トレンドマイクロ製品による調査
悪用時の検出や環境の正常化のための調査機能について記載します。Trend Vision One
Trend Vision One の利用者は、Trend Micro Apex One、Trend Vision One Endpoint Security、および XDR Endpoint Sensor により収集された情報を用いてアタックサーフェスリスクマネジメント(以下、ASRM)機能とXDR機能を利用することができます。ASRM関連機能を用いることで、影響のある資産について検索、特定し、トレンドマイクロ製品の利用方法を含めた軽減策について最新の情報を得ることができます。◇ Attack Surface Risk Management (ASRM) > Executive Dashboard > 「露出の概要」タブ
「内部アセット」タブ下のセキュリティアラートから、本脆弱性に関連する情報を確認することができます。
◇ XDR Threat Investigation > Detection Model Management
潜在的な問題を検索するために以下の検出モデルを利用することができます(デフォルト有効)。
- Potential Exploitation of Microsoft SmartScreen Detected (CVE-2024-21412)
- Exploitation of Microsoft SmartScreen Detected (CVE-2024-21412)
◇ XDR Threat Investigation > Search
上記のモデルに加えて、一般的な検索クエリを利用して、予備的な調査を行うことができます。
1. Vision Oneを開き、 XDR THREAT INVESTIGATION > Search に移動する
2. 検索方法で一般を選択する
3. 次のクエリ文を入力する
(productCode:sds OR productCode:pds OR productCode:xes OR productCode:sao) AND eventId:1 AND eventSubId:2 AND objectCmd:"rundll32.exe" AND objectCmd:/underwall/ AND ( objectCmd:.url OR objectCmd:.cmd)
(productCode:sds OR productCode:pds OR productCode:xes OR productCode:sao) AND eventId:1 AND eventSubId:2 AND objectCmd:"rundll32.exe" AND objectCmd:/fxbulls/ AND ( objectCmd:.url OR objectCmd:.cmd)
◇ XDR Threat Investigation > Observed Attack Techniques (OATs)
他の有用な可能性のある検索として、OATs の検索があげられます。
トレンドマイクロのセキュリティブログ に記載されているような、ツール、タクティクス、手法 (TTPs) が、最近、対象の環境で発見されていないか検索することができます。
1. Vision One を開き、XDR THREAT INVESTIGATION > Observed Attack Techniques へ移動します。
2. 適切な検出フィルタとパラメータを設定して検索を行います。
◇ XDR Threat Investigation > Forensics の OSQUERY
Vision One の利用者は、フォレンジック機能の OSQUERY 機能を使って、適切なマイクロソフトのパッチが適用されていない端末を検索することができます。
1. 初めに、ワークスペースを作成して、対象のエンドポイントを加える必要があります。
詳細な手順は こちら を参照してください。
2. 以下の検索クエリを実行します。
SELECT DISTINCT csname
FROM patches
WHERE csname NOT IN (
SELECT DISTINCT csname
FROM patches
WHERE hotfix_id IN (
'KB5034768',
'KB5034763',
'KB5034766',
'KB5034770',
'KB5034769',
'KB5034765'
)
)
AND hotfix_id IS NOT NULL;
悪用に対するトレンドマイクロ製品の防御と検知
<マイクロソフトは2024年の2月のパッチの重要な更新の一部としてすでに修正を公開しており、これらのパッチを適用することが最も推奨されますが、トレンドマイクロは、悪用の報告のためのZDIによる調査に基づいて、この脆弱性の悪用の可能性に対応するための検知ルールやフィルターを提供しています。Trend Micro Cloud One - Network Security と TippingPoint のフィルター
- 43700: HTTP: Microsoft Windows Internet Shortcut SmartScreen Bypass Vulnerability
- 43701: HTTP: Microsoft Windows SmartScreen Internet Shortcut Files Security Feature Bypass Vulnerability
- 43266: TCP: Backdoor.Win32.DarkMe.A Runtime Detection
Trend Vision One Endpoint Security、Trend Cloud One - Workload and Endpoint Security、Deep Security、Trend Micro Apex OneとApex One SaaS の 仮想パッチ機能 および、Trend Micro Virtual Patch for Endpoint※ の IPS ルール
- 1011949 - Microsoft Windows SmartScreen Security Feature Bypass Vulnerability (CVE-2024-21412)
- 1011950 - Microsoft Windows SmartScreen Security Feature Bypass Vulnerability Over SMB (CVE-2024-21412)
- 1011119 - Disallow Download Of Restricted File Formats (ATT&CK T1105)
- 1004294 - Identified Microsoft Windows Shortcut File Over WebDav
- 1005269 - Identified Download Of DLL File Over WebDAV (ATT&CK T1574.002)
- 1006014 - Identified Microsoft BAT And CMD Files Over WebDAV
ウイルスバスター ビジネスセキュリティサービスの 仮想パッチルール
- 1011949 - Microsoft Windows SmartScreen Security Feature Bypass Vulnerability (CVE-2024-21412)
- 1011950 - Microsoft Windows SmartScreen Security Feature Bypass Vulnerability Over SMB (CVE-2024-21412)
Trend Vision One Network Sensor and Trend Micro Deep Discovery Inspector (DDI) のルール
- 4983: Microsoft Windows SmartScreen Exploit(ZDI-CAN-23100) - HTTP(Response)
エンドポイント、サーバ、およびメールゲートウェイ製品におけるマルウェア検知パターン (通常検索, 機械学習型検索, 挙動監視) ※
上記の予防的な防御に加えて、トレンドマイクロでは、攻撃での利用が確認された DarkMe マルウェアに対する検出と防御を、エンドポイント、サーバ、メール、ゲートウェイに対して提供しています。- DarkMe のローダーおよびダウンローダー: Trojan.Win32.DARKME.A
- 他の脆弱性の悪用に関連するコンポーネント: Trojan.HTML.CVE202421412.A と Trojan.Win32.CVE202421412.A
※ Trend Micro Apex One、ウイルスバスタービジネスセキュリティ, ウイルスバスタービジネスセキュリティサービス、Deep Security、Trend Vision One Endpoint Security、Trend Micro Cloud App Security、 InterScan for Microsoft Exchange、 InterScan Messaging Security 等