オリンピック会期中に「Olympic Destroyer」と呼ばれる攻撃が発生していたことがわかる
冬季オリンピックが閉幕し、選手による白熱した競技が我々を大いに楽しませてくれ、授賞式も素晴らしいものでした。オリンピックの開会式は 2 月初めに開催されましたが、その影で、大規模なシステム障害が発生していたことがわかりました。
開会式の前に、ほぼすべてのコンピュータシステムがダウンし、復旧不能に陥ったために、無線インターネットアクセスが中断し、開会式の観覧チケットを印刷できないといった被害も発生しました。今回の冬季オリンピックは、「Olympic Destroyer」と呼ばれる大規模マルウェア攻撃を受けました。
Olympic Destroyer は、オリンピックで使用されていた、Windows 環境のエンドポイントを標的とするワームで、オリンピックで使用されるエンドポイントに接続できなくなるという被害が発生しました(ネットワークへの詳しい侵入方法は明らかになっていません)。Cisco Talos の研究者によれば、このマルウェアは、PsExec、WMI、WQL などの正規のソフトウェアを使って、ネットワークでこのワームの水平方向の移動が可能なブラウザのデータやユーザのアカウントを取得します。取得されたデータには、このマルウェアがシステムメモリから取得できたユーザアカウントだけが含まれていました。この攻撃はサービスの中断を目的とする攻撃であったため、個人情報は流出しませんでした。
ネットワークの複数のシステムへの自己複製が可能な、ワーム型のマルウェアであり、ネットワークの他の動作中のホストなどの内部ネットワーク情報を収集し、それを悪用してサービスを実行しました。このワームは、情報の収集後に認証情報を不正取得し、最終的にはシステムを使用不能の状態にします。
このワームは、次のようなプロセスで動作します
- 初期段階
ネットワークディスカバリを実行することで、ネットワークの他のシステムの検索する- Windows ARP テーブルをチェックする
- 現在の環境/ディレクトリで必要なシステムをやり取りするための WMI
- 認証情報の不正取得
認証情報の不正取得ツールを使用して、ネットワークでの水平移動を可能にします。取得した認証情報が動的に更新され、ワームはその情報を利用して新しいシステムへと伝播します。- マルウェアが、Web ブラウザから認証情報を盗むためのペイロードをドロップする
- マルウェアは最後に、LSASS(ローカルセキュリティ機関サブシステムサービスから認証情報の不正取得を試行する
- 破壊行動
マルウェアが Windows の複数の回復ツールやバックアップファイルの削除を開始する- システムのすべてのバックアップデータとシャドウコピーを削除する
- システムおよびセキュリティの Windows イベントログをすべて削除する
- Windows の回復コンソールを無効にする
- システムのすべてのサービスを無効にする
- ブートファイルを削除する
リブートすると、システムがブートしたり回復したりできなくなります。Cisco のセキュリティ研究チームが、Olympic Destroyer の調査内容とその動作方法の詳細記事を発表しており、その記事には、このマルウェアと Windows システムの特定のコンポーネントとのやり取りの方法が詳しく説明されています。
以下のソリューションを利用することで、このような攻撃からの保護が可能になります
- WatchGuard APT:
APT Blocker は、Lastline のフルシステムサンドボックス分析を使用してネットワークに侵入するファイルや電子メールの添付ファイルの APT マルウェアの特性や挙動を識別するサブスクリプションサービスです。 - WatchGuard TDR:
TDR(Threat Detection and Response)は、クラウドベースのサブスクリプションサービスであり、Firebox との統合によって、セキュリティ脅威の早期発見と自動修復を可能にすることで、データ侵害や侵入の影響を最小限に抑えます。TDR は、Firebox やネットワークのエンドポイントからのフォレンジックデータを収集して分析することで、セキュリティの脅威をプロアクティブに検知して対処します。 - WatchGuard IPS:
IPS(Intrusion Prevention Service)は、スパイウェア、SQL インジェクション、クロスサイトスクリプティング、バッファオーバーフローなどの脅威からのリアルタイムの保護を可能にします。 - WatchGuard Gateway AntiVirus:
Gateway AntiVirus は、SMTP、IMAP、POP3、HTTP、FTP、Explicit、および TCP-UDP のプロキシに対して動作します。ほぼすべてのマルウェアに、シグネチャと呼ばれる、そのマルウェアを特定するための定義があります。Gateway AV は、Bitdefender のシグネチャとヒューリスティック分析を活用することで、コンテンツがプロキシでスキャンされた段階でウイルスを検知します。Gateway AV は、Bitdefender のシグネチャを活用することで、コンテンツがプロキシでスキャンされた段階でウイルスを検知します。
– Tanner Harrison