DarktraceのCyber AI AnalystによるSodinokibi(REvil)ランサムウェアの調査

Sodinokibiは2020年に最も利益を生んだランサムウェアであり、その製作者であるサイバー犯罪ギャング組織のREvilは先日、今年だけで1億ドル以上の収益があったと主張しました。この流行中の脅威は、バックアップファイルを削除し、ローカル共有ファイルを暗号化し、データを引き出すことが知られています。
データを引き出してから暗号化する手法は、金銭目当てのサイバー犯罪者によってますます多く採用されるようになっています。標的となった組織が要求に従わなければ、盗んだデータをリークすると脅すのです。また、Sodinokibiはコードの難読化と暗号化の手法を多用して、シグネチャベースのアンチウイルスソリューションによる検知をすり抜けています。
DarktraceのAIは最近、ある米国の小売企業を標的としたSodinokibiを検知しました。この企業は昨年まで実店舗の対面販売を中心として運営していましたが、パンデミックの発生以降、ビジネスの大半をデジタルの世界で実行しています。
Cyber AI Analystは、攻撃が展開されている間にもリアルタイムでこのインシデントの全面的な調査を自動的に開始しました。Cyber AI Analystはインシデント全体のサマリーレポートを作成したため、セキュリティチームはただちにインシデント対応にあたることができました。このブログでは、調査結果について説明します。
攻撃のタイムライン
Darktraceは攻撃を全体にわたって自動的に調査しました。その中で、Cyber AI Analystが攻撃のライフサイクルの全段階を明確に特定してまとめました。攻撃は、3週間にわたって次のように展開されました。

図1:攻撃のタイムライン
Darktraceは、わずか3つの認証情報に対する多数のセキュリティ関連異常を検知し、これらを次に示す共通のタイムラインに表示しました。

図2:異常検知のユーザー別タイムライン表示。盗まれた認証情報に関連してモデル違反のクラスターが10月14日まで次々と発生しています。
人間のアナリストも、通常とは異なるこうしたパターンを識別し、異常なアクティビティのクラスターが発生した原因を調査することができたかもしれませんが、このプロセスは危機が起こっている最中の貴重な時間を消費してしまったことでしょう。Cyber AI Analystは、世界でもトップクラスのDarktraceのアナリストが訓練した教師付き機械学習を用いて同じ分析を自動的に実行し、インシデントの進行に応じて各段階のわかりやすいサマリーを生成しました。
攻撃の詳細
次のイベントは無償トライアル期間中に発生したうえに、Darktraceは積極的に監視されていませんでした。Darktraceの自動対処テクノロジーであるDarktrace Antigenaはパッシブモードでインストールされており、初期段階で自動対処が行われなかったために、この侵害は中断されることなく展開することが可能でした。しかし、DarktraceのAIがバックグラウンドですべてのデバイスについて通常の「生活パターン」を学習し、異常を特定し、攻撃の自動調査を開始していたため、Threat Visualizerを遡って確認し、インシデントがどのように展開したかを確認することができました。
攻撃は、この小売企業のITチーム内で高い権限を持つ従業員の認証情報が盗まれたことをきっかけに始まりました。REvilは、フィッシングメール、エクスプロイトキット、サーバー 脆弱性、侵害されたMSPネットワークを利用して最初の侵入を行うことが知られています。
このケースでは、攻撃者はIT部門の認証情報を用いてドメインコントローラに侵入し、最初の偵察直後にデータを引き出しました。DarktraceのAIは、攻撃者がSMB経由でドメインコントローラにログインし、疑わしいファイルを書き込んでから、ルートディレクトリのバッチスクリプトとログファイルを削除して痕跡を消去したところを検知しました。
次に、このドメインコントローラは、いくつかの稀な外部エンドポイントへ接続しました。Darktraceは28MBのアップロードを目撃しました。これは初期の偵察データの引き出しとみられます。4日後、攻撃者は同じエンドポイント(sadstat[.]com)に接続しました。これはC2用のステージャーのダウンロードと考えられます。C2は同日その後、ポート443への接続によって開始されました。
最初のC2接続から1週間後、SQLサーバーがネットワークスキャンを行っているところが検知されました。これは攻撃者が価値のある機密データを探すために水平移動を試みたものです。2週間にわたり、Darktraceは管理者の認証情報を用いた通常とは異なる内部RDP接続を目撃しました。その後、データが複数のクラウドストレージエンドポイントとSSHサーバーにアップロードされました。PsExecによってランサムウェアが導入され、その結果としてファイルが暗号化されました。
現代のランサムウェアの持つ回避型の特徴
この攻撃の背後にいるハッカー集団は、最初から高度な権限を持つIT管理者の認証情報を持っていたため、本質的な優位性を持っていました。それにもかかわらず、従来型のシグネチャベースツールを回避する試みを数回行っています。たとえば、PsExec、WMI、RDPなどの一般的なツールを用いて正当なアクティビティに溶け込む ‘Living off the Land’ (環境に寄生する)手法などです。
データ転送にはDropboxやpCloudなどのよく使われるクラウドストレージソリューションを活用し、ポート443でSSHを実行して、同じポート上のSSL接続に溶け込みました。C2通信には新たに登録したドメインを使用しました。つまり、オープンソースインテリジェンスツール(OSINT)は脅威を認識できないということです。
最後に、コードの難読化と暗号化を利用し、システムライブラリまたはAPIのインポートが不要であるという点でマルウェア自体が回避型でした。これが現代のほとんどのランサムウェア攻撃の基本であり、シグネチャベースのツールでは追いつけないのが現実です。DarktraceのAIは、攻撃のすべての段階に対応する異常なアクティビティを検知しただけでなく、Cyber AI Analystを使用して攻撃の各段階の詳細なサマリーを生成しました。
Cyber AI Analyst:リアルタイムのインシデントレポート
9月21日から10月12日にかけて、Cyber AI Analystは15件のインシデントを作成し、数十件のポイント検知を調査し、一貫性のある攻撃の経緯説明を作成しました。

図3:最初に侵害されたDCのCyber AI Incidentログ。このインシデントタブでは、sadstat[.]comへの接続を詳しく説明しています。

図4:DCが最初のGHOSTnet GmbH IPへのC2を確立。

図5:このインシデントタブではネットワーク共有上にあるファイルのファイル暗号化を警告しています。

図6:Darktraceによって、IT管理者アカウントの乗っ取りが明らかにされています。

図7:RDPおよびSMBの広範な管理アクティビティとDropboxへのデータのアップロードに関与したクライアントタイプのデバイスの例(このDropboxへのアップロードは、ファイル暗号化が始まる数秒前に発生しています)
AIの利点
この攻撃は、小売企業が導入していたさまざまな従来型ツールのレーダーをすり抜けました。しかし、脅威が小売企業のデジタル環境に1か月以上も住みつき、攻撃者がローカルツールを用いて通常のトラフィックに溶け込んでいたにもかかわらず、Darktraceの視点からはこれらのアクションは同社の通常の「生活パターン」と比べてノイズとなっていたため、一連のアラートが発動され、調査が実施されました。
DarktraceのCyber AI Analystは、ランサムウェアのほぼすべての攻撃段階を自律的に調査することができました。このテクノロジーは昼夜を問わず稼働し、トレーニングや休憩を必要とせず、インシデント対応にかかる数時間あるいは数日もの時間を、しばしば数分間にまで短縮します。これによりトリアージにかかる時間を最大92%短縮し、人間のセキュリティチームの能力を補強します。
この脅威事例についての考察はDarktraceアナリストJoel Leeが協力しました。
IoC:
IoC | コメント |
sadstat[.]com | C2およびデータ流出の可能性 |
94.249.167[.]35 (AS12586 GHOSTnet GmbH) | C2の可能性 |
5.230.195[.]226 (AS12586 GHOSTnet GmbH) | C2の可能性 |
dropmefiles[.]com | データ流出 |
pcloud[.]com | データ流出 |
dropbox[.]com | データ流出 |
165.22.217[.]219 (AS14061 DIGITALOCEAN-ASN) | C2およびデータ流出の可能性 |
www.aej34yvkok[.]com | Tor – 機能不明。C2の可能性。 |
Darktrace によるモデル検知結果:
- Anomalous Connection / Active Remote Desktop Tunnel
- Anomalous Connection / Data Sent To New External Device
- Anomalous Connection / Data Sent to Rare Domain
- Anomalous Connection / High Volume of New or Uncommon Service Control
- Anomalous Connection / SMB Enumeration
- Anomalous Connection / Uncommon 1 GiB Outbound
- Anomalous Connection / Unusual Admin RDP Session
- Anomalous Connection / Unusual Admin SMB Session
- Anomalous File / Internal / Additional Extension Appended to SMB File
- Anomalous Server Activity / Anomalous External Activity from Critical Network Device
- Compliance / SMB Drive Write
- Compliance / Possible Tor Usage
- Compromise / Ransomware / Ransom or Offensive Words Written to SMB
- Compromise / Ransomware / Suspicious SMB Activity
- Device / ICMP Address Scan
- Device / Multiple Lateral Movement Model Breaches
- Device / Network Scan
- Device / New or Uncommon WMI Activity
- Device / New or Unusual Remote Command Execution
- Device / RDP Scan
- Device / Suspicious Network Scan Activity
- Unusual Activity / Enhanced Unusual External Data Transfer
- Unusual Activity / Unusual Internal Connections