Cisco Talos Incident Response(CTIR)が確認した限り、最も猛威を振るっている脅威は 6 四半期連続でランサムウェアです。ただし、今四半期中にクローズしたインシデント事例の中にランサムウェア Ryuk に関連する事例はありませんでした(なお、今四半期中にオープンされたインシデント事例の中には Ryuk 関連のものもありますが、まだクローズしていません)。これは、四半期ごとにこうしたレポートをまとめるようになって以来、初めてのことです。最も多く確認されたランサムウェアファミリは Maze と Sodinokibi でしたが、他のランサムウェアファミリよりもわずかに多い程度でした。前四半期のレポートでは支配的なファミリが存在せず、ランサムウェアファミリの「民主化」の傾向が見られましたが、その傾向は今期も続いています。Maze の攻撃者が最近引退を発表しましたが、これにより生まれる空白を新たなランサムウェアグループが埋めることで、「民主化」の傾向がさらに強まる可能性もあります。
Ryuk が急速に減少するとともに、Trickbot や Emotet などの商用化されたトロイの木馬も減少し始めています。ランサムウェアを利用する攻撃者が、オープンソースツールや Cobalt Strike フレームワークなど、さまざまな環境寄生型(living-off-the-land)ツールやユーティリティを組み合わせた、いわゆる「LoLBin」を活用するようになってきているためです。
米国政府の最近のレポートで攻撃者が Ryuk を使用して医療機関を攻撃しようとしているとの指摘があったことを考え合わせると、Ryuk の事例が見られなかったのは少々驚きです。医療機関を標的としたインシデントの発生タイミングが 2020 年第 3 四半期の末であったことが影響した可能性もあります。なお、今四半期末にオープンしてまだクローズしていない Ryuk 関連の事例が複数あることも念のため記しておきます。その中には、医療企業に影響を与えている事例も 1 件あります。同じく今四半期末に、医療機関に対する攻撃に関連した事例が全体的に増加していることも確認されています。ただし、医療機関を標的とすることで知られる Vatet ローダなど、その他のマルウェアファミリに関わるものが大半でした。詳細については、こちらの完全版レポートをご覧ください。
ターゲット
農業、食品・飲料、医療、教育、エネルギー・公益事業、産業流通、法執行機関、地方自治体、製造業、テクノロジーなど、幅広い業種が攻撃のターゲットとされています。最も狙われることが多かった業種は、前四半期に続いて製造業でした。ただし、前述のように、医療機関に対する攻撃が急増していて、まだクローズしていないインシデントもあります。今四半期にオープンされた事例数とクローズされた事例数をカウントした結果、最も影響を受けたセクターは医療および製造業でした。医療業界のセキュリティ態勢や身代金の支払いに応じる動機、さらに現在攻撃者が奇貨として利用しているコロナ禍を考え合わせると、攻撃者は、今後も引き続き医療業界をランサムウェアやその他の攻撃のターゲットとすることが予想されます。
脅威
CTIR が観測した脅威の大部分を占めていたのは、今四半期もランサムウェアでした。前四半期に続き今四半期も、攻撃全体の過半数を占めるようなランサムウェアファミリはありませんでした。さらに、Ryuk に関係するインシデント事例もありませんでした(ただし、Ryuk との関連が疑われる事例が今四半期に 1 件オープンされています)。かつて猛威を振るった Ryuk の割合も大幅に低下しています。過去数四半期に続き今四半期も、商用化されたトロイの木馬の感染に関連したランサムウェア攻撃はほとんど見られませんでした。代わって多く利用されていたのは、オープンソースツール、Cobalt Strike、環境寄生型(living-off-the-land)ユーティリティでした。
たとえば、米国のある製造会社は、悪意のある ZIP ファイルを含むフィッシングメール攻撃で狙われました。ファイルをダウンロードして開くと、悪意のある IP アドレスに接続して、アカウントが列挙され、エンコードされた PowerShell が実行されるなど、悪意のあるアクションが複数実行されます。攻撃者が展開しようとしていたのは、「hnt.dll」という悪意のあるランサムウェアファイルです。CTIR はこのファイルを Maze ランサムウェアの亜種に分類しました。ただし、ミューテックスが従来の Maze と若干異なっているため、新種の可能性もあります。この製造会社には Cisco AMP for Endpoints が導入されていたため、悪意のある DLL は無事検疫されました。この攻撃者は、攻撃実行の手段として市販ツールやオープンソースツールを複数利用しています。たとえば、エンコード済みのコマンドを実行するために PowerShell を利用しています。PowerShell で実行されるのは Cobalt Strike のコマンドで、現在のユーザがドメイン管理者であるかどうかを確認する Aggressor スクリプト「Invoke-DACheck」や、システムから調査に不可欠なフォレンジック アーティファクトを不可逆的に削除するスキャンツール「Norton Power Eraser」が実行されます。CTIR は、6 つのホストから悪意のある C2 IPアドレスにデータが漏洩した可能性を示す兆候がないかを調査しました。たとえば、観察期間中に大量のパケットが交換されていないかどうかなどです。しかし、データステージングの証拠や、環境からデータが盗み出されたことを示す具体的な兆候は見つかりませんでした。
注目すべきことに、Maze ランサムウェアグループはランサムウェアの運用を正式に停止したと表明していて、今後 Maze のサイトに新たな企業データが転送されることはないと主張しています。Maze の主張が事実かどうかは現時点では不明です。ただし、極めて著名な攻撃者グループが引退を表明したことで、他のランサムウェアグループが脅威ランドスケープの主役に躍り出ようと競い合う可能性も考えられます。
CTIR は、医療機関を標的とした Vatet ローダ/ランサムウェアに関連するインシデント事例が今四半期に急増していることを確認しています。Vatet は、医療機関を標的とする攻撃者グループによって利用されていることが知られています。Vatet に感染した米国の医療センターに関連する現在進行中のインシデント対応ケースでは、IcedID フィッシングメールが感染ベクトルであったと考えられます。このフィッシングメールには、ロードコマンドにステガノグラフィを使用して Vatet ローダ自体をロードする ZIP ファイルが添付されています。Vatet ローダがロードされると、IcedID が Vatet をダウンロードして実行し、Cobalt Strike アクティビティが開始され、最終的に Defray777 ランサムウェアが実行されます。
その他にも、今四半期には、ビジネス電子メール詐欺(BEC)攻撃、暗号通貨マイニング攻撃、Web シェル攻撃、ブルートフォース攻撃、エクスプロイト試行、情報窃取などの脅威が確認されています。
初期ベクトル
ロギングの量が十分ではないため、ほとんどの IR 業務では初期ベクトルを明確に特定することが困難でした。ただし、初期ベクトルを特定できた事例や合理的に推測できた事例に関しては、フィッシングが 6 四半期連続で最多の感染ベクトルとなっています。電子メール以外に CTIR が今四半期に確認したその他の初期ベクトルとしては、ドライブバイダウンロード、RDP ブルートフォース攻撃、さまざまな脆弱性のエクスプロイト(Microsoft Exchange(CVE-2020-0688)、SaltStack Salt(CVE-2020-116511、 CVE-2020-11652)、Oracle WebLogic(CVE-2020-14882))などがあります。
最も多く観察された MITRE ATT&CK 手法
以下は、今四半期の IR 業務で最も多く確認された MITRE ATT&CK 手法の一覧です。複数のカテゴリに分類されるものもありますが、最も関連性の高いカテゴリに各手法を分類しています。ここに挙げられているのは、CTIR で最も頻繁に観察された手法であり、すべての手法が網羅されているわけではありません。
主な調査結果
- Cobalt Strike に関連する事例の数は半減しています。ただし、現在対応中のインシデント事例には、脆弱性のエクスプロイト後に Cobalt Strike が使用される事例も多数含まれています。
- CTIR では、環境寄生型(living-off-the-land)のツールとユーティリティを組み合わせた、いわゆる「LoLBin」の増加を確認しています。このトレンドは 2019 年後半から見られるもので、攻撃者はファイルレスマルウェアと正規のクラウドサービスを組み合わせることで、検出を回避する可能性を高めています。
- 今四半期に観察された攻撃手口の一部では、エンコードされた PowerShell コマンドが使用されています。この点を踏まえると、権限のないユーザが PowerShell や CMD アプリケーションを使用できないように制限するポリシーは必須だと言えます。
- 今四半期には、ラテラルムーブメントに有効なアカウントを使用する手口が最も多く観察されています。その一方で、ラテラルムーブメントに RDP を使用するケースは減少しています。ただし、ブルートフォース攻撃の発生件数は、今四半期にほぼ 2 倍にまで増加しています。
ATT&CK 手法
- 初期アクセス(TA0027)、T1078 有効なアカウント:盗み出された有効なログイン情報を BEC 詐欺に使用します。
- 永続性(TA0028)、T1543 システムプロセスの作成または変更:仮想通貨マイニング アプリケーション サービスをシステムにインストールすることにより、サーバ上で永続性を確保します。
- 実行(TA0041)、001 コマンドおよびスクリプトインタープリタ:PowerShell:クライアントの Active Directory 環境に関する情報を取得する PowerShell コードを実行します。
- 検出(TA0007)、T1082 システム情報検出:プロセスハッカーを使用して、感染したマシンの OS 情報を確認します。
- ログイン情報へのアクセス(TA0006)、T1003 OS ログイン情報のダンプ:Mimikatz などのツールを使用して、環境内のログイン情報を盗み出します。
- 権限昇格(TA0029)、T1484 グループポリシーの変更:サービスの作成に関するグループポリシーの更新を強制的に適用してランサムウェアを実行します。
- ラテラルムーブメント(TA0008)、001 リモート デスクトップ プロトコル:攻撃者が有効なログイン情報を使用して RDP 接続を確立し、システムに接続します。
- 収集(TA0035)、001 収集されたデータのアーカイブ:ユーティリティを使用したアーカイブ:バイナリを使用してシステム情報とファイルを抽出した後、bzip2 形式で圧縮された tar アーカイブ内に配置します。
- マルウェア対策ソリューションの回避(TA0030)、T1070 ホストからのインジケータの削除:感染したマシンから攻撃の兆候を示すファイルやアーティファクトを削除します。
- コマンド & コントロール(TA0011)、001 データエンコーディング:標準エンコーディング:Base64 を使用して C2 通信をエンコードします。
- データ漏洩(TA0010)、T1567 Web サービス経由のデータ漏洩:FirefoxSend を使用してデータを盗み出します。
- 影響(TA0034)、T1486 データ暗号化による被害:Maze ランサムウェアを展開します。
- ソフトウェア、Cobalt Strike:Cobalt Strike の Aggressor スクリプト「Invoke-DACheck」を実行して、現在のユーザがドメイン管理者であるかどうかを確認します。
本稿は 2020 年 12 月 09 日に Talos Group のブログに投稿された「Quarterly Report: Incident Response trends from Fall 2020」の抄訳です。