AIがWastedLocker攻撃を最も早期に阻止した方法

2020年5月に最初に発見されて以来、WastedLockerはかなりの知名度を獲得し、短期間に世界中のビジネスやサイバーセキュリティ企業の間で大問題となりました。WastedLockerは高度な難読化能力と高額な身代金要求で知られています。
‘Living off the Land’ (環境に寄生する)テクニックの利用により、WastedLocker攻撃は従来のセキュリティツールでは極めて検知が難しいものとなっています。最初の侵入から最後の実行までの滞留時間がますます短くなっているということは、人間の対応者だけでは損害が起こる前にこのランサムウェアを封じ込めることは難しいことを意味します。
このブログでは、12月に発生した米国の農業団体を標的としたWastedLocker侵入事例を詳しく見ていきます。DarktraceのAIはインシデントをリアルタイムに検知し調査しました。またDarktrace Antigena であれば暗号化が開始される前にどのように自律的に対応しこの攻撃を阻止できたかを紹介します。
ランサムウェアの滞留時間が数日から数時間に短縮されるなかで、ますます多くのセキュリティチームはAIを使って侵入の最も早い兆候があった段階で脅威がエスカレートするのを阻止し、攻撃が夜間または週末に発生しても封じ込められるように対策しています。
攻撃はどのように進んだか

図1:攻撃のタイムライン
最初の侵入
最初の感染は従業員が騙されて偽のブラウザアップデートをダウンロードしてしまったときに起こったものと見られます。Darktrace AIはこの組織内の約5,000台のデバイスの挙動を監視し、変化する「生活パターン」の理解を継続的に適応させていました。脅威の最初の兆候を検知したのは、仮想デスクトップ端末がこの組織にとって普通ではないと見なされた外部の接続先にHTTPおよびHTTPS接続を始めたときでした。以下のグラフは12月4日前後にゼロ号患者デバイスにおいて内部接続のスパイクがあったことを示しています。

図2:ゼロ号患者デバイスの示した内部接続のスパイク。オレンジ色の点はさまざまな深刻度のモデル違反を示している。
偵察
最初の侵入からわずか11分後には偵察の試みが始まりました。ここでも、Darktraceはこのアクティビティに即座に気づき、135、139および445番ポートに対する不信なICMP pingスキャンおよび特定のアドレススキャンが検知されました。これは攻撃者がさらなるWindowsデバイスを標的として探したものと思われます。以下の図は、異常な数の失敗した接続によってスキャニングが検知された様子を示しています。

図3:Darktraceが異常な数の失敗した接続を検知
水平移動
攻撃者は実際の管理者認証情報を使ってドメインコントローラで認証を行い、SMBを使って新しいサービスコントロールを開始しました。Darktraceはこれを即座に検知し、異常な挙動として識別しました。

図4:DarktraceがDCE-RPCリクエストを特定

図5:DarktraceがSMB書き込みを指摘
数時間後(未明のことでした)、攻撃者は一時的な管理者アカウント ‘tempadmin’ を使ってSMBを介して別のDomain Controllerに移動しました。Darktraceはこれを即座に検知しました。一時的な管理者アカウントを使って仮想デスクトップからDomain Controllerに接続することはきわめて異例だからです。

図6:次の日にもさらなる異常な接続が検知された
ロックとロード:WastedLockerによる攻撃の準備
ビーコニング活動中、攻撃者は内部偵察も行い、既にそこにあったツールを使って他の内部デバイスに対する管理者リモート接続を確立することに成功しました。その後ほどなく、疑わしい.csprojファイルがDarktraceによって検知され、さらに少なくとも4台のデバイスが同様のCommand and Control(C2)通信を始めました。
しかし、Darktraceのリアルタイム検知、およびCyber AI Analystによるインシデントの調査と報告が数分で行われたために、セキュリティチームはこの攻撃を封じ込め、感染したデバイスをオフラインにすることができました。
Cyber AI Analystによる自動調査
DarktraceのCyber AI Analystはすべての異常検知に対する自動調査を開始し、仮説を立て、見つかった結果を問い直し、正確な答えをマシンスピードで作成していきました。そのうえで、ハイレベルでわかりやすいインシデントサマリーをセキュリティチーム向けに生成しました。48時間でAI Analystが洗い出したセキュリティインシデントは6件だけでしたが、そのうちの3件は直接WastedLocker侵入に関連したものでした。

図7:Cyber AI Analyst脅威トレイ
以下のスクリーンショットはVMWareデバイス(ゼロ号患者)が未知の通信先に繰り返し外部接続を行い、ネットワークをスキャンし新しい管理者認証情報を使っている状況が示されています。

図8:Cyber AI Analystによる調査
Antigena:セキュリティチームに代わって自動対処するAI
世界初、そして唯一の自動対処 テクノロジーであるDarktrace Antigena はパッシブモードに設定されており、攻撃に対して積極的に介入しませんでした。しかしThreat Visualizerを確認すると、Antigenaが完全な自律モードに設定されていれば攻撃の初期段階で対処しセキュリティチームにとっての貴重な時間を稼ぐことができたであろうことがわかります。
このケースでは、最初の異常なSSL C2を検知(通信先の珍しさ、JA3の異変および頻度の分析に基づき)した後、Antigenaは443番ポートのC2トラフィックおよび135番ポートの並列内部スキャニングを即座にブロックすることを推奨していました。

図9:Threat VisualizerにはAntigenaが取ることのできたアクションが示されている
ビーコニングがその後、bywce.payment.refinedwebs[.]comに対して、HTTPで/updateSoftwareVersionにアクセスしようとすると、Antigenaは対応をエスカレートさせ、以降C2チャネルをブロックしました。

図10:Antigenaが対応をエスカレート
対応のためのツールのほとんどは、「もしXならばYを実行する」といった、ハードコートされた定義済みのルールに依存しています。これは偽陽性の発生につながり、不必要にデバイスをオフラインにして生産性を阻害する可能性があります。Darktrace Antigenaのアクションは程度に応じた、その組織に合ったものであり、前もって作成するものではありません。Darktrace Antigenaは何をブロックしどの程度ブロックするかを侵入のコンテキストに基づいて自律的に選択し、人間がコマンドや応答のセットをうまくハードコードしておく必要はありません。
48時間内のあらゆる対応はこのインシデントに関係していました。Antigenaは侵入の期間中、他のことに対するアクションを取ろうとはしませんでした。脅威を封じ込めるための正確で的を絞ったアクションだけを実行し、ビジネスの他の部分は通常通り続けることができたはずです。インシデント発生中のアクションは全部で59件ありました。ただし以下に示された ‘Watched Domain Block’は除いた数です。これはインシデント対処として事前対応的にC2通信をシャットダウンするのに使われるアクションです。

図11:組織全体で侵入期間中にAntigenaが取ろうとしたすべてのアクション
Antigenaはこれらのブロックを、ファイアウォール、NACLあるいはその他のネイティブインテグレーションを含めその組織にとって最適なインテグレーションにより実行できたはずです。Antigenaは関連するポートおよびプロトコルに対してこれらの悪意あるアクティビティを数時間にわたりブロックし、脅威アクターの侵入アクティビティに正確に的を絞って介入することによりさらなるエスカレーションを防ぎ、セキュリティチームに上空からの援護射撃を提供していたことでしょう。
自動対処:暗号化が始まる前にランサムウェアを阻止
この攻撃はシグネチャベースのツールをすり抜けるために多くの注意すべきTTP(Tools, Techniques and Procedures)を使っていました。Windows Management Instrumentation (WMI)、Powershell、ならびにデフォルトの管理者認証情報の使用など、‘Living off the Land’ (環境に寄生する)テクニックを利用していました。関与したC2ドメインのうち1つだけがOpen Source Intelligence Lists (OSINT)にふくまれており、他のドメインはその時点では未知のものでした。また、C2は正当なThawte SSL証明書で暗号化されていました。
こうした理由から、Darktraceが導入されていなかった場合、ランサムウェアはファイルの暗号化に成功し、この厳しい状況下でビジネスオペレーションを妨げ、場合によってはこの組織に莫大な金銭的損失と評判の毀損を招いていたかもしれません。
DarktraceのAIは脅威インテリジェンスに頼ることなく進行中のランサムウェアを検知し阻止します。今年はランサムウェアが勢いを強め、攻撃者達は絶え間なく新しい攻撃TTPを打ち出してきました。しかし、上記の脅威検知事例は、標的型の巧妙なランサムウェアであってもAIテクノロジーによって阻止できることを実証しています。
この脅威検知についての考察はDarktraceアナリストSigne Zaharka が協力しました。
IoC:
IoC | コメント |
www.betech-system[.]com 84.38.182[.]191 | C2 通信 |
true-post[.]com 84.38.183[.]101 | C2 通信 |
130.0.233[.]178 bywce.payment.refinedwebs[.]com cawuj0.payment.refinedwebs[.]com acbynzexo.payment.refinedwebs[.]com cdb6eaa5.payment.refinedwebs[.]com payment.refinedwebs[.]com | C2 通信 |
Darktrace によるモデル検知結果:
- Compliance / High Priority Compliance Model Breach
- Compliance / Weak Active Directory Ticket Encryption
- Anomalous Connection / Cisco Umbrella Block Page
- Anomalous Server Activity / Anomalous External Activity from Critical Network Device
- Compliance / Default Credential Usage
- Compromise / Suspicious TLS Beaconing To Rare External
- Anomalous Server Activity / Rare External from Server
- Device / Lateral Movement and C2 Activity
- Compromise / SSL Beaconing to Rare Destination
- Device / New or Uncommon WMI Activity
- Compromise / Watched Domain
- Antigena / Network / External Threat / Antigena Watched Domain Block
- Compromise / HTTP Beaconing to Rare Destination
- Compromise / Slow Beaconing Activity To External Rare
- Device / Multiple Lateral Movement Model Breaches
- Compromise / High Volume of Connections with Beacon Score
- Device / Large Number of Model Breaches
- Compromise / Beaconing Activity To External Rare
- Antigena / Network / Significant Anomaly / Antigena Controlled and Model Breach
- Anomalous Connection / New or Uncommon Service Control
- Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
- Compromise / SSL or HTTP Beacon
- Antigena / Network / External Threat / Antigena Suspicious Activity Block
- Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
- Compromise / Sustained SSL or HTTP Increase
- Unusual Activity / Unusual Internal Connections
- Device / ICMP Address Scan