Outlawの秘密のクリプトマイニングをAIがどのように発見したか

サイバー犯罪者達にとって、悪名は逆説的な望みです。一部の者にとって、自慢する権利はサイバー犯罪の動機ともなりますが、検知を免れたいと願っているものにとって悪名が広まることは分別ある目標とは言えないでしょう。このことは、たとえば 大きな利益を生んだ Emotet ボットネット の背後にいた脅威アクター達が、2021年の初めに8か国の法執行機関による協調した摘発により彼らのオペレーションが壊滅させられたときに学んだことでした。それでもなお、サイバーセキュリティメディアに繰り返し名前が登場し、常に検知を免れているグループもあります。たとえばOutlawなどもその一つです。
Outlawの襲撃計画の立て方
2018年以来活動していながら、ハッキンググループOutlawについてはほとんど知られていません。Outlawは中国国内および国際的に数多くのボットネットおよびクリプトジャッキング攻撃を仕掛けてきました。このグループは、繰り返し使われたファイル名や暗号通貨Moneroのマイニングを行う傾向などからさまざまな特徴で知られていますが、その成功の理由は究極的には攻撃と攻撃の間の数か月の休眠期間に適応し進化することにあると言えます。
Outlawの攻撃の特徴は絶え間ない変更や更新であり、比較的静かに活動することにより、見慣れない脅威に弱いセキュリティシステムを標的としています。
2020年、Outlawはボットネットツールセットを更新し、他の犯罪者のクリプトジャッキングソフトウェアを見つけて潰すことにより、感染したデバイスからの彼らに対する支払いを最大化しようとしたことが注目を集めました。サイバー犯罪者の間に敬意が存在しないことには驚きませんが、この更新にはOutlawのマルウェアが従来のセキュリティ防御をすり抜けられるようさらに厄介な変更が含まれていました。
大きな盗みを働くたびに姿を変え、静かに身を隠しておくことにより、Outlawという名前にどれほどの悪評がついても、過去の攻撃データに依存する従来のセキュリティシステムが彼らに対して備えられないようにしてきたのです。しかし組織がこれらのシステムのルールベースのアプローチを超え、デジタルエステートの保護に自己学習型AIを取り入れるようになると、Outlawのようなグループに対しても形勢を逆転できるようになります。
このブログでは、2021年の夏、世界の遠く離れた2つの場所にあった2台の感染済みゾンビデバイスがOutlawのボットネットによって作動し、Darktraceがこうしたアクティビティをこれらのデバイスが事前に感染していたにも関わらず検知できた事例を紹介します。
賞金稼ぎ:攻撃のタイムライン:

図1:攻撃のタイムライン
7月、中央アメリカの通信会社のネットワークに1台の新しいデバイスが追加されると、Darktraceは2つの疑わしいエンドポイントに対して一連の定期的な接続が行われていることを検知し、ビーコニング動作であることを特定しました。同じ動作がこれとは別に、しかしほとんど同時に、アジア太平洋地域の金融企業で発生していることがわかりました。この会社はDarktraceを初めて導入したところでした。Darktraceの自己学習型AIが既に感染していたデバイスを特定することができたのは、それぞれのデジタルエステート内の同じような動作のデバイスをピアグループとしてクラスタ化することにより、デバイスのさまざまな振る舞いからこれら2台が通常と異なる動きをしていることを認識したためです。
これらのゾンビデバイスがOutlawにより作動させられた最初の兆候は暗号通貨マイニングの開始でした。地理的に遠く離れていたにも関わらずこれらのデバイスは同じクリプトアカウントに接続していることがわかり、無差別かつ急激に拡大するボットネットの性質が再確認されました。
Outlaw は過去にはその活動を中国にあるデバイスに限定しておりこれは警戒していることの現れと考えられていましたが、最近のこのような活動は自信の高まりを示しています。
ボットネットのリクルートプロセス
これに続く443番ポート(HTTPSアクティビティと関係のあることが多いポート)を使ったInternet Relay Chat (IRC) 接続は、以前2020年にOutlawボットネットが示していたアクティビティの特徴と完全に一致していました。IRCはボットマスターとゾンビデバイスの間のコミュニケーションによく使われるツールですが、443番ポートを使うことにより攻撃者は通常のインターネットトラフィックに紛れ込もうとしたのです。
この通信の直後、これらのデバイスはシェルスクリプトをダウンロードしました。DarktraceのCyber AI Analystはネットワーク内を通過したこのこのシェルスクリプトを傍受し再現することによりその機能のすべてを明らかにしました。興味深いことに、このスクリプトはARMアーキテクチャを使用しているデバイスを識別してボットネットから除外していました。ARMアーキテクチャはその優れた低消費電力性により、主にポータブルなモバイルデバイスで使用されています。
この選別は、Outlawの主たる目的が悪意あるクリプトマイニングであることの証左です。クリプトマイニング性能が低い小型なデバイスを避けることにより、このシェルスクリプトは最も処理性能の高い、したがって利益の大きいデバイス、たとえばデスクトップコンピューターやサーバーにボットネットを集中させています。こうすることにより、クリプトマイニングのスケールにあまり大きな影響を与えることなくボットネット全体の残すIndicators of Compromise (IOCs) を縮小することができます。
問題の2台のデバイスはARMアーキテクチャを使用しておらず、数分後にはdota3[.]tar[.]gzという名前のファイルを含む二次ペイロードを受信しました。これは前世代のOutlawボットネット‘dota2’(人気のビデオゲームの名前をとったもの)の新シリーズともいうべきものです。このファイルの受信に伴って、これらのデバイスは世界に広がるOutlawボットネットの最新バージョンでアップデートされたようでした。
このダウンロードには、攻撃者による ‘Living off the Land’ (環境に寄生する)戦術の使用が一役買っています。これらのデバイスに既に存在している普通のLinuxプログラム(それぞれ‘curl’と‘Wget’)だけを使うことにより、Outlawは従来のセキュリティシステムによりアクティビティをマークされることを回避したのです。たとえばWgetは、表面上はWebサーバーからコンテンツを取得するのに使用する信頼できるプログラムであり、OutlawのTTP(戦術、テクニック、手順)の一部として過去に使用された記録がありません。
アプローチを進化させ適応させることにより、Outlawはルールベースのセキュリティを常に出し抜くことができたのです。しかしDarktraceの自己学習型AIはこれに対応し、このWget接続を即座に疑わしいものと識別してさらなる調査を指示しました。

図2:Cyber AI Analystは7月15日午前のWgetの使用を疑わしいものとして識別し、関係があるかもしれない7月14日の午前に発生したHTTP接続の調査を開始しました。このようにして、攻撃の全体像を構築します。
ボットネットの解明
その後36時間において、DarktraceはSSHと関連することの多いポート、たとえば22番、2222番、2022番などから未知の外部IPアドレスに対する600万回を超えるTCPおよびSSH接続を検知しました。
これらの接続によってボットネットが実際に何をしようとしていたのかは想像するしかありません。これらのデバイスはDDoS(Distributed Denial of Service)や、狙ったSSHアカウントに対するブルートフォース攻撃の一部として使用されていたか、あるいは単にボットネットをさらに拡大するために新しい標的を探し感染させるタスクを担っていたのかもしれません。 Darktraceはどちらのデバイスもこのイベント以前にはSSH接続を行っていなかったことを認識しており、Antigenaがアクティブモードで運用されていれば、これらを中断させる方策を実行していたことでしょう。

図3:2021年7月14日にボットがアクティブ化される前および後のデバイスの動作。モデル違反の大幅な増加は確認済みの「生活パターン」からの明らかな逸脱を示しています。
幸いなことに、どちらのデバイスの所有者もDarktraceの検知アラートに迅速に反応し、それぞれのデジタルエステートに対する深刻な被害が及ぶのを防ぐことができました。これらのデバイスが引き続きボットネットの影響下にあれば、その悪影響ははるかに深刻なものとなっていたはずです。
SSHプロトコルの使用により、Outlawは多数のアクティビティに転回していくことができたはずで、これらのデバイスのネットワークをさらに侵害し、それぞれの組織にデータ損失あるいは金銭的な損失を与えていたはずです。
保安官を呼ぶ:自己学習型AI
ルールベースのセキュリティソリューションは昔の西部劇の「お尋ね者」ポスターのようなもので、先週街にやってきた犯罪者を探す一方で、今日丘の上に現れた犯罪者に対する備えはありません。悪意あるハッカーや犯罪者達が攻撃のたびに新しい見た目を取り入れ新しいテクニックを活用する状況では、脅威に対する新しい対処の方法が必要です。
Darktraceは‘Outlaw’という名前も、彼らの攻撃の変化の歴史も、彼らを阻止する上で知る必要がありません。根本的な自己学習型アプローチにより、Darktraceは周囲の環境をゼロから学習し、サイバー脅威の兆候かもしれないかすかな変化を識別します。またAutonomous Responseにより、人間の介入を必要とすることなく、的を絞ったアクションを実行してマシンスピードで脅威を無害化することも可能です。
この脅威事例についての考察はDarktraceアナリストJun Qi Wong が協力しました。
Cyber AI Analystが複雑な攻撃を解明する方法について詳しく知る
技術的詳細
IoC:
IoC | ポート | コメント |
debian‑package[.]center 45.9.48[.]58 45.9.148[.]117 45.9.148[.]125 | 80, 443 | C2と暗号通貨マイニング(ポート80) |
45.9.148[.]59 | 80, 443 | C2接続 |
45.9.148[.]99 | 80, 443 | C2接続および繰り返しのIRC接続(ポート443) |
45.9.148[.]129 | 80, 443 | C2接続 |
45.9.148[.]23 tddwrt7s[.]sh | 80 | 二次ペイロードdota3を受信する命令を含むシェルスクリプトのダウンロード[.]tar[.]gz |
138.68.81[.]16 128.199.147[.]38 206.189.185[.]165 | 80 | 二次ペイロード、dota3[.]tar[.]gz |
dota3[.]tar[.]gz | SSHブルートフォースペイロードを含むバイナリ | |
curl/7.61.1 Wget/1.17.21 | シェルスクリプトをダウンロードするのに使用されたユーザーエージェント | |
22, 222, 2222, 20222 | 外部SSHスキャニングに使用されたTCPポート |
Darktrace によるモデル検知結果
- Compliance / Crypto Currency Mining Activity
- Compromise / High Priority Crypto Currency Mining [Enhanced Monitoring]
- Anomalous Connection / New User Agent to IP Without Hostname
- Anomalous File / Zip or Gzip from Rare External Location
- Anomalous Connection / Application Protocol on Uncommon Port
- Device / Increased External Connectivity
- Unusual Activity / Unusual External Activity
- Compromise / SSH Beacon
- Compromise / High Frequency SSH Beacon
- Anomalous Connection / Multiple Connections to New External TCP Port
観測されたMITRE ATT&CKテクニック
Reconnaissance | T1595 — Active Scanning T1595.001 — Scanning IP Blocks |
Resource Development | T1584 – Compromise Infrastructure T1588 – Obtain Capabilities T1588.001 – Obtain Capabilities: Malware T1608 – Stage Capabilities |
Defense Evasion | T1036.005 — Match Legitimate Name or Location |
Command and Control | T1071 – Application Layer Protocol T1095 – Non-Application Layer Protocol T1071.001 – Application Layer Protocol: Web Protocol T1571 – Non-Standard Port |
Impact | T1496 — Resource Hijacking |