シグネチャを使用せずにSolarWindsハックを解剖する

SolarWindsに対するSUNBURSTマルウェア攻撃は、企業のデジタル環境に対する不安を高めることになりました。2020年3月のソフトウェアアップデート時にインストールされたマルウェアにより、高度な攻撃者が顧客のデータや知的財産を含むかもしれないファイルに対して不正にアクセスできるようになりました。
DarktraceはSolarWindsを使用しておらず、当社の業務はこの侵害の影響を受けていません。しかしながら、SolarWindsはかなりの数のDarktraceの顧客に使用されているIT監視ツールです。本稿では、この侵害に関連した各種の動作を指摘しセキュリティチームに警告するDarktraceの検知事例を紹介します。
これはSolarWinds侵害の事例ではなく、このタイプの侵害により発生する異常な挙動の例を説明したものです。これらの例は、過去のデータから今日の脅威を予測しようとするシグネチャベースのアプローチではなく、エンタープライズ内の正常な「生活パターン」を理解する能力を持つ、自己学習型Cyber AIの価値を強調するものです。
Darktraceは既知の悪意あるシグネチャではなくデバイスアクティビティのパターンを検知するため、本稿で紹介するテクニックの検知はさらなる設定を必要とすることなくDarktraceの能力の範囲内です。このテクノロジーはデバイスのクラスタを自動的に「仲間集団」に分け、個別のデバイスが特異な挙動を示したケースを検知することができます。シグネチャベースの検知をトリガしないようにある程度のステルス性をもってシステムにアクセスする攻撃者を捕捉するには、自己学習型アプローチの使用が実現しうる最高のメカニズムであると言えます。
これらのモデルの多くが他のモデルとの組み合わせでトリガされることにより時間の経過とともに検知強度が高まり、ここでDarktraceの自律的インシデントトリアージ機能であるCyber AI Analystがセキュリティチームに代わってアラートの調査を行う重要な役割を果たします。Cyber AI Analystはセキュリティチームの貴重な時間を節約するものであり、ここから出力される結果は警戒活動中には高い優先度で扱うべきものです。
Darktraceによる検知
多くのケースにおいて自動化された最初の攻撃に続いて実行される、ハンズオンでの侵入の最も巧妙な方法を詳しく見ていきましょう。攻撃においてポストエクスプロイト部分はきわめて多様でありステルス性の高いものです。また、これらの段階は予測がほぼ不可能です。この段階でのそれぞれのターゲットに対する攻撃者の意図と目標によって決まるためです。これによりシグネチャ、脅威インテリジェンスや静的なユースケースの使用は実質的に役に立たなくなってしまいます。
自動化された、最初のマルウェア実行は理解すべき重要な最初のステップではありますが、動作はマルウェアに事前に設定されており、これにはペイロードのダウンロードとドメイン生成アルゴリズム(DGA)ベースのavsvmcloud[.]comのサブドメインへの接続が含まれていました。これらの自動化された最初の攻撃ステージはコミュニティによって詳細が十分に研究されています。本稿ではこれらの研究結果に何かを加えるものではなく、感染後に起こる可能性のあるアクティビティについて検討していきます。
マルウェア / C2 ドメイン
脅威アクターは後期ステージのC2(Command and Control)インフラに、標的の環境で見つかった本物のホスト名を設定しました。これにより攻撃者が環境に溶け込み、疑惑を回避し、検知をすり抜けることができます。彼らはさらに、標的に地理的に近いC2サーバを使用して、静的なジオロケーションベースの信頼リストを回避しようとしました。Darktraceはこの種のテクニックには影響されません。ジオロケーションに対する暗黙的な事前定義された信頼を持っていないためです。
これらの動作は次のようなDarktrace Cyber AIモデルをトリガする可能性が非常に高いと言えます。これらのモデルはSolarWindsの改変を検知するよう特に設計されたものではなく、すでに何年間も使われています。これらは組織のネットワーク内で発生する、かすかでありながら重大な攻撃者のアクティビティを検知するよう設計されたものです。
- Compromise / Agent Beacon to New Endpoint
- Compromise / SSL Beaconing to New Endpoint
- Compromise / HTTP Beaconing to New Endpoint*
*インプラントはSSLを使用しますが、プロキシを使用した場合、HTTPと識別されることがあります。
異なる認証情報を使った水平移動
攻撃者は流出した認証情報でネットワークに対するアクセス権を獲得すると、複数の異なる認証情報を使って水平方向に移動しました。水平移動に使用された認証情報はリモートアクセスに使用されたものとは常に異なっていました。
これは次のCyber AIモデルをトリガする可能性が非常に高いでしょう:
- User / Multiple Uncommon New Credentials on Device

図1:単一のデバイスから複数のユーザー認証情報を使った異常な(新規)ログインに対する違反イベントログの例
- User / New Admin Credentials on Client

図2:異常な管理者ログインに対する違反イベントログの例
一時的なファイルの置き換えと一時的なタスク変更
攻撃者はリモートでユーティリティを実行するため一時的にファイル置き換えテクニックを使いました。正しいユーティリティを彼らのファイルと置き換え、ペイロードを実行し、その後元の正しいファイルに戻したのです。同様に、スケジュールされたタスクを操作しました。既存の正しいタスクを更新して彼らのツールを実行させ、その後スケジュールされたタスクを元通りの構成に戻しました。彼らは決まってツールを削除しました。正式にアクセスできるようになると、バックドアも削除したのです。
この動作は次のようなCyber AIモデルをトリガする可能性が非常に高いと言えます。
- Anomalous Connection / New or Uncommon Service Control

図3:あまり使われないサービスコントロールを示す違反の例
- Anomalous Connection / High Volume of New or Uncommon Service Control

図4:10件のあまり使われないサービスコントロールを示す違反の例
- Device / AT Service Scheduled Task

図5:新しいATサービスのスケジュールされたタスクを示す違反イベント
- Device / Multiple RPC Requests for Unknown Services

図6:不明なRPCサービスへの複数のバインドを示す違反例
- Device / Anomalous SMB Followed By Multiple Model Breaches

図7:異常なSMBアクティビティと遅いビーコニングを示す違反例
- Device / Suspicious File Writes to Multiple Hidden SMB Shares

図8:デバイスが.batファイルを別のデバイスの一時フォルダに書き込んでいることを示す違反例
- Unusual Activity / Anomalous SMB to New or Unusual Locations

図9:SAMRへの新たなアクセスとともに、SMB ReadおよびKerberosログイン失敗が見られる
- Unusual Activity / Sustained Anomalous SMB Activity

図10:このデバイスにおいてSMBアクティビティに著しい逸脱が見られる
AIの利点
認証情報がどこで使われているか、どのデバイスが相互に通信しているかを理解することにより、Cyber AIはビジネスシステムに対するかつてない、動的な理解を持っています。これにより、サイバーリスクを示すものかもしれないエンタープライズの変化をリアルタイムにセキュリティチームに対して警告することができます。
これらのアラートはAIがそれを取り巻く独自の環境についての「正常」をどのように学び、SUNBURSTに直接関係のあるものを含めた逸脱についてオペレータに警告するかを示すものです。さらに、適切な可視性と検知機能を持たなかったこれらのネットワークを攻撃者がどのように悪用したかについての情報も提供してくれます。
これらのアラートに加えて、Cyber AI Analystは検知結果を時系列で自動的に相関づけ、包括的かつ分かりやすいインシデントサマリーを自動生成することによりトリアージの時間を大幅に短縮することができます。今後数週間はCyber AI Analystアラートの確認に高い優先度を設定しておくべきでしょう。