2020年12月、Hafniumサイバー攻撃をAIが無害化

2020年12月初め、DarktraceのAIは顧客のExchangeサーバーを標的とした巧妙なサイバー攻撃を自律的に検知し調査しました。2021年3月2日、Microsoft は脅威アクターグループHafniumによるExchangeサーバーのゼロデイを悪用した攻撃が発生中であることを発表 しました。
観測された戦術、テクニックおよび手順(TTP)の類似性から、Darktraceは12月の攻撃がHafniumグループによるものであることを高い確信をもって判定しています。この攻撃がMicrosoftによって報告されている同じExchangeゼロデイを使ったかどうかを判断することは不可能ですが、分析結果はHafniumによる攻撃はこれまで考えられていたよりも数か月前から発生していたことを示唆しています。
そのため、インターネットに接続されているExchangeサーバーに対する最初の侵入の兆候がないか、2020年12月までさかのぼってセキュリティログおよびツールをチェックする必要があるでしょう。
Darktraceはルールやシグネチャに依存しないため、常にクラウドに接続している必要はありません。そのためほとんどのお客様はDarktraceのテクノロジーを自社で運用されており、当社はお客様の検知結果を集中監視していません。
12月の検知の時点では、これは1社の顧客にのみ影響した、カテゴリ分けされていない多くの巧妙な侵入の1つにすぎず、より広範な攻撃を示唆するものではありませんでした。
つまり、当社は個別の侵入から顧客を保護しますが、脅威インテリジェンスや脅威アクターの追跡に主に重点を置いている他者のようにグローバルな攻撃の追跡を行う立場にはありません。
本ブログでは、現在調査を行っている組織の参考となる情報を提供し、Hafnium攻撃がこれまで考えられていたよりも長期間活動していたことに対して認識を高めていただくために、この攻撃を詳しく分析します。
Exchange攻撃の概要
南アジアの重要な国家インフラを担うある組織において侵入が検知されました。一つの仮説は、Hafniumグループが2021年初頭に西側の組織に対する広範囲な作戦を開始する前に、テストを行い、Exchangeサーバーのエクスプロイトを含めTTPの改良を試みていたのではないかというものです。
脅威アクターは後のHafnium攻撃で観測されたものと同じ多くのテクニックを使用しており、これには低活動性のChina Chopper ウェブシェルの展開、および直後に水平移動およびネットワーク上の重要デバイスへの拡散の試みを行うポストエクスプロイトアクティビティが含まれていました。
以下の分析では、Darktraceの Enterprise Immune System が悪意あるアクティビティを検知し、Cyber AI Analyst が自律的にインシデントを調査し最優先事項としてアラートを発行したこと、およびDarktrace Antigena がアクティブモードで運用されていれば自律的に対処して攻撃をシャットダウンできていたことを説明します。
Hafniumサイバー攻撃のタイムライン
すべてのアクティビティは2020年12月、MicrosoftがHafnium攻撃についての情報を発表するほぼ3か月前に発生していました

図1:2020年12月初めの攻撃のタイムライン
最初の侵入
残念ながら、被害企業はゼロデイのエクスプロイトを確認することができる、2020年12月のExchangeサーバーからのログやフォレンジックアーチファクトを保管していませんでした。しかし、Exchangeサーバーの脆弱性が悪用されたことを示唆する状況証拠があります。
Darktraceはこのインターネットに接続されたExchangeサーバーに対する侵入の兆候や動作の変化を観測していませんでした。それまで、内部admin接続、広範囲なブルートフォースの試み、アカウント乗っ取り、内部チャネルからサーバーへのマルウェアのコピーなどはありませんでしたが、突然、内部ネットワークのスキャンを開始したのです。
他に最初の侵入の経路が無かったという決定的な証拠は存在しませんが、管理者レベルでの動作の変化は、Outlook Web Application アカウントの1つに対する侵害というよりも、Exchange サーバーの完全な乗っ取りを示していました。
Exchangeサーバーからのネットワークスキャンを実行するには、権限の高い、 OSのSYSTEMレベルアカウントが必要です。侵害発生時のExchangeサーバーのパッチレベルは最新であったと見られ、脅威アクターが既知の脆弱性を標的として即座にSYSTEMレベルの権限を取得できるような状態では少なくともありませんでした。
このことから、Darktraceは2021年3月始めに公表されたExchangeサーバーゼロデイが2020年12月初めに観測されたこの攻撃で使用されていた可能性があると推測しました。
内部偵察
攻撃者がウェブシェルからアクセスを獲得すると、Exchangeサーバーを使って1つのサブネット内のすべてのIPを80番、135番、445番、8080番ポートでスキャンしました。
このExchangeサーバーはこの特定のサブネットに対してこれらのキーポイントでこれほど多数の新しい失敗した内部接続を行ったことはありませんでした。 その結果、Darktraceはネットワークスキャンを示すこの異常な挙動に対して即座にアラートを生成しました。
自動対処
Darktrace Antigenaはこの環境ではパッシブモードで運用されており、アクションを実行できませんでした。アクティブモードであれば、それまでに学習したExchangeサーバーの通常の「生活パターン」を強制することで対処し、サーバーは通常の業務(Eメールの送受信)を継続しながらネットワークスキャンおよびそれに続くアクティビティは阻止することができたはずです。これらのアクションはファイアウォールやネットワークアクセス制御を含む顧客の既存のセキュリティスタックとのさまざまなインテグレーションを使って実行することができたでしょう。
特に、ネットワークスキャンが開始すると、‘Antigena Network Scan Block’ アクションがトリガされます。これにより、Antigenaが数時間に渡ってExchangeサーバーからサブネットの80番、135番、445番、8080番ポートに対する新規の発信接続をブロックし、感染したExchangeサーバーがネットワークスキャンを行わないようにできます。
その結果、攻撃者は偵察活動から何も結論を得られなかったはずです。スキャニングはすべて閉じたポートが返されたでしょう。この時点で、この攻撃をやめて他の手段に変える必要が生じ、さらなる検知とさらなる自動対処が行われたはずです。
ネットワークスキャンは内部ネットワークに接触する最初のステップでした。したがってこれはAntigenaが侵入の最も早い兆候に対してアクションすることにより数秒で攻撃を封じることができるという明らかな事例です。
水平移動
内部ネットワークスキャンから1時間もたたないうちに、侵入されたExchangeサーバーはさらに他のExchangeサーバーに対して内部SMBを使ってウェブシェルを書き込んでいることが観測されました。Darktraceはこれに対してアラートを生成しました。最初に侵入されたExchangeサーバーは他のExchangeサーバーに対してこのような方法でSMBを使ってアクセスしたことはなく、ましてや .aspx ファイルをリモートでProgram Filesに書き込むことなどはなかったからです。
セキュリティチームはこのアラートからシングルクリックでDarktraceのAdvanced Search機能を起動し、書き込まれたファイルについての詳細な情報を確認しました。新たに展開されたウェブシェルへのフルパスは次の通りです:
Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\Current\themes\errorFS.aspx
攻撃者はExchangeゼロデイエクスプロイトを再び使う代わりに、内部SMBを使ってさらに別のExchangeサーバーに侵入し、さらにウェブシェルを展開して同じ結果を達成したのです。この理由は明らかです。エクスプロイトは不安定なことが多く、攻撃者は可能であれば不必要に手の内を晒したくないからです。
China Chopper ウェブシェルは過去にもさまざまな名前で展開されてきましたが、実際の.aspx ウェブシェルのファイルパスとファイル名は2021年3月にMicrosoftが公開したHafnium攻撃に関する情報と非常によく似ていました。
脅威アクターは一連の攻撃において命名規則やTTPを再利用することが多く、このことからもこの攻撃が何らかの形で2021年初頭に見られたより広範な攻撃の一部であったことを示しています。
さらなる水平移動
数分後、攻撃者はドメインコントローラに対してSMBドライブ書き込みを行いさらなる水平移動を行いました。今回は、攻撃者はウェブシェルではなく、マルウェアを実行形式よびWindowsの.batファイルとしてアップロードしました。
Darktraceはセキュリティチームに警告しました。このExchangeサーバーおよびピアグループが隠し共有に対するSMBドライブ書き込みをドメインコントローラに対して、特に実行形式やバッチファイルを使って行うことはきわめて不審だからです。このアクティビティはチームに対し、以下に示す匿名化された例のような、確度の高いアラートとして提示されました。

図2:不審なアクティビティを検知したDarktrace画面の例
バッチファイルの名前は‘a.bat’でした。この時点で、セキュリティチームがDarktraceを使ってa.batファイルに対するパケットキャプチャをワンクリックで作成し、侵入時のスクリプトの内容や詳細を検査することもできたはずです。
また、Darktraceはアクティビティに関係した認証情報をリストし、侵害されたアカウントに関するコンテキストを提供します。これによりアナリストはデータを中心にすばやく関連情報を確認し、侵入の範囲をさらに詳しく理解することができます。
鳥瞰的視点
上記のような悪意あるアクティビティの検知に加えて、DarktraceのCyber AI Analystはインシデントについてまとめたレポートを自律的に作成し、内部偵察から水平移動までのアクティビティを1つの一貫したインシデントとして概説しました。
この組織は数千台のデバイスをDarktraceのEnterprise Immune Systemによってカバーしていました。それにも関わらず、このHafnium侵害インシデントはCyber AI Analystが特定したインシデントの中でも1週間のトップ5 に入りました。小規模な、リソースの厳しいセキュリティチームであっても、最も深刻なインシデントをチェックするための時間が週に数分でもあれば、この脅威に気づき調査することができたでしょう。
以下は、Darktraceが作成した同様のCyber AI Analystインシデントの例です。

図3:不審なSMBアクティビティを指摘するCyber AI Analystレポート
ゼロデイをどう阻止するか
インターネットに接続されたインフラを標的とし、ゼロデイエクスプロイトを使った大規模な攻撃は今後も日常的に発生するでしょう。そしてそのような攻撃はシグネチャベースの検知の回避に常に成功します。しかし、次の大規模なゼロデイあるいはサプライチェーン攻撃に対して組織は無力かというとそうではありません 。
システム内の攻撃者の動きを検知し、進行中の脅威に対応して封じ込めることは、IoCが公開される前であっても可能です。12月の攻撃からこの企業を守った上記の検知手法、および同じテクニックは将来の未知の脅威からこの企業を引き続き保護することができるでしょう。
Darktrace AI がHafniumサイバー攻撃および類似の脅威アクターを阻止した事例について詳しく知る
Darktrace によるモデル検知結果:
- Device / New or Uncommon WMI Activity
- Executable Uploaded to DC
- Compliance / High Priority Compliance Model Breach
- Compliance / SMB Drive Write
- Antigena / Network / Insider Threat / Antigena Network Scan Block
- Device / Network Scan - Low Anomaly Score
- Unusual Activity / Unusual Internal Connections