スタートダッシュ:Darktrace AIが導入1日目でEgregorランサムウェアを検知
今年SOC内での話題を形成したのはランサムウェアであることは周知の事実です。攻撃者達は新しいマルウェア変種やその他の巧妙なテクニック、ツール、手順を用いて従来型のセキュリティツールをすり抜けてきました。これらの攻撃はますます高度化し阻止が難しくなっているだけでなく、身代金も高額化しており、ある調査によれば昨年と比較して平均身代金要求額は500%以上増大 しているとも言われています。
新種のランサムウェア攻撃を阻止するには、セキュリティチームは過去の攻撃を元に設定された「バックミラー」型ツールを卒業し、ビジネスをゼロから学習して的を絞ったアクションで自律的に対処し脅威を封じ込めるAIテクノロジーに転換を図る必要があります。
本ブログでは、ある公益事業会社においてDarktraceのAIが導入初日からランサムウェアを見つけ出した最近の事例を解剖し、最も巧妙な攻撃に対しても防御者が対応できる方法を紹介します。これはEgregorと呼ばれる特に破壊的なランサムウェアであり、ウクライナ、フランス、アメリカの警察組織の協調した取り組みにより壊滅したと思われているものですが、2020年冬から2021年にかけて大混乱を引き起こし、150社を攻撃し400万ドルに上る身代金を要求しました。
Egregor攻撃を解剖する
図1:攻撃のタイムライン
最初の侵入はDarktrace導入前に発生していました。これは、主にスパムEメールを介して拡散するトロイ型マルウェア Emotet によるものでしたが、これについても攻撃発生後に阻止 されました。Antigena Emailがインストールされていれば、DarktraceのAIが悪意あるEメール内のかすかな偏差を識別し、対処を実行することによりランサムウェア攻撃をその最も初期の段階で封じ込めていたと思われます。このケースでは、Antigena Emailはインストールされていなかったため、攻撃は進行しました。
2020年11月27日、DarktraceのAIが導入され、組織のあらゆるユーザーとデバイスの「生活パターン」の学習を開始しました。組織の学習を開始した初日から、このテクノロジーは1台のノートPC上で疑わしい外部接続を検知しました。これは同類のデバイスグループの「生活パターン」から逸脱して未知のドメインへのビーコニングを行っており、後にこれらのドメインはマルウェアアクティビティとの関連が明らかになりました。
その後水平移動と権限昇格インジケータが観測され、Eメールを乗っ取ろうとした形跡もありました。DarktraceのAIは通常とは異なる新たなsvcctlリクエスト、新たなリモートプロシージャコール、そしてSMBv2を使った疑わしい実行形式ファイル書き込み、さらにEメール関連ポートを介した新たな外部接続も検知されました。
点と点を結ぶ:Cyber AI Analystによる調査
この通常とは異なるアクティビティによりトリガされたDarktraceのCyber AI Analystは、コマンドアンドコントロール接続、疑わしい実行形式のSMB書き込み、および権限昇格を含め、キルチェーンのすべての観測可能なステージに対して調査を開始しました。
その後、攻撃のすべてのステージを明らかにしたインシデントサマリーを自動的に生成し、迅速な対応のためにセキュリティチームが必要としていたすべての情報を提示しました。
図2:Cyber AI Analystはトリアージを行ってこのデバイスからの悪意あるアクティビティをレポートし、キルチェーンの各ステージに対する有用なメトリックおよび自然言語で記述されたサマリーを提示しました。
図3:Darktrace UIに表示されたこのグラフは、Cyber AI Analystがキルチェーンのさまざまなステージを検知し、イベントのタイムラインと相関づけたものです。
図4:Darktraceはこのデバイスに対する外部接続の急激な増加を青で示し、DCE-RPCリクエストを緑で示しています。それぞれの点は、このデバイスから発生した通常とは異なる疑わしいアクティビティによりトリガされたモデル違反を表しています。外部接続の急激な増加は、内部のDC-RPCリクエストの急増と一致しており、このデバイスがC2接続実行中に水平移動しようとしていたことを示しています。
このケースでは、DarktraceのAIによるリアルタイムの検知と、DarktraceのSOCチームからの高確度の警告があったことにより、この会社のセキュリティチームは当該デバイスをネットワークから隔離し、暗号化が開始される前に攻撃を封じ込めることに成功しました。
この攻撃シナリオではAIを使った検知だけでも阻止するには十分でしたが、検知だけに頼ることは危険でもあります。攻撃の平均滞留時間は特にランサムウェアにおいて短縮化しており、人間のチームに代わってアクションを実行するAutonomous Responseがきわめて重要となりつつあります。対応するセキュリティチームがいない業務時間外を狙い、すばやくデータ抜き出しと暗号化を実行する攻撃がますます増えているからです。こうしたケースでは、即座に対処する機能を伴わない検知は役に立ちません。
Autonomous Response:ランサムウェア防御に革命をもたらす
最近の衝撃的ないくつかの攻撃によって私達はランサムウェアの新時代に突入しました。最高責任者やその他のエグゼクティブの65%が、今後12か月間においてランサムウェアは彼らが直面する主要な問題となるだろうと考えています。
各種ルール、シグネチャ、過去のデータに依存するセキュリティ防御に頼りすぎることにより、組織は新種のランサムウェアに対して脆弱になってしまうことが証明されています。ランサムウェアに関しては、未知の攻撃に備えることができないと、ビジネスはしばしば困難なジレンマに陥ります。業務を停止しすべてをオフラインにして暗号化を止めるか、システムを暗号化され多額の身代金を突き付けられるかを選択しなければなりません。
しかし第三の道もあります。それは自己学習型AIを使って組織をゼロから理解し、サイバー脅威の兆候かもしれないかすかな違いを、過去に見られた脅威かどうかに関係なく特定する方法です。さらに、Autonomous Responseにより攻撃がいつ起こっても高速かつ正確なアクションを確実にとることができます。最も油断のないチームであっても現在のランサムウェア攻撃のマシンスピードに追いつくことは到底不可能ですが、Autonomous Responseはこれらの巧妙な脅威を、それらが出現した瞬間に阻止することが可能です。事実、それが今日のランサムウェア攻撃に同じ土俵で対抗できる唯一の方法です。
この脅威事例についての考察はDarktraceアナリストDylan Evansが協力しました。
IoC:
| IoC | コメント |
| 110.145.11[.]73 37.187.72[.]193 | IPへのHTTP Post/C2通信/Emotet |
| amajai-technologies.support | ビーコニング/C2通信/Egregor |
| 167.99.105[.]11 | HTTP Post/C2通信/Emotetにより投下されたQakbot |
| 142.112.10[.]9 217.165.96[.]127 | FTP通信の失敗、Qakbotの兆候;不成功の場合QakbotはHTTP Postにデフォルト |
| 47.44.217[.]98 | SSL ビーコニング/C2/Qakbot |
| 185.201.9[.]197 167.99.105[.]11 | URLコールバックの可能性 |
| 50.246.154[.]69 | HTTPビーコニング |
| 207.246.75[.]201 | SSLビーコニング/自己署名SSL/C2/Qakbot |
Darktraceモデル違反:
- Anomalous Connection / Anomalous SSL without SNI to New External
- Anomalous Connection / Posting HTTP to IP Without Hostname
- Experimental / Possible Emotet Callback URL
- Device / Large Number of Model Breaches
- Device / Lateral Movement and C2 Activity
- Compromise / SSL or HTTP Beacon
- Device / Multiple Lateral Movement Model Breaches
- Compromise / Suspicious SSL Activity
- Compromise / Unusual SMB Session and DRS
- Compromise / Suspicious Spam Activity
- Compromise / Unusual DRS Activity
- Anomalous Connection / High Volume of New or Uncommon Service Control
- Compromise / Beaconing Activity To External Rare
- Compliance / SMB Drive Write
- Experimental / Anomalous GetNCChanges and Kerberos Ticket
- Experimental / New or Uncommon SMB Named Pipe V4
- Device / Large Number of Connections to New Endpoints
- Anomalous Connection / New or Uncommon Service Control
- User / New Admin Credentials on Client
- Anomalous Connection / Possible Outbound Spam
- Compromise / New or Repeated to Unusual SSL Port
- Compromise / Slow Beaconing Activity To External Rare
- Anomalous Connection / Anomalous SSL without SNI to New External
- Experimental / New or Uncommon SMB Named Pipe V3
- Experimental / Anomalous DRSGetNCChanges Operation
- Anomalous Connection / Possible Callback URL
- Compromise / Sustained SSL or HTTP Increase
- Anomalous Connection / Multiple SMB Admin Session
- Anomalous Connection / Rare External SSL Self-Signed
- Anomalous Connection / Posting HTTP to IP Without Hostname
- Device / New Failed External Connections
- Anomalous Connection / Suspicious Self-Signed SSL
- Compromise / SSL Beaconing to Rare Destination
- Compromise / HTTP Beaconing to Rare Destination
- Experimental / Rare Device TLS Agent
