インシデント対応が「究極のチームスポーツ」であることの証明
はじめに
私はインシデント対応担当者として経験を積み、現在は Cisco Talos インシデント対応チーム(CTIR)の IR ビジネスリーダーを務めていますが、これまで、インシデント対応は究極のチームスポーツだと言い続けてきました。人は組織の重要な構成要素です。そして効果的なインシデント対応にとって大切なのは、人、信頼関係、その関係に基づいて策定されたインシデント対応のワークフロー(プロセスとセキュリティ対策)です。この 3 つの要素が一体となって機能することにより、特定された脅威を効果的に封じ込め、組織のネットワーク環境から根絶することができます。
この点が明確になるよう、最近の CTIR の取り組みをご紹介し、脅威を迅速に封じ込めて修復するために、CTIR がどのようにお客様の IR(インシデント対応)チームおよび IT チームと連携しているかをご説明したいと思います。今回ご紹介する事例では、ランサムウェアに感染させ、ネットワークをほぼ完全に遮断することで、ビジネスに重大な影響を与える可能性があった攻撃に対処しました。
CTIR の業務の中でも特に素晴らしいと思っていることは、世界中のお客様と関係を築ける点です。コロナ禍においても、Cisco Secure の卓越したコラボレーション テクノロジーを活用すれば、自宅でもどこからでも信頼関係を築くことができます。お客様が現在直面している最も対応が困難な脅威に関して、課題と成功体験を直接聞くことができるのです。
ここでご紹介するお客様は、収益が 80 億ドルを超える上場企業です。この企業の CISO(最高情報セキュリティ責任者)が CTIR から電話を受けたとき、ちょうど合併・買収が進行していたため、インシデントは複雑になっていました。同社とは IR リテーナー契約を締結しており、すでに CTIR との強固な信頼関係が築かれていたこともあって、1 つのチームとして機能していました。お客様に通知を行ったのは、SecureX のテレメトリデータから、ランサムウェア感染前に確認される Cobalt Strike の疑わしいアクティビティ
と TTP(戦術、手法、手順)を特定したからでした。
「Cisco Talos チームは、サイバーセキュリティとインシデント対応においては信頼関係が重要だということを知っています。インシデントが発生する前から、多大な時間と労力を費やして当社のチームと環境を十分に理解してくれていました。私たちはチーム間で仲間意識を持ち、信頼関係を築きました。これは一朝一夕にできることではなく、地道な取り組みが必要です。重大なセキュリティインシデントに直面したとき、脅威を封じ込めて損害を最小限に抑えることができたのは、そうして築いた信頼信頼と一体感があったからでした」と同社の CISO はコメントしています。
最初の通知
最初の通知で、問題のホスト名とインジケータをお客様に提供しました。以下は、グローバルテレメトリで確認された最初の Cobalt Strike のビーコンです。
cmd.exe executed powershell -nop -w hidden -encodedcommand <redacted_base64_string>
コマンドアンドコントロール(C2)は、以下のとおりです。
cmd.exe executed powershell -nop -w hidden -encodedcommand <redacted_base64_string>
powershell.exe Connected to 95[.]174[.]65[.]241[:]4444
なお、正確な脅威情報を確認するには Talos Reputation Center にアクセスしてください。
検知と分析
このブログ記事ではエンドポイント分析のみを取り上げますが、侵入された 2 台のドメインコントローラの分析計画でも同じアプローチを採用したことをお断りしておきます。
SecureX のグローバルテレメトリとお客様が導入されていた Cisco Secure Endpoint を使用して最初に侵入されたエンドポイントを特定した後、分析計画の一環として 3 つの主要システムのフォレンジック分析に集中することにしました。
- エンドポイント(最初の侵入):Windows 10 Enterprise 1909
- ドメインコントローラ 1(DC1):Windows Server 2016 Standard
- ドメインコントローラ 2(DC2):Windows Server 2012 R2 Standard
最初の侵入(Windows 10 エンドポイント)
サブ手法を用いた ATT&CK 手法(T1204.002)ユーザによる実行:悪意のあるファイル
最初に侵入されたエンドポイントのフォレンジック分析により、ファイル「Document_1223672987_11142020.zip」が「\Users\%Compromised_User%\Downloads」にダウンロードされたことがわかりました。レジストリエントリ RecentDocs は、ファイルがダウンロードされた直後にユーザが ZIP アーカイブを開いたことを示しています。「Document_1223672987_11142020.zip」に含まれている Excel ドキュメントを分析したところ、ドキュメントを開くと実行されるように設定された悪意のあるマクロが発見されました。このマクロは、「http[:]//redacted[.]com/bpebqznfbkgl/55555555555.jpg」からペイロードをダウンロードしていました。ダウンロードされたペイロードは、システムの「C:\IntelCompany」フォルダに保存され、rundll32 実行ファイルを用いて実行されました。また、分析の結果、このドキュメントによって配信されたペイロードがバンキング型トロイの木馬「Qakbot」であることも判明しました。ホストはインターネット上のすべてのマクロとすべての Excel ドキュメントを信頼するように設定されていたため、マクロを含んだファイルを開く際に警告メッセージが表示されることはありませんでした。
サブ手法を用いた ATT&CK 手法(T1059.001)コマンドとスクリプトインタープリタ:POWERSHELL
Windows PowerShell のイベントログを分析した結果、ユーザ Compromised_User が、Cobalt Strike ビーコンでエンコードされた PowerShell のペイロードを複数回実行したことが確認されました。
エンコードされたこのペイロードを分析すると、Cobalt Strike のコマンドアンドコントロールのトラフィックが以下のユーザエージェントを使用するように設定されていたことが明らかになりました。
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.157 Safari/537.36
Windows-Update-Agent/10.0.10011.16384 Client-Protocol/1.40
また、PowerShell のイベントログから、2020 年 11 月 20 日 16 時 58 分頃(2020-11-20T16:58:22Z)に以下の PowerShell コマンドが実行され、このドメインのドメインコントローラが列挙されたことが明らかになりました。
powershell
System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().DomainControllers | Select -property Name,IPAddress,OSVersion
サブ手法を用いた ATT&CK 手法(T1087.002)アカウントの検出:ドメインアカウント
ATT&CK 手法(T1018)リモートシステムの検出
マスターファイルテーブル($MFT)を分析した結果、その後 17 時 55 分頃(2020-11-20T17:55:29Z)に「20201120104627_BloodHound.zip」がフォルダ「\Users\Public」にダウンロードされたという結論に達しました。この zip ファイルには、Windows のドメインを列挙するために使用される BloodHound というツールがアーカイブされていました。18 時 22 分(2020-11-20T18:22:00Z)には、ファイル「20201120132133_users.json」が「\Users\%Compromised_User%\Downloads」に作成されています。収集された証拠の中にこのファイルのコンテンツはありませんでしたが、裏付けとなる別の証拠に基づくと、このドメインのユーザに関する情報を含む BloodHound の出力ファイルであると推測されます。同様に、20 時 40 分(2020-11-20T20:40:00Z)に、ファイル「20201120132133_computers.json」が「\Users\%Compromised_User%\Downloads」に作成されています。このファイルには、ドメインのホストに関する情報を含む BloodHound の出力が含まれている可能性が高いと思われます。
封じ込め、根絶、復旧
お客様の IT 環境は、ランサムウェアの展開が可能な状態になっていましたが、お客様の IR チームと CTIR が協力してインシデントに対応したため、攻撃を迅速に封じ込めて完全に根絶することができました。インシデント対応のこれらのフェーズでは、最初に侵入されたエンドポイントの再イメージングとパスワードリセットに加え、ドキュメントマクロ、PowerShell、SMB/Admin の共有を制限するための追加のグループポリシー(GPO)の導入など、さまざまなアクションが実行されました。インシデント対応からは、毎回教訓が得られます。このようにして、防御・検知機能、脅威モデル、インシデント対応計画、プレイブックを進化させ続けることができます。関心をお持ちのお客様は、CTIR に詳細をお問い合わせください。
インシデント後のアクティビティ
インシデント後、このお客様(最高情報セキュリティ責任者)と同社の経営幹部と行った打ち合わせの場で、お客様とチーム全体に称賛の言葉を贈りました。数百万ドルの減収と復旧費用が発生する可能性もあったわけですが、チーム一体となって迅速に対応にあたり、CTIR と連携して動いた結果、特定された脅威を封じ込めて根絶できたのです。ランサムウェアに感染し、組織全体に影響が及んだ結果、IR 組織に対応が要請されることが増えています。今回のケースは一例に過ぎません。『四半期レポート:インシデント対応の動向』で取り上げていますが、こうした状況は世界中あらゆる業種で観察されています。
結論
シスコはこのお客様と強固な信頼関係を築くことができました。インシデント対応にはお客様との信頼関係が欠かせません。CTIR リテーナー契約は、インシデント対応能力を強化する上で不可欠です。本日公開した 2 件のケーススタディ(こちらとこちら)をご覧いただければわかりますが、組織の現在の対応能力を正確に反映した、検証済みのインシデント対応計画を策定することが極めて重要となります。危機の際は組織とサードパーティの関係が試されます。IR チームとお客様の間で強固な信頼関係が築かれていることが重要です。また、ランサムウェアに感染するリスクがある脅威が特定され、一刻も早く企業全体に対するランサムウェア攻撃を防止する必要があるという状況を考えると、プロセスを確立して合意しておくことが肝要です。CISO と経営幹部は、サードパーティとの関係を定期的に確認し、改善する必要があります。インシデント対応に関してサードパーティとの信頼関係を築いていらっしゃるでしょうか。そしてその関係は揺るぎないものでしょうか。
CTIR の詳細については、こちらの Web サイトをご覧ください。また、今週オンラインで開催される RSA Conference 2021 にもぜひご参加ください。
Tags:本稿は 2021 年 05 月 17 日に Talos Group
