GitLab脆弱性をAIが検知

Darktraceは多くの開発者が使用するオープンソースソフトウェア、GitLabサーバーに対するエクスプロイトの成功が関係した著しい数のインシデントを発見しています。CVE-2021-22205として記録されているGitLabの脆弱性は、認証されていない、リモートの攻撃者が ‘git’ ユーザーとして任意のコマンドを実行し、ソースコードの削除、変更、抜き出しを含めリポジトリに対するフルアクセスを可能にするものです。
Darktrace AIが発見したすべてのケースにおいて、攻撃者はサーバーのエクスプロイトに成功しクリプトマイニングマルウェアを実行していました。しかし、この脆弱性はデータ抜き出し、ランサムウェア、サプライチェーン攻撃など、さまざまな脅威に扉を開く可能性もあります。
この欠陥は2021年4月14日に修正されましたが、最近の調査 によれば、まだパッチが適用されていない 30,000台以上のGitLabサーバーがあり、この脆弱性は依然としてエクスプロイトが可能です。
この脆弱性は世界中いたるところで顧客に影響し、米国、ヨーロッパ、中東及びアフリカ、アジア太平洋地域のDarktraceの顧客も標的となりました。影響を受けた産業分野にはハイテク、輸送、教育などが含まれます。
攻撃の詳細
以下に説明するケースは全体として同じパターンに沿っています。ある顧客の公開GitLabサーバーに対し、まず管理者権限を持つ複数のユーザーアカウントが登録されました。これに続き、これらの不正なアカウントに対して高い権限を与えるコマンドがリモート実行されました。

図1:10月30日に起こった不審なデータ エグレスイベントに対して、複数のモデル違反が発生、これらはProactive Threat Notificationモデル違反につながりました。
悪意あるEXEダウンロードおよびTORネットワークとのC2アクティビティに対し、複数のモデル違反が発生した後、この組織はDarktraceから緊急に問題を警告するProactive Threat Notification (PTN)を受け取りました。これにより、この顧客は侵害されたデバイスをネットワークから取り除くことができました。
翌日、Darktraceは侵害を受け非標準ポートで通信していたサーバー上で暗号通貨マイニングが行われていることを発見しました。その結果DarktraceのProactive Threat Notificationサービスを通じた顧客へのアラートがトリガされ、この脅威は顧客のセキュリティチームに通知されました。

図2:11月3日にこのサーバーから複数の暗号通貨マイニングモデル違反が発生
これに関連した違反には、未知の外部ロケーションおよびエンドポイント(当該デバイスからこれまでに接続されたことのないエンドポイント)からのスクリプトも含まれていました。予想通り、問題のエンドポイントはクリプトマイニングプールでした。
GitLab脆弱性は最初の攻撃ベクトルを示しているに過ぎず、さまざまなシナリオにつながる可能性があることに注意しておくことが重要です。前述の顧客環境ではクリプトマイニングが発生しました。しかし、この脆弱性のエクスプロイトは、より破壊的なランサムウェア攻撃、あるいは知的財産の盗難の第一段階となる可能性もあったのです。
さらに、Darktraceの顧客ベース全体で見つかった他の多数の侵害においても、この攻撃の脅威アクターはInteractshツールを使用していることがわかりました。Interactshはアウトオブバンドデータ転送およびセキュリティ欠陥の検証のためのオープンソースツールであり、研究者とハッカーのどちらにもよく使われているツールです。Darktraceはこのツールを脅威の一部として容易に特定することができました。
Cyber AI Analystによる調査
DarktraceのCyber AI Analyst は即座に調査を開始し、5日間に渡って発生した様々なイベントをつなぎ合わせ、この攻撃の4つの段階を明らかにしました。これによりセキュリティチームが効果的な調査と感染デバイスの隔離を含めたクリーンアップを行うのに必要なすべての情報を提供することができました。

図3:Cyber AI Analyst は自動的に調査を行い、イベントをつなぎ合わせて1つの経緯説明を作成します。
また別の顧客環境においても、Cyber AI Analyst は複数のセキュリティイベントをつなぎ合わせて整然としたストーリーを作成し、疑わしいファイルダウンロードにはおそらく悪意あるソフトウェアが含まれていると断定し、セキュリティスタッフが即座に対処することを推奨しました。

図4:別の事例において Cyber AI Analyst が作成した疑わしいファイルダウンロードに関連するサマリーおよび主要な指標。
Cyber AI Analystは優れた調査結果を作成し、影響を受けた顧客にはProactive Threat Notificationを通じて早急に警告がなされました。その後顧客に対し Ask the Expert (ATE) によるサポートが実施されました。これまでのところランサムウェアは見つかっていませんが、こうしたタイプの攻撃では通常、インターネットに露出したサーバーから足掛かりをつかみ、内部に入り込んでランサムウェアを展開することがほとんどです。
別の顧客での3つ目のケースでは、Cyber AI Analystは6個の異なるセキュリティイベントを1つのセキュリティインシデントにまとめました。そこでは、DarktraceのテクノロジーはC2動作、疑わしいファイルダウンロード、通常とは異なる接続、Torアクティビティなどの点と点をつなぎ合わせ、暗号通貨マイニングの発見につなげることができました。
Cyber AI Analystは未知の外部エンドポイントからの疑わしいファイルダウンロードにおいてGitLab の関与を明確に特定しました。Darktraceがこれを組織のデジタルエコシステム全体の中での脅威アクティビティという総合的な視点というコンテキストで、疑わしいSSL接続から最終的なクリプトマイニングまでを結び付けて識別できたことは、Cyber AI Analystの優れた性能を示す具体的な例と言えます。

図5:Cyber AI AnalystはGitLabアクティビティをより大きなセキュリティインシデントのコンテキスト内で特定
まとめの考察
パッチは4月にリリースされましたが、運用中のシステムの 50% にはまだ適用されていません。その理由としては、セキュリティスタッフが多忙すぎる、あるいは単なる怠慢ということも考えられます。
CVEがマッピングされ迅速にパッチが適用されても、新種の、以前に見られたことのない攻撃は隙間から侵入してきます。Gitlabの欠陥が公開され修正されるまでは、この脆弱性はゼロデイでした。
つまり、CVEが公開されるのを待つよりも、新たな攻撃(既知の脆弱性か未知の脆弱性かに関係なくそれらを悪用した)を最も早い段階で検知し、対処できるテクノロジーを取り入れるのが賢明と言えるでしょう。
Darktraceでは、従来のセキュリティソリューションに対して新たな未知の脅威がもたらす問題を常に訴えています。この事例では、脅威が6か月以上に渡って既知であってもなお、パッチの導入やロールアウトに問題があれば問題を引き起こすことが証明されました。
幸いDarktraceのAIが顧客のデバイスの動作を継続的に監視していたために、彼らは脅威をその最も早い段階で、ランサムウェア等のより破壊的な問題に発展する前に、認識することができたのです。また、この顧客がDarktrace Antigenaを設定していたならば、攻撃者が第一段階から先に進む前に、自律的対処により悪意ある動作を封じ込めていたでしょう。
この脅威事例についての考察はDarktraceアナリストWaseem Akhter が協力しました。
技術的詳細
Proactive Threat Notification モデル検知結果:
- Compromise / Anomalous File then Tor
- Compromise / High Priority Crypto Currency Mining
- Device / Initial Breach Chain Compromise
- Device / Large Number of Model Breaches from Critical Network Device
- Unusual Activity / Enhanced Unusual External Data Transfer
その他のDarktraceモデル検知結果:
- Anomalous Connection / Anomalous SSL without SNI to New External
- Anomalous Connection / Application Protocol on Uncommon Port
- Anomalous Connection / Callback on Web Facing Device
- Anomalous Connection / Data Sent to Rare Domain
- Anomalous Connection / New User Agent to IP Without Hostname
- Anomalous Connection / Posting HTTP to IP Without Hostname
- Anomalous File / Multiple EXE from Rare External Locations
- Anomalous File / Internet Facing System File Download
- Anomalous File / Script from Rare Location
- Anomalous Server Activity / Outgoing from Serve
- Compromise / Beaconing Activity To External Rare
- Compliance / Crypto Currency Mining Activity
- Compromise / High Volume of Connections with Beacon Score
- Compromise / Large DNS Volume for Suspicious Domain
- Compromise / Monero Mining
- Compliance / Possible Tor Usage
- Device / Internet Facing Device with High Priority Alert
- Device / Large Number of Model Breaches
- Device / Large Number of Connections to New Endpoints
- Device / Suspicious Domain
- Unusual Activity / Unusual External Data to New IPs
IoC:
IoC |
ユーザーエージェント: curl/7.69.0 |
git.*[.]interact[.]sh |
*[.]interact[.]sh |
ユーザーエージェント: Wget/1.19.5 (linux-gnu) |
“gitlab” あるいは “git” への参照を含む悪意あるファイル名 |
c3pool[.]com |
ユーザーエージェント: curl/7.74.0-DEV |