DNSサーバー上のクリプトマイニング

暗号通貨の出現はサイバー犯罪をさまざまな形で勢いづかせました。Bitcoin は2009年のリリース以来、マネーロンダリングからランサムウェアによる支払いまで幅広い犯罪活動を生み、ランサムウェア攻撃の急増につながりました。
より直接的には、サイバー犯罪者達はしばしば企業のサーバーをハッキングし、組織の知らないところでサーバーの処理能力を使ってクリプトマイニングを行います。このブログでは、インターネットに接続されたサーバーが侵入を受けてMoneroコインのマイニングを始めた、実際にあった攻撃事例を紹介します。
インターネットに接続されたサーバー上で暗号通貨をマイニング
APAC地域のある中小企業において、インターネットに接続されたDNSサーバーが複数のRDP接続を受信し始めました。これらはすべて、ネットワーク上でそれまで見られたことのない稀なロケーションから来ていました。多くは外部ソースから RDPクッキー、 ‘hello’とともに送信されており、ブルートフォース攻撃が疑われるものでした。

図1:攻撃のタイムライン
数時間後、このデバイスはクリプトマイニングに関連した既知のエンドポイントに接続していることが確認されました。
このデバイス上のRDPおよびSMBポートはどちらもインターネットに対してオープンであり、クリプトマイニング接続の直後には異常なSMB接続も見られました。
開いたポートは魔法の扉
インターネットに接続されたサーバーは多くの外部からの脅威に晒されており、特にセンシティブなポートが露出している場合、危険が高まります。このケースでは、攻撃者はDNSサーバーを通じて足掛かりを得ることができました。これはRDPとSMBポートが両方接続を受け入れることができたためです。したがって、どうしても開いておく必要がない限り、すべての外部ポイントに対する通信を閉じておくことが重要です。
攻撃者にとって、クリプトジャッキングはマイニング処理をスピードアップするために企業のリソースを浪費する有効な方法です。特に現在の暗号通貨の人気に伴って、この種類の脅威の著しい増加を観測しています。
このマイニングプールへの接続は、DarktraceのAIによって、既知のIoCを使うことなく特定されました。 Cyber AIはサーバーの「生活パターン」に対して統計的に稀である外部エンドポイントの異常性を認識したのです。
脅威が検知されていなければ、攻撃者はサーバーリソースの濫用を継続し、重要なプロセスにレイテンシの問題が生じていたかもしれません。また、このサーバーはDDoSやランサムウェアなど、さらなる悪意あるアクティビティの標的となっていたかもしれません。

図2:6月8日の侵入付近でモデル違反が増えていることを示す類似のインシデントの表示
企業の重要な資産を保護する
クリプトマイニングは検知が難しいことで知られ、何か月も気づかれないことがあります。しかも、水平移動や他のデバイスに対する侵害などを含めた、攻撃者がネットワークに浸透する計画全体のうちの1つのフェーズに過ぎないのです。開いたポートやサイロ化した防御は、攻撃者がほとんど抵抗を受けずにシステムに侵入する道筋を提供します。
組織には、脅威が一旦内部に入った後にも、通常と異なる悪意ある挙動を検知するメカニズムが必要です。これについては、ユーザー、デバイス、およびそれらのピアグループに対するDarktraceの「正常」についての変化する理解が潜在的脅威のかすかな兆候を検知することを可能にします。また、Autonomous Responseにより、マシンスピードで対応し、脅威が拡散する前に無害化します。
このケースでは、DarktraceのSOCチームによりクライアントはこのアクティビティについて即座に知らされ、デバイスを速やかにオフラインにしました。攻撃者がマイニングを開始するやいなや、Proactive Threat Notificationが送信されました。そしてDarktraceのアナリストが顧客と共に、危機が去るまで問題解決に取り組みました。
DarktraceのAIは、RDPアカウント侵害、インターネットに接続されているサーバーの設定ミス、高度なHafniumスタイルのゼロデイなど、脅威の発生源に関わらず検知し対処します。さらに、必要性の高い、エンタープライズ全体への可視性を提供することによりインターネットに接続されているデバイスおよびそれらに伴う問題を識別しハイライトします。
この脅威についての考察はDarktraceアナリストTaylor Breland が協力しました。
IoC:
IoC | コメント |
185.202.1[.]123 80.82.77[.]85 95.217.62[.]100 213.152.161[.]234 | 外部の未知のエンドポイントからの異常なRDP接続 |
71.66.5[.]150 210.86.230[.]202 188.113.154[.]189 201.22.59[.]203 180.232.127[.]166 | 外部の未知のエンドポイントからの異常なSMB接続 |
139.99.125[.]38 Pool-hk.supportxmr.com | Moneroマイニングエンドポイント |
Darktrace によるモデル検知結果:
- Device / Anomalous RDP Followed By Multiple Model Breaches
- Compromise / Monero Mining
- Compromise / High Priority Crypto Currency Mining (Enhanced Model Breach/PTN)
- Device / Anomalous SMB Followed By Multiple Model Breaches
- Compliance / Crypto Currency Mining Activity
- Anomalous Server Activity / Anomalous External Activity from Critical Network Device
- Compliance / Incoming Remote Desktop
- Compliance / Internet Facing RDP Server
観測されたMITRE ATT&CKテクニック:
Initial Access | T1133 – External Remote Services T1078 – Valid Accounts |
Persistence | T1133 – External Remote Services |
Impact | T1496 – Resource Hijacking |