Darktrace による脅威の発見:TeamViewer を悪用し たランサムウェアの展開

Max Heinemeyer, Director of Threat Hunting | 2020年8月17日月曜日

主なポイント

  • アフリカに拠点を置く小売り企業がランサムウェアの標的となった
  • 全体に難読化が欠けていることとカスタムマルウェアの使用が、低レベルの脅威アクターである ことを示唆
  • あらゆるレベルの脅威アクターが、ステルス目的で TeamViewer や PsExec 等の一般的な管理 ツールを使うケースが増えている
  • この企業は比較的小規模であったが、ランサムウェアの標的とならない組織はない

攻撃の詳細

Darktrace は最近、アフリカに拠点を置く小売り企業において、ある種のランサムウェアを検知し ました。以下に紹介する脅威検知事例では、攻撃者は TeamViewer を介してこの企業のドメインコ ントローラに接続し、その後別の C2 ホストと通信を開始しました。

最初のビーコニング活動から約 1 時間後、普段は見られない RDP/SMB がネットワーク上で観測さ れ、それに続いて珍しいサービスコントロールアクティビティが観測されました。Darktrace は攻 撃のライフサイクルの各段階を検知しており、もし Darktrace Antigena がアクティブモードに設 定されていれば、自動的に攻撃を無害化できたはずでした。しかしながら、自動対処が人間のセ キュリティチームからの確認を必要とするパッシブモードに設定されていたため、攻撃は初期段階 を過ぎてエスカレートしていました。

ランサムウェアアクティビティは週末に開始されました。これは最初のビーコニング活動の 4 日後 でした。攻撃のタイムラインを以下に示します。

Timeline of attack: 攻撃のタイムライン:全体の滞留時間はおよそ 7 日間でした。

図 1:イベントのタイムライン

攻撃は他のセキュリティスタックをどのようにすり抜けたか?

この攻撃は企業が既に使用していた市販のツール、具体的には TeamViewer を悪用しました。初期 ベクターとしてドメインコントローラを狙ったこの戦術により、マルウェアの展開は簡単で効果的 なものとなりました。

AI Analyst のカバレッジ

Darktrace の Cyber AI Analyst は、SQL サーバーが普段とは異なる多数のファイルを共有ドライ ブに書き込んでいることを特定しました。これは具体的にはランサムウェアの展開のためのバイナ リ実行形式ファイルとみられるものでした。

図 2:Darktrace の Cyber AI Analyst が異常なファイルを指摘

感染したデバイスの概要

以下の図は、10 時間に渡って発生した異常な接続およびその他の異常なアクティビティを示してい ます。Darktrace の Enterprise Immune System が最初にこのアクティビティを検知したのはサー バー上のコンプライアンス/リモート管理ツール内でした。その後この企業のサイバーエコシステム 内を水平方向に移動し、他のデバイスへと拡散していく様子が観測されました。

図 3:検知されたドメインコントローラ上の多数の外部接続およびその他の異常を示すグラフ

最終的考察

この攻撃では、C2 ドメインに/phpMyAdmin および/p.php を含むアクセス可能な標準 PHP 配列が ありました。後者に含まれていたサーバー時間は UTC+8 であり、これは中国本土のタイムゾーン でした。

図 4:C2 ドメイン

このケースは、いくつかの点から低レベルの脅威アクターであることがわかります。難読化が欠如 していること、市販のツールに依存していること、また比較的小規模な組織を標的としていること などがその理由です。RaaS(Ransomware as a Service)、自動化されたドメイン生成、その他 攻撃者の参入障壁を低くするツールの出現もあり、低レベルの脅威アクターであってもコーポレー トネットワークに侵入できるということは驚くに値しません。このことはまた、これまで高度なサ イバー犯罪者が対象としていなかった小規模な組織であっても、低レベルの脅威アクターが仕掛け る攻撃の標的となり得ることを意味しています。

事実、TeamViewer のような便利で幅広く使用されているツールがアクセスのために悪用されるこ とがあり、またランサムウェアのためのツールは比較的ありふれていて、一旦足掛かりができれば 展開は簡単です。このことから、脅威が危機に進展する前にそれを発見し阻止するためには、サイ バーセキュリティへの積極的対応と、ネットワークに対する完全な可視性が求められています。

週末にランサムウェアを展開することは、攻撃者が成功の可能性を最大化しようとするよくあるテ クニックです。セキュリティチームからの対応が概して遅くなるからです。これはますます一般的 となりつつある「営業時間外」攻撃の大きな流れに該当するものであり、人間に頼ることなく自律 的に行動し脅威を封じ込めることができる防御テクノロジーへのニーズを浮き彫りにしています。 十数個の AI モデルが作動したこの事例では、Darktrace の自動対応テクノロジーが設定されていれ ば的を絞った適切なアクションを取って脅威を封じ込めていたことは疑いがありません。急速に変化する脅威に後れを取らないためには、自動対処に加えて、インシデントを調査しアクション可能 なインテリジェンスを提供する AI により、セキュリティチームがすばやくアクションを取りインシ デントに完全に対処するまたは脆弱性に対策することができるようにすることがきわめて重要です。

自動対処について詳しく知る

IoC:

IoCコメント
ts.blognewstoday[.]com
35.186.238[.]101
C2 ビーコニングドメインおよびホスティング IP

Darktrace によるモデル検知結果:

  • 侵害 / 疑わしいビーコニング動作
  • 侵害 / 持続的 SSL または HTTP の増加
  • 異常なサーバーアクティビティ / サーバーから未知の外部接続
  • 異常なサーバーアクティビティ / クリティカルなネットワークデバイスから異常な外部アクティビティ
  • デバイス / ネットワークスキャン
  • 異常な接続 / SMB 列挙
  • デバイス / ICMP アドレススキャン
  • デバイス / 新しいまたは珍しい WMI アクティビティ
  • 異常な接続 / 新しいサービス制御
  • 異常な接続 / 新しいまたは珍しいサービス制御
  • 異常な接続 / 普段と異なる管理者 SMB セッション
  • 異常な接続 / アクティブなリモートデスクトップトンネル
  • 異常な接続 / 普段と異なる管理者 RDP セッション
  • デバイス / 複数の水平方向移動モデル違反
  • コンプライアンス / 高優先度コンプライアンスモデル違反
  • コンプライアンス / SMB ドライブ書き込み
  • コンプライアンス / サーバー上のリモート管理ツール

Max Heinemeyer

Max is a cyber security expert with over nine years’ experience in the field, specializing in network monitoring and offensive security. At Darktrace, Max works with strategic customers to help them investigate and respond to threats, as well as overseeing the cyber security analyst team in the Cambridge UK headquarters. Prior to his current role, Max led the Threat and Vulnerability Management department for Hewlett-Packard in Central Europe. In this role he worked as a white hat hacker, leading penetration tests and red team engagements. He was also part of the German Chaos Computer Club when he was still living in Germany. Max holds a MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.