MBR破壊型・ワーム型ランサムウェア 「Bad Rabbit」
以下の行動を行い、増殖をするもの。
ローカルキルスイッチのチェック
複数のタスクスケジュールの作成
一般ファイルの暗号化(ランサムウェア)
ディスクの暗号化(ランサムウェア)
セキュリティ製品プロセスの検索
イベントログの削除
ジャーナルの削除
ネットワーク関連情報の取得
ユーザー名/パスワードを用いたローカルネットワークへの辞書攻撃
保存されている認証情報の奪取
保存されている資格情報の奪取
詳細は以下のページ
ポイントは以下だと思う。
あたかも一般的な実行ファイル形式で感染する
※Adobe Flash Playerのインストーラーを装ったりする。
C:\Windows\System32\rundll32.exeを実行する。
イベントログなどで検出はできるのではないかと思うが
上記の実行ファイルの検知とジャーナルの削除履歴、管理者権限での実行コマンドなどあわせて確認する必要がある。
かつ、PC内で完結するため、外部アクセスログなどからは判断できないと思われる。
※ただし、同じネットワーク内に感染させるため、通信ははしるのでその状況もみればわかる。SOCの対応が必要か。