本ブログ記事は、2021年11月19日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
DanaBot は、2018 年から出回り、進化を続け、広く流行している脅威です。このマルウェアは 2021 年の後半に、ハイジャックされた、Node.JS 向けの人気の JavaScript ソフトウェアパッケージ管理ツール、Node Package Manager(NPM)で何度か発見されてから、再度流行しています。
DanaBot は、MaaS(Malware-as-a-Service)として提供され、当初の主な狙いは、銀行詐欺と情報窃取でした。しかし、ここ何年かで複雑さを増し、機能を拡張してきました。このような機能の変化が見られたのは 2021 年 10 月下旬のことで、ハイジャックされた NPM パッケージを媒介して投下されたマルウェアを使用したアフィリエイトが、ロシアに拠点を置く商業組織に対して行った DDoS(分散型サービス妨害)攻撃に関与していました。
BlackBerry が DanaBot の攻撃をどのようにして未然に防御するのかについては、次の動画で、DanaBot マルウェアの実際のサンプルでご覧ください。
デモ動画:BlackBerry 対 DanaBot MaaS
DanaBot の詳細については、ブログ記事「情報窃取や銀行詐欺から DDoS 攻撃へと進化した DanaBot マルウェアの脅威を分析」をご覧ください。
デモ動画の詳細
上の動画では、DanaBot が実際にシステムを侵害する様子を示しています。このデモでは、マルウェアが実行されるようにするために、マシンを「監査のみ」のモードに設定しています。
通常はシステムがどのようにして侵害されるかを説明しましょう。ターゲットとなる被害者が、RC パッケージという人気のある NPM コンポーネントをダウンロードします。これにより通常、悪意のあるウェブサイトから「クラック済み」または無料版のコンポーネントとして .zip ファイルがダウンロードされます。
しかし、ただより高いものはありません。クラック済みバージョンはトロイの木馬であり、DanaBot の実行ファイルが同梱されています。
.zip ファイルの中身を抽出すると、「compile.bat」というインストールスクリプトが DanaBot のインストールを始め、コマンドラインウィンドウで悪意のあるペイロードのダウンロードを試みます。ダウンロードが終わると、システムを実際に侵害してから、DanaBot Malware-as-a-Service を購入した脅威アクターに制御を渡す、compile.dll ファイルを実行します。
BlackBerry が DanaBot を阻止する方法
このインシデントを、BlackBerry® の重要な 2 つのソリューションを使用して調査しましょう。BlackBerry® Protect と BlackBerry® Optics です。BlackBerry Protect は、当社の Cylance® AI の機械学習モデルを使用して、脅威を実行される前に阻止し、実行前の防御を提供するエンドポイント保護製品です。悪意のある DLL がシステムを侵害する前に阻止します。
また、BlackBerry Protect は、異常性や収集・破壊能力を表す脅威指標の包括的なリストなど、悪意のあるファイルの特性に関する豊富な詳細情報を提供します。
BlackBerry Optics は、システム侵害の試みを完全なガラス張りの状態にします。BlackBerry Optics を使用することで、悪意のある .zip ファイルのアクセスとダウンロードに使用されたウェブブラウザーから、インストールスクリプトの実行まで、ユーザーが行った一連の操作をはっきりと確認できるような、根本原因の自動解析を実行できます。また、悪意のある DLL をシステムにダウンロードしたり登録したりするのに使用されたシステムコンポーネントを確認することもできます。
BlackBerry Optics を使用すれば、この攻撃のソースドメインを特定し、関連するネットワーク通信をすべて可視化することができます。
3 つ目の製品、BlackBerry® Gateway は、IP レピュテーションに基づいてトラフィックをブロックすることで、この種の悪意のあるネットワーク活動を感知して阻止し、インストールスクリプトがインターネットから悪意のあるペイロードを取得するのを効果的に未然に防御することができます。感染したシステムの管理者は、BlackBerry Gateway を使用することで、イベントを迅速に調査し、攻撃元はどこか、なぜ BlackBerry 製品が起動して攻撃を未然に阻止したのかを確認するために必要な関連データをすべて得ることができます。
予防ファーストという BlackBerry の考え方BlackBerry では、サイバーセキュリティに対して予防ファーストの AI(人工知能)主導アプローチを採用しています。予防を第一とすることで、キルチェーンの悪用段階の前にマルウェアを無力化できます。
BlackBerry ソリューションは、この段階でマルウェアを阻止することで、組織の回復力向上に役立ちます。また、インフラストラクチャの複雑さが削減され、セキュリティ管理が合理化されて、業務、スタッフ、エンドポイントが確実に保護されます。
・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
・BlackBerry Japan:https://www.blackberry.com/ja/jp