SOCチームがバンキング型トロイQakBotを無害化

最先端のテクノロジーはデジタルアセットのセキュリティを確保するために不可欠ですが、小規模のセキュリティチームや、デジタル環境内に自動対処機能がない組織にとっては、脅威に対処するために人によるサポートを随時利用できることが、きわめて大きな価値を持つ場合があります。
Cyber AIテクノロジーはバンキング型トロイの一種であるQakBotを顧客の環境で検知しました。DarktraceのSOCチームの支援により、この顧客は2時間以内に攻撃をシャットアウトすることができました。
QakBotマルウェア
QakBotは、ここ12年の間に、最も致命的なトロイの木馬の1つとしてその名を轟かせるようになりました。個別の企業を狙ったハイペースかつ自動化された攻撃に使用されるQakBotは、企業のリソースを浪費し大量の財務データを盗む機能を備えています。Emotet攻撃でしばしばダウンロードされ、デバイスを感染させて銀行口座情報を収集するために使われます。
QakBotは他のバンキング型トロイと同様に、ドロッパーを使用して企業のデバイスに自分自身をインストールします。次に、システム内で自己増殖し、マシンスピードで認証情報を収集します。サイバー犯罪者はこの情報を利用して、個人データを抽出したり、ランサムウェアやさらなる悪意あるペイロードをばらまいたりすることができます。
QakBotは、従来型のセキュリティツールによる検知がきわめて困難です。ワームに似た自動機能、実行を遅らせるウイルスドロッパーの使用、その他各種の難読化機能の組み合わせにより、大半の従来型ツールを迂回することができるため、初期段階で対処しなければ甚大な金銭的被害につながるおそれがあります。
Darktrace SOCチーム
ケンブリッジ、サンフランシスコ、およびシンガポールにあるDarktraceのSecurity Operations Center(SOC)チームは、Cyber AIによって特定された動きが速くステルス性の幅広い脅威(ランサムウェア、SaaSアカウント乗っ取り、データ流出など)に対処します。
これらの攻撃は、‘Living off the Land’(環境に寄生する)テクニックを用いることが多いため、正当なネットワークトラフィックとの区別が困難です。さらに、多くの脅威アクターは、標的企業の通常の営業時間外に悪事をはたらくため、侵害が発見されるまでに影響がさらに大きくなる可能性があります。
Darktrace SOCチームは、Proactive Threat Notification(PTN)およびAsk the Expert(ATE)サービスを通じて、顧客の環境を年中無休で保護します。これらのサービスは自律的なAI検知と並行して、重大なセキュリティイベントの渦中にある顧客に、人間による監視とサポートを提供します。
バンキング型トロイQakBotを解き明かす

図1:バンキング型トロイQakBotによる攻撃のタイムライン。Darktraceのサービスによる対処を含む
EMEA(ヨーロッパ、中東、アフリカ)地域にある、約7,000台のデバイスを持つ企業において、Cyber AIはトロイの木馬の初期の兆候を検知しました。この会社はメールトラフィックを解析して受信トレイへの攻撃に対処するAntigena Emailを導入していなかったので、ゲートウェイをすり抜けたフィッシングメールをあるユーザーが開くと、彼のデバイスは大量の疑わしいエンドポイントに接続し始めました。
これはコマンド&コントロール(C2)通信に似ていました。このアクティビティの性質はこのデバイスおよび環境にとっての通常と異なっていたため、スコアの高いモデル違反が複数トリガされました。その1つは、確度の高い‘Suspicious SSL Activity’(疑わしいSSLアクティビティ)モデル違反であり、Proactive Threat Notificationサービスを通じて調査が促されました。

図2:感染したデバイスのCyber AI Analystインシデントタイムラインの例。コマンド&コントロールおよび偵察アクティビティを示しています。
Darktraceのエキスパートアナリストは、普段と異なる接続に対する警告をEnterprise Immune Systemから受け取り、異常な動作の調査に着手しました。そして、このデバイスがバンキング型トロイに感染している有力な兆候を示していると判断しました。アナリストはすばやく行動する必要がありました。トロイの木馬が即座に偵察を開始し、ネットワーク全体に広がる準備をしていたからです。
1時間以内に、アナリストはアクティビティの概要をまとめた短いレポートを作成し、顧客にPTNアラートとして送信しました。このレポートには、時間帯、デバイスのホスト名とIPアドレス、疑わしい外部ドメイン、および顧客がこのアラートをDarktrace UIで見るための参照先など、モデル違反とCyber AI Analystインシデントの主な技術的情報が記載されていました。

図3:Darktrace脅威トレイの視覚的な表示QakBot攻撃では、4つのEnhanced Monitoringモデル違反がトリガされ、これらはPTNサービスを通じて調査および警告されました。これらの検知はすべてスコアが高く、明らかに侵害を示していました。
アラートを受信した顧客はさらなる調査を開始し、感染したデバイスを速やかにシャットダウンしました。攻撃は2時間以内に封じ込められました。
Ask the Expert
最初の修復作業後、同社はAsk the Expertを通じてDarktraceに連絡し、これがQakBotへの感染であったことを確認するとともに、侵害の範囲を調査するための追加の支援を受けました。
アナリストチームは、その後6時間にわたって調査を継続的にサポートし、発生源はフィッシングメールであった可能性が高く、環境内で他に侵害されたデバイスはないという結論を出しました。アナリストは、観測されたIoC(Indicator of Compromise)のリストを提供し、さらなる監視のため顧客と協力してリストの内容をDarktraceのウォッチ対象ドメインリストに追加しました。また、顧客はこのリストを利用して、ファイアウォールでIoCをブロックすることもできました。
同社は感染を封じ込め、その後ネットワークデバイスからさらなる疑わしい動作が観測されることはありませんでした。
人間とAI
このケースは、Darktraceのサービスが絶え間ない支援を顧客に日々提供していることをよく示している例です。Darktraceの高度な機械学習技術に加え、Darktrace SOCチームは、あらゆる規模のセキュリティチームに対応する追加的なサポートのレイヤーとして機能します。Proactive Threat Notificationsは新たな脅威の発生を見張るための追加の目となり、Ask the Expertは顧客がDarktraceのアナリストから直接、調査のサポートを得られる仕組みを提供します。
バンキング型トロイを早期に検知したおかげで、この企業は深刻な感染やランサムウェア攻撃に発達する前に、脅威に対処することができました。QakBotは、今日の脅威環境に存在するさまざまな高速自己増殖型マルウェアの1つに過ぎません。このような自動攻撃は、最も迅速な人間の防御担当者のペースをも絶えず上回るため、人間のチームを補ってデジタルシステムをリアルタイムで保護するためのAIや自動システムが切実に求められています。
もしAntigena Networkがこの環境下で有効にされていれば、疑わしい外部接続は最初の検知時にブロックされ、攻撃は数秒で阻止されていたはずです。実際に、顧客はこのインシデント後にAntigena Networkの導入を決定し、今ではAutonomous Responseによりすべての新たなサイバー脅威に対して24時間、週7日対処しています。
IoC:
nerotimethod[.]com | |
193[.]29[.]58[.]173 | |
45[.]32[.]211[.]207 | |
54[.]36[.]108[.]120 | |
144[.]139[.]166[.]18 | |
75[.]67[.]192[.]125 | |
149[.]28[.]101[.]90 | |
37[.]211[.]90[.]175 | |
68[.]131[.]107[.]37 | |
162[.]222[.]226[.]194 | |
mywebscrap[.]com |
Darktrace によるモデル検知結果:
- Compromise / SSL or HTTP Beacon
- Compromise / Suspicious SSL Activity
- Device / Multiple C2 Model Breaches
- Device / Lateral Movement and C2 Activity
- Device / Multiple Lateral Movement Model Breaches
- Device / Large Number of Model Breaches
- Compromise / Suspicious Beaconing Behaviour
- Compromise / SSL Beaconing to Rare Destination
- Compromise / Slow Beaconing Activity To External Rare
- Compromise / High Volume of Connections with Beacon Score
- Anomalous Connection / Suspicious Self-Signed SSL
- Anomalous Connection / Rare External SSL Self-Signed
- Device / Reverse DNS Sweep
- Unusual Activity / Possible RPC Recon Activity
- Device / Active Directory Reconnaissance
- Device / Network Scan - Low Anomaly Score
- Anomalous Connection / SMB Enumeration