自動遮断技術により脱走Trickbotによる侵害を阻止

2020年の合衆国大統領選挙に先立って、Microsoft と同社のパートナーは 悪質なマルウェアTrickbotを撲滅し選挙不正の試みを削減しようとしました。これらの取り組みはある程度は成功しました。結果的にTrickbotのインフラの94%が消滅し、その影響は2020年末には大幅に減少しました。
しかし、マルウェアが死滅することは滅多にありません。2021年、REvilによる広範な攻撃発生後の一連の逮捕がこのグループのRansomware-as-a-Service オペレーションの阻止にほとんど影響しなかったことは以前のブログ で説明しました。またRyuk ランサムウェアが作成者に放棄された後、新しい攻撃者の手に渡ったことも紹介しています。
Trickbot はさらに大規模な復活を見ています。2021年6月には、Darktraceは顧客環境の1つでTrickbotによる侵入を観測しています。Trickbotは過去の、無効となったマルウェアというには程遠いのです。むしろ世界で最も広範なマルウェアとなっています。
この顧客がランサムウェア攻撃の被害者とならずに済んだのは、Darktraceの自動遮断技術を直前にアクティブ化していたからでした。Autonomous Response は攻撃のどの段階でもアクションを取ることができるため、Trickbot が環境内に根を下ろした後でもそれを中断させることができ、ランサムウェアの実行を阻止することに成功しました。
環境に根を下ろしたTrickbot
EMEA地域のある行政組織で侵入が発生しました。Darktraceを導入する以前であり、内部のドメインコントローラー1台がTrickbotによって侵害されていました。その後Trickbotは1か月以上も休眠していました。しかし、このマルウェアがアクションを開始するまでには、DarktraceのAIが導入されていたのです。すでに侵害された環境に導入されたにも関わらず、AIは無害なアクティビティと悪意あるアクティビティを区別してただちに脅威を検知することができました。しかし、この時点では自動遮断技術は人間の確認なしにアクションを実行できないよう設定されていました。
Darktraceは侵害されたドメインコントローラが悪意あるDLLファイル(おそらくTrickbotそのもの)を組織内の約280台のデバイスにSMBを使ってアップロードし、Windows Management Instrumentation (WMI) を使って設定および実行しようとしていることを検知しました。Trickbotの古さと悪名にもかかわらず、脅威インテリジェンスに依存したツールはこの段階でも無言のままでした。

図1:攻撃のタイムライン
攻撃者達はどのようにTrickbotを復活させたか
Trickbotのモジュール的性質はさまざまな犯罪活動に完璧な切り口を提供し、マルウェア自体の適応性も保つことができるため、防御を難しくしています。Microsoftが主導したアクションは複数の既知のTrickbotコマンド&コントロール(C2)サーバーのIPアドレスをダウンさせ、Trickbotオペレーターが新たなアドレスを取得あるいはリースするのを一時的に止めることに成功しました。しかしTrickbotインフラが再構築されるまでに長くはかからず、2021年の5月から6月にはGlobal Threat Indexにおいて再び最も広範に見られるマルウェアと見なされるに至りました。
進化して既存のOSINTを回避するTrickbotの能力はこの攻撃で発揮されました。Darktrace は侵害された280台のデバイスのうち160台が一連の新しいC2エンドポイントに接続を開始していることを観測しました。これらのエンドポイントのいずれについても悪意あるアクティビティと結びついたOSINTはありませんでしたが、Darktraceはこのアクティビティが以前の動作のコンテキストからみて高度に異常であると見なし、セキュリティチームはProactive Threat Notification (PTN)を通じてこの深刻度が高い可能性のあるインシデントについての通知を受けました。
この攻撃者は、侵害されたデバイスが偽装した実行形式ファイルをダウンロードし悪意あるスキャニングアクティビティを実行し始めたことが検知されるまで、1か月以上も存在を隠していました。これらのファイルはおそらくRyukランサムウェアペイロードであることがわかりました。こうして攻撃の各段階の間隔を空けることで、この脅威アクター達は人間のセキュリティチームが点と点をつなぎ合わせ脅威の全貌をつかむのを難しくしていたのです。
しかし、デジタル環境全体に渡って脅威を調査しトリアージを行うDarktraceのCyber AI Analystは、これらのばらばらのイベントをつなぎ合わせて1つの攻撃の経緯説明を組み立て、さらにPTNを提供しました。状況の深刻さを鑑み、この顧客はDarktraceのAsk the Expert (ATE) サービスを利用し、脅威対処へのアドバイスを受けました。

図2:Cyber AI Analyst が複数の内部デバイスに拡散されている不審な実行形式ファイルを調査
自動遮断技術が攻撃の最終段階をシャットダウン
セキュリティチームは直面している脅威のスケールを理解すると、自動遮断技術をアクティブ化して脅威を封じ込めるための自律的アクションを取らせました。もし最初から自動遮断技術が使用されていれば、この攻撃は最も早い段階で、1台のドメインコントローラだけに限定されていたときに阻止されていたはずです。しかし重要な点は、自動遮断技術がランサムウェア攻撃のいかなる段階でもアクションを取れるということです。
この事例のような遅い段階であっても、自動遮断技術は攻撃者を阻止しRyukがネットワーク上で実行されるのを防ぐことができました。AIは、SMB列挙、ネットワークスキャン、疑わしいアウトバウンド接続などを含む悪意あるアクティビティを数秒でブロックし、攻撃を中断させつつ、正常な業務のオペレーションを徹底し、社内のその他の仕事が阻害されずに継続できるようにしました。
C2通信および水平移動が切断されたため、攻撃者はRyukを実行することができず、攻撃はすんでのところで終了しました。ぎりぎりのところで自動遮断技術を有効にしたことが、広範なデータ暗号化と場合によっては抜き出しを回避することができ、もし身代金を払っていたとしても発生するランサムウェア攻撃にともなう多大なコスト を負わずに済んだものと思われます。
手遅れとなる前に自動遮断技術を展開
攻撃が環境に根付いてからアクティブ化されたにもかかわらず、Darktraceは悪意あるアクティビティを正常な業務のオペレーションから区別し、混乱を招くことなく脅威を阻止することができました。次に攻撃が発生しても、この組織は自動遮断技術を完全に自律的なモードに設定して準備していますので、脅威の発生の最初の兆候でアクションを取り、修正のための作業を最小化できるでしょう。
完全に自律的なセキュリティを実現するまでには、AIの精度と意思決定に対する組織の信頼を構築する必要があります。この道のりはそれぞれの組織によって異なりますが、新たな脅威に対して自律的に対処できるテクノロジーの必要性は、どのような組織にとっても実際に苦い思いをして学ぶべきことではありません。
この脅威についての考察はDarktraceアナリストSam Lister が協力しました。