Citrix Netscalerの脆弱性を利用したビットコインマイニング攻撃をAIを使って検知

最近14日間に、Darktraceは80社以上の顧客が同じCVE-2019-19781脆弱性により標的になったことを検知しました。これはCitrix ADC(Application Delivery Controller)ならびにパブリッククラウド向けCitrix Gatewayソリューションに影響する問題です。Darktrace Antigenaを「アクティブモード」で運用されていたお客様はすべて、この攻撃が数秒で無害化されたことを確認しています。
英国の国家サイバーセキュリティセンターによれば、この脆弱性のエクスプロイトにより、認証されていない攻撃者に任意コード実行が許されてしまいます。Citrixは緩和のためのアドバイスを発表しましたが、パッチはまだロールアウトが開始されたばかりです。残念なことに、このクリティカルなタイミングの隙をついて攻撃者が脆弱性を悪用してしまいました。しかし、Darktraceの免疫システムテクノロジーは効果的に攻撃を停止させ、被害を食い止めることができました。
このブログ記事では、Citrix脆弱性を利用してクリプトマイニングマルウェアをダウンロードする攻撃のライフサイクルを解説します。 攻撃者が利益のためにクリプトマイニングペイロードを使ってCitrixエクスプロイトをこれほどすばやく兵器化したことは注目に値します。このことは、パッチが存在しない、あるいは安全にインストールできるまでに数週間かかることもある、変化の激しい今日の脅威環境においてAIに基づいた自動対処がきわめて重要であることを示しています。
攻撃ライフサイクルの分解
以下に観測された攻撃段階を解説します。この中で、Darktrace Antigenaは独立した即座のアクションにより進行中の攻撃を阻止し、攻撃ライフサイクルの全貌を可視化し、セキュリティチームがこれらのアクティビティを調査する時間を大幅に短縮できたことが実証されています。
- Darktraceの検知機能はエクスプロイトされたCitrix Netscalerデバイスがシェルコマンドを実行する様子をハイライトしました。
- これらのデバイスはまず、ディレクトリトラバーサル攻撃に対して脆弱なURI/vpn/…/vpns/cfg/smb.confに対してHTTP POSTリクエストを受信し始めました。このことは、Darktraceが検知した以下の情報に示されています。
- これらのPOSTリクエストが発生した後、Darktraceは確度の高いアラートを生成しました。これらの挙動は他の標的となった組織における挙動ときわめてよく似たものでした。高確度のアラートも同様に似ていました。標的に関係なく、攻撃の挙動は同じだったのです。
- コード実行がトリガされ、それによってクリプトマイニングマルウェアの実行を最終目的としたシェルスクリプトおよびその他のマルウェアのダウンロードが行われました。

図1:問題のデバイスに対するリクエスト
高確度のアラートには次のようなものがありました:
- Compromise / High Volume of Connections with Beacon Score – コマンドアンドコントロールトラフィックの識別に使用されます
- Compliance / Pastebin – 疑わしい、通常とは異なるPastebinアクティビティによりトリガされます
- Compliance / Crypto Currency Mining Activity
- Anomalous Connection / Multiple Failed Connections to Rare Endpoint – コマンドアンドコントロールトラフィックの試みが失敗したことを示します
- Anomalous File / Script from Rare External – その組織があまり接続することのないインターネット上のロケーションからスクリプトファイルがダウンロードされた(多くの場合、最初の感染または後のペイロードとなる)ことを示します
あるケースでは、ゲートウェイデバイスが、ロシアにある/ci.sh URIを持つ稀な外部エンドポイントからシェルスクリプトをダウンロードしている様子が観測されました。

図2:DarktraceのThreat Visualizerが100%未知なエンドポイントを表示
次に、感染したデバイスはウクライナ(http://217.12.221[.]12/netscalerd)から実行形式をダウンロードしていることがわかりました。これにはELF:BitCoinMiner Malwareが含まれており、暗号通貨マイニングとC2ビーコニングのアラートが発生しました。

図3:C2トラフィックによりトリガされたAnomalous File / EXE from Rare External Locationアラート

図4:Darktraceはダウンロードされたマルウェアについての詳しい情報を表示
即座に対処
しかし、防御マシンであるDarktrace Antigenaが発動し、クリプトマイニングファイルのダウンロードおよびその他のアクティビティを1日にわたりブロックすることにより脅威の侵入を阻止しました。これにより顧客には異常なアクティビティに対処するための時間的余裕が生まれ、他のデバイスへのマルウェアの拡散を防ぐことができました。Antigenaは脅威にピンポイントで介入して悪意あるアクティビティを阻止しつつ、通常のビジネスプロセスは継続させることができます。

図5:脆弱なデバイスに対して発生したアラートおよびAntigenaアクションの時系列リスト
今後への教訓
Citrix ADCの脆弱性のエクスプロイトは当然のことながらセキュリティコミュニティ全体に不安をもたらしました。トリガされたアラートの集積、およびそれらの性質から見て、このマルウェアは最近の他の多くの攻撃と同様に、暗号通貨のマイニングが目的でした。
一方、そしておそらくもっと重要なことは、この最近見つかったCitrixの脆弱性は、Darktraceの自動対処技術および新種の攻撃を防止する実証済みのその能力の必要性を裏付けているということです。
Darktraceでは、私達がどうやってゼロデイエクスプロイトを検知しているのかとよく聞かれます。Pastebinを使ったコマンド実行から内部偵察、およびひそかなクリプトマイニングなど、攻撃ライフサイクルのすべてのステージ にはEnterprise Immune Systemが学習した「生活パターン」から何らかの形で逸脱する動作が含まれていたのです。Antigenaは事前に定義されたブラックリストに頼ることなくこれらの攻撃を無害化し、以後新たな検知はありませんでした。Cyber AIを駆使することにより、Citrixの脆弱性を使ったビットコインマルウェアは、顧客に被害が及ぶ前に即座に食い止められました。
侵害インジケータ
- 185.178.45[.]221 (悪意あるシェルスクリプトのホスティング)
- 92.63.99[.]17 (マイニングプール)
- 217.12.221[.]12 (マルウェアのホスティング)