テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

Kaseyaサーバー経由のREvilのインパクトを最小化する

Max Heinemeyer, Director of Threat Hunting | 2021年7月9日金曜日

米国が独立記念日の週末に向けて準備をしていた頃、ランサムウェアグループであるREvilはKaseyaのソフトウェアの脆弱性を悪用してMSP(Managed Service Providers)およびそれらの顧客に対する攻撃をしかけました。少なくとも1,500社が影響を受け、その中にはKaseyaと直接関係のない企業も含まれていました。

本稿執筆時点では、Kaseya VSAサーバーへのアクセスが獲得するためにゼロデイ脆弱性が悪用され、その後これらのVSAサーバーが管理するエンドポイントにランサムウェアが展開されたと見られています。 この手口は、これまでの人間が操作した直接の侵入によるランサムウェア攻撃とは大きく異なっていました。

以下の分析結果は、実際の例に基づいたこの攻撃に対するDarktraceの考察です。自己学習型 AIがどのようにこのランサムウェア攻撃を検知し、Antigena がネットワーク上の顧客データを暗号化から守ったかを解説します。

ネットワークの視点からREvilランサムウェアを解剖

Antigenaは、暗号化が始まると即座にネットワーク上のランサムウェアの初期の兆候を検知しました。以下の図はSMB共有を使ったランサムウェアによる暗号化の開始を示しています。この画面をキャプチャした時、ランサムウェアが発生中でありそれはこれまでに見たことのないものでした。新しい脅威ではありましたが、Darktraceは静的なシグネチャやルールに依存することなくネットワーク暗号化を停止させました。

図1:Darktraceが感染したデバイスからの暗号化を検知

ランサムウェアは11:08:32にアクションを開始しています。これは感染したラップトップからSMBサーバーへの‘SMB Delete Success’で示されています。このラップトップはそのSMBサーバー上のファイルを読み取ることはたまにありましたが、このファイル共有からこれらの種類のファイルを削除することはありませんでした。そのためDarktraceはこのアクティビティを新しく通常とは異なるものとして検知しました。

同時に、感染したラップトップは身代金要求文 ‘943860t-readme.txt’を作成しました。この、SMBサーバーへの ‘SMB Write Success’ も新しいアクティビティでした。そして重要な点は、Darktraceは静的な文字列や既知の身代金要求文を探したのではないということです。そうではなく、あらゆるエンティティ、ピアグループ、そしてエンタープライズ全体の「通常の」動作を学習することにより、このアクティビティが組織とデバイスにとって普通ではない新しいものだということを識別したのです。

これらのかすかな異常を検知し相関づけることにより、Darktraceはこれがネットワーク上で発生しているランサムウェア暗号化の最も初期段階であることを特定しAntigenaは即座にアクションを取りました。

図2:Antigenaのアクションを示すスナップショット

Antigenaはピンポイントに2段階の対処を実施しました:

  1. 「生活パターン」を5分間に渡り強制する: これにより感染したラップトップが新しいあるいは通常とは異なる接続を行うのを防ぎます。このケースでは、さらなるSMB暗号化アクティビティが行われるのを防ぐことができました。
  2. デバイスを24時間隔離する: 通常、Antigenaはそのような極端なアクションをとらないのですが、このアクティビティはランサムウェアの挙動を強く示していることが明確であったため、Antigenaはネットワーク上でデバイスを完全に隔離しこれ以上の被害が及ばないようにすることを決定しました。

数分間、感染したラップトップはSMBを介して他の内部デバイスに接続し暗号化アクティビティを継続しようとしていました。これはAntigenaによりあらゆる段階でブロックされ、攻撃の拡散を抑えるとともに、ネットワーク暗号化による危険が緩和しました。

図3:攻撃の終わり

技術的なレベルで見ると、Antigenaはたとえば既存のファイアウォールなどのネイティブセキュリティコントロールとのインテグレーションを通じて、あるいは自らアクションを取ることにより、ブロッキングメカニズムを提供し、接続を中断しています。

以下の図は感染したラップトップのすべてのネットワーク接続の「生活パターン」を示しています。3つの赤い点がDarktraceによる検知結果を示し、REvilランサムウェアがこのラップトップにインストールされた瞬間をピンポイントで特定しています。この図はAntigenaがデバイスを隔離するとともにすべてのネットワーク接続が突然停止した様子も示しています。

図4:感染したラップトップからのネットワーク接続

攻撃はいつでも侵入する

このインシデントでは、暗号化の一部はDarktraceが可視性を持っていないエンドポイントデバイス上でローカルに発生していました。さらに、最初に侵害を受けたインターネットに接続されていたKaseya VSAサーバーも、Darktraceからは見えないところにありました。

それにも関わらず、自己学習型AIは感染がネットワークに到達すると即座に検知しました。これは、エンタープライズ内で活動中のランサムウェアに対して防御できることの重要性を示しています。1つの防御レイヤだけに依存して脅威を締め出すことは不可能です。攻撃者は必ず、いつかは、環境に侵入するのです。したがって、防御に対するアプローチも敵が一旦内側に侵入したときの検知と被害の軽減に変更していく必要があります。

多くのサイバー攻撃がエンドポイントコントロールを回避して企業内の環境にアグレッシブに拡散することに成功しているのです。Darktraceの自動対処技術はそのようなケースに対しても、たとえ新手の攻撃や新種のマルウェアであっても、レジリエンスを提供できます。

自己学習型AIの力により、REvilの攻撃で使われたランサムウェアはネットワークを介した暗号化を実行することはできず、ネットワーク上のファイルは守られたのです。これには、Kaseyaがインストールされていない、したがって悪意ある更新によって直接ペイロードを受信していない、この組織の重要なファイルサーバーも含まれていました。攻撃の発生に対応して即座にこれを中断させたAntigenaは、ネットワーク共有上の数千のファイルが暗号化されるのを防ぎました。

その他の観測結果

データ抜き出し

Darktraceが過去に検知した他のREvil侵入事例とは異なり、データ抜き出しは観測されませんでした。多くの企業がバックアップを強化したことを受け、サイバー犯罪者達が身代金要求のためにデータを抜き出すことに重点をおくようになった昨年来の全体的傾向とは異なっているのが興味深い点です。

ビットコイン

REvilはビットコインでの総額7,000万ドルの支払いを要求しました。利益の最大化を狙うグループにしては、これは2つの理由で奇妙です:

  1. 影響を受けたかもしれない数千もの組織から1つの事業者が7,000万ドルもどうやって集められると思ったのでしょうか?仮にKaseyaが主体となって資金を集められると考えていたとしても、これには膨大なロジスティクス上の手間がかかることを認識していたはずです。
  2. DarkSideがColonial Pipeline社の身代金 のほとんどへのアクセスを失って以来、ランサムウェアグループはビットコインよりもMoneroでの支払いを要求するようになってきました。Moneroはどうやら法執行機関が追跡することがより難しいようです。REvilはより追跡可能な暗号通貨であるビットコインを使用しており、利益の最大化といういつもの目標と相反するように見えます。

サービスとしてのランサムウェア(RaaS)

Darktraceは同じ週末に、より従来型の「大物狙い」のREvil ランサムウェア攻撃が発生していたことを検知しました。これは驚くことではありません。REvil はRaaSモデルで動いているため、Kaseyaサプライチェーン攻撃の実行中に、別の関連グループがいつもの大物狙いの攻撃を継続していたものと見られます。

予測不可能は防御不可能ではない

この独立記念日の週末には、大規模なサプライチェーン攻撃がKaseyaに対するものとは別に、カリフォルニア州にある卸売企業Synnexに対しても発生していました。攻撃は、ゼロデイ、ソーシャルエンジニアリング戦術、およびその他の高度なツールを使ってあらゆる方向から発生しています。

上記の事例は自己学習型テクノロジーがこうした攻撃の検知と被害の最小化に有効であることを示しています。他の防御レイヤー、たとえばエンドポイント保護や脅威インテリジェンスや既知のシグネチャおよびルールなどが未知の脅威を検知できないケースにおいて、自己学習型テクノロジーは多層的防御の重要な一部分を担います。

攻撃はミリ秒の速さで発生し、人間のセキュリティチームが対応できるレベルを超えていました。自動対処技術はこの新世代のマシンスピード攻撃に対抗する上で欠かせないテクノロジーであることが実証されています。世界中の数千の組織を24時間保護し、毎秒攻撃を阻止しているのです。

Darktraceの自動対処技術について詳しく知る

Darktrace によるモデル検知結果

  • Compromise / Ransomware / Suspicious SMB Activity
  • Compromise / Ransomware / Suspicious SMB File Extension
  • Compromise / Ransomware / Ransom or Offensive Words Written to SMB
  • Compromise / Ransomware / Ransom or Offensive Words Read from SMB

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.