私はインシデント対応担当者として経験を積み、現在は Cisco Talos インシデント対応チーム(CTIR)の IR ビジネスリーダーを務めていますが、これまで、インシデント対応は究極のチームスポーツだと言い続けてきました。人は組織の重要な構成要素です。そして効果的なインシデント対応にとって大切なのは、人、信頼関係、その関係に基づいて策定されたインシデント対応のワークフロー(プロセスとセキュリティ対策)です。この 3 つの要素が一体となって機能することにより、特定された脅威を効果的に封じ込め、組織のネットワーク環境から根絶することができます。
この点が明確になるよう、最近の CTIR の取り組みをご紹介し、脅威を迅速に封じ込めて修復するために、CTIR がどのようにお客様の IR(インシデント対応)チームおよび IT チームと連携しているかをご説明したいと思います。今回ご紹介する事例では、ランサムウェアに感染させ、ネットワークをほぼ完全に遮断することで、ビジネスに重大な影響を与える可能性があった攻撃に対処しました。
CTIR の業務の中でも特に素晴らしいと思っていることは、世界中のお客様と関係を築ける点です。コロナ禍においても、Cisco Secure の卓越したコラボレーション テクノロジーを活用すれば、自宅でもどこからでも信頼関係を築くことができます。お客様が現在直面している最も対応が困難な脅威に関して、課題と成功体験を直接聞くことができるのです。
ここでご紹介するお客様は、収益が 80 億ドルを超える上場企業です。この企業の CISO(最高情報セキュリティ責任者)が CTIR から電話を受けたとき、ちょうど合併・買収が進行していたため、インシデントは複雑になっていました。同社とは IR リテーナー契約を締結しており、すでに CTIR との強固な信頼関係が築かれていたこともあって、1 つのチームとして機能していました。お客様に通知を行ったのは、SecureX のテレメトリデータから、ランサムウェア感染前に確認される Cobalt Strike の疑わしいアクティビティ
「Cisco Talos チームは、サイバーセキュリティとインシデント対応においては信頼関係が重要だということを知っています。インシデントが発生する前から、多大な時間と労力を費やして当社のチームと環境を十分に理解してくれていました。私たちはチーム間で仲間意識を持ち、信頼関係を築きました。これは一朝一夕にできることではなく、地道な取り組みが必要です。重大なセキュリティインシデントに直面したとき、脅威を封じ込めて損害を最小限に抑えることができたのは、そうして築いた信頼信頼と一体感があったからでした」と同社の CISO はコメントしています。
最初の通知で、問題のホスト名とインジケータをお客様に提供しました。以下は、グローバルテレメトリで確認された最初の Cobalt Strike のビーコンです。
cmd.exe executed powershell -nop -w hidden -encodedcommand <redacted_base64_string>
コマンドアンドコントロール(C2)は、以下のとおりです。
cmd.exe executed powershell -nop -w hidden -encodedcommand <redacted_base64_string>
powershell.exe Connected to 95[.]174[.]65[.]241[:]4444
なお、正確な脅威情報を確認するには Talos Reputation Center
このブログ記事ではエンドポイント分析のみを取り上げますが、侵入された 2 台のドメインコントローラの分析計画でも同じアプローチを採用したことをお断りしておきます。
SecureX のグローバルテレメトリとお客様が導入されていた Cisco Secure Endpoint を使用して最初に侵入されたエンドポイントを特定した後、分析計画の一環として 3 つの主要システムのフォレンジック分析に集中することにしました。
サブ手法を用いた ATT&CK 手法(T1204.002)ユーザによる実行:悪意のあるファイル
最初に侵入されたエンドポイントのフォレンジック分析により、ファイル「Document_1223672987_11142020.zip」が「\Users\%Compromised_User%\Downloads」にダウンロードされたことがわかりました。レジストリエントリ RecentDocs は、ファイルがダウンロードされた直後にユーザが ZIP アーカイブを開いたことを示しています。「Document_1223672987_11142020.zip」に含まれている Excel ドキュメントを分析したところ、ドキュメントを開くと実行されるように設定された悪意のあるマクロが発見されました。このマクロは、「http[:]//redacted[.]com/bpebqznfbkgl/55555555555.jpg」からペイロードをダウンロードしていました。ダウンロードされたペイロードは、システムの「C:\IntelCompany」フォルダに保存され、rundll32 実行ファイルを用いて実行されました。また、分析の結果、このドキュメントによって配信されたペイロードがバンキング型トロイの木馬「Qakbot」
Windows PowerShell のイベントログを分析した結果、ユーザ Compromised_User が、Cobalt Strike ビーコンでエンコードされた PowerShell のペイロードを複数回実行したことが確認されました。
エンコードされたこのペイロードを分析すると、Cobalt Strike のコマンドアンドコントロールのトラフィックが以下のユーザエージェントを使用するように設定されていたことが明らかになりました。
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.157 Safari/537.36
Windows-Update-Agent/10.0.10011.16384 Client-Protocol/1.40
また、PowerShell のイベントログから、2020 年 11 月 20 日 16 時 58 分頃(2020-11-20T16:58:22Z)に以下の PowerShell コマンドが実行され、このドメインのドメインコントローラが列挙されたことが明らかになりました。
powershell
System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().DomainControllers | Select -property Name,IPAddress,OSVersion
マスターファイルテーブル($MFT
お客様の IT 環境は、ランサムウェアの展開が可能な状態になっていましたが、お客様の IR チームと CTIR が協力してインシデントに対応したため、攻撃を迅速に封じ込めて完全に根絶することができました。インシデント対応のこれらのフェーズでは、最初に侵入されたエンドポイントの再イメージングとパスワードリセットに加え、ドキュメントマクロ、PowerShell、SMB/Admin の共有を制限するための追加のグループポリシー(GPO)の導入など、さまざまなアクションが実行されました。インシデント対応からは、毎回教訓が得られます。このようにして、防御・検知機能、脅威モデル、インシデント対応計画、プレイブックを進化させ続けることができます。関心をお持ちのお客様は、CTIR に詳細をお問い合わせください
インシデント後、このお客様(最高情報セキュリティ責任者)と同社の経営幹部と行った打ち合わせの場で、お客様とチーム全体に称賛の言葉を贈りました。数百万ドルの減収と復旧費用が発生する可能性もあったわけですが、チーム一体となって迅速に対応にあたり、CTIR と連携して動いた結果、特定された脅威を封じ込めて根絶できたのです。ランサムウェアに感染し、組織全体に影響が及んだ結果、IR 組織に対応が要請されることが増えています。今回のケースは一例に過ぎません。『四半期レポート:インシデント対応の動向』
シスコはこのお客様と強固な信頼関係を築くことができました。インシデント対応にはお客様との信頼関係が欠かせません。CTIR リテーナー契約
CTIR の詳細については、こちらの Web サイト
本稿は 2021 年 05 月 17 日に Talos Group
のブログに投稿された「Case Study: Incident Response is a relationship-driven business 」の抄訳です。
