説明
次に行うべき最善の活動は、同じファイルを受信した他のメール ユーザーの検索です。これは、ランサムウェア攻撃の範囲を特定して封じ込め、さらなる被害を防ぐのに役立ちます。ランサムウェアは、システム上のファイルを暗号化し、その復号化に対して支払いを要求するマルウェアの一種です。ランサムウェアは、ランサムウェアをダウンロードする悪意のある添付ファイルやリンクを含むフィッシング メールを通じて拡散する可能性があります。同じファイルを受信した他のメール ユーザーを検索することで、アナリストは、ファイルを開かないように警告し、受信トレイから削除し、感染の兆候がないかシステムをスキャンすることができます。他の活動は、同じファイルを受信した他のメール ユーザーの検索ほど緊急性や効果がありません。ランサムウェアが拡散したり、より多くのシステムに影響を与えたりする差し迫った脅威に対処していないためです。コンピューターを消去してソフトウェアを再インストールすると、影響を受けたワークステーションの機能が回復する可能性がありますが、ランサムウェア攻撃の証拠も消去され、暗号化されたファイルの回復は不可能になります。メール サーバーをシャットダウンしてネットワークから隔離すると、フィッシング メールの配信が停止される可能性がありますが、組織の通常の通信と業務も中断されます。影響を受けたワークステーションのビットレベルのイメージを取得しても、ランサムウェア攻撃の証拠は保存されますが、ランサムウェアを停止または削除したり、ファイルを復号化したりすることはできません。

攻撃者が能動的な偵察技術を使用して取得できる境界ネットワーク内の貴重な情報の量を減らすための有効な代替コントロールは、ファイアウォール ルールが展開前に正確性についてピア レビューされ、承認されていることを示すコントロールです。このコントロールは、ファイアウォール ルールが正しく安全に構成され、境界ネットワークへの不要なアクセスや不正なアクセスが許可されないようにするのに役立ちます。その他のオプションは代替コントロールではないか、能動的な偵察のリスクに対処していません。参照: CompTIA サイバーセキュリティ アナリスト (CySA+) 認定試験目標 (CS0-002)、14 ページ; https://www.isaca.org/resources/isaca-journal/issues/2016/volume-3/compensating-controls

このトラフィック パターンの最も可能性の高い説明は、C2 ビーコン アクティビティです。C2 はコマンド アンド コントロールの略で、サイバー キル チェーンのフェーズの 1 つであり、攻撃者が攻撃に成功したターゲットとの通信を確立しようとします。C2 ビーコン アクティビティは、侵害されたシステムが HTTP(S)、DNS、ICMP、UDP などのさまざまなプロトコルを使用して、定期的にメッセージまたは信号を攻撃者のシステムに送信していることを示すネットワーク トラフィックの一種です。C2 ビーコン アクティビティにより、攻撃者はマルウェア コールバック、バックドア、ボットネット、秘密チャネルなどのさまざまな方法を使用して、ターゲット システムまたはネットワークをリモートで制御または操作できます。

この場合、アナリストが最初に行うべきアクションは、フォレンジック分析のために仮想サーバーのクローンを作成することです。仮想サーバーのクローン作成には、特定の時点におけるサーバーのデータと状態の正確なコピーまたはイメージの作成が含まれます。仮想サーバーのクローン作成は、セキュリティ インシデントに関連する証拠や情報の保存と保護に役立つだけでなく、証拠の改ざん、汚染、破壊を防ぐこともできます。仮想サーバーのクローン作成により、アナリストは元のサーバーやその動作に影響を与えることなく、インシデントを安全に分析および調査することもできます。