IR 業務で確認された上位のマルウェア(第 4 四半期):ランサムウェアと暗号通貨マイナー
Cisco Talos Incident Response(CTIR)が今期発見したマルウェアファミリの上位は一般的に見られる単純なもので、最も多かったものはフィッシングでした。最終的なペイロードとして再三利用されているのは、ランサムウェアなどの一般的な脅威です。さらに、同じく一般的な既知のオープンソース フレームワークを侵害後に悪用することで、ネットワークの通過、コマンドアンドコントロール(C2)ノードとの通信、データの詐取などのアクティビティを実行していることも判明しました。この調査結果からわかることは、一般的な脅威や攻撃手口への対策が、業界を問わず依然として悩みの種だということです。そのような攻撃の大半は、検出や修正が遅れると、深刻な被害を招きかねないものです。
このブログでは、2019 年度第 4 四半期(5 ~ 7 月)の CTIR 業務で確認されたインシデントについて解説します。このレポートは、エグゼクティブとネットワーク防御担当者を対象として、脅威の現状に関する最新情報と分析を提供するため、年 4 回発行されます。
上位の脅威
5 ~ 7 月は、ランサムウェア、商用化されたバンキング型マルウェア(Emotet や Trickbot など)、不正な暗号通貨マイナーなどが上位の脅威となりました。暗号通貨マイナーの台頭によって、当初はランサムウェアの使用が減速しているようにも見えましたが、第 4 四半期の IR 業務で圧倒的に多く確認された脅威はランサムウェアでした。また、ランサムウェアのドロッパーとして機能する商用化されたバンキング型トロイの木馬も多く見られました。
ランサムウェア
調査結果によると、組織に被害を与えた最も一般的な脅威はランサムウェアでした。その中でも特に多く見られたのが Ryuk です。Ryuk が標的としたのは、小売、メディア、エンターテインメント、ソフトウェア、インターネット、医療業界の企業で、ビジネスクリティカルなサービスや業務に深刻な影響を及ぼしました。あるケースでは、最初に Trickbot による侵害を受け、その数か月後に Ryuk に感染していました。このことから、攻撃者は長期間にわたって検出から逃れ、標的のシステムへアクセスし続けていたことがうかがえます。
ほとんどの IR 業務では、被害者のシステムに攻撃の各段階で複数の脅威が展開されていることを観察しました。たとえば Ryuk の一般的な感染手段は Trickbot などのバンキング型トロイです。これはランサムウェアの既知の TTP とも一致しています。あるインシデントの攻撃者は、まず Trickbot によって企業を Ryuk に感染させ、その後オープンソース フレームワークの PowerShell Empire を使用して、ランサムウェア Sodinokibi のバイナリコードを Pastebin ページから取り出していました。一方で、商用化されたマルウェアドロッパーが確認されなかった Ryuk 感染の事例もありました。たとえばある企業は偽の Microsoft Word をインストールすることで Ryuk に感染しました。これにより Microsoft Exchange サーバとドメインコントローラの可用性が失われ、事業運用にまで影響が及びました。
バンキング型トロイの木馬
モジュラ型のバンキング型トロイの木馬も観察されました。それらの多くは、ランサムウェアのドロッパーとして機能しています。特に多く検出された亜種は Emotet と Trickbot です。Qakbot、Cridex、Dridex などのバンキング型トロイの木馬も確認されました。これらは、小売業、ビジネスサービス、メディア、エンターテインメント、ソフトウェア、インターネット、製造業、医療などの幅広い業界に被害を与えています。
前述のとおり、Trickbot が Ryuk のドロッパーとして利用されているケースも一部では確認されました。あるケースでは、マルウェアの展開、拡散、実行に PSExec と RDP が使われ、感染が徐々に進行していました。また、Emotet もいくつかの IR 業務で観察されました。ある製造会社の事例では、自社の地方オフィスから送信されたスパムメールで Emotet に感染しています。スパムメールは社内の差出人を装っていましたが、実際には巧妙なスプーフィングメールで、添付されていた悪意のあるファイルが Emotet の感染源でした。
Trickbot や Emotet などのバンキング型トロイの木馬の背後にいる攻撃者は、活発にマルウェアを改善し続けています。彼らは新しいモジュールを追加することで、水平方向への感染とデータ漏洩を広げているのです。また、マルウェアの商用化も進んでいます。これは Malware-as-a-Service(サービスとしてのマルウェア、MaaS)と呼ばれ、攻撃者が独自のツールやインフラへのアクセスを他の攻撃者に提供するものです。攻撃者は企業ネットワークを標的にする傾向にありますが、IR 業務でも同じ傾向が確認されています。
コインマイナー
シスコのテレメトリと CTIR 業務では不正な暗号通貨マイニング攻撃が多数観察されました。その中には、中国の有名なボットネットや、複数の攻撃者が関与するケースも含まれています。暗号通貨マイニングマルウェアが確認されたのは、教育、医療、ビジネスサービス、通信、小売の各業界です。2018 年に暗号通貨の価値が暴落しましたが、その後 2019 年初めから緩やかに回復しているようです。そうした市場の変動にもかかわらず、攻撃者はほぼ一定して暗号通貨の取引所を狙っています。暗号通貨の貨幣価値は、マイニング攻撃の動機とはあまり関係がないようです。暗号通貨の価値は上昇を続けているため、不正な暗号通貨マイニング攻撃が今後収束する可能性は低いでしょう。場合によっては頻度が増加することさえ予想されます。
有名な中国の暗号通貨ボットネットが観察されたケースもいくつかあります。あるビジネスサービス企業は、インターネットに接続したサーバをエクスプロイトされ、ハッカー集団「Rocke」が関与するマルウェアに感染しました。2018 年、Cisco Talos は Rocke についての記事を公開しました。Rocke はサイバー犯罪組織「Iron」と関連があるグループです。Iron は不正なマイニングプログラムの配布と実行に活発に携わり、Git リポジトリや Http FileServer(HFS)を含む多様なツールキットと、シェルスクリプト、JavaScript バックドアやマイニングプログラム(EFL や PE)などの多様なペイロードを利用しています。Rocke の存在を Talos が最初に検知したのは、Talos のハニーポットインフラが Rocke から攻撃を受けた際でした。
通信会社における別の IR 業務では Monero マイナーへの感染が確認されました。このマイナーは、Talos が 2019 年 2 月以降追跡している別の有名な中国語のボットネットと関連性があるものです。背後にいる攻撃者は以前から、保護されていない ElasticSearch クラスタを攻撃して暗号通貨マイナーをインストールすることが確認されていました。Oracle WebLogic や Hadoop YARN といったサーバも標的になっています。CTIR 業務の最中に、攻撃者はブルートフォース認証攻撃を行った後、自動化したスキャナで暗号通貨マイニングマルウェアのインストールを試みました。マイニングマルウェアは複数の Hadoop 仮想マシン(VM)に感染し、その後、グループで共用する既知の C2 に到達しました。
また、Talos の調査により、マイニングマルウェアの一般的な感染手段は比較的な攻撃(大規模なエクスプロイトキャンペーンやブルートフォース攻撃など)であることが判明しています。これらの一般的な感染手段は、マイニング攻撃以外でも多用されています。つまり、マイニングマルウェアに感染している環境では、より高度なマルウェアも存在している可能性があるのです。
上位の侵入経路
標的となった組織の大部分ではロギングとセキュリティ対策が不十分だったため、IR 業務で侵入経路を特定できませんでした。ただし想定される最も多い侵入経路はフィッシング、ブルートフォース、Web アプリケーションのエクスプロイトです。
フィッシング
蔓延しているバンキング型トロイの木馬がマルスパムやフィッシングキャンペーンを中心に拡散されたことを考慮すると、Talos が確認した上位の初期ベクトルに電子メールが含まれていても不思議ではありません。スパムメール経由で Emotet と Trickbot に感染したケースも確認されました。これには、被害を受けた組織内のユーザから別のユーザに送信された電子メールも含まれていました。被害者にとっても、セキュリティアプライアンスにとっても、フィッシングの検出がきわめて困難になっていると言えます。
ブルートフォース攻撃
ブルートフォース攻撃とは、正しい ID とパスワードの組み合わせが見つかるまでログイン試行を続ける手口です。一般にブルートフォース攻撃は自動化されているため速度が早いのが特徴です。ブルートフォース攻撃の痕跡は CTIR 業務で発見されたほか、Talos のハニーポットインフラでも頻繁に観察されました。
Web アプリケーションへの侵害
多く確認されたもうひとつの初期ベクトルは、パッチを適用していないインターネット向けアプリケーションのエクスプロイトです。一般に、攻撃者は脆弱性が発表されるとすぐにパッチ未適用のサーバを探し出し、公開された実証済みコンセプトを利用してエクスプロイトを試みます。こうした手口は Talos のテレメトリでたびたび観察されたほか、IR 業務でも確認されています。たとえば、あるビジネスサービス企業では Jenkins サーバの脆弱性がエクスプロイトされ、暗号通貨マイナーに感染しました。また、SharePoint サーバが Web シェルによって侵害された教育関連組織もありました。
侵入後のアクティビティ
攻撃者は当初の目的(ランサムウェア攻撃中のファイル暗号化など)を遂行するだけでなく、侵害後にさまざまな二次的アクティビティを実行することも観察されています。たとえば、追加のマルウェアや指示を想定した C2 サーバへのアクセス、ネットワークの横断、ユーザアカウントの侵害、永続性の確立、データの持ち出しなどです。このような侵害後のアクティビティは、一般的で比較的単純な手口(オープンソースツールなど)を使うだけで成功できることを裏付けています。
水平方向の感染方法も多く確認されています。その例が、水平方向の感染手段として使われる SMB のエクスプロイトと内部スパムです。これらは、Trickbot や Emotet といったバンキング型トロイの木馬で多く見られます。一部のケースでは、すぐに利用できるオープンソースのポストエクスプロイトツールを利用してネットワークをトラバースし、マルウェアが実行されていました。そこで使用されたツールは Mimikatz などです。Minikatz はメモリからパスワードなどの機密情報をダンプするツールです。
また、オープンソースのポストエクスプロイト フレームワークである PowerShell Empire も観察されました。Empire はキーロガーからクレデンシャルダンパーに至る幅広いモジュールを含むマルウェアで、PowerShell からマルウェアを実行してネットワークをトラバースし、C2 にアクセスします。これらのツールによって引き起こされる損害の過小評価は禁物です。特に Mimikatz は要注意です。Mimikatz の痕跡があれば、組織の重要なサービスが深刻な侵害を受けている可能性があるためです。ある製造会社の IR 業務では、ローカル管理者アカウントのリモート インタラクティブ セッションで Mimikatz が存在することが確認されました。同社からは感染したアカウントも見つかりました。これらのアカウントはダーク Web で販売されていたのです。
ある程度一定の永続化手法も確認されています。それらの手口とは、特定ドメインで cron ジョブを確立してペイロードをホスト / 実行させる、ホストにペイロードを多重にインストールする、定期タスクを作成する、レジストリ内の Autorun にレジストリキーを作成する、などです。
同じ被害者を標的にする複数の攻撃者
攻撃に対して脆弱な組織は、目的が異なる複数の攻撃者に狙われる危険性があります。標的のネットワークを制御するために、攻撃者同士が争うことさえあります。ある例では、攻撃者の「Rocke」、暗号通貨マルウェアの攻撃者「Watchbog」、そして以前からあるボットネット「China.Z」の 3 つが同じ被害者から検出されました。Mimikatz を介したログイン情報の詐取と並行して、ランサムウェアへの感染が確認された事例もあります。その事例では、ランサムウェアへの感染と同時に別の攻撃者が外部向け SSH サーバに侵入し、IoT 用のボットネットをインストールしたのです。ここで重要となるのは、複数の攻撃者が見つかったことの意味です。検出を強化するために可視性を向上させることに加え、セキュリティ上の潜在的弱点にどのように対処するかを検討する必要があります。
上述のケースを踏まえると、ランサムウェアやバンキング型トロイの木馬、不正マイニング攻撃などの一般的な脅威は氷山の一角だと言えます。安価で単純な攻撃が組織の防御網をすり抜けているならば、他の攻撃者も存在しうるのです。
監視すべき対象と脅威の軽減策
一般的な脅威が蔓延している原因は、広く知れ渡っている脆弱性を攻撃者が利用できているからです。上位の侵入経路であるフィッシングには、ユーザトレーニング(疑わしいフィッシングを判別し、報告する方法)、スプーフィングへの技術的な対策、インテリジェンスベースの電子メールフィルタリングなど、多面的なセキュリティアプローチが欠かせません。一般的な攻撃に対する脆弱性を軽減できるエンドポイントの構築も推奨されます。
今回浮き彫りになった別の弱点は、ネットワーク検出ツールやシステム監視ツールの欠如です。この傾向が特に明らかになったのは、Cisco AMP などのツールが「監査」モードで展開されているものの、人によるレビューや SIEM ソフトウェアへの集約が行われていなかったインシデントです。
ログの欠如は、ほぼすべての IR 業務に当てはまる弱点です。ログが欠如していると、侵害後の攻撃アクティビティを完全に把握することが困難です。また、これは大部分の IR 業務で攻撃の初期ベクトルを正確に特定できなかった理由のひとつでした。
その他の共通した弱点としては、多要素認証の欠如、機密性が高いサーバのインターネット接続(または適切なセグメント化の欠如)、更新プログラムの未適用、効果的なセキュリティ製品の欠如などが挙げられます。
Tags:本稿は 2019年11月20日に Talos Group
のブログに投稿された「Cryptominers, ransomware among top malware in IR engagements in Q4
