四半期レポート:インシデント対応の動向(2021 年春)
Microsoft Exchange Server ゼロデイ脆弱性のエクスプロイトについては、セキュリティコミュニティが大々的に警告を発してきました。それにもかかわらず、Cisco Talos インシデント対応チーム(CTIR)
が今四半期に確認した脅威の中で最も深刻だったのも、やはりこの脆弱性に関するものでした。CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065 として追跡されており、調査されたすべてのインシデントのうち、約 35% を占めています。
このことから、深刻かつ広範囲に及ぶ脆弱性が公開されて間もなくは、問題の脆弱性に関連するインシデント対応業務が増加することがわかります。幸いインシデントの大部分はスキャンに関連するもので、ファイルの暗号化やデータ漏洩の証拠などの侵害後のアクティビティではありませんでした。
CTIR が今期特に注視していたのは Microsoft Exchange Server の脆弱性ですが、その間もランサムウェアの問題は引き続き拡大し続けました。今期は、MountLocker、Zeppelin、Avaddon など、CTIR にとって初のインシデント対応となる複数のランサムウェアファミリが注目を浴びました。これらのファミリは、サービスとしてのランサムウェア(RaaS)モデルに該当します。通常は Cobalt Strike とともに展開され、初期ローダである商用のトロイの木馬によって配信されます。これらのランサムウェアファミリは、身代金要求に応じなければ被害者のデータを公開すると脅迫する二重脅迫型の攻撃にも関与しています。
第 4 四半期は、3 月下旬から Dridex の感染が相対的に増加しました。これはシスコのテレメトリでも裏付けられています。今年初めに世界の法執行機関の連携により実現した Emotet のサーバ停止とマルウェア削除に関連している可能性があります。
標的
攻撃の対象は、バイオテクノロジー、政府、流通、教育、エネルギー・公益事業、食品・農業、医療、IT サービス、法律、機械、製造、非営利、不動産、小売、テクノロジー、通信、運輸など、幅広い業種にわたっています。最も標的となったのが医療業界で、次に狙われた教育・テクノロジー業界の 4 倍近くのインシデントが発生しました。この傾向は、前四半期から続いています。攻撃者が医療業界を狙い続けている理由は数多くありますが、そのひとつは新型コロナウイルスのパンデミックです。身代金を支払ってでも、医療サービスをできるだけ早く復旧させたいと考える可能性があるためです。
脅威
CTIR が確認した脅威の大部分を占めたのが Microsoft Exchange Server のゼロデイ脆弱性のエクスプロイトです。
3 月初旬以降、Exchange Server の脆弱性に関連する脅威活動などの事例が増加し、CTIR は対応にあたってきました。その中で、Microsoft のゼロデイ脆弱性のエクスプロイトに無効な管理者のメールアドレスと正規の管理者のメールアドレスの両方を利用していた例が複数確認されました。大半のインシデントでは、スキャンの試行と HTTP POST 要求の兆候が見られただけで、エクスプロイト後のアクティビティの証拠は確認されませんでした。
無効な管理者のメールアドレスを使用して脆弱性をエクスプロイトしようとする動きは、複数のインシデント対応で確認されています。攻撃者が作成した無効なアカウントには、たとえば administrator@domainname のように標的とする組織のメールドメインが付されており、一見すると正規のユーザ名のようです。CVE-2021-26855 をエクスプロイトするには、有効なメールアドレスを入力する必要があります。標的となった組織のメールサーバには、実際にはそうしたアカウントが存在しないため、Microsoft Internet Information Server(IIS)ログの応答は「メールアドレスが見つかりません」となっていました。
これとは対照的なのが、正規の管理者アカウントが使用された事例です。有効な管理者のメールアドレスが使用されていた事例では、エクスプロイト後のアクティビティの可能性が複数確認されました。具体的には、Web シェルの作成と記述、ログイン情報を収集される恐れのある ProcDump などのユーティリティの使用、データ漏洩実行の下準備となり得る MakeCab(makecab.exe)や WinRAR などのユーティリティを使用したデータの圧縮とアーカイブなどです。
無効な管理者アカウントが使用された事例ではエクスプロイト後のアクティビティが見られないことから、攻撃者の動きに関していくつかの推測が成り立ちます。攻撃者は、脆弱性に対するパッチがすぐにリリースされることを承知のうえで動いている可能性があります。そのため、エクスプロイトが実行できるうちにできる限り多くの被害者のネットワークにアクセスしようとして、迅速かつ無差別な行動を取っているように思われます。この見解は、侵害を成功させるのに役立ったはずの比較的単純な追加アクションを起こそうとしていないことなどから裏付けられます。
少なくとも、米国の地方自治体が被害を受けたあるインシデントでは、無効な管理者アカウントと有効な管理者アカウントの両方が攻撃に利用されていました。CTIR が確認したところでは、攻撃者は、8 時間以内に CVE-2021-26855 のエクスプロイトを 3 回試みていました。失敗に終わった最初の 2 回では、無効な管理者のメールアドレスが使用されていました。最終的に成功したのは正規の管理者アカウントのアドレスを利用した攻撃で、侵害後のアクティビティが発生しています。攻撃者が有効なアカウントのメールアドレスを取得した方法を特定することはできませんでした。ただこの例は、さまざまな攻撃者が Microsoft のゼロデイ脆弱性のエクスプロイトを試み、戦術、手法、手段(TTP)を多様化させていることを示唆しています。このインシデントでは、攻撃者は CVE-2021-27065 のエクスプロイトにも成功していました。エクスプロイトが確認されたのは HTTP POST 要求の IIS ログ内であり、その後 China Chopper Web シェルの亜種を実行していました。このインシデントに対応する中で、「notepad.exe」や「Wordpad.exe」を使用して China Chopper Web シェルの一部が作成、アクセスされていたことも確認しました。たとえば、コマンド C:\Program Files\Windows NT\Accessories\WORDPAD.EXE C:\ASPX\lMAxnJTv.aspx が見つかっています。
カナダの医療機関が被害を受けたインシデントでは、Microsoft Exchange Server のまた別の脆弱性 CVE-2021-24085 のエクスプロイトを確認しました。エクスプロイトが成功した後、攻撃者は「c:\programdata\a.aspx」に Web シェルを作成しました。分析の結果、「a.aspx」が作成された後、この医療機関が使用していた 4 台の Exchange Server の「Program Files\Microsoft\ExchangeServer\V15\FrontEnd\HttpProxy\owa\auth\current\themes\Style.ExchangeTheme.aspx」ディレクトリにドロップされたことがわかりました。この脆弱性が 2021 年 2 月 9 日に公開された後、同月中旬には早くも概念実証(PoC)エクスプロイトが公開されています。攻撃者はこの脆弱性を実際にエクスプロイトできるようかねてから積極的に取り組んでいたものと考えられます。
Microsoft Exchange 以外には、前四半期に確認された Telerik UI の脆弱性(CVE-2019-18935)と F5 の脆弱性(CVE-2020-5902)が標的となっていました。影響を受けた業種は、通信、医療、政府、不動産、テクノロジー、教育などです。
侵入経路
CTIR が今期最も注視していたのは Microsoft Exchange Server です。これに対応するように、四半期レポートをまとめるようになって以来初めて、感染経路のトップがフィッシング/電子メールではなくなりました。代わってトップとなったのが、インターネットに接続する脆弱なアプリケーションとソフトウェアです。ただし、インシデント対応を行った大半の事例では、ロギングが不十分であったりセキュリティ対策が不足したりしていることが多く、侵入経路は不明のままです。
CTIR は、すべての組織にログを保存し、潜在的なインシデント対応業務の効率と効果を向上させることを推奨しています。
最も多く観察された MITRE ATT&CK 手法
以下は、今四半期のインシデント対応業務で最も多く確認された MITRE ATT&CK 手法の一覧です。複数のカテゴリに分類されるものもありますが、最も関連性の高いカテゴリに各手法を分類しています。ここに挙げられているのは、CTIR で最も頻繁に観察された手法であり、すべての手法が網羅されているわけではありません。
MITRE ATT&CK の付録から得られた主な調査結果は次のとおりです。
- Microsoft 社が Exchange Server のゼロデイ脆弱性を公開した後、CTIR のお客様が大幅に増加しました。このことからもわかるように、今期は、侵入経路の大半が一般向けアプリケーションのエクスプロイトでした。また、エクスプロイト後に作成、ドロップされる Web シェルの確認数も増えています。
- リモート デスクトップ プロトコル(RDP)の使用は、今期わずかに増加しました。ただし、RDP 接続が単独で行われた例はほとんど確認していません。具体的には、侵入されたホストから RDP でリモート接続し、マルウェアを展開・実行するためにアカウントが利用されていた例を確認しました。また、侵害されたアカウントが、Windows Management Instrumentation(WMI)や PSExec など複数のコマンドライン ユーティリティを使って、さまざまなシステムにリモート接続している例も確認しています。
- 今期の締めくくりとなったのは、ランサムウェア Ryuk のインシデント対応でした。攻撃チェーン全体で、WMI、RDP、PowerShell base64 エンコードコマンド、Cobalt Strike ビーコンがすべて使用されていることを確認しました。
- 初期アクセス(TA0027):T1190 一般向けアプリケーションのエクスプロイト — インターネットに接続する Microsoft Exchange Server の脆弱性をエクスプロイトします。
- 永続性(TA0028):003 サーバ ソフトウェア コンポーネントの Web シェル — China Chopper Web シェルの亜種を使用して、侵入された Exchange Server に配置します。
- 実行(TA0041):001 コマンドおよびスクリプトインタープリタ:PowerShell — クライアントの Active Directory 環境に関する情報を取得する PowerShell コードを実行します。
- 検出(TA0007):T1046 ネットワーク サービス スキャン — 攻撃者が FTP および NBT を介して IP をスキャンします。
- ログイン情報へのアクセス(TA0006):T1003 OS ログイン情報のダンプ — Mimikatz などのツールを使用して、環境内のログイン情報を盗み出します。
- 権限昇格(TA0029):003 システムプロセスの作成または変更:Windows サービス — スケジュールタスク「同期」をインストールする悪意のあるサービスが検出されました。
- ラテラルムーブメント(TA0008):001 リモート デスクトップ プロトコル — 悪意のある PowerShell スクリプトにより、RDP の制限付き管理モードが有効化されます。
- 収集(TA0035):001 収集されたデータのアーカイブ:ユーティリティを使用したアーカイブ — バイナリを使用してシステム情報とファイルを抽出した後、bzip2 形式で圧縮された tar アーカイブ内に配置します。
- マルウェア対策ソリューションの回避(TA0030):T1027 難読化されたファイルまたは情報 — base64 でエンコードされたペイロードを使用します。
- コマンド & コントロール(TA0011):001 データエンコーディング:標準エンコーディング — Base64 を使用して C2 通信をエンコードします。
- 影響(TA0034):T1486 データ暗号化による被害 — Ryuk ランサムウェアを展開します。
- ソフトウェア:Cobalt Strike — Cobalt Strike の Aggressor スクリプト「Invoke-DACheck」を実行して、現在のユーザがドメイン管理者であるかどうかを確認します。
本稿は 2021 年 06 月 10 日に Talos Group
Tags:
