テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

AIでCobalt Strikeを検知

Brianna Leddy, Director of Analysis | 2021年8月5日木曜日

2012年のリリース以来、Cobalt Strikeはレッドチームやエシカルハッカーの間で人気のあるプラットフォームとなりました。強力で信頼性の高いソフトウェアと、DNSトンネリングや権限エスカレーションのための水平移動ツール、PowerShellサポートなどの画期的な機能の組み合わせにより、自社のサイバー防御をテストしたい組織にとって好ましい選択肢となっていました。このフレームワークは商用ライセンスのみで提供されていたため、セキュリティチームは攻撃に備える上で脅威アクターへの明確な優位性を持つことができました。

しかし2020年末に、このフレームワークの逆コンパイルバージョンがホストされたGitHubレポジトリが出現すると状況は一変しました。ユーザーによれば、リークされたプラットフォームは商用バージョンとまったくとは言えないものの同じように機能し、コメントアウトされたライセンスチェックまでが含まれていたそうです。これによってソフトウェアが簡単に入手できるようになり、サイバー犯罪者達にとってたいへん魅力的なものになりました。書類の記録やライセンシングを必要とすることなく、ソースコードを自由に入手してカスタマイズし攻撃に使えるようになったのです。

目立たないC2、権限昇格、水平移動などの高度な機能により、このツールはランサムウェアギャングのお気に入りとなりました。リークされたバージョンが報告される以前にも、ランサムウェア攻撃の 66% はCobalt Strikeを使っていることがわかっていました。

Cobalt Strike攻撃の概要

Cobalt Strikeは攻撃の各段階で明確なTTP(Tools, Techniques and Procedures)および回避機能を持っています。

図1:Cobalt Strikeのサイバーキルチェーン

最初の侵入 はEメールを変更するネイティブモジュールを使って行うことができます。これには既存のEメールに悪意あるリンクを挿入する、あるいは本物らしいスピアフィッシングEメールの作成も含まれます。

最初のペイロードは意図的に軽量にされており、安価なホスティングインフラからも配信することができます。ファイルサイズが小さいため隠しやすく、複数の方法で実装できます。これにはライブラリや信頼されるプロセスへのインジェクション、あるいは一連の永続化メカニズム(ペイロード全体をダウンロードする前にアンチウイルスをオフにするなど)が含まれます。そのため、ブロッキングルールやシグネチャを使って検知することは非常に困難です。

ネットワーク偵察 はさまざまなわかりにくい方法で行うことができ、これには一般的に使われるプロトコル、たとえばDNSやDCE-RPCを使ったネットワーク問い合わせなどがあります。これらのサービスは正常なオペレーションにおいても頻繁に使用されるため、攻撃のこの段階を防止するために十分に厳密なコントロールを適用することは簡単ではありません。

水平移動 および 権限昇格 はMimikatz等のよくある攻撃ツールのあらかじめパッケージ化されたバージョンを使って簡単にアクセスできます。これらはActive Directory (AD) の問い合わせや認証情報の盗み出し、またSMBパイプを使ったピアツーピアのC2も行うことができます。境界ベースのセキュリティコントロールでは、十分に細かいコントロールを適用できるとしても、このような不正を監視し制限する余地はほとんどありません。

ペイロード実行は簡単です。Cobalt Strikeビーコンはランサムウェアのポータビリティを含め、実質的に任意のペイロードの配信が可能だからです。その前の侵入段階で攻撃者に特権アカウントの認証情報を得ることができるため、これらのペイロードの展開を、脅威ではない管理操作に見せることができます。

AIによる検知

最初の侵入

Cobalt Strikeにはスピアフィッシング文書を作るユーティリティがあります。Eメールは現在も境界侵入の可能性の高い手段であり、脅威アクターはしばしばフィッシングによりツールを埋め込みます。

このようなケースがDarktraceのAIにより2021年6月、カナダにある製造業で検知されました。侵害が始まったのは、エンドユーザーがフィッシング文書を開いたときでした。これはAdobeとVeriSignへの接続直後に未知のIPアドレスへのHTTP接続が始まったことで裏付けられています。

この異常な接続のパケットキャプチャからは、base64でエンコードされた文字列を使ったオブジェクトの作成が明らかになりました。これはよく使われる不明化テクニックです。この顧客がDarktrace for Emailを使用していれば、この脅威が受信箱に到達する前に無害化されていたはずです。

このHTTP接続に続いて、Darktraceは不審なSSLの使用を検知しました。これは自己署名証明書を使ってHTTPSにアップグレードするために使われたようです。エンドポイントは実行形式を提供し、これはオープンソースインテリジェンス(OSINT)によってCobalt Strikeビーコンであることが後に確認されました。このようなビーコンがこの攻撃フレームワークでサポートされており、攻撃者はさまざまなC2プロトコルを使用することが可能でした。

図2:Sodinokibi 感染の「患者第一号」のイベントログ

Darktraceの検知は接続の異常性(標準SSLプロトコルの疑わしい使用)に基づくものであり、あらかじめ定義されたルールに基づくものではありません。この最初の侵害は数分の内に検知されていました。

ネットワーク偵察

別のケースとしては、2021年4月にスイスの通信会社において、Darktraceは通常はデータ収集に使われている 1台のデバイスが疑わしい水平移動を行っていることをセキュリティチームに警告しました。

このホストは特権アカウントの認証情報を不正に使用して偵察活動とSMB列挙を行っていました。このアラートをきっかけにより広範な調査が行われ、ドメインコントローラーを含む複数のデバイスがCobalt Strikeに関連したIoCを示していることが分かりました。

Darktraceのビジネスに対する深い理解と、この動作が異常であるという認識によって、セキュリティチームはファイルの暗号化や大規模なデータ抜き出しが発生する前に感染に対処することができました。

権限昇格およびランサムウェアの展開

2021年5月に発生した南アフリカの保険会社を狙ったランサムウェア攻撃においては、フィッシングEメールによってランサムウェアが展開されましたが、Darktrace は最初に新しい管理者認証情報の作成を識別しました。この認証情報を使ったデバイスはCobalt Strikeビーコンに関係のあるさまざまなC2エンドポイントに異常な接続を開始している様子が見られました。

侵害されたホストをDarktraceが迅速に特定したことにより、いち早く対処が行われ、再感染への恐れも緩和されました。

Cyber AI Analystはこれらのアクティビティに対してマシンスピードで調査を行い、TCPポート4444およびその他のメールに関連したポート上での上の不審な接続に焦点を当てたレポートを自動的に作成しました。 4444番ポートは、Cobalt Strikeビーコンとしばしば一緒に見られる別のハッキングプラットフォーム、Metasploitのデフォルトポートです。Cyber AI Analystはその後、人間のアナリストに対し、侵害されたすべてのホストのリストを提示しました。

図3:Cyber AI Analystによるサマリー。侵害されたホストは標準以外のポートをC2に使用し、その後ネットワークをスキャンしていた

Cobalt Strikeマルウェア

安価にアクセスできるCobalt Strikeの類似物がリークされている現在、実際の攻撃者に対する防御にはフレームワークの検知がきわめて重要です。シグネチャやルールベースの制約をかけても効果はないことが実証されています。このフレームワークはこうしたツールを回避するように特に設計されているためです。

Darktraceは悪意あるアクティビティをその最も初期の段階で検知し、AIのスピードでトリアージを行い、活動中の脅威の拡散を自律的にブロックする機能を提供しています。

この脅威についての考察はDarktraceアナリストRoberto Romeu が協力しました。

Cobalt Strikeを使ったAPT41をDarktraceが検知

Cobalt StrikeテクニックとDarktraceによるモデル検知結果のマッピング:

MITRE ATT&CKテクニックDarktraceによる検知
T1566 — PhishingEXE from Rare External Location
T1136 — Create AccountNew Admin Credentials on Client
T1036 — MasqueradingMasqueraded File Transfer – Enhanced Monitoring
T1558 — Steal or Forge Kerberos TicketsNew Admin Credentials on Client
T1087 — Account DiscoveryActive Directory Reconnaissance
T1135 — Network Share DiscoverySMB Enumeration
Suspicious Network Scan – Enhanced Monitoring
T1210 — Exploitation of Remote ServicesDomain Controller Initiated to Client
New or Uncommon SMB Named Pipe
New or Uncommon WMI Activity
T1039 — Data from Shared Network DrivesUnusual Admin SMB Session
T1571 — Non-Standard PortApplication Protocol on Uncommon Port
Multiple Connections to New External TCP Port
New or Repeated to Unusual SSL Port
T1572 — Protocol TunnelingPossible Outbound Spam
Cobalt DNS — Enhanced Monitoring
T1573 — Encrypted ChannelAnomalous SSL without SNI to New External
Suspicious Self-Signed SSL
T1041 — Exfilitration over C2 ChannelData Sent to Rare Domain
T1567 — Exfiltration over Web ServiceUncommon 1 GiB Outbound
Enhanced Unusual External Data Transfer – Enhanced Monitoring
T1486 — Data Encrypted for ImpactSuspicious File Writes to Multiple Hidden SMB Shares
Anomalous SMB Read & Write

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a Bachelor’s degree in Chemical Engineering from Carnegie Mellon University.