テクノロジー
製品
業界
ニュース
リソース
会社
日本語
テクノロジー
製品
業界
ニュース
ブログ
リソース
会社

Hafniumを模倣したサイバー攻撃をAIが無害化

Max Heinemeyer, Director of Threat Hunting | 2021年3月18日木曜日

2021年3月11日および12日に、Darktraceは顧客の環境において脆弱なサーバーを狙った広範な攻撃の試みを複数検知しました。この攻撃はインターネットに接続されているMicrosoft Exchangeを標的とし、最近発見されたProxyLogon脆弱性(CVE-2021-26855)をエクスプロイトするものでした。

このエクスプロイトは当初Hafniumというグループによるものとされていましたが、Microsoft はこの脆弱性が他のアクターによって急速に武器化されているということも発表 しました。これらの新しい、誰によるものかわからない攻撃は、これまでに見られたことのないものでしたが、Cyber AI によってリアルタイムに阻止されました。

Hafnium 模倣犯

脆弱性が発表される やいなや、ハッカー達がこのカオスに便乗し、脆弱なネットワークに侵入しようとして大量の攻撃が発生するのが世の常です。

ベンダーからパッチが公開されると急速にリバースエンジニアリングが行われ、影響の大きいエクスプロイトが大規模に発生します。同時に、攻撃ツールは国家アクター等、これらを最初に取り入れた攻撃者から、ランサムウェアギャングやその他の便乗攻撃者へと徐々に拡散していきます。Darktraceはまさにこうした現象を、今月発生したHafniumによる脆弱なMicrosoft ExchangeのEメールサーバーに対する攻撃で目撃しました。

攻撃されたExchangeサーバー:AIによる分析

Cyber AI は脅威アクターがProxyLogonを最初の攻撃ベクトルとして使用し、マルウェアをダウンロードしてインストールしようとしていることを観測しました。自動対処を導入されているお客様では、この悪意あるペイロードはこの時点で遮断され、攻撃が進展する前に阻止されました。

その他のDarktrace顧客環境においては、Darktrace Immune Systemがこの攻撃のあらゆる段階を特定しアラートを生成していました。全体的にこのマルウェアはジェネリックなバックドアとして機能し、その後のアクティビティはあまりない様子が見られました。Telegra[.]ph を含む、さまざまな形態のC2チャネルが検知されました。いくつかの侵入事例では、暗号通貨採掘ツールがインストールされていたものもありました。

デジタル環境内に足掛かりができると、アクターはキーボードを実際に操作した攻撃を開始し、データを抜き出し、水平移動し、あるいはランサムウェアを展開します。

図1:典型的なProxyLogonエクスプロイトのタイムライン

ProxyLogon脆弱性エクスプロイトが行われた後、Exchangeサーバーは悪意あるドメインmicrosoftsoftwaredownload[.]comに対してPowerShell User Agentを使って接続しました。Darktraceがこの異常な挙動にフラグを立てたのは、このUser AgentはこのExchangeサーバーで以前に使われたことがないからです。そればかりか、ネットワークで観測されたことのない悪意あるドメインにアクセスしたのです。

図2:Darktraceは異常なPowerShell接続を特定

マルウェアの実行形式はZIPファイルを装っており、攻撃をさらにわかりにくくしようとしていました。Darktraceはこのきわめて異常なファイルダウンロードおよび偽装されたファイルを識別しました。

図3:Darktraceは異常なファイルのダウンロードに関連した情報を表示

一部のケースでは、Darktrace AIは最初のマルウェアダウンロードから数秒あるいは数分後に暗号通貨の採掘も検知しています。

図4:DarktraceのCrypto Currency Miningモデルが発動

C2トラフィックに関しては、Darktraceはさまざまな潜在的チャネルを観測しました。マルウェアダウンロードの時間の前後に、一部のExchangeサーバーは不審なSSLまたはTLS暗号化接続を使っていくつかの外部ロケーションにビーコニングを仕掛け始めました。

  • Telegra[.]ph — よく使われているメッセンジャーアプリケーション
  • dev.opendrive[.]com — クラウドストレージサービス
  • od[.]lk — クラウドストレージサービス

このケースでは、Darktraceはこれら3つの外部ドメインのいずれも組織内の誰もこれまでに接触していない、ましてやビーコニングのような形で接続していないことを認識しました。通信がマルウェアダウンロードとほぼ同じ時間帯に開始したという事実は、関連性を強く示唆するものです。DarktraceのCyber AI Analystはインシデントに対して自動的に調査を開始し、これらのイベントをつなぎ合わせて一貫性のある説明を作成しました。

AIを使った調査

Cyber AI Analystはその上でアクティビティについてまとめたインシデントレポートを自動的に作成し、これにはマルウェアダウンロードも観測されたさまざまなC2チャネルもカバーされていました。

図5:Cyber AI Analystはハイレベルのインシデントサマリーを自動的に生成

感染したExchangeサーバー([REDACTED].local) を高いレベルから見下ろしてみると、攻撃が発生した時点でDarktraceがさまざまなアラートを生成していることが分かります。以下のグラフ内の色がついたドットはすべてDarktraceによって検知された重大な異常を示しています。

図6:Darktraceは異常な数の接続とそれに続くモデル違反を表示

このアクティビティは、Cyber AI Analystにより丸一週間のデータの中でも最も緊急のインシデントとして優先付けされました。この組織においては、その週にCyber AI Analystに指摘されたインシデントは合計でも4件のみでした。こうした正確かつ明確なアラート生成により、セキュリティチームは不要なアラートや偽陽性に混乱させられることなく、自らのデジタル環境が直面している最も重大な脅威について即座に理解することができます。

マシンスピードの対応

Darktrace Antigenaを導入されているお客様では、Antigenaが自律的なアクションにより悪意ある外部エンドポイントに対するすべての発信トラフィックを関連するポートにおいてブロックしました。この挙動は数時間に渡って保留にされ、脅威アクターによる攻撃のエスカレートを遮断すると同時に、セキュリティチームに対応および緩和のための時間を確保しました。

Antigenaは攻撃が開始されてから数秒以内に反応しており、結果的に攻撃を最も早い段階で封じ込めています。通常のビジネスアクティビティを中断することはなく(Eメールの送受信は引き続き可能でした)、またこれがゼロデイ攻撃であったにも関わらず対応できました。

図7:Darktrace Antigenaによる自動対処

ゼロデイエクスプロイトの検知

Darktraceがゼロデイまたは公開されたばかりのn-デイ脆弱性を悪用した攻撃を阻止したのはこれが初めてではありません 。2020年3月には、DarktraceはAPT41によるZoho ManageEngine 脆弱性のエクスプロイトを、情報が一般に公開される2週間前に検知しています。

Hafniumの登場により、今後ProxyLogonを悪用するサイバー犯罪者が増える可能性は高いと言えます。今日発生した脅威が最近のExchangeサーバー脆弱性だとしても、次回はソフトウェアあるいはハードウェアのサプライチェーン攻撃、あるいは別のゼロデイである可能性もあります。新種の脅威は毎週発生しているのです。私達が現在直面している、「既知の未知」を事前定義することが困難または不可能なのが新たな常識となった状況においては、これまで以上に適応性を高め事前対応的になる必要があります。

Darktrace AIは攻撃と関連付けられた脅威インテリジェンスが存在しなくても、攻撃者が通常と異なるアクティビティを示し始めると即座にそれを検知します。Darktraceの最大の有効性は、自律的に調査し、巧妙かつこれまでに見られたことのない脅威をリアルタイムに調査し対処するこうした機能です。

Darktrace Immune Systemについて詳しく知る

IoC:

IoCコメント
Microsoftsoftwaredownload[.]com:8080/c103w-a.zipマルウェア
Microsoftsoftwaredownload[.]com:8080/dnl.zipマルウェア
Mozilla/5.0 (Windows NT; Windows NT 10.0; en-GB) WindowsPowerShell/5.1.14393.2608User Agentによる最初のコールアウト
198.98.61[.]152マルウェアのホスティングとクリプトマイニングハッシュの受信
Od[.]lkC2またはデータ抜き出し先の可能性
dev.opendrive[.]comC2またはデータ抜き出し先の可能性
cdn.chatcdn[.]net/p?hig210305マルウェアホスティングおよびC2
f31d06f55c00c7111e545304d58c7317a4f1b1848ba1396a5454d7367d70da06chatcdn[.]netでホスティングされたマルウェア

Darktrace によるモデル検知例:

  • Antigena / Network / Compliance / Antigena Crypto Currency Mining Block
  • Compliance / Crypto Currency Mining Activity
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Anomalous Connection / Suspicious Expired SSL
  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
  • Antigena / Network / Significant Anomaly / Antigena Enhanced Monitoring from Client Block
  • Device / Initial Breach Chain Compromise
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Anomalous File / Masqueraded File Transfer
  • Anomalous File / EXE from Rare External Location
  • Antigena / Network / External Threat / Antigena Suspicious File Block
  • Antigena / Network / External Threat / Antigena File then New Outbound Block
  • Antigena / Network / Significant Anomaly / Antigena Controlled and Model Breach
  • Anomalous File / Internet Facing System File Download
  • Device / New PowerShell User Agent
  • Anomalous File / Multiple EXE from Rare External Locations
  • Anomalous Connection / Powershell to Rare External

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.