Talos インシデント対応四半期脅威レポート:2021 年第 2 四半期に使用された上位のマルウェアファミリと TTP
脅威の動向に関する四半期レポートをまとめるようになって以来、最も猛威を振るってきた脅威はランサムウェアでしたが、前四半期は初めてトップの座を明け渡しました。この理由は Microsoft Exchange のエクスプロイトが大幅に増加したためです。一時期は Cisco Talos インシデント対応チーム(CTIR)も重点的に取り組みました。すぐにまた、ランサムウェアの脅威が最も多く確認されるようになるだろうと CTIR は考えていました。実際、今四半期はランサムウェアが爆発的に増加してインシデント全体の半数近くを占め、企業を標的とした上位の脅威であることに変わりはありません。
今四半期に最も多く確認された脅威はランサムウェアでしたが、商用化されたトロイの木馬が使用された事例はごくわずかでした。ランサムウェア攻撃では相変わらず、Cobalt Strike
などの商用ツール、Rubeus などのオープンソースツール、PowerShell などの標的のマシンに標準搭載されているツール(環境寄生型バイナリ(LoLBIN))が使用されています。
今四半期もまた、やや明るい傾向が見られました。Cisco Secure 製品によるタイムリーな検出に加え、CTIR および標的となった組織による迅速な修復作業によって、暗号化される前にインシデントの封じ込めに成功し、ランサムウェア感染には至らなかった事例が複数ありました。
標的
攻撃の対象は、運輸、公益、医療、政府、通信、テクノロジー、機械、化学品流通、製造、教育、不動産、農業など、幅広い業種にわたっています。医療は 3 四半期連続で全業種の中で最も多く標的にされ、政府がこれに続きました。攻撃者が医療業界を狙い続けている理由は数多くありますが、そのひとつは新型コロナウイルスのパンデミックです。身代金を支払ってでも、医療サービスをできるだけ早く復旧させたいと考える可能性があるためです。
脅威
今四半期に最も多く確認された脅威はランサムウェアで、全体の約 46% を占め、次に多かった Microsoft Exchange Server の脆弱性のエクスプロイトの 3 倍以上の件数となっています。また、以下のようなさまざまなランサムウェアファミリが確認されました。
- REvil
- Conti
- WastedLocker
- Darkside
- Zeppelin
- Ryuk
- Mount Locker
- Avaddon
ランサムウェア感染には至らなかったものの、あるテクノロジー企業に対する攻撃ではベンダーのアカウントのログイン情報が盗み出され、ラテラルムーブメント(組織内部での感染拡大)を行うためのアクションが実行されていました。攻撃者は LSASS(Local Security Authority Subsystem Service)をダンプして他のログイン情報も取得し、大量のスキャンを実行していたのです。スキャンの実行には、SoftPerfect Network Scanner や、BlueKeep の脆弱性の影響を受けるホストを特定するためのスクリプトが使用されていました。CTIR は、数百の Kerberos パスワードハッシュのリストを含むファイルを特定しました。このファイルがオフラインで解読されると、プレーンテキスト形式のパスワードが盗み出される可能性があります。Cobalt Strike の使用も確認されています。これは、標的のアカウントでサービスをインストールし、Cobalt Strike ビーコンを実行するツールです。Cobalt Strike ビーコンは、名前付きパイプを介して他のホストにもインストールされていました。攻撃は環境全体に広がり、ドメインコントローラと SCCM サーバが影響を受けました。複数のホストにマルウェアの痕跡が見つかっています。GOST(Go Simple Tunnel)も使用されており、トラフィックを C2 ドメインにトンネリングするタスクが作成され、スケジュール設定されていました。
Cisco Secure Endpoint は、侵害されたドメイン管理者のアカウントから、エンコードされた疑わしい PowerShell コマンドとアクティビティを検出しました。標的となった組織はアラートを確認した後、CTIR に修復作業を依頼しました。CTIR はこのお客様と協力して、ランサムウェアの実行ファイルが起動される前にネットワークから排除しました。
今四半期に確認されたランサムウェア以外の脅威としては、脆弱性のエクスプロイト、暗号通貨マイニング、アカウント侵害などが挙げられます。興味深いことに、トロイの木馬化された USB ドライブが使用されたインシデントが複数ありました。初期段階の感染の手法としては比較的古いもので、四半期レポートを作成するようになってからは確認されていませんでした。そのうちの 1 件では、USB ドライブに Sality マルウェア(ワーム化可能な旧式のマルウェアファミリ)が含まれていました。Cisco Secure Endpoint の出力を確認したところ、Sality マルウェアが複数回にわたって実行され、C ドライブ上のさまざまなパスに複製されたことが判明しました。実行ファイルの名前はランダムで、拡張子は「exe」、「pif」、「cmd」でした。この事実は、USB の再利用を避けることの重要性を示しています。特に OT 企業は注意が必要です。
先取り情報:2021 年 7 月、ランサムウェアグループ REvil が Kaseya 社を攻撃しました。マネージド サービス プロバイダー(MSP)に IT ソリューションを提供している企業です。クライアントの IT サービスを管理する MSP が標的となったため、1,500 以上の組織が被害を受けました。この攻撃に関連して CTIR が対応にあたったのは、製造企業のインシデント 1 件のみです。幸いにも、特定の機能の管理にのみ MSP が使用されていたため、被害を受けたサーバの数は限られていました。この攻撃を受けて、米国とロシアはサイバー犯罪に関するハイレベルの二国間協議を実施しました。その後まもなく、REvil の Web サイトとインフラは閉鎖されましたが、二国間協議との関係は明らかになっていません。
侵入経路
ログの保存が不十分であったため、CTIR は大半のインシデントで侵入経路を解明できませんでした。CTIR は、すべての組織にログを保存し、潜在的なインシデント対応業務の効率と効果を向上させることを推奨しています。
侵入経路と思しきところを特定できたほとんどのケースでは、攻撃者は脆弱性をエクスプロイトして標的を感染させていました。春先に公表された Microsoft Exchange の脆弱性が広く知れ渡ったことでインシデントが増加し、対応にあたりましたが、4 月には完了しました。その他の主な侵入経路として、フィッシングやアカウント侵害(標的となった組織のアカウント、または組織にアクセスできるベンダーのアカウント)が挙げられます。
先取り情報:今四半期も、フィッシングが侵入経路となった件数はわずかでした。一方、次の四半期レポートにまとめることになりますが、2 件以上のビジネスメール詐欺(BEC)が確認されています。このうちの 1 件では、攻撃者は盗み出した認証情報を使用して正規ユーザの Office 365 のメールアカウントにログインし、情報を収集しやすくするために受信トレイのルールを変更していました。
セキュリティの脆弱性
多要素認証(MFA)が導入されていないことは、企業のセキュリティにとって依然として最大の障害の 1 つです。これまで、重要なサービスで MFA を利用していれば防止できたはずのランサムウェアのインシデントを数多く見てきました。可能な限り MFA を導入するよう、CTIR は組織に働きかけています。
最も多く観察された MITRE ATT&CK 手法
以下は、今四半期のインシデント対応業務で最も多く確認された MITRE ATT&CK 手法の一覧です。複数のカテゴリに分類されるものもありますが、最も関連性の高いカテゴリに各手法を分類しています。ここに挙げられているのは、CTIR で最も頻繁に観察された手法であり、すべての手法が網羅されているわけではありません。
MITRE ATT&CK の付録から得られた主な調査結果は以下のとおりです。
- 今四半期はランサムウェアの事例が多く、Cobalt Strike や PsExec など、ランサムウェア攻撃が発生するとよく目にすることになる関連ソフトウェアやツールが使用されるケースも目立ちました。
- 前四半期と比べて、今四半期は回避手法が多く確認されました。これは、ランサムウェアの事例件数に関連していると考えられます。実際、セキュリティ製品やウイルス対策製品を無効にしたり、「exe」や「regsvr32.exe」などのコマンドライン ユーティリティを使用してランサムウェアのペイロードを実行したりする攻撃が増えました。
- リモート デスクトップ プロトコル(RDP)の使用は今四半期もわずかに増加しました。一部の事例では、複数のリモートサービスを利用したラテラルムーブメントが確認されています。サーバメッセージブロック(SMB)と RDP で利用可能な共有を活用して、環境全体に感染を広げようとする動きが見られました。
- 初期アクセス(TA0027):T1078 有効なアカウント — 盗み出したログイン情報を利用。
- 永続性(TA0028):T1053 スケジュール設定されたタスク/ジョブ — 侵害されたサーバで、スケジュール設定されたタスクを作成。
- 実行(TA0041):001 コマンドおよびスクリプトインタープリタ:PowerShell — クライアントのアクティブディレクトリ環境に関する情報を取得するために PowerShell コードを実行。
- 検出(TA0007):T1087 アカウント検出 — ADRecon などのユーティリティを使用して、ユーザとグループに関する情報を取得。
- ログイン情報へのアクセス(TA0006):T1003 OS 認証情報のダンプ — Mimikatz などのツールを使用して、環境内のログイン情報を窃取。
- 権限昇格(TA0029):002 ハイジャック実行フロー:DLL サイドローディング — 悪意のある PowerShell スクリプトによってメモリに DLL をサイドロード。
- ラテラルムーブメント(TA0008):001 リモート デスクトップ プロトコル — Windows リモートデスクトップを使用して水平展開を試行。
- 収集(TA0035):T1074 データステージング — データステージングに Notepad ++ を使用。
- 防御の回避(TA0030):001 防御の妨害 — ツールの無効化または改変。
- コマンド & コントロール(TA0011):T1071 アプリケーション層プロトコル — C2 に SMB を使用。
- 影響(TA0034):T1486 データ暗号化による被害 — REvil ランサムウェアを展開。
- ソフトウェア/ツール:Cobalt Strike — Cobalt Strike を 2 つ以上のドメインコントローラにコピー
本稿は 2021 年 08 月 11 日に Talos Group
Tags:
