調査担当:Darin Smith、John Arneson
- Cisco Talos は、2024 年 6 月 1 日から 2024 年 12 月 31 日までの 6 か月間にわたり、3,220,829 件のログイベントと 742 個の一意のベースドメインを含むネットワーク接続テレメトリログを調査し、PowerShell が稀にしか接続しないドメインが悪意のあるものである可能性が高いかどうかを検証しました。
- 主な調査結果として、稀にしかアクセスされないドメインが悪意のあるものである可能性は、頻繁にアクセスされるドメインの 3.18 倍(95% 信頼区間:0.39 ~ 25.9)であることが判明し、稀なドメインのリスク傾向が高いことが示唆されています。
- 注目すべき点は、稀なドメインではない「githubusercontent.com」が、そのサブドメイン「raw.githubusercontent.com」からのアクティビティによって悪意のあるドメインと判定されたことです。これは、悪意のあるネットワークトラフィックを検出する際にサブドメインを考慮する必要がある理由の一例です。特にクラウドサービスの場合、サービス自体は正当であっても、そこにホストされているコンテンツが安全とは限らないためです。
調査方法
仮説
十分な量のテレメトリが存在する場合、PowerShell モジュールの種類に関係なく、PowerShell が稀にしか接続しないドメイン名は、頻繁に接続されるドメインよりも悪意のある可能性が高い。
データ収集
Talos は、2024 年 6 月 1 日から 12 月 31 日までの PowerShell ネットワーク接続ログのテレメトリを調査しました。このデータセットに含まれていたプロセスは「powershell.exe」、「powershell studio.exe」、「powershell_ise.exe」、「powershelltools.exe」、「powershelltoolsx64.exe」、「pwsh」、「pwsh.exe」です。これらのプロセスはすべて、異なるバージョンの PowerShell です。外部接続に焦点を当てるため、内部ドメインなどの非公開のトップレベルドメイン(TLD)は除外しました。
データ処理
tldextract ライブラリを用いてベースドメインを抽出し(例:「api.automox.com」から「automox.com」を抽出)、742 個の一意のベースドメインを得ました。レア度は、完全ドメインあたりの平均接続数が 5 件以下の場合と定義し、総接続数をベースドメインごとの一意の完全ドメイン数で割って算出しました。このしきい値により、稀なドメインが 550 個(全体の 74.1%)特定されました。
脅威インテリジェンスと手動による確認
ReversingLabs
(RL)を用いてドメインのレピュテーションを評価しました。いずれかのサードパーティソースが悪意のあるドメインと示した場合、そのドメインは悪意のあるものと判定されました。誤検出(例:「adobe.com」)を避けるため、29 個のドメインを手動で確認し、安全なドメインと判定したうえで、そのプロセス引数を記録しました。また、「githubusercontent.com」に属する「raw.githubusercontent.com」などのサブドメインについては、ログ内のプロセス引数を手動で精査しました。その結果、PowerSploit のダウンロードや Invoke-Mimikatz の実行といったコマンドに基づき、10 件中 5 件の接続を悪意のあるものと判定しました。これにより、包括的な脅威検出が実現しました。
調査結果と分析
ドメイン接続の分布
接続数の分布は大きく偏っていました。
- パーセンタイル:接続数は 60 パーセンタイルで 5.0 件、90 パーセンタイルで 82.0 件、95 パーセンタイルで 321.55 件、99 パーセンタイルで 7,925.87 件でした。
- 上位ドメイン:「automox.com」(2,282,308 件)、「launchdarkly.com」(493,812 件)、「amazonaws.com」(166,536 件)が、全体の接続の大半を占めていました。
- Automox は、エンドポイントの自動構成やパッチ管理を行うサービスです。
- LaunchDarkly は、機能フラグやコンテキストに応じた機能ターゲティングを管理するためのソフトウェア開発プラットフォームです。
- Amazon Web Services(AWS)は、世界最大手のクラウド サービス プロバイダーです。
- 稀なドメイン:742 個中 550 個が稀なドメインに分類されました。
図 1. ドメイン接続頻度の累積分布図
悪意のあるドメインの統計
- 稀なドメイン:550 個中 9 個が悪意のあるドメイン(1.64%、95% 信頼区間:0.86% ~ 3.08%)
- 稀でないドメイン:192 個中 1 個が悪意のあるドメイン(0.52%、95% 信頼区間:0.09% ~ 2.89%、「githubusercontent.com」が該当)
- オッズ比:3.18(95% 信頼区間:0.39 ~ 25.9)。稀なドメインの方がリスクが高い傾向が見られましたが、統計的に有意ではありませんでした(カイ二乗検定 p = 0.4291、Fisher の正確確率検定 p = 0.4668)。これは、サンプル数が少なかったこと(稀なドメインで 9 個、稀でないドメインで 1 個)が原因と考えられます。
図 2. 悪意のあるドメインの割合(ドメインのレア度別)
ケーススタディ:githubusercontent.com
稀でないドメイン「githubusercontent.com」(接続数 38 件、2 つの完全ドメイン:「raw.githubusercontent.com」と「objects.githubusercontent.com」、完全ドメインあたりの平均接続数は 19.00 件)が悪意のあるものと判定された理由は、「raw.githubusercontent.com」からの 5 件の悪意のある接続が手動で特定されたからです。これらの接続には、PowerSploit や Invoke-Mimikatz などのスクリプトをダウンロードして実行する、潜在的に悪意のある PowerShell コマンドが含まれていました。もう一方のサブドメイン「objects.githubusercontent.com」(接続数 28 件)では、悪意のあるアクティビティは確認されませんでした。この結果は、頻繁に接続されるドメインであっても悪意のあるサブドメインをホストする可能性があることを示しており、脅威検出においてサブドメインレベルの分析が必要であることを明らかにしています。
他のプロセスとの比較
もう 1 つの調査課題は、PowerShell が接続するドメインと、他の類似プロセスが接続するドメインを比較することでした。そのため、本調査では、以下のプロセスを分析対象として選定しました。
- 「rundll32.exe」
- Python(macOS および Windows バージョンを含む)
- 「cmd.exe」
- 「cscript.exe」
- 「wscript.exe」
- 「bash」
- 「zsh」
これらのプロセスは主に、他のコマンドラインまたはスクリプトインタープリタであり、「rundll32.exe」は、コマンドラインからダイナミック リンク ライブラリ(DLL)を実行するためのプロセスです。
PowerShell に用いたものと同じヒューリスティック(発見的)手法をこれらのプロセスが接続したドメインに適用した結果、いくつかの違いが見られました。たとえば「rundll32.exe」では、合計 156,203 件の接続記録があり、940 個の一意のドメインに接続していました。そのうち、PowerShell に適用したものと同じ基準で「稀」に分類されたドメイン(接続数が 5 回以下)は 722 個でした。稀か稀でないかにかかわらず、接続されたドメインのうち、悪意のあるドメインと判定されたのは 1 個だけでした。
同様に、Python では合計 795,346 件の接続記録があり、825 個の一意のドメインに接続していました。そのうち 616 個が同じ基準で「稀」に分類されました。稀なドメインの中で悪意のあるものはなく、稀でないドメインのうち 1 件が悪意のあるものでした。cscript、cmd、zsh、csh のプロセスも同様に、悪意のあるドメインへの接続数は 0 件か、1 桁にとどまりました。しかし、wscript に関しては非常に興味深い結果が得られました。このプロセスの接続記録は 6,936 件で、調査対象のデータセット内では比較的少なく、プロセスが接続した一意のドメインは 82 個でした。そのうち 58 個(約 71%)が稀なドメインに分類され、その中の 5 個が悪意のあるドメインであることが判明しました。
推奨事項
- 稀なドメインを優先:セキュリティチームは、統計的に有意とは言えないものの、悪意のある可能性が高い稀なドメインの調査を優先する必要があります。この傾向は、本調査で対象としたプロセスのうち、主に PowerShell と wscript に見られました。
- サブドメイン分析:頻繁に接続されるドメインについては、サブドメインやプロセスの引数を分析して悪意のあるアクティビティを検出します。これは「githubusercontent.com」の事例で示されています。
- 手動による確認の統合:自動化された脅威インテリジェンスと手動による確認を組み合わせることで、誤検出を減らし、特に接続頻度の高いドメインに潜む微妙な脅威を識別します。
- 「wscript.exe」の異常な使用の調査:一部の環境では wscript.exe がまだ一般的に使用されているかもしれません。しかし、稀にしか接続されないドメインの場合、今回調査したプロセスの中では wscript.exe が最も悪意のあるドメインへの接続に使用される可能性が高いことが示されました。
今後の取り組み
本調査は、今後の調査に向けていくつかの可能性を示しています。その 1 つが時系列分析です。ドメインへの接続に時間的なパターンが存在するか調査し、それが悪意のあるアクティビティの識別に活用できるかを判断します。たとえば、週末や業務時間外に悪意のあるドメインへの接続が増加するかを調べるといったことが考えられます。この仮説を検証するために、データに時系列分析を適用することができます。
別の可能性は、プロセス引数の挙動に関する分析です。リモートホストからの PowerShell スクリプトのダウンロードやデータの持ち出しといった悪意のあるアクティビティに関連して繰り返されるパターンの特定に焦点を当てます。この手法を用いることで、レア度と悪意のあるドメインとの相関関係(現在は稀なドメインで 1.64%、稀でないドメインで 0.52%)を精緻に分析することができます。これにより、挙動における危険な兆候を特定でき、より高精度な検出ロジックの構築につながる実用的なインサイトが得られる可能性があります。
最後に、今後の調査では、接続頻度、悪意のある割合、TLD、さらには ReversingLabs のネットワーク脅威インテリジェンスなど、複数の要素を統合したリスクスコアリングシステムの開発が期待されます。これにより、「githubusercontent.com」のような稀ではないドメインであっても、セキュリティチームが高リスクなドメインを優先的に対処できる、拡張性と実用性に優れたツールを提供できるようになります。これは、現在の分析を基盤としつつ、脅威に立ち向かうための、より堅牢でデータ主導の戦略への道を切り開くものであり、本調査がセキュリティコミュニティに継続的な価値を提供することを意味します。
本稿は 2025 年 5 月 23 日にTalos Group
Authors