Botnetマルウェア:Remote Desktop Protocol (RDP) 攻撃

ワークフォースのダイナミックな分散が拡大するにつれて、ITチームはこれまでになくリモートアクセスに依存せざるを得なくなっています。現在では、5百万台近くのRemote Desktop Protocol (RDP) サーバーがインターネットに露出しています。これはパンデミック以前より2百万台程度の増加です。リモートデスクトップ は大多数の企業にとって欠かせない機能ですが、しばしばサイバー犯罪者に悪用されています。攻撃者が1つの市全体への水道水の化学物質量を操作しようとしたフロリダの水道施設でのインシデントのような事例は、このようなサイバー脅威の影響がどれほど致命的なものとなり得るかを示しています。
先月、DarktraceはAPAC地域のあるテクノロジー企業においてサーバーサイド攻撃を検知しました。ハッカーたちは1台のRDPサーバーにブルートフォース攻撃を仕掛け組織全体に拡大させようとしました。この違反を早期に検知したことはサイバー犯罪者達がボットネットを作成して深刻な損害をもたらす前にそれを阻止する上で重要でした。ランサムウェア攻撃や分散型DDoS攻撃を仕掛けられる可能性もあったのです。
ボットネットの作成方法
脅威アクターが組織に最初の足掛かりを得て、水平方向に拡散してボットネットアーミーを構築するには脆弱なRDPサーバーが1台あれば事足ります。ボットとは単なる感染したデバイスですが悪意を持った第三者にコントロールされ、これらのホストが積み重なってネットワークが構成されると、ハッカーは次を含む様々なアクションを実行できるようになります:
ユーザーの認証情報や支払いデータの抜き出し
トロイマルウェアをサーバーにアップロードし、正当なソフトウェアを装ってシステムにバックドアを開く
昨年発生したDharma攻撃のようなランサムウェアを展開する
会社のインフラへのアクセスを他の脅威アクターに貸し出す
ゾンビデバイスのCPUを使った 暗号通貨マイニング
実際、これらのデバイスへのリモートアクセスを獲得した後、ハッカーにできないことはほとんどありません。ボットネットマルウェアはマルウェア所有者が機能を追加あるいは削除できる自己アップロード機能を備えているケースが多いと言えます。そして攻撃者達は正当な管理者RDP認証情報を使用しているために、従来のセキュリティがこのアクティビティについて手遅れになる前に検知することはきわめて困難です。
雇われDDoS:サイバー犯罪者達の事業
近年、サイバー犯罪の商取引もブームとなり、さらに問題を複雑化させています。今や、Ransomware-as-a-Service から個人情報のオークションまで、さまざまな不正なアクティビティに対するサブスクリプションベースやレンタルでの利用モデルもダークウェブ上で簡単に取引されています。その結果、攻撃者がサーバーを感染させこれらのボットの利用をオンラインで販売するケースが増えつつあります。雇われDDoSサービスはボットネットへのアクセスを1時間あたりわずか20ドルで提供しています。実際、これらのキットの一部は合法なものまであり、"IPストレッサー” や "ブースター" などとして、ウェブサイトのレジリエンスをテストするのに合法に使えるものとして販売されていますが、しばしば悪用されサイトやネットワークをダウンさせるのに使われています。
これらを背景に新たなDDoSおよびボットネットマルウェア攻撃の波が発生しました。ハッカー達にとってボットネットを作成しダークウェブ上で売るという新たな金銭的誘因となったためです。‘ボットネットビルダー’ ツールはボットネットマルウェアを提供し最初の感染を支援することにより低スキルの攻撃者がボットを作成するのを助けているのです。こうした攻撃のスキルのしきい値を下げ、広範に利用可能としたこれらのキットの流通の結果、巧妙なRDP攻撃が開花したのです。
自動化されたRDP攻撃を詳細に分析

図1:攻撃のタイムライン
最近、あるテクノロジー企業において、オンラインゲームサイトをホスティングしていたインターネットに接続されたRDPサーバーが侵入を受けました。この企業のネットワーク上におよそ500台のデバイスがありました。攻撃者はブルートフォースを使って正しいパスワードを探り出し、デスクトップへのリモートアクセスを取得しました。DarktraceのCyber AIが未知の外部エンドポイントからの不審な管理RDP接続を検知し始めたのはこの時点です。
このインシデントは多くの点で典型的なRDP侵害でした。認証情報を探るブルートフォース攻撃は、クレデンシャルスタッフィング攻撃や脆弱性のエクスプロイトと共にサーバーサイド攻撃でよく見られる初期ベクトルです。このケースでは、脅威アクターはこのサーバーを他の内部外部のデバイスを感染させるための転回点として利用し、貸出用ボットネットを作成しようとしたか、機密性が高い情報の抜き出しを計画したものと思われます。

図2:Cyber AI Analystが違反デバイスから内部IPアドレスへの不審な接続をハイライトした例
この侵害があってから約14時間後、攻撃者は未知のドメインから複数のファイルをダウンロードしました。その後18時間に渡り、攻撃者は脆弱なSMBv1プロトコルを使って、445番ポートで440万回以上の内部および外部接続を行いました。これらのほとんどは “administrator” 資格を使ったSMBセッション失敗でした。このサーバーは270を超える内部および外部IPアドレスとのSMBセッションに成功していました。
通常内部で使われているポートで、稀ではあるが良性のロケーションに対して発信接続を行うことは特定の攻撃プロファイルには一致しないかもしれません。このことは、これらがシグネチャベースのセキュリティツールでは見逃されてしまうことを意味します。しかし、これら複数のファイルダウンロードソースに対する脅威インテリジェンスが存在しなかったにも関わらず、DarktraceのAIはこのアクティビティの特異な性質に気づき、確度の高い検知に繋がりました。

図3:接続数が急激に上昇したことを示す、DarktraceのThreat Visualizerに表示されたグラフ
Botnetマルウェアと自動化
このインシデントは動きが速いこと、およびデータ抜き出しが見られないことから、おそらくボットネットビルダーを使って自動化された攻撃であったと思われます。攻撃を加速し隠ぺいするために自動化が使われていたということは、Darktraceが早い段階でセキュリティチームに警告していなければ、深刻な結果を招いていた可能性もあります。
インターネットに接続されたRDPサーバーに対する攻撃は、初期の感染ベクトルとして最もよくあるものの一つです。 自動化されたスキャニングサービスやボットネットマルウェアツールの増加により、侵入の容易さは急激に高まりました。インターネットに露出したサーバーがエクスプロイトされるのは時間の問題です。さらに、高度に自動化されたさまざまな攻撃が絶えず走り続けており、組織内に急速に広がることができます。このような状況では、セキュリティチームがデバイス上での悪意あるアクティビティにできる限り早く気づくことがきわめて重要です。
DarktraceのAIは感染が特定のRDPサーバーから発生したことを単独で特定しただけでなく、 既存のシグネチャがなかったにも関わらず、攻撃のあらゆる段階をリアルタイムに検知しました。自己学習型AIはデジタル環境のあらゆるユーザーおよびデバイスにおいて異常なアクティビティを検知することができるため、脅威をマシンスピードでシャットダウンする上できわめて重要な役割を果たします。さらに、DarktraceのEnterprise Immune System が提供する可視性によりアタックサーフェスを大幅に縮小し管理の行き届いていないシャドーITを特定することができるため、デジタルビジネスのセキュリティが一層高まります。
この脅威事例についての考察はDarktraceアナリストTom McHale が協力しました。
IoC:
IoC | コメント |
94.232.47[.]130 | 管理者認証情報を使った最初の着信RDP接続 |
180.101.160[.]68 | ペイロードのダウンロード、URL: 5880/check[.]zip SHA256: f692eee628bb1e9fd58059d1016159ecff62569b4f5c2fa1d1ac1fb0a5b575a9 ユーザーエージェント: NSISDL/1.2 (Mozilla) |
123.129.198[.]197 | ペイロードのダウンロード、URL: 5880/win/panel/data/wget[.]exe SHA256: 0e27b7f6698327ff63b03fccc0e45eff1dc69a571c1c3f6c934ef7273b1562f ユーザーエージェント: Python-urllib/3.8 |
Darktrace によるモデル検知結果:
- Compliance / Internet Facing RDP Server
- Anomalous File / Zip or Gzip from Rare External Location
- Anomalous File / Incoming RAR File
- Anomalous File / EXE from Rare External Location
- Anomalous File / Internet Facing System File Download
- Experimental / Rare Endpoint with Young Certificate
- Anomalous Connection / New User Agent to IP Without Hostname
- Device / New User Agent and New IP
- Anomalous File / Anomalous Octet Stream
- Device / Anomalous SMB Followed By Multiple Model Breaches
- Device / Anomalous RDP Followed By Multiple Model Breaches
- Compliance / External Windows Communications
- Anomalous Server Activity / Outgoing from Server
- Device / Increased External Connectivity
- Device / SMB Session Bruteforce
- Unusual Activity / Unusual Activity from New Device
- Device / Network Scan - Low Anomaly Score
- Device / Large Number of Connections to New Endpoints
- Device / High Volume of Connections from Guest or New Device
- Compromise / Suspicious File and C2
- Anomalous File / Script from Rare Location
- Anomalous File / Multiple EXE from Rare External Locations
- Device / Initial Breach Chain Compromise
- Anomalous Server Activity / Rare External from Server
- Compromise / High Volume of Connections with Beacon Score
- Device / Suspicious Domain
- Compromise / Beacon to Young Endpoint