テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

クリプトマイニングボットネットの水平移動

Max Heinemeyer, Director of Threat Hunting | 2021年7月26日月曜日

ボットネットはクリプトマイニングマルウェアを展開する手段としてますます選択されるようになっています。サーバーやIoTデバイス等、企業内のさまざまなアセットを感染させることにより、サイバー犯罪者は数百台、数千台のマシンの処理能力を使って暗号通貨のマイニングを行い、さらに他のデバイスに拡散していくことができます。

本ブログ記事では、シンガポールのある企業においてインターネットに接続されたサーバーに侵入された事例を紹介します。脅威アクターはこのデバイスを使って水平移動し、クリプトマイニングソフトウェアを展開しました。2日のうちに、その企業内の複数のデバイスが暗号通貨のマイニングを開始しました。

ボットネットの作成

Proof of Value (POV)トライアルの目的でDarktraceがインストールされてからわずか数日後、社内のサーバーが未知のエンドポイント167.71.87[.]85から悪意ある実行形式 をダウンロードしていることが検知されました。

図1:攻撃のタイムライン

このサーバーはさまざまな未知の外部エンドポイントに対し、ユーザーエージェントヘッダーを使わずにHTTP接続を行っていました。主な接続先ホスト名は t[.]amynx[.]com でしたが、これはオープンソースインテリジェンス(OSINT)によってクリプトマイニングトロイと関連づけられていたドメインでした。

このデバイスはTCPポート445(SMB)を使って、一連の外部IPに対して繰り返しの接続を開始しました。その後、通常とは異なる多数の内部接続が広範なデバイスに対して試行され、スキャニングアクティビティが疑われました。

図2:類似のインシデントにおけるTCPスキャニングアクティビティ。関連する6個のイベントが1つのサマリーにまとめられています。

ボットネットの拡大

マルウェアは最初に感染したサーバーから水平移動を開始しました。これは主に、通常とは異なる一連のRDP接続によって行われました。それに続いて、サーバーは外部SMBおよびRPC接続をインターネット上の未知のエンドポイントに対して開始しました。これは脆弱なホストをさらに見つけようとしたものです。

その他水平移動に関連したアクティビティとしては、SMBファイル共有プロトコルを介し、さまざまなユーザー名を使って複数の内部デバイスにアクセスしようとして失敗している様子もみられました。脅威アクターはアカウント情報を推測して試行錯誤しており、これはブルートフォースによるネットワークアクセスの試みを示しています。

RDPやWindows Service Control などの既存のツールの使用は、この攻撃者が ‘Living off the Land’(環境に寄生する)テクニックを利用していたことを意味します。これはシステム管理者の仕事を本質的に難しくします。ビルトインツールが正しく使われているのか、悪意があるのかを区別しなければならなくなるからです。

クリプトマイニングの開始

最終的に、侵害されたサーバーはランダムに生成された名前(例:gMtWAvEc.exe, daSsZhPf.exe等)を持つ不審な実行形式ファイルをSMBを使って複数の内部デバイスに転送することで水平移動を完了しました。これはMinergate プロトコルを使ったクリプトマイニングマルウェアを展開するものでした。

MinergateはBitcoin、Monero、Ethereum、Zcash、Grinなどの、複数のタイプの暗号通貨のマイニングに使われる公開マイニングプールです。過去数か月、ランサムウェアアクターはBitcoinからMoneroおよびその他のより匿名性の高い暗号通貨にシフトしはじめています。しかし、各種クリプトマイナーはもう何年もBitcoin以外の暗号通貨を扱っています。

図3:同様のデバイスでモデル違反の明確な増加を示すグラフ。侵害のあった時間を簡単に特定することが可能。

トライアル期間であったため、Darktraceの自動対処 機能であるAntigenaはアクティブモードで運用されておらず、最初の感染ベクトルを阻止するためのアクションを実行することはできませんでした。しかし、Antigenaのモデル “Antigena / Network / External Threat / Antigena Suspicious File Block” に対し、7月18日の03:55:45に違反が発生しています。アクティブモードで運用されていれば、Antigenaは167.71.87[.]85 への80番ポートの接続を即座に2時間ブロックし、セキュリティチームは侵害を是正する十分な時間がとれたはずです。

猛威を振るうクリプトマイニングマルウェア

クリプトマイニング攻撃は非常によくある攻撃です。ランサムウェアほど破壊的ではありませんが、ネットワークレイテンシーに深刻な影響を与えることがあり、また検知や除去にも長い時間がかかります。感染に気づかれていない間、被害企業へのバックドアを提供しつづけます。そしてクリプトマイニングからいつでもランサムウェア実行に切り替わる可能性があるのです。このケースにおいて、攻撃者は内部サーバーやドメインコントローラーなどを狙って悪意あるソフトウェアを転送することにより、最大の混乱を作り出そうとしたことは明確です。

Darktraceは既知の脅威インジケータに頼ることなく、この攻撃のあらゆる段階を検知しました。Cyber AI Analystは完全な調査プロセスを自動化し、セキュリティチームにインシデント発生中の貴重な時間を作り出しました。

特に最近の中国でのBitcoin ファームの摘発に見られるように、地下のボットネットやクラウドベースのクリプトマイニングが今後増大すると予想されます。近い将来、これらの侵入事例が増えるにつれ、AIを使った検知、調査、そして対処は、あらゆる規模の組織を常時防御する上で必須であることが実証されるでしょう。

IoC:

IoCコメント
167.71.87[.]85マルウェアのダウンロード — SHA1: 6a4c477ba19a7bb888540d02acdd9be0d5d3fd02
VirusTotal
t[.]amynx[.]comHTTPコマンド&コントロール – OSINTサイトに掲載された(クリプトマイニングトロイと関係のある)疑わしい兆候を持つ最近作成されたドメイン
AlienVault
VirusTotal
lplp[.]ackng[.]com暗号通貨マイニングアクティビティ(Minergate)
VirusTotal
gMtWAvEc.exe
daSsZhPf.exe
yAElKPQi.exe
悪意ある実行形式ファイルの例

Darktraceモデル違反:

  • Antigena / Network / Insider Threat / Antigena Network Scan Block
  • Device / Suspicious Network Scan Activity
  • Device / Large Number of Model Breaches
  • Device / Multiple Lateral Movement Model Breaches (x2)
  • Unusual Activity / Successful Admin Bruteforce Activity
  • Anomalous Connection / SMB Enumeration
  • Antigena / Network / Significant Anomaly / Antigena Controlled and Model Breach (x2)
  • Antigena / Network / External Threat / Antigena Suspicious File Block
  • Compromise / Beacon to Young Endpoint (x4)
  • Device / Possible RPC Lateral Movement
  • Antigena / Network / Insider Threat / Antigena SMB Enumeration Block
  • Compromise / Beaconing Activity To External Rare (x5)
  • Anomalous Server Activity / Denial of Service Activity
  • Antigena / Network / External Threat / Antigena Suspicious Activity Block (x4)
  • Device / Large Number of Connections to New Endpoints
  • Device / Network Scan - Low Anomaly Score
  • Anomalous Connection / New or Uncommon Service Control (x3)
  • Device / New User Agent To Internal Server
  • Device / Anomalous RDP Followed By Multiple Model Breaches (x3)
  • Device / Anomalous SMB Followed By Multiple Model Breaches (x3)
  • Device / SMB Session Bruteforce (x2)
  • Device / Increased External Connectivity
  • Device / Network Scan
  • Compromise / High Volume of Connections with Beacon Score (x5)
  • Unusual Activity / Unusual External Activity (x3)
  • Anomalous Connection / Unusual Admin SMB Session
  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
  • Compliance / SMB Drive Write (x3)
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block (x14)
  • Compliance / Internet Facing RDP Server
  • Anomalous Connection / Multiple Failed Connections to Rare Endpoint (x5)
  • Compliance / Outbound RDP (x3)
  • Anomalous Server Activity / Rare External from Server (x5)
  • Compromise / Slow Beaconing Activity To External Rare (x8)
  • Anomalous Server Activity / Outgoing from Server (x2)
  • Device / New User Agent
  • Anomalous Connection / New Failed External Windows Connection (x5)
  • Compliance / External Windows Communications
  • Device / New Failed External Connections (x7)
  • Compliance / Crypto Currency Mining Activity (x9)
  • Compliance / Incoming Remote Desktop (x9)

観測されたMITRE ATT&CKテクニック:

ReconaissanceT1595 – Active Scanning
Initial AccessT1190 — Exploit Public-Facing Application
Credential AccessT1110 — Brute Force
DiscoveryT1135 — Network Share Discovery
T1046 — Network Service Scanning
Lateral MovementT1021 — Remote Services
Command and ControlT1071 — Application Layer Protocol
ImpactT1496 — Resource Hijacking

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.