四半期レポート:インシデント対応の動向(2020 ~ 2021 年冬)
Cisco Talos Incident Response(CTIR)
が確認した限り、最も猛威を振るっている脅威は 7 四半期連続でランサムウェアです。ランサムウェアで最も多く確認された亜種は Ryuk と Vatet でした。前四半期は Ryuk が確認されなかったことを考えると、これは注目に値します。また、亜種の Egregor と WastedLocker も、引き続き世界中の組織を標的としていることが観察されています。
前四半期とは異なり、多くのランサムウェア攻撃が、商用化されたトロイの木馬を仕込んだ不正ドキュメントでフィッシングを行っていました。利用されたトロイの木馬は、Zloader、BazarLoader、IcedID などです。今四半期では、ランサムウェア攻撃の約 70% が商用化されたトロイの木馬を活用していました。また、Cobalt Strike などの市場で入手できるツールに加え、Bloodhound のようなオープンソースのポストエクスプロイトツールや、侵害したシステム上のネイティブツール(PowerShell など)も使用しています。動向の詳細については、こちらの概要をご覧ください。
CTIR が行ったインシデント対応業務では、広く利用されている SolarWinds Orion ソフトウェアが関わる事案がいくつかありました。SolarWinds Orion の更新プログラムがトロイの木馬として悪用され、組織が気づかずにダウンロードしてしまった、というものです。このうち、侵害後のアクティビティが発生したのは 1 件だけでした。
また、Microsoft 社は最近、Exchange Server の脆弱性を 4 つ発表しました。そして、Hafnium という攻撃者がこれらの脆弱性を悪用し、さまざまな組織に Web シェルをドロップしていたことを明らかにしました。APT から暗号通貨マイニンググループに至るまで、他の攻撃者もすぐにこの脆弱性を悪用し始め、何万もの組織が影響を受けたと推定されています。CTIR は、Microsoft Exchange の脆弱性に関するインシデントの増加に対応しています。
ターゲット
ビジネス管理、建設、教育、エネルギーおよび公益事業、エンターテイメント、金融、政府/自治体、医療、産業流通、法曹界、製造業、テクノロジーなど、幅広い業種が攻撃のターゲットとされています。攻撃者の多くは、医療機関を標的にしていました。これは、前四半期の医療機関を標的とするランサムウェア攻撃の多さからも予測できたとおりです。注意すべきは、マルウェア Vatet が関わるインシデントが増加していることです。Vatet は医療機関を標的とすることで知られています。州内のある病院が最初に攻撃され、次にその病院と関連する地域病院が標的になる、というパターンを CTIR は確認しました。特に、最初に攻撃された病院とアクティブな VPN 接続がある場合にこの傾向が見られました。攻撃者が医療業界を狙い続けている理由は数多くありますが、そのひとつは新型コロナウイルスのパンデミックです。身代金を支払ってでも、医療サービスをできるだけ早く復旧させたいと考える可能性があるためです。
脅威
CTIR が観測した脅威の大部分を占めていたのは、今四半期もランサムウェアでした。前四半期では商用化されたトロイの木馬は確認されませんでしたが、今期のランサムウェア攻撃の大部分では、これらを仕込んだ不正ドキュメントによるフィッシングが感染ベクトルになっていました。市場で入手可能なツールも引き続き使用されています。たとえば、Cobalt Strike は今四半期のランサムウェア攻撃全体の半分で確認されました。また、ADFind、ADRecon、Bloodhound などのオープンソースの偵察ツールを活用した攻撃も多数ありました。Windows ユーティリティの使用もよく見られました。たとえば、PowerShell はすべてのランサムウェア攻撃の約 65% で確認され、PsExec は 30% 以上で使われていることが確認されています。その他に観察されたツールには、TightVNC や CCleaner などのデュアルユースツールや、7-Zip や WinRAR などの圧縮ツールがあります。
たとえば、米国のある教育機関が標的となったインシデント対応業務では、商用化されたトロイの木馬によるフィッシングから感染が始まりました。この事例では悪意のある Microsoft Excel の添付ファイルが利用され、ユーザがマクロを有効にするとトロイの木馬 Zloader が実行されるようになっていました(ファイルハッシュがこれまで確認されていないものであったことから、この Zloader 亜種は標的用にカスタマイズされていたと考えられます)。組織の従業員は添付ファイルを開き、同僚に転送しました。環境に侵入した攻撃者は Windows Active Directory のグループポリシーのレプリケーションメカニズムを利用して Ryuk を拡散しました。そして、PsExec を使用して水平移動し、Ryuk の挙動に沿うようにリモートコマンドを実行します。攻撃者はドメイン管理者(DA)のログイン情報を取得し、ネットワーク上のシステムを暗号化しました。さらに、バックアップインデックスも消去しました。1,000 を超えるエンドポイントが暗号化され、組織に甚大な損害が及びました。Active Directory、DHCP、DNS、ウイルス対策ソフトウェアにも影響を与えました。
2020 年 12 月、Cisco Talos は巧妙なサプライチェーン攻撃を確認しました。その事例では、攻撃者は SolarWinds Orion ソフトウェアの更新プログラムをトロイの木馬として悪用し、被害者のネットワークにアクセスしていました。多くの大企業や米国政府機関が標的となりました。CTIR は、侵害されているとは知らずに更新プログラムをインストールした組織のインシデントに数件対応しました。このうち、悪意のある PowerUP PowerShell の実行といった侵害後のアクティビティが発生したのは 1 件だけでした。PowerUP は PowerSploit の一種と考えられ、レッドチームのアクティビティを支援するために使用される PowerShell モジュールを集めたものです。この事例では、PowerUP のような PowerShell スクリプトは何も実行しませんでしたが、おそらく追加のコードを取り込むためのラッパーまたはユーティリティとして設定されているようです。CTIR では、今後も SolarWinds の侵害に関連するアクティビティの監視を続けます。
3 月以降、CTIR は Microsoft Exchange の脆弱性に関するインシデントの増加に対応してきました。支払いプロセッサ/テクノロジーセクターのお客様が被害を受けたあるインシデント対応業務では、CVE-2021-26855 がエクスプロイトされた兆候は確認できませんでした。ただし、これらの攻撃に関連する既知の IP アドレスからのスキャン動作は観察され、2 月 28 日以降、特定の Exchange サーバにパケットを送信していました。別のインシデント対応業務では、ある医療機関のお客様で CVE-2021-26855 のエクスプロイトを確認しました。しかし、アクティビティがスキャンに限定されているかどうかは現時点でまだ確認できていません。ドイツのある組織が攻撃を受けたインシデント対応業務では、エクスプロイト後のアクティビティが前述のインシデントとわずかに異なっていました。はじめはほぼ同じで、攻撃者は侵害した環境に Web シェルをインストールします。しかし、Active Directory(AD)に「Password last set」属性があることから、Web シェルを導入する前にドメイン管理者アカウントのパスワードがリセットされていたことが確認されています。
初期ベクトル
ログの不足により、前四半期の多くのインシデント対応業務で初期の感染ベクトルを特定することは困難でした。ただし、初期ベクトルを特定できた事例や合理的に推測できた事例に関しては、フィッシングが 7 四半期連続で最多の感染ベクトルとなっています。前述のように、大半は不正ドキュメントによるフィッシングです。しかし、ビジネスメールの侵害に関する対応業務もありました。ある事例では、エンターテイメント企業の従業員が Microsoft Online のログインページを偽装したフィッシングメールを受信しました。その後、攻撃者が複数の場所から Office 365 アカウントへの認証を試行していました。攻撃者はレガシーアプリケーションを使用して MFA を正常に認証およびバイパスしていたため、レガシープロトコルを無効にする必要性が浮き彫りになりました。
CTIR は、すべての組織にログを保存し、潜在的なインシデント対応業務の効率と効果を向上させることを推奨しています。
その他の注目すべき初期ベクトルは、公共アプリケーションのエクスプロイトです。ある教育機関では、DDoS 攻撃の過程で F5 ロードバランサが CVE-2020-5902(F5 のリモートコード実行の脆弱性)によってエクスプロイトされました。また、Telerik UI の脆弱性(CVE-2019-18935)がエクスプロイトされた事例もいくつかありました。Talos が 2020 年の夏に、Telerik UI を悪用する攻撃者の増加を初めて確認して以降、この動向は現在も続いています。
最も多く観察された MITRE ATT&CK 手法
以下は、今四半期の IR 業務で最も多く確認された MITRE ATT&CK 手法の一覧です。複数のカテゴリに分類されるものもありますが、最も関連性の高いカテゴリに各手法を分類しています。ここに挙げられているのは、CTIR で最も頻繁に観察された手法であり、すべての手法が網羅されているわけではありません。
主な調査結果
- 前四半期と比較すると、今四半期は悪意のある添付ファイルやリンクによるフィッシングが初期アクセスの手法の大半を占めていました。
- 「rundll32.exe」や「msiexec.exe」など、ネイティブの Windows ユーティリティを使用したさまざまな実行方法を確認しました。これらのユーティリティは日常業務でも一般的に使用されるため、セキュリティツールのトリガーが回避されるおそれがあります。
- 暗号通貨マイニングマルウェアが関与するインシデント対応業務は、非常に少ない状況が続いています。しかし、ランサムウェア攻撃の件数は、この四半期でほぼ倍増しました。
- 今四半期では、ラテラルムーブメントの手口として、有効なアカウントの使用が最も多く観察されました。ラテラルムーブメントに RDP やリモートアクセスサービス(TightVNC など)を使う方法は、今四半期で増加しました。
- 初期アクセス(TA0027)— T1078 有効なアカウント:攻撃者は侵害されたアカウントのログイン情報を利用します
- 永続化(TA0028)— T1053 スケジュールされたタスク/ジョブ:攻撃者はスケジュールされたタスクを作成して、悪意のある実行可能ファイルを 1 時間ごとに実行します
- 実行(TA0041)— T1204.002 ユーザ実行:悪意のあるファイル:攻撃者は、マルウェアを含むファイルが添付されたフィッシングメールを送信します。ファイルがクリックされると、ログイン情報を収集するための追加ツールが展開されます
- 検出(TA0007)— T1482 ドメイン信頼検出:AdFind(「bat」)を使用して、すべてのユーザ、コンピュータ、グループ、信頼をクエリします
- ログイン情報へのアクセス(TA0006)— T1003 OS ログイン情報のダンプ:Mimikatz などのツールを使用して、環境内のログイン情報を盗み出します。
- 権限昇格(TA0029)— T1484 グループポリシーの変更:サービスの作成に関するグループポリシーの更新を強制的に適用して、ランサムウェアを実行します。
- ラテラルムーブメント(TA0008)— T1021.001 リモート デスクトップ プロトコル:攻撃者が有効なログイン情報を使用して RDP 接続を確立し、システムに接続します
- 収集(TA0035)— T1560.001 収集データのアーカイブ:ユーティリティによるアーカイブ:7-Zip を使用して、ダンプされた LSASS ログイン情報を含むファイルが圧縮されます
- マルウェア対策ソリューションの回避(TA0030)— T1070 ホストからのインジケータの削除:感染したマシンから攻撃の兆候を示すファイルやアーティファクトを削除します
- コマンド & コントロール(TA0011)— T1132.001 データエンコーディング:標準エンコーディング:Base64 を使用して C2 通信をエンコードします
- データ漏えい(TA0010)— T1567 Web サービス経由のデータ漏えい:漏えいしたデータは、ファイル共有サイトに格納されていました
- 影響(TA0034)— T1486 データ暗号化による被害:Ryuk ランサムウェアを展開します
Tags:本稿は 2021 年 03 月 24 日に Talos Group
