テクノロジー
製品
ブログ
リソース
会社
日本語
テクノロジー
Cyber AI Platform
Autonomous Response
Cyber AI Analyst
Cloud Security
Email Security
Threat Visualization
Integrations
製品
Enterprise Immune System
Industrial Immune System
Antigena Network
Antigena Email
リソース
イベント
業界
ホワイトペーパー
データシート
ケーススタディ
業界アナリストのリサーチ
会社
企業概要
イン ザ ニュース
プレスリリース
パートナー
エグゼクティブチーム
顧問役会
連絡先
Deutsch
English
Español
Français
Italiano
Português
日本語
한국어
テクノロジー
製品
ブログ
リソース
会社
Darktraceブログ

Darktrace による脅威の発見:リモートデスクトップツールを悪用し たランサムウェアの展開

Max Heinemeyer, Director of Threat Hunting | 2020年8月17日月曜日

主なポイント

  • アフリカに拠点を置く小売り企業がランサムウェアの標的となった
  • 全体に難読化が欠けていることとカスタムマルウェアの使用が、低レベルの脅威アクターである ことを示唆
  • あらゆるレベルの脅威アクターが、ステルス目的でPsExec 等の一般的な管理 ツールを使うケースが増えている
  • この企業は比較的小規模であったが、ランサムウェアの標的とならない組織はない

攻撃の詳細

Darktrace は最近、アフリカに拠点を置く小売り企業において、ある種のランサムウェアを検知し ました。以下に紹介する脅威検知事例では、攻撃者はあるリモート管理ツールを介してこの企業のドメインコ ントローラに接続し、その後別の C2 ホストと通信を開始しました。

最初のビーコニング活動から約 1 時間後、普段は見られない RDP/SMB がネットワーク上で観測さ れ、それに続いて珍しいサービスコントロールアクティビティが観測されました。Darktrace は攻 撃のライフサイクルの各段階を検知しており、もし Darktrace Antigena がアクティブモードに設 定されていれば、自動的に攻撃を無害化できたはずでした。しかしながら、自動対処が人間のセ キュリティチームからの確認を必要とするパッシブモードに設定されていたため、攻撃は初期段階 を過ぎてエスカレートしていました。

ランサムウェアアクティビティは週末に開始されました。これは最初のビーコニング活動の 4 日後 でした。攻撃のタイムラインを以下に示します。

攻撃のタイムライン:全体の滞留時間はおよそ 7 日間でした。

図 1:イベントのタイムライン

攻撃は他のセキュリティスタックをどのようにすり抜けたか?

この攻撃は企業が既に使用していた市販のツールを悪用しました。初期 ベクターとしてドメインコントローラを狙ったこの戦術により、マルウェアの展開は簡単で効果的 なものとなりました。

AI Analyst のカバレッジ

Darktrace の Cyber AI Analyst は、SQL サーバーが普段とは異なる多数のファイルを共有ドライ ブに書き込んでいることを特定しました。これは具体的にはランサムウェアの展開のためのバイナ リ実行形式ファイルとみられるものでした。

図 2:Darktrace の Cyber AI Analyst が異常なファイルを指摘

感染したデバイスの概要

以下の図は、10 時間に渡って発生した異常な接続およびその他の異常なアクティビティを示してい ます。Darktrace の Enterprise Immune System が最初にこのアクティビティを検知したのはサー バー上のコンプライアンス/リモート管理ツール内でした。その後この企業のサイバーエコシステム 内を水平方向に移動し、他のデバイスへと拡散していく様子が観測されました。

図 3:検知されたドメインコントローラ上の多数の外部接続およびその他の異常を示すグラフ

最終的考察

この攻撃では、C2 ドメインに/phpMyAdmin および/p.php を含むアクセス可能な標準 PHP 配列が ありました。後者に含まれていたサーバー時間は UTC+8 であり、これは中国本土のタイムゾーン でした。

図 4:C2 ドメイン

このケースは、いくつかの点から低レベルの脅威アクターであることがわかります。難読化が欠如 していること、市販のツールに依存していること、また比較的小規模な組織を標的としていること などがその理由です。RaaS(Ransomware-as-a-Service)、自動化されたドメイン生成、その他 攻撃者の参入障壁を低くするツールの出現もあり、低レベルの脅威アクターであってもコーポレー トネットワークに侵入できるということは驚くに値しません。このことはまた、これまで高度なサ イバー犯罪者が対象としていなかった小規模な組織であっても、低レベルの脅威アクターが仕掛け る攻撃の標的となり得ることを意味しています。

事実、このような便利で幅広く使用されているツールがアクセスのために頻繁に悪用されるこ とがあり、またランサムウェアのためのツールは比較的ありふれていて、一旦足掛かりができれば 展開は簡単です。このことから、脅威が危機に進展する前にそれを発見し阻止するためには、サイ バーセキュリティへの積極的対応と、ネットワークに対する完全な可視性が求められています。

週末にランサムウェアを展開することは、攻撃者が成功の可能性を最大化しようとするよくあるテ クニックです。セキュリティチームからの対応が概して遅くなるからです。これはますます一般的 となりつつある「営業時間外」攻撃の大きな流れに該当するものであり、人間に頼ることなく自律 的に行動し脅威を封じ込めることができる防御テクノロジーへのニーズを浮き彫りにしています。 十数個の AI モデルが作動したこの事例では、Darktrace の自動対応テクノロジーが設定されていれ ば的を絞った適切なアクションを取って脅威を封じ込めていたことは疑いがありません。急速に変化する脅威に後れを取らないためには、自動対処に加えて、インシデントを調査しアクション可能 なインテリジェンスを提供する AI により、セキュリティチームがすばやくアクションを取りインシ デントに完全に対処するまたは脆弱性に対策することができるようにすることがきわめて重要です。

自動対処について詳しく知る

IoC:

IoCコメント
ts.blognewstoday[.]com
35.186.238[.]101		C2 ビーコニングドメインおよびホスティング IP

Darktrace によるモデル検知結果:

  • 侵害 / 疑わしいビーコニング動作
  • 侵害 / 持続的 SSL または HTTP の増加
  • 異常なサーバーアクティビティ / サーバーから未知の外部接続
  • 異常なサーバーアクティビティ / クリティカルなネットワークデバイスから異常な外部アクティビティ
  • デバイス / ネットワークスキャン
  • 異常な接続 / SMB 列挙
  • デバイス / ICMP アドレススキャン
  • デバイス / 新しいまたは珍しい WMI アクティビティ
  • 異常な接続 / 新しいサービス制御
  • 異常な接続 / 新しいまたは珍しいサービス制御
  • 異常な接続 / 普段と異なる管理者 SMB セッション
  • 異常な接続 / アクティブなリモートデスクトップトンネル
  • 異常な接続 / 普段と異なる管理者 RDP セッション
  • デバイス / 複数の水平方向移動モデル違反
  • コンプライアンス / 高優先度コンプライアンスモデル違反
  • コンプライアンス / SMB ドライブ書き込み
  • コンプライアンス / サーバー上のリモート管理ツール

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.

関連する投稿

OTをダウンさせたContiランサムウェア
2022年2月10日木曜日
Log4Shellの実際の検知と対処
2021年12月15日水曜日
二重恐喝ビジネス:ランサムウェアギャングContiが見つけ出した新たな交渉方法
2021年12月8日水曜日
ブログ

最近の投稿

REvilのRansomware-as-a-Service(RaaS)ビジネスモデルに対する備え
2022年2月14日月曜日
OTをダウンさせたContiランサムウェア
2022年2月10日木曜日
サイバーセキュリティの未来:混乱の最大化を狙うランサムウェアグループ
2022年2月7日月曜日
サイバーセキュリティの未来:2022年、ソフトウェアサプライチェーン攻撃は当たり前になる
2022年1月13日木曜日
サイバーセキュリティの未来:2022年についてのDarktraceの予測
2022年1月7日金曜日
ランサムウェアの9段階:すべての段階で対処するAI
2021年12月23日木曜日
もっと読む