クリプトマイニングボットネットの水平移動

ボットネットはクリプトマイニングマルウェアを展開する手段としてますます選択されるようになっています。サーバーやIoTデバイス等、企業内のさまざまなアセットを感染させることにより、サイバー犯罪者は数百台、数千台のマシンの処理能力を使って暗号通貨のマイニングを行い、さらに他のデバイスに拡散していくことができます。
本ブログ記事では、シンガポールのある企業においてインターネットに接続されたサーバーに侵入された事例を紹介します。脅威アクターはこのデバイスを使って水平移動し、クリプトマイニングソフトウェアを展開しました。2日のうちに、その企業内の複数のデバイスが暗号通貨のマイニングを開始しました。
ボットネットの作成
Proof of Value (POV)トライアルの目的でDarktraceがインストールされてからわずか数日後、社内のサーバーが未知のエンドポイント167.71.87[.]85から悪意ある実行形式 をダウンロードしていることが検知されました。

図1:攻撃のタイムライン
このサーバーはさまざまな未知の外部エンドポイントに対し、ユーザーエージェントヘッダーを使わずにHTTP接続を行っていました。主な接続先ホスト名は t[.]amynx[.]com でしたが、これはオープンソースインテリジェンス(OSINT)によってクリプトマイニングトロイと関連づけられていたドメインでした。
このデバイスはTCPポート445(SMB)を使って、一連の外部IPに対して繰り返しの接続を開始しました。その後、通常とは異なる多数の内部接続が広範なデバイスに対して試行され、スキャニングアクティビティが疑われました。

図2:類似のインシデントにおけるTCPスキャニングアクティビティ。関連する6個のイベントが1つのサマリーにまとめられています。
ボットネットの拡大
マルウェアは最初に感染したサーバーから水平移動を開始しました。これは主に、通常とは異なる一連のRDP接続によって行われました。それに続いて、サーバーは外部SMBおよびRPC接続をインターネット上の未知のエンドポイントに対して開始しました。これは脆弱なホストをさらに見つけようとしたものです。
その他水平移動に関連したアクティビティとしては、SMBファイル共有プロトコルを介し、さまざまなユーザー名を使って複数の内部デバイスにアクセスしようとして失敗している様子もみられました。脅威アクターはアカウント情報を推測して試行錯誤しており、これはブルートフォースによるネットワークアクセスの試みを示しています。
RDPやWindows Service Control などの既存のツールの使用は、この攻撃者が ‘Living off the Land’(環境に寄生する)テクニックを利用していたことを意味します。これはシステム管理者の仕事を本質的に難しくします。ビルトインツールが正しく使われているのか、悪意があるのかを区別しなければならなくなるからです。
クリプトマイニングの開始
最終的に、侵害されたサーバーはランダムに生成された名前(例:gMtWAvEc.exe, daSsZhPf.exe等)を持つ不審な実行形式ファイルをSMBを使って複数の内部デバイスに転送することで水平移動を完了しました。これはMinergate プロトコルを使ったクリプトマイニングマルウェアを展開するものでした。
MinergateはBitcoin、Monero、Ethereum、Zcash、Grinなどの、複数のタイプの暗号通貨のマイニングに使われる公開マイニングプールです。過去数か月、ランサムウェアアクターはBitcoinからMoneroおよびその他のより匿名性の高い暗号通貨にシフトしはじめています。しかし、各種クリプトマイナーはもう何年もBitcoin以外の暗号通貨を扱っています。

図3:同様のデバイスでモデル違反の明確な増加を示すグラフ。侵害のあった時間を簡単に特定することが可能。
トライアル期間であったため、Darktraceの自動対処 機能であるAntigenaはアクティブモードで運用されておらず、最初の感染ベクトルを阻止するためのアクションを実行することはできませんでした。しかし、Antigenaのモデル “Antigena / Network / External Threat / Antigena Suspicious File Block” に対し、7月18日の03:55:45に違反が発生しています。アクティブモードで運用されていれば、Antigenaは167.71.87[.]85 への80番ポートの接続を即座に2時間ブロックし、セキュリティチームは侵害を是正する十分な時間がとれたはずです。
猛威を振るうクリプトマイニングマルウェア
クリプトマイニング攻撃は非常によくある攻撃です。ランサムウェアほど破壊的ではありませんが、ネットワークレイテンシーに深刻な影響を与えることがあり、また検知や除去にも長い時間がかかります。感染に気づかれていない間、被害企業へのバックドアを提供しつづけます。そしてクリプトマイニングからいつでもランサムウェア実行に切り替わる可能性があるのです。このケースにおいて、攻撃者は内部サーバーやドメインコントローラーなどを狙って悪意あるソフトウェアを転送することにより、最大の混乱を作り出そうとしたことは明確です。
Darktraceは既知の脅威インジケータに頼ることなく、この攻撃のあらゆる段階を検知しました。Cyber AI Analystは完全な調査プロセスを自動化し、セキュリティチームにインシデント発生中の貴重な時間を作り出しました。
特に最近の中国でのBitcoin ファームの摘発に見られるように、地下のボットネットやクラウドベースのクリプトマイニングが今後増大すると予想されます。近い将来、これらの侵入事例が増えるにつれ、AIを使った検知、調査、そして対処は、あらゆる規模の組織を常時防御する上で必須であることが実証されるでしょう。
IoC:
IoC | コメント |
167.71.87[.]85 | マルウェアのダウンロード — SHA1: 6a4c477ba19a7bb888540d02acdd9be0d5d3fd02 VirusTotal |
t[.]amynx[.]com | HTTPコマンド&コントロール – OSINTサイトに掲載された(クリプトマイニングトロイと関係のある)疑わしい兆候を持つ最近作成されたドメイン AlienVault VirusTotal |
lplp[.]ackng[.]com | 暗号通貨マイニングアクティビティ(Minergate) VirusTotal |
gMtWAvEc.exe daSsZhPf.exe yAElKPQi.exe | 悪意ある実行形式ファイルの例 |
Darktraceモデル違反:
- Antigena / Network / Insider Threat / Antigena Network Scan Block
- Device / Suspicious Network Scan Activity
- Device / Large Number of Model Breaches
- Device / Multiple Lateral Movement Model Breaches (x2)
- Unusual Activity / Successful Admin Bruteforce Activity
- Anomalous Connection / SMB Enumeration
- Antigena / Network / Significant Anomaly / Antigena Controlled and Model Breach (x2)
- Antigena / Network / External Threat / Antigena Suspicious File Block
- Compromise / Beacon to Young Endpoint (x4)
- Device / Possible RPC Lateral Movement
- Antigena / Network / Insider Threat / Antigena SMB Enumeration Block
- Compromise / Beaconing Activity To External Rare (x5)
- Anomalous Server Activity / Denial of Service Activity
- Antigena / Network / External Threat / Antigena Suspicious Activity Block (x4)
- Device / Large Number of Connections to New Endpoints
- Device / Network Scan - Low Anomaly Score
- Anomalous Connection / New or Uncommon Service Control (x3)
- Device / New User Agent To Internal Server
- Device / Anomalous RDP Followed By Multiple Model Breaches (x3)
- Device / Anomalous SMB Followed By Multiple Model Breaches (x3)
- Device / SMB Session Bruteforce (x2)
- Device / Increased External Connectivity
- Device / Network Scan
- Compromise / High Volume of Connections with Beacon Score (x5)
- Unusual Activity / Unusual External Activity (x3)
- Anomalous Connection / Unusual Admin SMB Session
- Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
- Compliance / SMB Drive Write (x3)
- Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block (x14)
- Compliance / Internet Facing RDP Server
- Anomalous Connection / Multiple Failed Connections to Rare Endpoint (x5)
- Compliance / Outbound RDP (x3)
- Anomalous Server Activity / Rare External from Server (x5)
- Compromise / Slow Beaconing Activity To External Rare (x8)
- Anomalous Server Activity / Outgoing from Server (x2)
- Device / New User Agent
- Anomalous Connection / New Failed External Windows Connection (x5)
- Compliance / External Windows Communications
- Device / New Failed External Connections (x7)
- Compliance / Crypto Currency Mining Activity (x9)
- Compliance / Incoming Remote Desktop (x9)
観測されたMITRE ATT&CKテクニック:
Reconaissance | T1595 – Active Scanning |
Initial Access | T1190 — Exploit Public-Facing Application |
Credential Access | T1110 — Brute Force |
Discovery | T1135 — Network Share Discovery T1046 — Network Service Scanning |
Lateral Movement | T1021 — Remote Services |
Command and Control | T1071 — Application Layer Protocol |
Impact | T1496 — Resource Hijacking |