ランサムウェア初期の兆候：早指しチェスゲーム

ランサムウェアの展開はサイバー攻撃における終盤戦です。この最終的段階に到達するには、脅威アクターは水平移動や権限昇格など、いくつかの前段階を達成していなければなりません。したがって、初期の動きを検知し、対抗することは、暗号化を検知することと同じくらい重要なのです。

攻撃者は ‘Living off the Land’（環境に寄生する）手法でC2を注意深く細工するなど、多様な戦略を用いて通常のネットワークトラフィックに溶け込み、従来型のセキュリティ防御を回避しています。以下、カナダの防衛関連企業で発生した侵害を分析することにより、多くのランサムウェアアクターが使用するTTP（戦術、テクニック、手順）を詳しく解説します。

ランサムウェア攻撃の各段階

図1：攻撃のタイムライン

オープニング：特権アカウントに対する最初のアクセス

侵害の最初の兆候は、普段とは異なる認証情報を使ったサーバーへのログイン、それに続く不審な管理者アクティビティでした。攻撃者がユーザー名とパスワードに対するアクセスをどうやって取得したかは、クレデンシャルスタッフィングやDark Webでの購入などさまざまな可能性が考えられます。最初から特権アクセスを持っていたので、権限の昇格を行う必要はありませんでした。

水平移動

2日後、攻撃者は最初に侵入したサーバーから広がり始めました。侵害されたサーバーは普段とは異なるWindows Management Instrumentation (WMI) コマンドの送信を始めたのです。

この単一の管理者IDを使って、他の4台のデバイスをリモートコントロールし始めました。そのうちの1台はドメインコントローラ（DC）、別の1台はバックアップサーバーでした。

一般的な管理ツールであるWMIを水平移動に利用することで、攻撃者は新しい水平移動のためのツールをインストールするのではなく ‘live off the land’（環境に寄生する）方法を選択し、この企業のセキュリティスタックに気づかれないようにしたのです。しかし普段と異なるWMIの使用はDarktraceによって検知され、不審なWMI接続のタイミングがCyber AI Analystによって関連付けられました。

モデル：

• New or Uncommon WMI Activity
• AI Analyst / Extensive Chain of Administrative Connections

C2確立

そしてこの4台のデバイスは、IP 185.250.151[.]172に接続しました。DC とバックアップサーバーを含む3台は、ダイナミックDNSドメインgoog1e.ezua[.]comを使ってこのIPに対してSSLビーコンを確立しました。

これらのC2エンドポイントにはほとんどオープンソースインテリジェンス（OSINT）がありませんでしたが、しかしCobalt Strikeスタイルのスクリプトがこれらのエンドポイントを使用していた形跡がありました。これは複雑なツール使いを示唆しています。攻撃者はダイナミックSSLを使用しGoogleを偽装してビーコニングを隠していたからです。

興味深いことに、この攻撃全体に渡り、これら3台のデバイスだけがSSL接続を使ってビーコニングを行っていましたが、後のC2は非暗号化プロトコルで行われていました。これらの3台の重要なデバイスはネットワーク上の他の感染したデバイスとは異なる扱い方をされていたようです。

モデル：

• Anomalous External Activity from Critical Network Deviceが即座に検知され、ビーコニングおよびダイナミックDNSへのSSLに関する複数のモデル違反が発生しました。 （Domain Controller DynDNS SSL or HTTPは特にこのアクティビティに関係していました。）

中盤戦：内部偵察とさらなる水平移動

アタックチェーンは2サイクルの水平移動、次いで新しくコントロールしたデスティネーションでC2を確立するという形をとりました。

図2：観測された一連の水平移動とC2

このように、C2確立後、DCはさらに20個のIPに対して長時間WMIリクエストの送信を続けました。また、ICMP pingを使って234個のIPをスキャンし、これはおそらくさらなるホストを探そうとしたものと思われます。

これらの多くは、特に標的デバイスがハイパーバイザーであった場合、後の身代金要求文に含まれていました。ランサムウェアはWMIを使ったリモートコマンドを使って展開されたと見られています。

モデル：

• AI Analyst / Suspicious Chain of Administrative Connections （最初に侵入したサーバーからDC、そしてハイパーバイザーへ）
• AI Analyst / Extensive Suspicious WMI Activity （DCから）
• Device / ICMP Address Scan, Scanning of Multiple Devices AI Analystインシデント（DCから）

さらなる C2

水平移動の第2ステージが停止すると、新たに5台のデバイスから暗号化されていないC2の第2ステージが開始されました。 それぞれはSSL C2 (185.250.151[.]172) で見られたIP（偽装されたホスト名google[.]comを使用）へのGETリクエストから始まりました。

各デバイスでのアクティビティは.pngで終わるURIへのHTTPリクエストから始まり、その後URI /books/ へのより着実なビーコニングが見られました。その後、これらのデバイスはURI /ebooks/?k= （各デバイスの一意の識別子）へのPOSTリクエストを行いました。これらすべては、Googleへのそれらしいトラフィックのように見せかけてC2ビーコンを隠す準備と思われます。

このように、ダイナミックDNSドメインへのSSLを使ったC2接続の一部を暗号化しつつ、他の暗号化されていないHTTPをgoogle[.]comへのトラフィックのように見せかけることにより、攻撃者はこの企業のアンチウイルスツールに検知されずに行動することができたのです。

Darktraceはこの異常なアクティビティを識別し、多数の外部接続モデル違反が発生しました。

モデル：

• 影響を受けたデバイスからの8個のCompromise / HTTP Beaconing to New Endpoint モデル違反

ミッション完成：チェックメイト

いよいよ、攻撃者はランサムウェアを展開します。身代金要求文には、機密情報が抜き出されており、身代金を支払わなければリークすると書かれていました。

しかし、これは嘘だったのです。Darktraceはデータが抜き出されていないことを確認しました。C2通信で送出されたデータはごくわずかだったのです。身代金をだまし取るためにデータ抜き出しについて嘘をつくことは攻撃者がよく使う手であり、脅威アクターがはったりを言っているのかどうかを判断する上で可視性はきわめて重要となります。

さらに、DarktraceのAutonomous Response テクノロジーであるAntigena は水平移動の第1ラウンドで侵害を受けたサーバーの1つからの内部ダウンロードをブロックしました。クライアントデバイスにとって受信データボリュームが通常とは異なっていたためです。これはおそらく攻撃者が最終目的のために攻撃者がデータ転送を試みたものであり、このブロックによりデータが抜き出し目的で移動されるのを防いだと言えます。

図3：Antigena モデル違反

図4：3秒後、このデバイスは侵害されたサーバーとのSMBツールをブロックされました

モデル：

• Unusual Incoming Data Volume
• High Volume Server Data Transfer

Cyber AI Analystによる調査

DarktraceのAIはDCを含む複数台のデバイスからのビーコニングを発見およびレポートしました。これらのアクティビティが行われていた時、このDCは不審な挙動の最も高いスコアを示していました。Darktraceはこの情報を、‘Possible SSL Command and Control’（SSL C2の可能性）、 ‘Extensive Suspicious Remote WMI Activity’（疑わしい大量のリモートWMIアクティビティ）、 ‘Scanning of Remote Devices’（リモートデバイスのスキャン）という3つのインシデントにまとめました。

重要な点として、Cyber AI AnalystはDCからの管理者アクティビティをまとめただけでなく、一連の不審な管理者接続をたどって最初のデバイスにリンクさせたことです。

図5：不審な一連の管理者接続を示すCyber AI Analystインシデント。最初のデバイスから侵害されたDCを経由して身代金要求文が見つかったハイパーバイザーまでのつながりを特定し、調査の貴重な時間を節約しました。また、水平移動接続すべてに共通していた認証情報も明らかにしました。

水平移動のつながりを人手で探すことは面倒なプロセスですが、AIには向いているプロセスです。このケースでは、セキュリティチームが攻撃の発生源と思われるデバイスまですばやく逆探知し、接続に使われていた共通の認証を見つけることを可能にしました。

マシンのようにゲームをプレイ

ランサムウェア攻撃の全貌を理解するには、最後の暗号化よりも前のキルチェーンの各フェーズに注目することが重要です。上記の攻撃では、暗号化自体はネットワークトラフィックを生成しませんでしたので、初期段階の侵入を検知することがきわめて重要でした。

攻撃者が‘Living off the Land’手法を使い、および侵害された管理者認証情報を使った WMI 、さらに一般的なホスト名 google[.]com を偽装したC2、およびダイナミックDNSをSSL接続に適用するなどしたにもかかわらず、Darktraceはこの攻撃のすべての段階を識別し、即座にこれらをつなぎ合わせて意味のあるセキュリティの経緯説明にまとめました。個別の接続のタイミングをチェックするという手間のかかる作業なしに、人間のアナリストがこれを行うことはほぼ不可能だったでしょう。

ランサムウェア感染がより高速になり、その頻度を増し、攻撃型AIの脅威がますます近づき、Dark Web市場が栄え、セキュリティチームが偽陽性の波にのまれ時間的余裕がなくなっている現在、AIはあらゆるセキュリティソリューションに不可欠な一部となっています。チェス盤が用意され、時計の針は動きだし、掛け金はかつてなく高額です。先手はあなたです。

この脅威事例についての考察はDarktraceアナリストDaniel Gentleが協力しました。

Darktraceによるランサムウェア侵入のあらゆる段階の検知について詳しく知る

IoC:

Darktrace によるモデル検知結果：

• AI Analystモデル：
  • Extensive Suspicious WMI Activity
  • Suspicious Chain of Administrative Connections
  • Scanning of Multiple Devices
  • Possible SSL Command and Control
• メタモデル：
  • Device / Large Number of model breaches
• 外部接続モデル：
  • Anonymous Server Activity / Domain Controller DynDNS SSL or HTTP
  • Compromise / Suspicious TLS Beaconing to Rare External
  • Compromise / Beaconing Activity To External Rare
  • Compromise / SSL to DynDNS
  • Anomalous Server Activity / External Activity from Critical Network Device
  • Compromise / Sustained SSL or HTTP Increase
  • Compromise / Suspicious Beaconing Behaviour
  • Compromise / HTTP Beaconing to New Endpoint
• 内部活動モデル：
  • Device / New or Uncommon WMI Activity
  • User / New Admin Credentials on Client
  • Device / ICMP Address Scan
  • Anomalous Connection / Unusual Incoming Data Volume
  • Unusual Activity / High Volume Server Data Transfer

観測されたMITRE ATT&CKテクニック：

• Share on Facebook
• Tweet
• Share on LinkedIn
• Send email