際のランサムウェアへの対応事例における、Arctic Wolfによる検知から修復までの実測時間

View Timeline Navigation

2022年5月4日(水)| 午後5時53分

検知 Arctic Wolf Agent

Arctic Wolf Attacker icon Arctic Wolf Platform icon Arctic Wolf Customer icon Arctic Wolf Triage icon Arctic Wolf CST icon

午後5時53分

従業員のワークステーション上で悪意のある可能性がある エンコードされた PowerShellスクリプト(Base64)を検知

疑わしい難読化されたLOAD文字列を復号化

PowerShellスクリプトにより[LOCAL ADMIN PASSWORD]が変更される

午後5時54分
攻撃発生から1分経過

2022年5月4日(水) | 午後5時54分

調査を開始

Arctic Wolf Attacker icon Arctic Wolf Platform icon Arctic Wolf Customer icon Arctic Wolf Triage icon Arctic Wolf CST icon

Arctic Wolf Labsが 事前に収集した 侵害の兆候(IoC)に該当。要注意イベントとしてトリガー

Arctic Wolf Platformが潜在的な悪意のある活動を他の既知のIoCと相関分析

インシデントは緊急ステータスでトリアージチームのフォレンジックダッシュボードにエスカレーション

攻撃発生から5分経過

2022年5月4日(水) | 午後5時58分

調査がエスカレートされる

Arctic Wolf Attacker icon Arctic Wolf Platform icon Arctic Wolf Customer icon Arctic Wolf Triage icon Arctic Wolf CST icon

午後5時58分

トリアージチームがPowerShellにより作成され、スケジュール化されたタスクを特定

PowerShellの活動は、多段階JavaScriptパッケージであるGootloaderと一致、 SEOポイズニングを介して配布された可能性が高い

二次ペイロードはRevilのような脅威アクターグループによるランサムウェアである可能性が高い

午後6時01分
攻撃発生から8分経過

2022年5月4日(水) | 午後6時01分

エンドポイント封じ込め

Arctic Wolf Attacker icon Arctic Wolf Platform icon Arctic Wolf Customer icon Arctic Wolf Triage icon Arctic Wolf CST icon

調査終了。事前定義されたお客様の指示に基づき、Arctic Wolf Agentにより エンドポイントを封じ込め

Gootloaderによる二次ペイロードの実行およびC2サーバーへの接続を阻止 

攻撃発生から12分後

2022年5月4日(水) | 午後6時05分

インシデント チケット発行

Arctic Wolf Attacker icon Arctic Wolf Platform icon Arctic Wolf Customer icon Arctic Wolf Triage icon Arctic Wolf CST icon

午後6時05分

お客様にインシデントの発生、封じ込め、修復手順について連絡

侵害された管理者アカウントおよびサービスアカウントのパスワードをリセット

お客様が感染したデバイスにイメージの再適用を決定

インシデント後のゾーン開始
午後6時6分
攻撃発生から13分経過

2022年5月4日(水)| 午後6時6分

インシデント後の セキュリティ対策の道程

Arctic Wolf Attacker icon Arctic Wolf Platform icon Arctic Wolf Customer icon Arctic Wolf Triage icon Arctic Wolf CST icon

コンシェルジュセキュリティチームは、お客様と連携し、この重大なインシデントに関連する改善点を特定します。

アウトバウンドトラフィックに対するより厳格な制御の実施

ブラウザ設定の制御機能の導入

PowerShell ポリシーの導入に関するコンサルティング(必要最小限の管理(JEA)や署名付きスクリプトのみの実行など、より制限的な権限設定を含む)

PowerShellスクリプトの検証にWindows 10 AppLockerを推奨

攻撃を完全に防止する可能性を高めるための技術
ソリューションとベストプラクティスについて協議

未知のウェブサイトを訪問する危険性を強調するため、セキュリティ意識向上トレーニングの実施を推奨

一分一秒が命取り

Arctic Wolfの業界をリードするセキュリティ運用ワークフローが、
ランサムウェア攻撃などのインシデントを、業務に影響を与える前に検知・調査
・エスカレーションする方法について、ぜひお問い合わせください。

攻撃のタイムライン:

追加リソース
リソースライブラリをご覧ください