無人オフィスのバイオメトリックアクセスサーバーでクリプトマイニングを行うハッカー達を AI が発見

Darktrace が最近検知したクリプトマイニング攻撃は、アジア太平洋地域を拠点とする製造業の企業内サーバーの処理能力を使って、暗号通貨のマイニングを行うというものでした。このサーバーは、顧客の事務所内の生体認証ドアロックでアクセス管理されていましたが、暗号通貨のマイニングを開始する前に疑わしい実行形式ファイルをダウンロードしていました。これは COVID-19 のためにすべての従業員がリモートで勤務し、事務所が閉まっている時に発生しました。
外部向けサーバーはインターネットと頻繁に接触するため、しばしば大きな侵害のリスクにさらされます。これらのサーバーが様々な業務処理に果たす役割を考えれば、セキュリティチームがこうした装置上での悪意あるアクティビティにできる限り早く気づくことがきわめて重要です。多くのセキュリティツールにとってクリプトマイニングは特に暗号化通信が行われることから検知が難しい問題であり、長期間に渡って気づかれないままサーバー上に存在し、ビジネス処理の速度を遅らせたり、障害を引き起こします。
この製造業企業についての「正常」の理解で武装した Darktrace の AI は、この異常な動作を認識することができ、Cyber AI Analyst がこのインシデントに対して完全に自律的な対応を開始しました。

図 1:攻撃のタイムライン
侵害の最初の兆候
Darktrace は、インターネット向けサーバーが Securitcy.111 という疑わしい実行形式ファイルを、ネットワークでそれまでに見られたことのない新しい外部 IP からダウンロードしていることを特定しました。このサーバーは RDP、SMB、SQL ポートが外部に対して開いていました。ファイルダウンロードの直前に外部 IP からの SQL 受信接続の成功が観測されており、おそらくここから侵入されたものとみられます。RDP および SMB バージョン 1 接続の成功も、このアクティビティの前後に観測されていました。
このファイルダウンロードの後、サーバーは自己署名の TLS 証明書を使って外部エンドポイントに繰り返し接続を始めました。これらのエンドポイントはデジタル通貨 Monero のマイニングプールと関係のあるものでした。
Darktrace による検知
ファイルダウンロードの外部ソースについての脅威インテリジェンスが存在していないにもかかわらず、Darktrace の AI はこの挙動がきわめて異常であることを容易に検知し、この企業に対して深刻なインシデントが発生しつつあることを警告したため、顧客はすばやくアクションを取ることができました。既知の IoC に頼ることなく、クリプトマイニングのための接続は Darktrace によって直ちに疑わしいものと特定されました。これは自己署名 TLS 証明書が使用されていたことと、エンドポイントがこの企業にとって統計的に珍しいことによるものです。
新しいユーザーエージェントはジェネリックであり、正当なプロセスにも悪意あるプロセスにも同じように関連付けられます。こうしたユーザーエージェントの使い方は、C2 通信が従来のセキュリティスタックで検知される可能性が低いことを意味しますが、その特異な使い方により Darktraceは即座にこれを疑わしいものとして検知しました。
AI Analyst のカバレッジ
Darktrace の Cyber AI Analyst はこのクリプトマイニングインシデントを調査し、デバイスが侵入を受けたことを示す直接的な兆候を特定しました。

図 2:AI Analyst によるクリプトマイニングの検知画面
以下の画像は感染したデバイスの 5 日間の観測結果です。モデル違反がドットで表されており、その色は深刻度を示しています。クリプトマイニングアクティビティが見られた期間中、このデバイス上でモデル違反が明らかに増えており、これははっきりした侵害の兆候です。

図 3:6 月 3 日にこのデバイスが違反したモデルが大幅に増えていることを示すグラフ

図 4:侵害があった期間にサーバーが違反したモデルのサンプル
今年は多くの組織がリモートワークに移行し、いつ、どのように元に戻るのか、また戻るのかどうかもまだ答えが見つかっていません。そのような状況において、オフィスの物理 IT インフラのセキュリティを維持することはきわめて重要です。特に、インターネット向けサーバーは多様な外部からの脅威に耐えられなければなりません。今回のインシデントは既知の IoC だけでなく、新しく未知のインシデントも検知できるセキュリティツールの重要性を示しています。
AI を使った Darktrace のアプローチは疑わしい挙動を即座に検知し、侵害を特定することができました。Darktrace の迅速な検知と、Cyber AI Analyst による調査により、このクライアントはクリプトマイニング感染を是正することができました。
この脅威事例についての考察はDarktraceアナリストEmma Foulger が協力しました。
IoCs:
IoC | コメント |
185.170.210[.]59 | ペイロードのダウンロード URI: /img/zhu/Securitcy.111 ファイルハッシュ: 548022246f3c76c8c79ee762fe7e0050a0cf8396, e809a00daa7c18fd5101e8516435575c219709d4 |
107.178.104[.]10 39.99.124[.]170 139.99.123[.]196 139.99.125[.]38 192.110.160[.]114 Pool-hk.supportxmr[.]com | Monero マイニング接続先 |
Darktrace モデル検知結果:
- Anomalous File / Masqueraded File Transfer
- Anomalous File / Internet Facing System File Download
- Anomalous File / EXE from Rare External Location
- Anomalous Connection / Rare External SSL Self-Signed
- Device / Anomalous SMB Followed By Multiple Model Breaches
- Device / Anomalous RDP Followed By Multiple Model Breaches
- Anomalous File / Multiple EXE from Rare External Locations
- Anomalous Connection / New User Agent to IP Without Hostname
- Device / Initial Breach Chain Compromise
- Compromise / Monero Mining
- Compromise / Uncommon Monero Mining