Windows Defender ATP – Microsoft Security Response Center

挙動監視と機械学習で大規模な「Dofoil」によるコインマイニング攻撃を阻止

Japan Security Team / By jsecteam / April 12, 2018 June 26, 2019

3 月 6 日の正午 (太平洋標準時) ごろ、Windows Defender ウイルス対策によって、高度なクロスプロセスインジェクション、永続化メカニズム、回避などの巧妙な手法を駆使した 8 万件以上のトロイの木馬のインスタンスがブロックされました。

はい、これで見えますね: ファイルレスマルウェアをさらけ出す

Japan Security Team / By jsecteam / February 6, 2018 June 26, 2019

攻撃者は、ますます高度化するテクニックを駆使して、セキュリティ防御策を回避することに懸命になっています。ファイルレスマルウェアによって攻撃のステルス性と有効性は高まり、昨年流行した重大なランサムウェアのうち 2 つ (Petya と WannaCry) はキルチェーンの一部としてファイルレスのテクニックを使用しています。

アップグレードの重要性: 2017 年のランサムウェア拡散時に高い効果を証明した Windows 10 の次世代型セキュリティ

Japan Security Team / By jsecteam / February 5, 2018 June 26, 2019

2017 年、ランサムウェア (英語) はより巧妙化する脅威の確立した攻撃手法や技術を利用することで、かつてないレベルの感染拡大と被害をもたらしました。昨年猛威を振るったランサムウェアには、以下のような特徴が見られました。

Windows Defender Application Control の紹介

Japan Security Team / By jsecteam / February 5, 2018 June 26, 2019

今日の脅威ランドスケープを考えると、アプリケーション制御は企業を守る重要な防衛線であり、従来型のウイルス対策ソリューションに対して固有の優位性を持っています。具体的に言うと、アプリケーション制御を実施することで、すべてのアプリケーションが既定で信頼できると仮定するモデルが、アプリケーションを実行するためには信頼を獲得しなければならないモデルに反転するのです。

Windows Defender ATP の機械学習と Antimalware Scan Interface: スクリプトを悪用した「環境寄生型」攻撃の検出

Japan Security Team / By jsecteam / January 24, 2018 June 26, 2019

高度な標的型攻撃を実行するアクティビティグループや、無差別型の脅威を展開するマルウェア作成者によるスクリプトの悪用が進んでいます。
JavaScript、VBScript、PowerShell などのスクリプトエンジンは、攻撃者にとって大きなメリットがあります。これらは正規のプロセスを通じて実行されるため、「環境寄生型」攻撃 (ディスクを操作するのではなく、一般的なツールを使用してインメモリでコードを直接実行する攻撃 (英語)) のためのツールとして最適です。スクリプトエンジンの多くには、オペレーティングシステムの一部として、インターネット上のコンテンツをオンザフライで評価して実行する機能が備わっています。さらに、広く使用されているアプリと統合すれば、ソーシャルエンジニアリングを通じて悪意のあるコンテンツを配信するうえで効果的な手段にもなります。この点は、スパム攻撃におけるスクリプトの使用 (英語) が増加していることからも明らかです。

Windows Defender Application Guard で Microsoft Edge を最もセキュアなブラウザーに

Japan Security Team / By jsecteam / December 18, 2017 June 26, 2019

敵は決断力と複雑さの両面において強大化しており、攻撃空間でのイノベーションは絶え間なく続いています。防御策に対する投資の増加に呼応するように、攻撃者は猛烈なスピードで順応し、戦術を向上させています。朗報としては、防御する方も進化し、長い間攻撃者が頼みとしてきた手法を、新しいテクノロジで破壊しています。Windows 10 では、最新の攻撃に対するその場しのぎの報復的ソリューションだけを提供しているわけではありません。それどころか、根本原因をしっかりと調べて、攻撃のクラス全体を根絶できるようなプラットフォームに変換しています。

Windows Defender Exploit Guard: 攻撃表面を縮小して次世代型マルウェアに対抗する

Japan Security Team / By jsecteam / November 1, 2017 June 26, 2019

Windows Defender Exploit Guard は、Windows 10 Fall Creators Update (英語情報) に搭載された新しい侵入防止機能です。Windows Defender Exploit Guard の 4 つのコンポーネントは、さまざまな種類の攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく見られる動作をブロックするよう設計されており、同時に、エンタープライズがセキュリティリスクと生産性の要件のバランスを保つことを可能にします。

Windows Defender ATP でステルス性の高いクロスプロセスインジェクション手法を検出する: プロセスハロウイングと AtomBombing

Japan Security Team / By jsecteam / August 16, 2017 June 26, 2019

高度なサイバー攻撃では、ステルス性と持続性が重視されます。攻撃が気づかれずにいる期間が長いほど、より横断的に侵害し、より多くのデータを抜き取り、より大きなダメージを与えることができます。検出を防ぐために、クロスプロセスインジェクションを利用する攻撃者が増えています。

Petya ランサムウェア攻撃に対する Windows 10 プラットフォームのレジリエンス

Japan Security Team / By jsecteam / July 10, 2017 June 26, 2019

2017 年 6 月 27 日に発生した Petya ランサムウェアによる攻撃 (このブログで詳細分析を実施 (英語情報)) は、先月の WannaCrypt (WannaCry としても知られる) 攻撃よりも影響が大きい事態として認識されているかもしれません。なぜなら、Petya は WannaCrypt と同じ SMB のエクスプロイトを悪用し、さらに 2 つ目のエクスプロイトとその他の横断的な侵害手法を追加しているからです。しかし、テレメトリでは攻撃の蔓延範囲は WannaCrypt よりも少なく示されています。

Windows Defender ATP でクロスプロセスインジェクションを発見する

Japan Security Team / By jsecteam / April 4, 2017 June 26, 2019

Windows Defender Advanced Threat Protection (Windows Defender ATP) は、企業のセキュリティ運用 (SecOps) 部門の要員に悪意のあるアクティビティについて知らせる、侵入した脅威に対するソリューションです。SecOps 要員による攻撃の発見と対応を引き続き支援できるよう、攻撃の本質の変化と合わせて Windows Defender ATP も進化する必要があります。