OTをダウンさせたContiランサムウェア
ランサムウェアは世界を席巻しており、影響を受けているテクノロジーはITだけではありません。ITとの融合がますます進んでいるOT(Operational Technology)もランサムウェアの戦術、テクニック、手順(TTP)に影響を受けます。そして、ランサムウェアがOTを襲ったとき、その結果は壊滅的となる可能性があります。
本稿では、ITからOTシステムへ拡散したランサムウェア攻撃の事例を見ていきます。この攻撃はDarktraceのAIにより検知されたものです。
この脅威検知事例は、ランサムウェア攻撃をその最も早い段階で、被害が出る前に阻止するという、DarktraceのテクノロジーがOTを運用する組織にもたらす絶大な価値を示しています。これは特に、エンタープライズ環境と産業用環境が相互接続されている組織に有効です。それは次の理由によります:
- 発生した攻撃がOTに水平移動する前に、IT内で、しかもIT内でデバイスからデバイスに拡散する前に封じ込めることができる。
- 産業用環境に対してきめ細かい可視性を獲得し、通常のアクティビティからの逸脱を検知し、是正のためのアクションを迅速に特定することができる。
脅威検知結果:ITおよびOTシステムに影響を及ぼしたランサムウェアおよびクリプトマイニングを目的とした乗っ取り
Darktraceは最近、EMEA地域においてOT R&D投資会社を狙ったアグレッシブな攻撃を検知しました。この攻撃は当初クリプトマイニング作戦として開始され、その後ランサムウェアに発展したものです。この組織は、3,000台以上のデバイスからなるITおよびOTアセットを含むデジタルエステートにDarktraceを導入していました。
この組織がDarktraceのAutonomous Response テクノロジーをアクティブモードで運用していれば、この脅威はその最も早い段階で阻止されていたはずです。しかし、Autonomous Responseが使用されていなくても、人間が注意を払っていただけでこの攻撃の進行を食い止めることはできたでしょう。Darktraceの自己学習型AIは、ランサムウェアのデトネーションが起こる前の月から、侵害が続いていることについて明確な兆候があることを知らせていました。しかし、このケースでは、セキュリティチームがDarktraceのGUIを見ていなかったため、攻撃は進行しました。
侵害されたOTデバイス
この脅威事例では、2台のOTデバイス、具体的には、HMI(Human Machine Interface)および産業用データを収集しログ記録を取るのに使われるICS Historianを乗っ取るのに使われた攻撃テクニックに的を絞ります。これらのOTデバイスはどちらもWindows OSを実行するVMWare仮想マシンであり、より広範なContiランサムウェア攻撃の一部として侵害されました。どちらのデバイスも主として産業用制御システム(ICS)内で使用されており、一般的なICSソフトウェアパッケージを実行し、産業用クラウドプラットフォームに定期的に接続を行っていました。
したがってこれらのデバイスはICSaaS(ICS-as-a-Service)環境の一部であり、仮想プラットフォームおよびクラウドプラットフォームを使ってアナリティクスの実行、脅威インテリジェンスの更新、産業用プロセスの制御を行っていました。以前 Darktraceが明らかにしたように、クラウドとICSの統合はネットワークのアタックサーフェスを拡大し、サイバーリスクを増幅させます。
攻撃ライフサイクル
開始段階
OTデバイスの最初の感染は、侵害されたドメインコントローラ(DC)が不審なActive Directoryリクエストを行った時に発生しました。デバイスはこれに続いて、攻撃者がコマンドを実行するのに使う epmapper および、認証ポリシーと権限昇格に使う lsarpcに対するDCE-RPC バインドを行いました。
OTデバイスがSMBを使ってDC上のsysvolフォルダに接続しSetupPrep.exe.と呼ばれる悪意ある実行形式ファイルを読み取ることでペイロードが配信されました。
図1:10月21日の最初の感染から11月15日のデトネーションまでの間にネットワーク全体で発生したDarktraceモデル違反
図2:ランサムウェアのデトネーション前、実行中、実行後のHMI上のICS Readsメトリック
デバイス暗号化と水平拡散
悪意あるペイロードは3週間に渡りOTデバイス上で休眠していました。攻撃者はこの時間を使ってクリプトマイニングマルウェアをネットワークの他の場所にインストールし、足場を固めていたように見えます。
ランサムウェアが発動した日、攻撃者はリモート管理ツールを使って暗号化を開始しました。感染したサーバー(最初のDCとは別のサーバー)上でPSEXEC ツールが使われ、侵害されたOTデバイス上で悪意ある.dllファイルをリモート実行しました。
デバイスはその後コマンド&コントロール(C2)接続を未知の外部エンドポイントに対して疑わしいポートを使って行おうとしました。多くのICSネットワーク同様、HMIデバイスがインターネットに接続することを防ぐため十分なネットワーク分離が行われていたため、C2接続は失敗しました。しかし、困ったことに、C2通信が失敗しても攻撃の進行もランサムウェアの発動も止まりませんでした。
Historianデバイスはおよそ40の外部エンドポイントに対してC2通信を成功させました。Darktraceは465、995、2078、2222を含む不審なTCP/SSLポートでビーコニングタイプの挙動を検知しました。これらの接続はSNI(Server Name Indication)拡張ホスト名が指定されていない、自己署名または期限切れのSSL証明書を使った未知のIPアドレスに対して行われました。
どちらのデバイスもネットワークSMB共有を列挙し疑わしいシェルスクリプトをネットワークサーバーに書き込んでいました。最後に、これらのデバイスはSMBを使ってネットワーク共有に格納されていたファイルを暗号化し、この被害者企業独自のファイル拡張子を付け加えました。これを本稿では仮にABCXXとします。ほとんどの暗号化されたファイルはファイルが元々あったフォルダにアップロードされましたが、一部は画像フォルダに移動されていました。
暗号化中、デバイスはマシンアカウントを使ってSMBセッションの認証を行っていました。これはDarktraceが観測した他のランサムウェアとは異なっていました。それらにおいては管理者またはサービスアカウントが侵害されて攻撃者に悪用されていました。このケースでは、攻撃者が‘Living off the Land’(環境に寄生する)テクニック(たとえば lsarpcパイプの使用など)を使ってマシンアカウントに管理者権限を与えることに成功していました。
暗号化され移動されたファイルの例:
- SMB move success
- File: new\spbr0007\0000006A.bak
- Renamed: new\spbr0007\0000006A.bak.ABCXX
- SMB move success
- File: ActiveMQ\readme.txt
- Renamed: Images\10j0076kS1UA8U975GC2e6IY.488431411265952821382.png.ABCXX
ランサムウェアのデトネーション
デトネーションに伴い、身代金要求文readme.txtがICSによって暗号化アクティビティの一環として標的となったデバイスに書き込まれました。
このデバイスで見られた最後のモデル違反は “Unresponsive ICS Device” でした。デバイスはランサムウェアの影響により機能しなくなった、あるいはネットワークから取り除かれたことを示しています。
図 3: abc-histdev — デスティネーションポート995でフィルタリングした外部接続は暗号化が始まる約1時間前にC2接続が始まったことを示しています。
攻撃はセキュリティスタックのその他の部分をどのようにすり抜けたか
この脅威事例では、OTデバイスが侵害されるに至った多数の要因がありました。
第一に、IT/OTの統合があります。ICSネットワークはコーポレートネットワークからの分離が不十分でした。このことは、攻撃の水平移動段階において、侵害されたDCからデバイスがアクセスされることを意味します。OTがITへの依存を深める中で、適切な分離を確実にすること、あるいは攻撃者がこの分離を回避できないようにすることは、セキュリティチームにとってますます大きな課題となりつつあります。
もう一つの理由は、攻撃者が「環境に寄生する」テクニックを利用した攻撃手法をとり、デバイスがITネットワークの一部であるかOTネットワークの一部であるかに関係なく侵害したということです。本稿で解説したデバイスを含めICSネットワークの運用に使用されるマシンの多くは、この事例で観測されたような、ランサムウェアグループが頻繁に使用しているTTPに対して脆弱なオペレーティングシステムに依存しています。
Darktraceによる考察
DarktraceのCyber AI Analystは侵害された複数のデバイスに発生した通常と異なる様々な形のアクティビティをつなぎ合わせ、攻撃の詳細を解説した明確な経緯説明を作成しました。Historianサーバーのインシデントレポートを以下に示します。これはCyber AI AnalystがITおよびOTスペシャリスト間のあらゆるスキルギャップおよびコミュニケーションギャップを埋めることができることを明確に示すものです。
図4:Historianサーバー(abc-histdev)に対するCyber AI Analystの表示。Cyber AI AnalystはC2通信(ステップ2)がTCPスキャニングを使ったネットワーク偵察(ステップ3)の直前に開始されていること、およびSMBを使ったファイル暗号化(ステップ4)を調査しレポートしています。
このデジタルエステート内の攻撃者の滞在時間は合計25日間でした。残念なことに、それはOTの中断、ファイル暗号化、金銭的損失につながってしまいました。全部で36台のデバイスが20日間に渡ってクリプトマイニングに使われ、その後100台近くのデバイス(ITとOT双方)がランサムウェアのデトネーション後に暗号化されました。
Autonomous Responseがアクティブに設定されていればこのアクティビティは無害化され、危機に発展する前に被害を食い止めることができたはずです。Darktraceの自己学習型AIは、ランサムウェアのデトネーションが起こる前の月から、侵害が続いていることについて明確な兆候があることを知らせていました。つまり、Darktraceの検知結果に対して人間の注意が少しでも向けられていれば、この攻撃は阻止することができたはずです。
Autonomous Responseは柔軟な設定が可能であり、産業用環境において、エアギャップされたOTあるいはIT/OTエコシステムが統合された環境のいずれにおいても、Antigenaはさまざまな方法で展開することができます。Human Confirmationモードでは、AIがアクションを実行する前に、人間のオペレーターが青信号を出す必要があります。Antigenaは、Purdueモデルの高位レベル、「OT内のIT」にのみ適用し、ランサムウェア等の動きの速い攻撃からコアアセットを保護することもできます。
相互接続されたIT/OTシステムとランサムウェア
ICSネットワークは多くの場合、ランサムウェアグループが日常的に使用しているTTP(ITとOTを区別しない「環境に寄生する」手法など)に影響を受けるオペレーティングシステムに依存したマシンで運用されています。
重要インフラを含め、OTを運用している組織に対してランサムウェアが与える脅威は非常に深刻であり、Cyber Infrastructure and Security Agency (CISA) は2021年夏にこれらの脅威についての ファクトシート を発行し、IT攻撃がOTネットワークに与えるリスクに言及しています。
“OTコンポーネントはしばしばITネットワークに接続されており、サイバー攻撃者がITからOTネットワークに移動するための経路を提供しています… 最近のサイバーインシデントにも見られるように、ITネットワークに対する侵入は、直接OTネットワークに対するものでないにも関わらず、重要なOTプロセスに影響を及ぼします。”
Colonial PipelineおよびJBS Foodsに対する大規模なランサムウェア攻撃は、ランサムウェアがOTに影響して国家規模および国際的規模で深刻な経済的混乱を引き起こす可能性を実証しました。そして、ランサムウェアは直接OTシステムを狙ったものかどうかに関係なく、OTシステムに大惨事を引き起こすことができます。
産業用環境の統合と進化が継続するなかで、 IT/OT、ICSaaS、あるいは単に分離が不十分な複数のレガシーシステムであっても、Darktraceは被害が起こる前に攻撃を封じ込めるための備えができています。産業用環境を運用する組織は今こそDarktraceの自己学習型AIが提供する飛躍的進歩を取り入れる時です。
この脅威についての考察はDarktraceアナリストAsh BriceおよびAndras Baloghが協力しました。
技術的詳細
IoC
| IoC | コメント |
| 2.222.167[.]138 23.111.114[.]52 37.210.152[.]224 41.86.42[.]158 41.228.22[.]180 45.14.227[.]55 45.46.53[.]140 47.40.196[.]233 65.100.174[.]110 68.204.7[.]158 72.252.201[.]69 75.107.26[.]196 75.188.35[.]168 76.25.142[.]196 80.6.192[.]58 81.241.252[.]59 81.250.153[.]227 86.8.177[.]143 88.119.175[.]251 89.101.97[.]139 92.59.35[.]196 92.157.171[.]41 103.142.10[.]177 105.198.236[.]99 120.150.218[.]241 122.11.220[.]212 136.143.11[.]232 140.82.49[.]12 146.66.238[.]74 162.244.227[.]34 173.21.10[.]71 182.181.78[.]18 186.18.205[.]199 186.87.135[.]68 188.172.198[.]157 199.27.127[.]129 213.227.162[.]125 216.201.162[.]158 217.17.56[.]163 | これらのエンドポイントの多くは Qakbot、EmotetまたはCobaltStrikeと関連しています |
| 89.238.170[.]229 | データ抜き取りに利用 |
| SetupPrep.exe emaii4z.TMP cLdC0Ut.TMP 0Tnt0QF.TMP kD7tbSIw.TMP gz4HpKRXi.TMP 6qS717r.TMP stager2.dll REDACTED.dll vnwqpvhmjfvzuq.dll razvlketdkdsg.dll fhgeyqjvjyy.dll ndnvvgrpvbe.dll oabyscyuqrxp.dll vtyeqbzujzqh.dll wnukneahyukzuk.dll AnalyzeMac.sh change.bat | 水平移動およびランサムウェア暗号化に関連した疑わしいファイル |
Darktrace によるモデル検知結果:
デトネーション時の時間順のHMI:
- Anomalous Connection / SMB Enumeration
- Anomalous File / Internal / Unusual SMB Script Write
- Anomalous File / Internal / Additional Extension Appended to SMB File
- Compromise / Ransomware / Suspicious SMB Activity [Enhanced Monitoring]
- ICS / Unusual Data Transfer By OT Device
- ICS / Unusual Unresponsive ICS Device
Historian
- ICS / Rare External from OT Device
- Anomalous Connection / Anomalous SSL without SNI to New External
- Anomalous Connection / Multiple Connections to New External TCP Port
- ICS / Unusual Activity From OT Device
- Anomalous Connection / SMB Enumeration
- Anomalous Connection / Suspicious Activity On High Risk Device
- Unusual Activity / SMB Access Failures
- Device / Large Number of Model Breaches
- ICS / Unusual Data Transfer By OT Device
- Anomalous File / Internal / Additional Extension Appended to SMB File
- Device / SMB Lateral Movement
- Compromise / Ransomware / Suspicious SMB Activity [Enhanced Monitoring]
- Device / Multiple Lateral Movement Model Breaches [Enhanced Monitoring]
