【CrowdStrike】エンドポイント検知（Malware via PUP）の対応について（Prevent・Insight・Charlotte AI・NG-SIEM）

エンドポイント検知での内容（概要）確認とステータス更新

エンドポイントセキュリティ > エンドポイント検知 より確認しますと2件の検知（手法による戦術：Malware via PUP）があがっていました。IOAによる検知としてプロセス含めて確認をしていきます。※IOA検知については以下のブログもご確認ください。

• 【CrowdStrike】Falconのアラート内容確認について（Prevent＆Insight）

ステータスと割り当てを変更します。右端の点々 > Edit status をクリックします。

ステータスの変更編集より、ステータス：In progress、割当先：自分 に設定しステータスの更新をクリックします。

2件とも設定変更をします。

調査の前に「手法による戦術：Malware via PUP」について整理します。

手法による戦術：Malware via PUP

1. PUP（パップ）とは？

PUPは Potentially Unwanted Program（潜在的に迷惑なプログラム） の略称です。

マルウェア（ウイルスやランサムウェアなど、明確な悪意を持って破壊や窃取を行うプログラム）とは異なり、多くの場合、ユーザー自身が（気づかないうちに）同意してインストールしてしまっているという特徴があります。法的にはグレーゾーンに位置することが多いプログラムです。

代表的なPUPの例

• アドウェア：画面上に不要な広告を大量に表示させるプログラム。

• ブラウザハイジャッカー：ブラウザのホームページや検索エンジンを勝手に書き換えるツールバーや拡張機能。

• 偽のシステム最適化ツール：「あなたのPCは危険です！」「エラーが100個あります！」と嘘の警告を出し、有料版を購入させようとするアプリ（スケアウェア）。

• バンドルウェア：無料のフリーソフトをインストールする際に、「ついでにインストール」するようチェックボックスが最初から入っているおまけのソフト。

2. 「Malware via PUP」とは？

CrowdStrike Falcon における「手法による戦術：Malware via PUP」は、「最初は『単なる迷惑ソフト（PUP）』としてPCに入り込んだものが、裏で本格的な『悪意あるマルウェア』をダウンロード・実行する」という戦術（手口）を指しています。

つまり、PUPが本命のマルウェアをPCに引き入れるための「運び屋（ドロッパー/ダウンローダー）」として機能する攻撃手法です。

具体的に該当するシナリオ（手口）

1. フリーソフトの裏の顔：ユーザーがネットから無料の動画変換ソフトやPDF編集ソフト（PUP）をダウンロードしてインストールする。そのソフト自体は一応動画変換の機能を持っているが、バックグラウンドでこっそりと情報窃取型マルウェア（インフォスティーラー）やトロイの木馬をダウンロードして実行する。
2. 悪質なブラウザ拡張機能：「ネットサーフィンが速くなる」と謳う拡張機能（PUP）を入れたところ、実は悪意のあるC&Cサーバー（攻撃者の指令サーバー）と通信を行っており、ランサムウェアの実行ファイルをPC内に勝手に保存して起動させる。
3. アドウェア経由の感染（マルバタイジング）：インストールされたPUP（アドウェア）がポップアップ広告を表示する際、その広告の読み込み先が悪意のあるサイトになっており、ブラウザの脆弱性を突いてバックドア型のマルウェアを感染させる。

それでは以下より調査を行っていきます。

Charlotte AIにも調査・対応方法を確認

Charlotte AIにも調査・対応方法を確認します。

2件ともChrome での操作によるダウンロード、Cache各ファイルが隔離されていることが確認できます。さらに調査の進め方について確認すると以下のような内容を提案されました。それぞれ順番に確認していきます。

1) Falconコンソールで検知詳細を開いて「隔離が成功しているか」を確認

2) 「gsecdump-v2b5.exe」が実行された痕跡があるか確認（最重要）

3) 起点の特定（なぜChromeからDownloadsに落ちたか）

1) Falconコンソールで検知詳細を開いて「隔離が成功しているか」を確認

エンドポイントセキュリティ > エンドポイント検知 該当検知の詳細を確認すると、実行されたアクション：File quarantined、トリガー元のインジケータでも隔離されたファイルのハッシュ値は同じ（94cae63dcbabb71c5dd43f55fd09caeffdcd7628a02a112fb3cba36698ef72bc）で、それ以外の検知内容も同様ですので、2件とも同件として対応します。

また、エンドポイントセキュリティ > 隔離されたファイル を確認すると該当ファイルが確認できますため、隔離は成功してそうです。

隔離されたファイルのところに、該当ファイル f_009c04、gsecdump-v2b5.exe がある。そのためgsecdump-v2b5.exe は実行されていないのでは？

気になったのでCharlotte AIに確認します。「隔離されたファイルに gsecdump-v2b5.exe / f_009c04 と表示されている」 ＝「実行されていない」とは断定できない、ただし実行された痕跡は見えていない状況であるとのこと。Falconの「Quarantined files（隔離）」は、センサーがそのファイルを 安全な場所へ移動・改名・エンコードして隔離したことを意味し、隔離のトリガーは以下2系統あるようです。

• 実行（または実行試行）時の隔離：“malicious file attempting to run” のタイミングで隔離

• 書き込み（On Write）時の隔離：ポリシーで Detect on Write / Quarantine on Write が有効だと、ディスクに書かれた時点で隔離され、実行前に止まる（※以下で防止ポリシーの書き込み時隔離の確認も実施）

したがって、隔離欄に該当ファイルが出ているだけでは「実行された/されていない」は決まらないようです。

「gsecdump-v2b5.exe」 は files_written（書き込み） に登場し、quarantined_files（隔離） に入っているため、 「Chrome経由でダウンロード（書き込み）されたタイミングで隔離された」（＝実行前に止まった）といったシナリオであろうということです。

※プロセス生成があるか？プロセス開始イベントがあるか？の確認は必要なようですので次項で合わせて確認したいと思います。

「Quarantine on Write（書き込み時隔離）」（Windows Prevention Policy：防止ポリシー）が有効か？

テナント上で エンドポイントセキュリティ > 防止ポリシー > Windows > 利用ポリシー を確認すると書き込み時隔離（Quarantine on Write） は有効となっていることを確認しました。これによって機械学習を使用して疑わしいファイルがディスクに書き込まれたときにそれらを隔離する対応はとられるようです。

書き込み時隔離（Quarantine on Write） が有効である場合、「gsecdump-v2b5.exe」 は ディスクに書き込まれた（＝ダウンロード/生成/コピーされた）段階で、実行前に隔離された可能性が高く、つまり、少なくとも “ユーザーがダブルクリックして起動した”ような通常の実行は阻止できているという見立てになります。ただし、書き込み→隔離の“間”に一瞬でも実行された（現実的には低いが理屈上はあり得る）といったようなリスクもあるため、「gsecdump-v2b5.exe」が実行された痕跡があるかは以下で確認していきます。

2) 「gsecdump-v2b5.exe」が実行された痕跡があるか確認（最重要）

「gsecdump-v2b5.exe」が実行されたことを高度なイベント検索で確認するコマンドを提案されましたので確認していきます。

以下も追加の裏取りとして提案されてますので実際に確認してみます。

調査 > 高度なイベント検索 よりクエリ実行します。

①実行（Process creation / 実行試行）を探す

過去7日を対象に検索、検索結果としては無しです。

②書き込み（ダウンロード/ドロップ）を探す

過去7日を対象に検索、検索結果としては無しです。

③ハッシュベースの実行（Process creation / 実行試行）確認

過去7日を対象に検索、検索結果としては無しです。

④プロセスツリーより「gsecdump-v2b5.exe」の実行を確認

該当検知の詳細ビューをクリックします。

Process tree タブでプロセスツリーを確認します。左から右にプロセスが実行されていきますが、子プロセスとして「gsecdump-v2b5.exe」は実行されていないようです。

※プロセスツリーの子プロセスに現れない=確実にプロセスは実行されていない、とは言い切れないものの、①②③の結果も踏まえると、「gsecdump-v2b5.exe」は実行されていないといえるかと思いますので、プロセスの実行確認は以上とします。

⑤VirusTotal（ウイルストータル）でのハッシュ検索も確認

ここでVirusTotalでのハッシュ（94cae63dcbabb71c5dd43f55fd09caeffdcd7628a02a112fb3cba36698ef72bc）検索も確認しておきます。セキュリティベンダー64社のうち57社がこのファイルを悪意のあるファイルとしてフラグ付けしてました。

VirusTotalについては以下のブログをご参照ください。

• 【CrowdStrike】Falconのアラート検知時のハッシュ値の確認について（Prevent・VirusTotal）

3) 起点の特定（なぜChromeからDownloadsに落ちたか）

今回はNetskope（SSE）でも「gsecdump-v2b5.exe」はDL（Internet ArchiveからのDownload）を確認。

該当ユーザに「gsecdump-v2b5.exe」のDLの実行を確認しました。

該当ユーザ（エンジニア）が検証の目的で「gsecdump-v2b5.exe」をDLしたことがわかりました。

※近々購入する予定である検証環境で存分に実施いただくようお伝えしました。

隔離されたファイルの削除

エンドポイントセキュリティ > 隔離されたファイル より、該当のファイルを選択後、アクションの×ボタン（削除）をクリックします。

削除をクリックします。

ステータス：Deleted になりました。

該当エンドポイント検知のクローズ

ステータスと割り当てを変更します。右端の点々 > Edit status をクリックします。

ステータス：Close、マークする：無視、タグ：ignored、コメントの追加を行ったのち、ステータスの更新を実施します。

2件とも設定変更をし、対応終了となります。

ライセンス

今回と同様の対応・確認を行う際には以下のCrowdStrike Falcon のライセンスが必要となります。

• Prevent：NGAVとして検知・ブロックを行うために必要な基本ライセンスとなります。詳細につきまして下記のブログもご参照ください。
  • 【CrowdStrike】Falconのポリシーとそれぞれの設定概要について（Prevent）
  • 【CrowdStrike】Falcon NGAV（Prevent）の優位点について
• Insight：プロセスツリーを構成・確認するために必要なライセンスとなります。
• Charotte AI：AIアシスタントです。詳細につきましては以下のブログもご参照ください。
  • 【CrowdStrike】Charlotte AI と毎月50クレジット無料利用権＆オプトインについて
• NG-SIEM：高度なイベントクエリを利用のために必要なライセンスとなります。詳細につきましては下記のブログもご参照ください。
  • 【CrowdStrike】Falcon NG-SIEMで実現する「見えない」リスクを解消するログ統合と可視化について

 ※その他ライセンスの詳細につきましては弊社までお気軽にお問合せください。