M-Trendsというのは、FireEyeとMandiant(もちろんFireEyeが2014年に買収)が毎年出している、最近のサイバー攻撃 の深堀りや脅威のレポートです。約80ページ。
自分へのまとめと、他情報を添える形で以下にまとめておこうと思います。
全部入れようと思ったけど大変なので前後編に分けてみました。
概要
セキュリティ担当者は、この一年で前例にないような課題と向き合うことを余儀なくされました。ランサムウェア を用いた攻撃者が、医療関係や教育機関 、市などのネットワークを攻撃する一方、コロナ禍によりリモワへの移行、それによって企業は、計画とは違う形での適応や成長をする必要に迫られました。
UNC2452:SolarWinds Orionを悪用(=トロイの木馬 化させたDLLを入れ込むことによって)した攻撃の件です。近年で最も洗練されたサイバー諜報活動を行っている、国家などに支援を受けている脅威であり、多くの企業は、リモワが望み通り行われているかを確認するよりも先に、この脅威に起因した、信頼されたプラットフォームからのサプライチェーン アタックに注意を向けなければなりませんでした。
M-Trendがカバーするトピックとしては*1
Mandiantが調査したインシデントの59%は、その組織内で検知されたものであり、昨年より12%ほど改善された。
ランサムウェア においては、被害組織に対してファイルの暗号化を施すだけでなく、他の複数の手段を使って身代金要求がより飲まれやすいようにしている。
FIN11という金銭が主な動機の脅威グループがあり、蔓延するフィッシングキャンペーンの主犯である(そのキャンペーンも複数の強要行為が行われている)。
広まっているランサムウェア 攻撃により、感染前の潜伏期間が身近くなっている。これまでは潜伏期間の中央値は30日を遥かに超えていたが、今回は24日となっている。検知力が上がっているためとも言えるが、ランサムウェア 攻撃という意味では最初の侵害から発覚までの時間が短いことも要因と思われる。
MITRE ATT&CKの63%の利用を観測しており、そのうち1/3のみが、5%以上の侵入で見られている。
数字でみるトレンド
検知状況
内部での検知割合が59%と増加しており、検知とレスポンスに関する組織での運用が向上していることを示唆している。
潜伏期間の中央値は24日となり、2019年の56日の半分以下となった(2011年は416日)。分布傾向としては、インシデントを最初の30日で発見することが多くなり、700日以上経ってからのインシデント発見については減少傾向である。これを、ランサムウェア 関係と、それ以外に分けて話をすると、
となっている。そのため潜伏期間の減少は、組織の検知力が上がったとも言えるし、ランサムウェア が影響しているため、とも言える。
この潜伏期間の傾向は米国においては同様だが、アジア地域においては昨年より増加しており、76日となっている(前回は54日)。ランサムウェア に関係する攻撃が昨年より減少していることが原因と見られる。アジア地域においては、潜伏期間が3年を超えるものや9年以上のものも、前回同様継続して観測されている。欧州においても前回と比べて微増である。
業界別の傾向については、大きな変化はないが、小売業界、医療関係組織が特に狙われている傾向が今回は顕著となっている。
標的型攻撃において、初期の攻撃手法はフィッシングが23%だったが、エクスプロイトによるものが29%と上回っている。攻撃動機は直接的な金銭が36%、一方で2%ほどが知的財産や盗聴などそれらを再販することを意図するものであった。一つの組織に複数の脅威グループによる攻撃が確認された割合は、前回より倍増している。
これまでMandiantでは2,400以上の脅威グループを追いかけてきたが、現在1,900ほどを継続してウォッチしている。Mandiantが2020年に実施した侵害調査には246の脅威グループが関与していた。
Threat Groups 2020
マルウェア ・脅威テクニックについて
Mandiantでは、自社の調査や公開されている報告書、情報などを通じて継続したマルウェア 調査を行っており、2020年は昨年同様500以上の新種マルウェア を調査対象とした。攻撃者は、すでに市場で認知されているマルウェア を使うだけでなく、革新的で攻撃対象の環境に特化させたものを用いている。
上記の500種類に関して、カテゴリ別にはバックドア が36%、ダウンローダ ーが16%、ドロッパーが8%、ランチャーが7%、ランサムウェア が5%であった。またMandiantの調査案件で検出したマルウェア 種別の分布としては、バックドア 41%、ダウンローダ ー9%、ドロッパー9%、ランサムウェア 8%、ランチャー6%だった*2 。
Mandiantにて新しく追跡を開始したマルウェア に関し、広くインターネットに公開されて自由に取得できるものは全体の19%のみであり、多くが、出回っていないものであることが分かっている。
マルウェア 種別
主な目的
バックドア
攻撃者が、インストールされたシステムに対して対話的にコマンドを発行できるようにする
認証情報窃取
認証に用いる情報へのアクセス、コピー、窃取を実現する
ダウンローダ ー
指定されたアドレスからファイルをダウンロード(加えて実行する場合もある)するものであり、その他の機能やコマンド機能などは持たない
ドロッパー
ファイルを展開、インストール、場合によっては実行するもの
ランチャー
ファイルを展開するもの。ドロッパーやインストーラ ーの違いとしては、こちらはファイルそのものや設定を包含せず、単に実行かロードするのみである。
ランサムウェア
暗号化など悪意のある行為を行い、それを回避または復旧するためには金が必要などとして最終的に金銭を被害者に要求するもの。
その他
ユーティリティ、キーロガー 、POS、トンネルやデータマイナーなどを
Mandiantにて新しく追跡を開始したマルウェア に関し、広くインターネットに公開されて自由に取得できるものは全体の19%のみであり、多くが、出回っていないものであることが分かっている。
同じくMandiantの調査案件で頻出したマルウェア ファミリーはBEACON (24%)、EMPIRE (8%)、MAZE (5%)、NETWALKER (4%)、METASPLOIT (3%) であった。マルウェア ファミリーの3.4%のみが10案件以上で確認されたが、約7割は単一の調査案件でのみ確認された。
Windows 環境で挙動するマルウェア が大半を締めている。Windows 環境で挙動可能マルウェア が全体の94%、Linux 環境であれば8%、MacOS は3%という分布である。Windows でしか動かないマルウェア は89%、Linux オンリーは3%、Mac オンリーは1%。
脅威テクニックについて(MITRE ATT&CKフレームワーク を用いた話)、攻撃者が利用したテクニックは、MITRE ATT&CKに示されている全テクニックのうち63%と24%のサブテクニックであった。しかしながら、調査案件の5%以上で使われたテクニックは、全体の23%にとどまった*3 。
頻繁に観測されるテクニックは、ファイルや情報の難読化、暗号化、エンコード による、検知や分析のハードルを上げること(T1027)であった。またスクリプト やコマンド利用によるさらなる侵入(T1059)が通常行われ、そのうち80%はPowerShell を用いたもの(T1059.001)であった。その他、システムサービスを悪用したもの(T1569、及びT1569.002:Windows サービス)、リモートサービス(T1021、及びT1021.001:Remote Desktop Protocolにおいては88%を占めている)がある*4 。
MITRE ATT&CK テクニックと観測した攻撃分布(一部)
ランサムウェア 攻撃について、これまでは、「ファイルが暗号化されてユーザーから利用できなくなる」「対策はオフライン暗号化だ」というシナリオを私達は理解していた。しかしランサムウェア 攻撃はそこから違った形で行われるようになり、それにより組織は、これまでとは違った防御を迫られることになった。それをMandiantでは「多面的強要*5 」として、ランサムウェア の変異・進化を特徴化することにしている。
多面的強要の切り口
ランサムウェア による暗号化がなされている:攻撃対象組織のファイルが暗号化されてしまい使うことができない。復号鍵やツールのための金銭を攻撃者が要求している。
機微情報の窃取:攻撃対象組織のファイルが窃取され、機微情報の公開に関して金銭を要求する。攻撃者優位になる構図。サービス妨害でなくビジネス被害に直結する、すなわち信用の損失、規制違反、訴訟、そしてデジタル変革の失速などである。2019年以前は見られなかったものである。
窃取データの「名指しと恥さらし」ウェブサイトへの公開:これらのサイトはTorネットワークにて運営されていることが多く、また攻撃者はセキュリティ・テック系メディアに謀り、被害組織からの支払いがより確実になるように試みる。データバックアップ対策は、この問題を解決できない。
さらなる強要のしかけ
被害組織のインシデントについて、ニュース・メディアに取り上げるよう謀る
被害組織に電話を掛けて脅す
データ窃取に関して、被害組織のビジネスパートナーに通知し、関係悪化と漏えいについて晒す
DDoS攻撃 により更に妨害する
多面的強要による妨害とブランドの損失
これら多面的強要を用いる攻撃者は、単にバラマキなどによる機会を見つけるアプローチよりも、より複雑さを要求されるキャンペーンに向かっている。防御側の技術も前進しているが攻撃者も同様である。
これらの攻撃では、攻撃者はランサムウェア を配置する前に機微情報を窃取し、これにより支払額の釣り上げや期日について要求してくる。被害組織のインシデントレスポンスにおいて、データ漏えいに関する通知要件は主要な懸念の一つである。窃取されたデータによっては、規制の観点での行動要件は問われないこともあるが、ブランドの損失やそれによる顧客やパートナーの損失を、攻撃者は持ち上げて要求してくる。
以前は、攻撃者は、さらなる攻撃対象ネットワークへの侵入のためにデータ窃取を行っていたが、今日ではそれに加えて機微情報などが探されている。Mandiantが確認した例では契約書、関係解消の合意書、医療情報や暗号証明書などがある。組織によるネットワークのセグメント化次第ではあるが、それぞれの機微情報が別々のシステムにて保管されていると、データが窃取される前に、より攻撃者の検知や隔離ができる可能性がある。
MAZEランサムウェア を用いた攻撃者は、窃取データを用いて、標的に対してスパムキャンペーンを実施する。一方Ragnar Lockerランサムウェア を用いた攻撃者は、Facebook 広告を使って被害者を恥晒しにする。平均して月に一つはそのような「名指しと恥さらし」のウェブサイトが作られている。MAZE攻撃者を皮切りに、SODINOKIBI、DOPPELPAYEMER、NEMTY、NEFILIM、CLOP、Sekhmetそしてm1x攻撃者も後に続いている。
このようなウェブサイトに名を連ねているのは米国企業で多岐の業界に渡っている。特に製造業が多い。製造のダウンタイムやサイバーセキュリティへの向き合い方などから、この業種の組織は支払いを実施する傾向にある。いくつかのランサムウェア には、生産工程のプロセスを停止させるようなスクリプト を展開するものもある。
よく見られる課題は以下がある:
Active Directory に多くの特権アカウントがある
サービスプリンシパル (SPN)が設定された特権を持つ、非コンピューターアカウントがある
エンドポイントの特権アカウントに関して、その利用や露出を最小限にするセキュリティ対策がなされていない
ランサムウェア の展開にGPO が悪用される
それぞれ見ていく:
1. Active Directory に多くの特権アカウントがある
Living off the land (OSにもともと存在するツールなどを使って攻撃を試みる行為を指す)で例えばcmd.exeやPowerShell 、WMIなどを使ってActive Directory から情報を抜き取る、あるいはオープンソース のツールとしてAdFindやBloodHoundなどによりDomain Admin情報を特定する、などを観測している。
Active Directory の特権アカウントは、単にビルトインのドメイン 別特権グループ(Domain Admin、Enterprise Admin、Schema Admin、Administrator、Server Operator)のメンバーシップが割当たっているだけでない。ドメイン 別特権グループの他に、多くの組織は、権限を別グループやアカウントに分散させ、高い権限を持ったリソースが非常に多くなる結果を招いている。有効な認証情報やなりすましによりそれらが攻撃者の手に渡れば、そこから水平展開でランサムウェア を多くのエンドポイントに配置できることになってしまう。
以下のようなグループやアカウントに関してレビューを施すこと:
ドメイン のルートにおいて許可が与えられている:例えばDS-Replication-Get-ChangesとDS-Replication-Get-Changes-Allの許可(これらはDCSync攻撃開始に使われることがある)
ドメイン コントローラーへの昇格許可が明示的に与えている
コンピュータやユーザーオブジェクトが紐付いているOUに対して明示的な許可を与えている
多くのエンドポイントに対するローカル管理者権限が与えられている
Kerberos権限委譲(制限付き・なし)が設定されている
権限委譲に対するプロテクト設定がされていない(たとえばProtected User Security Groupのメンバでない、Sensitive and Cannot Be Delegated属性が設定されていないなど)
AdminSDHolderからプロテクトされている
GPO の編集、リンク、リンク解除ができる
多くのアカウントのパスワード変更ができる(User-Force-Change-Password権限)
多くのエンドポイントのリモートログオンを許可するGroup Policyに、ユーザー権限関連付けの許可がされている。
2. サービスプリンシパル (SPN)が設定された特権を持つ、非コンピューターアカウントがある
SPNはアクティブディレクト リにおいて、ユニークで、Kerberos認証のためのサービスログオンアカウントを持つサービスインスタンス の特定に使われる。非コンピューターアカウントでSPN設定がされているものは、ランサムウェア 攻撃者のKerberoasting*7 の初期の標的となる。このテクニックでパスワードがブルートフォース攻撃 できた場合、水平展開や権限昇格、ランサムウェア の展開に悪用される可能性がある。残念ながら多くの組織では、特権アカウントがSPN設定されている。PowerShell コマンドによって、このアカウントの範囲を確認することができる。SPN設定があされている非コンピュータアカウントは通常存在するが、このアカウントに割当たっているアカウントの許可の優先度を明確し、昇格や水平展開のセキュリティ制御を行うべきである。
get-aduser -filter {(ServicePrincipalName -like “*”)}
3. エンドポイントの特権アカウントに関して、その利用や露出を最小限にするセキュリティ対策がなされていない
以下のハードニングを行う*8 :
非サービス特権アカウントは保護済みユーザー(Protected Users)セキュリティグループにまとめる
WDigestやWindows Credntial Managerなど、認証情報をメモリに平文で保存する方法を無効化する。攻撃者などによってローカルで変更されるよな場合に備え、グループポリシー設定にもこの設定が再度適用されるような設定にしておく。
Windows 10やWindows Server 2016以上にてCredential GuardとRemote Credential Guardを有効にしておく。これ以前のものでは、特権アカウントによるリモートデスクトップ 接続が開始された場合にRestricted Admin Modeが使われるようにしておく。
エンドポイントのビルトインローカル管理者アカウントのパスワードを、Microsoft LAPSや他ツールを使ってランダム化する。
GPO や認証サイロ利用時に、特権アカウントがどこでどのように使われるかを段階モデル化しておく(Guardrail enforcement)。
特権アクションが専用の特権アクセスワークステーション (PAW)や踏み台からのみ行われるようにする。
特権アカウントの権限委譲を保護する(例えばSensitive and Cannot Be Delegatedエンフォースメント)
水平展開やリモートアクセス、ランサムウェア 展開に悪用されるようなプロトコル をWindows ファイアウォール で制限する。
水平展開を許すような許可設定のあるアカウントやグループのスコープを制限する。特に、特権アカウントはTier 1やTier 2のエンドポイントにアクセスできないようにする(ローカル・グループポリシーで):
ネットワークからこのコンピューターへのアクセス拒否する(SeDenyNetworkLogonRight)
リモートデスクトップ サービスによるログオンを拒否する(SeDenyRemoteInteractiveLogonRight)
ローカルログオンの拒否(SeDenyInteractiveLogonRight)
サービスログオンの拒否(SeDenyServiceLogonRight)
権限昇格やデータアクセスに使われ許可設定を持つアカウントやグループのスコープを制限する。例えば以下機能を許可するような設定を制限する:
プログラムデバッグ (SeDebugPrivilege)
ファイルやディレクト リのバックアップ(SeBackupPrivilege)
ファイルやディレクト リのリストア(SeRestorePrivilege)
ファイルや他オブジェクトのオーナーシップの獲得(SeTakeOwnershipPrivilege)
4. ランサムウェア の展開にGPO が悪用される
例えば攻撃者は、GPO の編集が許可されているアカウントを危殆化したあと、例えばDefault Domain Policyなどドメイン のルートにつながるGPO を標的にし、そして大規模展開や暗号化実行のためのスケジュールタスクやログオンスクリプト 、ソフトウェアインストールパッケージを追加する。そのためGPO が編集できる、そしてドメイン のリンク・リンク解除ができる既存アカウントのレビューが必要である(既出のMandiant Ransomware Protection and Containment Strategiesを参照)
理想的には、リカバリ ーと再構成は、攻撃調査(アクセス取得方法、水平展開、データ窃取、ランサムウェア 展開方法など)と並行して実施できるのが理想である。リカバリ ーと再構成がセキュアに実施されなければ、攻撃者はそのアクセスを維持し続け、結果として継続的なリスク、ダウンタイム、今後の攻撃の可能性につながってしまう。
リカバリ ー、再構成につながる調査ステップ
事実と証拠に基づいたアクションが、リカバリ ー、再構成の成功には重要である。これらを計画するためには、以下の質問に答えていくと良い:
攻撃者がアクセスを維持しているメカニ ズム(Backdoorなど)は何か?
攻撃者が利用する、入り口、出口、あるいはホストベースのファイアウォール で防ぐ必要があるCnCチャネル(C2)は何か?
ランサムウェア 展開方法は何か(PsExecを使ったマニュアル展開、グループポリシーの改変、スケジュールタスクやログオンスクリプト )?
ランサムウェア のさらなる伝搬は止めることができ、また鎮めることができるか?
水平展開やランサムウェア 展開にどの危殆化アカウントが使われたか?
どのエンドポイントにおいて、ランサムウェア の暗号化が未だ実行中か?
初回アクセスの主な手法や流れは何か?
特権アカウントはどれか?
これらを明確にしながら、何を隔離し、ハードニングするかを明確にしていく。これらが集約できるまでは、一時的にインターネットアクセスを遮断してトリアージ を行い、レビューとセキュアなハードニング、リカバリ ーの計画を行う。
セキュアエンクレーブの利用*9
組織ネットワーク内において、クリーンで信頼でき、攻撃など影響を受けたシステムととの通信を制限されたようなシステムをエンクレーブとここでは称している(VLANなど)。これらエンクレーブ内のシステムは、信頼されたEDR ツールなどとのみ通信が許可され、これらツールにてエンドポイントに不正なアクティビティやアクティブな暗号化プロセスがないことを確認する。
リストア済あるいは新しく作られたドメコン はセキュアエンクレーブ内の最初のエンドポイントになることが一般的で、ランサムウェア の初期拡散の沈静化が成功したあと、そこから他のエンドポイントへの接続へと展開されていく。
リカバリ や再構成タスクを妨げるもの
Active Directory Lock-out :攻撃者によってADの管理者が追い出されるような攻撃を確認している。ドメイン コントローラーが有効であっても、一度攻撃者がドメイン 管理者権限を奪取してしまえば、有効な管理者アカウントのパスワード変更が行われる。そのためリカバリ のためにアクセスができないという状況になる。そのため行われる対応として、物理メディアからドメイン コントローラーをブートしてcmd.exeを用いてユーティリティマネージャーバイナリ(utilman.exe)の置き換えがある。これによりユーザーがログイン画面にてユーティリティマネージャーをクリックすると、既存アカウントに新規パスワードが設定できることになる。
ドメイン コントローラーの再構成課題 :リストア、再構成にはまずドメコン が対象となることが多い。この点において、SYSVOLの破損がよく焦点となる。SYSVOLにはそれぞれのドメコン で冗長して持つファイルやフォルダー(グループポリシーテンプレートや設定、スクリプト など)のセットであり、これが暗号化や破損されてしまうと、すべてのドメコン にカスケード(転送)してしまう。タイムリ ーなバックアップがないと、リビルドや再構成は複雑になる。ドメコン のシステムステートバックアップを行うことでこれを回避できる。これが難しい場合は、少なくとも以下をバックアップしておく。これらバックアップはオフラインに置かれるか、ドメイン アカウントから直接アクセスできないような、論理的にセグメント化されたストレージクラスタ ーに保存されることが望ましい。
%SYSTEMROOT%\SYSVOL:SYSVOLディレクト リ、データツ リー
%SYSTEMROOT%\ntds\ntds.dit:ADデータベース
ドメコン のバックアップからADのリストアでしか再構成できない場合、バックアップ計画が予めテストされ、スキーマ やデータの完全性や可用性を確認しておかなければならない。以下のベストプラク ティスは、ドメコン のリカバリ 、再構成に関するもので、事前に確認する必要がある:
オフラインバックアップ:オフラインのドメコン バックアップはオンラインバックアップと別にセキュアに保管されなければならない。
暗号化:バックアップデータは転送時、保管時に暗号化すること、あるいはオフサイトにミラーリング すること。
DSRMパスワード検証:各ドメコン のディレクトリサービス リストアモード(DSRM)パスワードがセットされていること。認可済、非認可のドメコン リストアに必要になる。
アラートの設定:バックアップデータの可用性、完全性に関するアラート(バックアップデータの削除、メタデータ の名前削除、メディアエラ ー、リストアイベントなど)を設定する。
ロールベースのアクセス制御:データバックアップを管理するバックアップメディアやアプリケーションへのアクセスについてロールベースのアクセス制御を行う。
テストと検証:認可・非認可ドメコン リストアについてリストア手順を書面化しテストしておく。
バックアップとリストア手順の準備不足 :効率的なバックアップ及びリストア手順が必要である。効率的な手順とは例えば:
データ・アプリケーションバックアップの管理及び検証の責任に関する明確化
ビジネス継続性と災害復旧計画(BCP )に照らし合わせたバックアップ・リストア手順の確認
オンライン・オフラインバックアップの保管ポリシー:開始、頻度、検証及びテスト(ネットワーク内、クラウド 内どちらも)
バックアップインフラがセグメント化されており、予め決められたアカウントのみがアクセスできる。
組織にとって重要なデータ(crown jewels)の理解と、それに照らし合わせたバックアップ、フェイルオーバー、リストアタスクの優先度決め
バックアップメディアやアプリケーションへのアクセスはロールベースアクセス制御を施す
データだけでなくクリティカルなアプリケーションやサービスについてフェイルオーバーやリストアタスクのトレーニン グ、検証訓練を行う
アプリケーションやインフラサポートについてベンダーとSLA を確立する
とりあえずこれで前編終了にします。ADについてよく書いてありますが理解が追いついていないままなところもあります。まとめと言いつつ後半はほとんど訳になっているような気もします。
後編はこんな目次です:
(ここから後編にします)最近観測された脅威グループ:FIN11
UNC2452について(SolarWindsの件)
事例研究
最後に