テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

サービスとしてのランサムウェア(RaaS):政府機関を標的にした Eking

Max Heinemeyer, Director of Threat Hunting | 2020年9月7日月曜日

過去何年間も深刻な脅威として広く認識されているにも関わらず、ランサムウェアは引き続き根強く存在しています。この脅威ベクトルに対する全世界でのコストは 2021 年には 200 億ドルに達する と予測されています。攻撃者にとってはこのレベルの金銭的見返りがあるのですから、攻撃を成功させるために新種のランサムウェアを開発しテクニックを高度化させてセキュリティツールをすり抜けようとしているのも当然でしょう。

ここ数週間において、Darktrace の AI は攻撃者が市販の製品を悪用してアフリカの小売業者にランサムウェアを展開 しようとした事例、さらには注目を集めた WastedLocker ならびに Emotet 攻撃の事例を検知しました。まず Eking ランサムウェア (Phobosランサムウェアファミリーの変種)が APAC 地域の政府機関を標的とした事例を見てみましょう。

この攻撃は RaaS(Ransomware-as-a-Service)の一例と考えられます。RaaS は低レベルの脅威アクターが高度なマルウェアを利用することができるため、セキュリティチームにとっては特にやっかいな脅威です。本稿では Eking ランサムウェアを詳しく解説し、Cyber AI によりセキュリティチームが異常な挙動の発生とともにこれを認識し脅威の進行及び被害の発生を防止した事例を紹介します。また、Darktrace の Cyber AI Analyst がより広義のセキュリティインシデントを自律的に調査し、アクティビティの展開とともに分かりやすくアクションを取りやすいレポートを生成した様子も紹介します。

攻撃の概要

内部のサーバーが Darktrace の監視外の攻撃ベクターを介して Eking ランサムウェアに感染しました。これは E メールに含まれた悪意あるリンクを職員がクリックした結果とみられます。Antigena Email であればこの E メールの疑わしい特徴を識別し、職員の受信箱に到達しないようにして最初の垣根で脅威を阻止することができたはずでした。しかしこのケースでは、顧客はネットワークに対してのみ Cyber AI を展開していました。それでも、Darktrace の Immune System はランサムウェアの兆候である水平移動と暗号化アクティビティを特定することができました。

感染したデバイスは社内のサブネットの 1 つで内部偵察アクティビティを開始しました。これにはSRVSVC および winreg パイプを介した SMB 列挙、ならびに一般的にエクスプロイトされやすい10 個のポートに対する広範なスキャニングも含まれていました。攻撃のこの段階では Nmap の兆候も検知されました。

このスキャニングが終了してから 4 時間半後、感染したサーバーは 2 つ目のサーバーでファイルの暗号化を開始しました。このデバイスは 1 日あたり数回の内部接続しか行っていなかったものが、1 時間未満で数千もの接続を行うようになりました。このような挙動の劇的な変化は Darktrace のAI により脅威の可能性が高いものとして即座に検知され、Cyber AI Analyst は自動的に調査を開始しました。

図 1:イベントの概要

内部偵察と暗号化 (時には爆破と呼ばれることもあります) は現地時間の深夜に実行されました。これは攻撃者の戦略によるものだったかもしれません。深夜であればネットワークを活発に監視しているセキュリティプロフェッショナルの数もおそらく少なく、組織の対応のスピードが遅くなるからです。エンドポイントでの防御はこの脅威を防止できませんでした。このことは、おそらくEking ランサムウェアの若干変更された亜種であったためにシグネチャベースのツールをすり抜けることができたことを意味しています。

Darktrace は E メール、IoT、クラウド環境に対して完全なカバレッジを提供していますが、ビジネス上の理由やセグメント化によってセキュリティチームが組織全体に対する完全な可視性を得られないこともあります。しかし、不完全なデータや最適とは言えないカバレッジであっても、Cyber AI はこの脅威の出現を特定することができました。

AI Analyst のカバレッジ

最初のモデル違反が発生すると、これがトリガとなり Darktrace Cyber AI Analyst がイベントの展開に沿ってリアルタイム調査を開始しました。水平移動とその後の暗号化などの挙動をつなぎ合わせ、これらの個別のイベントがより大きなセキュリティインシデントの一部であることを認識しました。Cyber AI Analyst はインシデントサマリーを表示し、セキュリティチームがレビューを行い対応のアクションを取るためのいくつかの主要なメトリックを提示しました。

図 2:サブネットの内部偵察が多数の重要なポートに対して行われた

図 3:攻撃の暗号化段階

図 4:接続と異常なアクティビティのグラフは、このデバイスの通常の動作と比較してこのアクティビティがいかに重大な逸脱であったかを示している

既製品:サイバー犯罪の商品化

このインシデントは、RaaS(Ransomware-as-a-Service)の拡大により、比較的低レベルの脅威アクターがランサムウェアの高度な新種やよく知られた攻撃の新しい亜種などにもアクセスできるということを示しています。サイバー犯罪市場は 16 億ドルの規模があると推測されており、この数字は比較的新しいこの「産業」が成熟するにつれて拡大する一方であると思われます。その結果、前述のような高度なサイバー攻撃の犯人となる可能性があるのはもはやプロフェッショナルなサイバー犯罪者組織に限定されません。彼らはその戦術、テクニック、手順を、適正な価格を支払う意思のある幅広い脅威アクターに提供しているのです。より低いレベルの脅威アクターがそれらにアクセスできるようになれば、より多くの組織がますます洗練された脅威の標的となるでしょう。

今週も、Darktrace は米国内の小売り企業を Sodinokibi ランサムウェアが襲った、注目を集めたRaaS の事例を観測しました。感染したデバイスは特異な管理アクティビティに関与した後、見慣れない実行形式ファイルを書き込み、社内の別の場所と共有した後、ネットワーク上の複数のファイルを暗号化し、身代金を要求する文書ファイルを書き込みました。

さまざまな規模の組織をランサムウェアが標的にし続ける中で、セキュリティチームはサイバー防御に対するアプローチを根本から変更し、人工知能を採用することにより他のツールでは見逃されてしまう攻撃を阻止しようとしています。事前に定義されたルールやシグネチャに依存することなく、Cyber AI はそれぞれの組織独自の「自己」の認識を学習することにより、異常なアクティビティが発生すると直ちに検知し対処します。

自動対処による撃退

週末や夜間にランサムウェアを展開すれば、組織の対応時間が遅くなるために成功の可能性が高いことを脅威アクターは知っています。Darktrace の自動対処は 24 時間稼働し、悪意あるアクティビティがネットワーク、E メール、あるいはクラウドおよび SaaS 環境など、どこで発生しようとも封じ込めるための的を絞った適切なアクションをとることができます。

この APAC 地域の政府において Darktrace Antigena が導入されていれば、攻撃の最初の段階、つまり最初のスキャニングが行われた段階でアクションをとり、マルウェアが暗号化の段階に到達することはあり得なかったでしょう。このケースではセキュリティチームがオフィスに戻ったのは次の日の朝でしたが、Cyber AI Analyst の AI を使った調査により、完全に調査済みのインシデントとアクション可能な情報も用意されていたため、Darktrace を使わない場合よりも迅速に対処し損害を限定的にすることができました。

この脅威事例についての考察はDarktraceアナリストBrian Evans が協力しました。

自動対処について詳しく知る

IoCs:

IoCコメント
.ekingEking 暗号化拡張

Darktrace モデル検知結果:
  • Device / ICMP Address Scan
  • Unusual Activity / Unusual Internal Connections
  • Device / Network Scan - Low Anomaly Score
  • Device / Network Scan
  • Anomalous Connection / Unusual Internal Remote Desktop
  • Device / RDP Scan
  • Device / Suspicious Network Scan Activity
  • Anomalous Connection / SMB Enumeration
  • Anomalous Connection / Unusual Admin RDP Session
  • Device / Multiple Lateral Movement Model Breaches
  • Compromise / Ransomware / Suspicious SMB Activity
  • Compromise / Ransomware / Ransom or Offensive Words Written to SMB
  • Anomalous File / Internal / Additional Extension Appended to SMB File

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.