ZeroLogon脆弱性を公開から24時間以内に自動検知

9月14日、Cybersecurity and Infrastructure Agency (CISA) は大きな被害をもたらすCVE-2020-1472のエクスプロイトコードが公開されていることを発表しました。それから24時間も経たないうちに、Darktrace AIはあるヘルスケア企業においてこの欠陥を悪用したサイバー攻撃を検知しました。
CVE-2020-1472はZeroLogonとも呼ばれますが、これは特に心配な脆弱性です。というのも、高度であるにもかかわらずこれを悪用するのに必要なスキルレベルは低く、エクスプロイトが成功すればデジタルシステム全体に管理者としてのコントロールが可能になります。企業を標的としてコントロールを奪取し損害を与えるため、攻撃者達は武器化されたエクスプロイトコードのバージョンをいち早く共有および利用しています。
この脆弱性はWindows Serversにアクセスするユーザーを認証する ‘Netlogon’ Remote Protocol (MS-NRPC) から来るものです。暗号処理の欠陥により、ある確率(1/256)で暗号文が乱数ではなくゼロの連続で出力されてしまいます。Initialization Vector (IV) は平均128回の試みでゼロに設定することができます。攻撃者には1-2秒しかかかりません。
これにより、攻撃者はコンピュータのパスワードをリセットすることにより、ルートドメインコントローラも含めて任意のコンピュータをコントロールすることができます。ハッカーはこの攻撃を実行する際、公開されているレッドチームツールをよく使っています。たとえばC2にCobalt Strikeを使用するなどです。サイバー犯罪者がドメイン管理者権限の取得に成功すれば、その結果は惨憺たるものになるでしょう。一旦コントロールを取得すれば、攻撃者はDoS攻撃やランサムウェア攻撃を仕掛ける、あるいは機微な企業データを漏えいさせることなどが可能になります。
Darktrace独自のアプローチはこうした脆弱性に対し、新しい未知の脅威をそれらの最も早い段階で検知することにより防御します。Darktrace Cyber AIがもたらす可視性により、セキュリティチームはすべての関連するアクティビティを素早く相関づけそれに応じて対処することが可能になります。
攻撃の概要

図1:攻撃のタイムライン
Darktraceはヨーロッパのあるヘルスケア企業でZeroLogonエクスプロイトを検知しました。ハッカーはCVE-2020-1472権限エスカレーションの欠陥を使ってドメイン管理者権限を取得し、デジタルシステムを支配し、おそらくはDoSを発生させようとしていることが検知されました。

図2:異常なRPCの検知を示すModel Breach Event Log。短い期間にNetlogonへの多数の呼び出しが検知されている
この企業のデジタルエステート内には約50,000台のデバイスが存在していました。1台のデバイスがCobalt StrikeのDNS Beaconに似た、大量のTXT DNSリクエストを繰り返し実行し始めました。およそ1週間後、このデバイスは普段とは異なる大量のRPC呼び出しを内部のドメインコントローラに対して行いました。 ‘Netlogon’ サービスの呼び出しの成功が観測され、これはZeroLogon脆弱性の悪用であることを示していました。
DarktraceのCyber AI Analystはこのインシデントに対して自動調査を開始し、ハイレベルのサマリーを自然言語で生成して主要なメトリックをセキュリティチームに提供しました。

図3:問題のデバイスからの最初のC2アクティビティに対するAI Analystのカバレッジ
C2アクティビティはすべてDNSを使って行われていました。これは新しい脆弱性であったため、ハッカー達は従来のアンチウイルスやシグネチャベースのツールに検知されることなく、セキュリティスタックをすべて回避することができたのです。この企業のデジタル環境に滞在した時間はあわせておよそ8日間でした。
サイバー犯罪者達は長居はしない
CVE-2020-1472が公開されたのは8月11日でありその時にMicrosoftから部分パッチがリリースされていました。9月14日、CISA はZeroLogon エクスプロイトコードについての認識を発表しました。Common Vulnerability Scoring System (CVSS) は深刻度スコア10/10を付けました。
AIによる検知と対処はこの通知があってから24時間経たないうちに発生しており、現代のサイバー犯罪者達の動きの速さを実証するものとなりました。
パッチの当てられていない脆弱性はすべてのサイバー攻撃の60%を占めており、サイバー空間のあらゆるところで発生しています。増え続ける一方の脆弱性とソフトウェアベンダーがリリースするパッチの数に人間のセキュリティチームは追いつくことができません。ITチームが必要な防御策を急いで適用しても、そこには常に遅れがあります。Microsoftはより完全なパッチをリリース しようとしていますが、これは2021年2月以降の予定です。
重要な点は、事前に定義されたルールや既知の脅威に対するプレイブックを使った「従来型アプローチ」に依存するこれまでのセキュリティツールでは、これらの脆弱性にまったく対応できないということです。この事例で観られた攻撃者の対応スピードは、普段と違った動作を攻撃の最も早い段階で検知することの重要性を実証しています。
自動対処
DarktraceのAIはデバイスがCobalt DNS Beaconを開始した時点で、即座にこの攻撃を検知しました。Darktraceの自動対処 機能であるAntigenaがActiveモードで運用されていれば、 正確かつ的を絞ったアクションによりCommand and Control(C2)アクティビティおよび内部ドメインコントローラへの疑わしいRPCリクエストをブロックしていたはずです。このケースでは、Darktrace AntigenaはPassiveモードに設定されていたため、攻撃は続きました。
今日の動きの速いサイバー環境において、AIを使った防御は潜在的脅威に対抗するのに有効です。Darktrace Cyber AIはルールやシグネチャに依存せず、あらゆるユーザーとデバイスの「生活パターン」を理解することにより新たな脅威を特定し、異常なアクティビティが発生次第フラグを立て、ゼロデイエクスプロイトやZeroLogonのような新しい脆弱性から企業を守ります。
この調査結果についての考察はDarktraceアナリストEmma Foulgerが協力しました。
IoC:
IoC | コメント |
aaa.stage.9712556.dns.kurvalarva[.]com | Cobalt DNSリクエスト |
Darktrace によるモデル検知結果:
- Compromise / DNS / Possible DNS Beacon
- Compromise / DNS / Cobalt DNS
- Compromise / DNS / DNS Tunnel with TXT Records
- Compromise / Suspicious Netlogon RPC Calls