四半期レポート：インシデント対応の動向（2020 年夏）

Cisco Talos Incident Response（CTIR）が確認した限り、最も猛威を振るっている脅威は 5 四半期連続でランサムウェアです。感染には、Ryuk、Maze、LockBit、Netwalker などの多様なマルウェアファミリが使われています。前四半期のレポートで確認されたトレンドは現在も続いています。つまり、これらのランサムウェア攻撃では、Emotet や Trickbot など、商用化されたトロイの木馬への依存度が大幅に下がっています。興味深いことに、今四半期に発生したランサムウェア攻撃の 66% がレッドチーミング フレームワーク Cobalt Strike に関与していることから、ランサムウェアの攻撃者らは商用化されたトロイの木馬の利用を断念し、Cobalt Strike への依存度を高めていることが伺えます。これらの攻撃者は以前からデータ漏洩に関与し続けていますが、最近では Maze をはじめとするランサムウェア「同盟」が新たに形成されつつあることも確認されています。

詳細については、こちらの概要レポート完全版をご覧ください。

ターゲット

攻撃者たちは、製造、教育、建設、施設サービス、食品/飲料、エネルギー/公益事業、金融サービス、医療、産業流通、不動産、テクノロジー、通信など、幅広い業種をターゲットにしています。なかでも最大のターゲットは製造です。なお、前四半期における最大のターゲットは医療とテクノロジーでした。

脅威

CTIR が観測した脅威の大部分を占めていたのは、今四半期もランサムウェアでした。今四半期の傾向はこれまでの四半期と異なり、全体の大部分を占める特定のランサムウェアファミリはありませんでした。かつて猛威を振るった Ryuk の割合も大幅に低下しています。前四半期に続き今四半期も、商用化されたトロイの木馬の感染に関連して観察されたランサムウェア攻撃はほとんど見られませんでした。その理由の 1 つとして、Cobalt Strike の使用の増加が考えられます。今四半期に観測されたランサムウェア攻撃の 66% では、Cobalt Strike が使用されています。

たとえば、LockBit ランサムウェアに感染したエンジニアリング企業の事例では、Cobalt Strike がコマンドアンドコントロール（C2）として使用され、Cobalt Strike C2 サーバへのトラフィックが 6 分ごとに観察されました。また、攻撃では、「CrackMapExecWin」と呼ばれる、侵害後に使うオープンソースのツールも利用されています。このツールは、大規模な Active Directory ネットワークの評価を自動化するために開発されたものです。攻撃では、ターゲット環境内のネットワーク各部で CrackMapExecWin が実行され、ネットワーク上のすべてのシステムでグループポリシーが強制的に更新されました。更新されたグループポリシーには、侵害を受けたサーバからランサムウェアを実行するようにサービスを設定する XML ファイルも含まれていました。攻撃者は侵入したホスト上にユーザアカウントを作成し、そのアカウントを使用して標的サーバへのリモートデスクトップ接続を確立していました。しかも発覚を回避するために、イベントログは消去されていました。さらに、攻撃では TeamViewer も展開されています。このツールは、情報を盗み出すために、サイバー犯罪者たちによってしばしば利用されます。

興味深いことに、攻撃で盗み出されたデータは、Maze が盗み出したデータを公開するために利用されているサイトに転送されていました。これは、LockBit と、他のランサムウェア攻撃やハイブリッドデータ窃盗攻撃との間でリソースやデータが共有されていることを裏付けています。

他にも、リモートアクセス型のトロイの木馬（RAT）も使用されています。たとえば、ある金融機関は、組織内のチケット処理システムや Web シェルを介して JavaScript RAT を含む不正文書（Maldoc）を送信するフィッシング攻撃の標的になりました。ある製造企業では Telerik サーバがエクスプロイトされ、APSX.NET Web シェルが展開される事例が発生しています。

初期ベクトル

ロギングの量が十分ではないため、ほとんどの IR 業務では初期ベクトルを明確に特定することが困難でした。ただし、初期ベクトルを特定できた事例や合理的に推測できた事例に基づく限り、最多の感染ベクトルは依然としてフィッシングです。また、Telerik UI フレームワークを実行するサーバがエクスプロイトされる事例の増加も確認されています。最新の脆弱性（CVE-2019-18935）がエクスプロイトされると、リモートでコードが実行される可能性があります。ASP.NET アプリケーション自体にパッチを適用しても、アプリケーションで実行されている Telerik UI は古いバージョンの可能性があるため、この脆弱性は特に危険と言えます。たとえば、Telerik UI を実行しているサーバを介してテクノロジー企業への攻撃が試みられた事例が報告されています。この攻撃では、「cmd.exe」が実行された後に、悪意のあるコマンドが実行されることで、ランサムウェア攻撃に発展しています。

最も多く観察された MITRE ATT&CK 手法

以下は、今四半期の IR 業務で最も多く確認された MITRE ATT&CK 手法の一覧です。複数のカテゴリに分類されるものもありますが、最も関連性の高いカテゴリに各手法を分類しています。ここに挙げられているのは、CTIR で最も頻繁に観察された手法であり、すべての手法が網羅されているわけではありません。

主な調査結果

• 最も多く観察された感染経路は、悪意のあるファイルが添付されたフィッシングメールでした。
• Mimikatz などのいくつかのオープンソースツール、PsExec などの Windows ユーティリティ、Cobalt Strike などのレッドチームツールが今四半期に頻繁に確認されています。
• 今四半期に観察された攻撃実行手法の一部では、エンコードされた PowerShell コマンドが使用されていました。この点を踏まえると、権限のないユーザが PowerShell や CMD アプリケーションを使用できないように制限するポリシーは必須だと言えます。
• 水平移動に使用された主な手法の 1 つは、Remote Desktop Protocol（RDP）でした。組織のリモート デスクトップ サービス（RDS）が狙われるトレンドは、前四半期から続いています。コロナ禍によるテレワークの普及により組織の攻撃対象領域が拡大していることも一因として考えられます。

ATT&CK 手法

• 001 フィッシング：スペアフィッシング添付ファイル： マクロが有効化された後、不正文書（Maldoc）によって Qakbot がダウンロードされます。
• T1053 スケジュールされたタスク/ジョブ：実行可能ファイルによってスケジュールタスクがシステム上に作成され、現行ユーザの権限で実行されます。
• 001 コマンドおよびスクリプトインタープリタ：PowerShell：クライアントの Active Directory 環境に関する情報を取得する PowerShell コードが実行されます。
• 001 リモート デスクトップ プロトコル：攻撃者が有効なログイン情報を使用して RDP 接続を確立し、システムに接続します。
• T1070 ホストからのインジケータの削除：感染したマシンから攻撃の兆候を示すファイルやアーティファクトを削除します。
• 001 データエンコーディング：標準エンコーディングー base64 を使用して C2 通信をエンコードします。
• T1486 データ暗号化による被害：Netwalker ランサムウェアが展開されます。
• ソフトウェア：Cobalt Strike：Qakbot により、「CLOSE_WAIT」ステータスの IP アドレスが既知の Cobalt Strike ビーコン IP に関連付けられます。

本稿は 2020 年 9 月 1 日に Talos Group のブログに投稿された「Quarterly Report: Incident Response trends in Summer 2020」の抄訳です。