Remote Desktop Protocol (RDP) 攻撃の分析

土曜日の夜遅く、米国にある警備会社が、露出したRDPサーバーに対するエクスプロイトにより攻撃されました。日曜日には、この組織内部のサーバーはすべて使用不能となりました。本稿ではこの攻撃を分解しオープンなRDPポートの危険性を説明します。
RDPとは?
リモートワークへのシフトに伴い、ITチームはリモートアクセスツールを使って社内のデバイスを管理し、業務の継続を維持しています。Remote Desktop Protocol (RDP) は管理者がデスクトップコンピューターにアクセスすることを可能にするMicrosoftのプロトコルです。デバイスに対する完全な制御をユーザーに与えるものであるため、脅威アクターにとっても価値の高い侵入ポイントです。
Dark Webで認証情報を売る ‘RDPショップ’ は何年も前からあります。一時はハッキングした 80,000 以上のサーバーを売りに出していると豪語していた悪名高い犯罪フォーラムの一つ、xDedicは、2019年にFBIおよび欧州刑事警察機構によりようやく閉鎖されましたが、設立から5年経っていました。RDPアクセスの販売ビジネスは急成長しています。組織への直接的な侵入経路を提供し、フィッシングEメールを計画したり、マルウェアを開発したり、ゼロデイやオープンなポートを手作業で探す必要もないからです。5ドル以下で、攻撃者は標的の組織への直接的アクセスを購入できるのです。
COVID-19アウトブレイク後の数か月で、露出したRDPエンドポイント数は 127% 増加しました。RDPの使用は多くの企業がテレワークを導入したことにより急増し、従来のセキュリティツールは毎日の正当なRDP使用と、その悪用の区別をつけることがほぼ不可能となりました。このことはサーバーサイド攻撃の成功の劇的増加につながりました。英国のNational Cyber Security Centreによれば、RDPは今やサイバー犯罪者(特にランサムウェアギャング)が最もよく使う攻撃ベクトルとなったということです。
RDP侵害の詳細
最初の侵入
この攻撃事例では、標的となった組織は約7,500台のデバイスを使用しており、そのうちの1台がインターネットに接続されたサーバーで、RDPのデフォルトポートであるTCPポート3389番がオープンでした。つまり、このポートはネットワークパケットを受け入れるよう設定されていたのです。
Darktraceは未知の外部エンドポイントからの着信RDP接続を検知しました。この接続は不審な認証クッキーを使用していました。デバイスは大量の外部RDP接続を受け取っていたため、攻撃者はブルートフォース攻撃で無理やり侵入したようにも見えましたが、エクスプロイトを使用あるいはDark Webから認証情報を購入したものかもしれません。
このサービスに対する3389番ポートへの着信接続はよくあることであり、通常のビジネスの一部として予期されていたものであったため、他のセキュリティツールはこの接続に対して警告しませんでした。

図1:攻撃のタイムライン - 合計滞留時間は1日
内部偵察
最初の侵害に続いて、デバイスは自身のサブネット内でネットワークスキャニングを行い、アクセス権限を昇格させようとしている様子が見られました。スキャンの後、デバイスはWindows Management Instrumentation (WMI) 接続をDCE-RPCを使って複数のデバイスに対して行い、これにより複数のDarktraceアラートがトリガされました。

図2:グラフは通常と異なるアクティビティイベントが急激に増え、それに伴って大量のモデル違反が発生したことを示しています
コマンド&コントロール (C2)
その後デバイスは新たなRDP接続を非標準ポートで実行し、ネットワークでこれまでに見られたことのないエンドポイントに対して管理者認証クッキーを使用しました。これ以後Tor接続が見られ、C2接続とみられるものも含まれていました。

図3:デバイスは未知の外部ホストに対して異常なRDP接続を実行
水平移動
攻撃者は、SMBサービスコントロールパイプおよびPsExecを使ってデバイスのサブネット内の5台のデバイスに対して水平移動を試みました。これらはネットワークスキャンで特定されたものと思われます。
水平移動にネイティブWindows管理ツール(PsExec、WMI、svcctl)を使うことにより、攻撃者は‘live off the land’(環境に寄生する)ことに成功し、セキュリティスタック内の他のツールによる検知を逃れたのです。
Ask the Expert
この会社の社内のサービスが使用できなかったため、彼らはDarktraceが24時間週7日提供しているAsk the Expertサービスを利用しました。DarktraceのサイバーエキスパートはAIを使って侵害の範囲と性質をすばやく判断し、対処のプロセスを開始しました。その結果、攻撃者がクリプトマイニング 、ランサムウェアの展開、機密データの抜き出しなどの目的を達成する前に脅威を無害化することができました。
RDPの脆弱性:露出したサーバーの危険性
上記のイベントが発生する前に、DarktraceはRDPおよびSQLに対して実にさまざまな未知のエンドポイントからの着信接続を観測していました。これは、おそらくサーバーが以前にも何度もプローブされていたことを示唆しています。不要なサービスをインターネットに対してオープンにしておくと、侵害は避けられません。時間の問題で発生します。
RDPに関しては特にこのことが言えます。この事例では、攻撃者は偵察を実施し、外部接続を実行することに成功しましたが、すべて最初に得たRDPへのアクセスを通じて行ったものでした。脅威アクターは常に侵入方法を探しているため、単にコンプライアンス上の問題と見なすこともできる問題が、簡単に、そして急速に侵害に発展してしまうことがあります。
コントロール不能なリモートコントロール
この攻撃は、業務時間外、セキュリティチームが休みに入り土曜日の夜を楽しんでいる頃に発生し、驚くべきスピードで進行して最初の侵入から7時間未満で水平移動にエスカレートしました。攻撃者がこうした人間の脆弱性を悪用し、すばやく行動してITチームが月曜日の朝に戻ってくるまで検知を免れるということは非常によくあることです。
眠らないセキュリティソリューション、つまり24時間体制で検知し自律的に脅威に対処できるソリューションがきわめて重要なのはこのためです。自己学習型AIはマシンスピードでエスカレートする脅威に対抗し、あらゆる局面でこれらを阻止することができます。
この脅威についての考察はDarktraceアナリストSteven Sosa が協力しました。
IoC:
IoC | コメント |
84.16.225[.]164 | 着信外部 RDP IP |
193.29.104[.]219:6579 | 送信外部 RDP IP |
176.9.118[.]73 178.17.171[.]233 148.251.191[.]252 2.58.69[.]52 | Tor IPアドレス |
Darktrace によるモデル検知結果:
- Compliance / Incoming Remote Desktop
- Device / Network Scan
- Device / New or Uncommon WMI Activity
- Device / Suspicious Network Scan Activity
- Device / RDP Scan
- Device / Anomalous RDP Followed By Multiple Model Breaches
- Anomalous Connection / Outbound RDP to Unusual Port
- Compliance / Possible Tor Usage
- Compliance / High Priority Compliance Model Breach
- Device / New or Unusual Remote Command Execution
- Anomalous Connection / New or Uncommon Service Control
- Device / New or Uncommon SMB Named Pipe
- Device / Multiple Lateral Movement Model Breaches
- Anomalous Connection / High Volume of New or Uncommon Service Control
- Compliance / Outbound RDP
- Anomalous Server Activity / Domain Controller Initiated to Client