2020 年 10 月 2 日 Marc Laliberte 著

先月、Orion 脅威ハンティングコンソールで Panda EDR に新規の顧客をオンボーディングしている最中、その組織のネットワーク内に既存の持続的標的型攻撃（APT）を発見しました。ウォッチガード脅威ラボによるこのインシデントの調査では、攻撃者が利用したツール、手法、その過程、またいくつかのセキュリティ侵害の痕跡情報（IoC）が特定されています。

攻撃者のアクティビティ

ウォッチガード脅威ラボが侵害を特定する以前から、攻撃者は少なくともローカルアカウント [T1078.003] とドメインアカウント [T1078.002] を含む有効なアカウント [T1078] を取得していました。この攻撃は Orion を使用して Panda EDR を導入する以前に発生していたため、攻撃者がどのようにして認証情報を得たのか、具体的な方法を特定することはできませんでした。いくつもの補完的な方法を用いて、フィッシング [T1566] または総当たり攻撃 [T1110] を行った可能性が高いと予想されます。

攻撃者は侵害を受けたローカルアカウントの認証情報を使用して Windows コマンドシェル [T1059.003] で Visual Basic スクリプト（VBS）[T1059.005] をダウンロードし、実行しようとしました。そのコマンドは、VBS のダウンロードに失敗すると、システムが 64 ビットか 32 ビットかを識別した後、アーキテクチャ固有の PowerShell スクリプト [T1059.001] のダウンロードに戻りました。

このスクリプトには解説すべき点が多くありますが、重要な点をピックアップします。

• コマンドは https://sjjjv[.] xyz/info.vbs から VBS をダウンロードするために、MSXML.XMLHTTP ActiveX オブジェクトを使用している。
• コマンドはリクエストのステータスコードを読んでダウンロードが成功したか否かを判別する。
• VBS のダウンロードに成功した場合、コマンドは Windows スクリプトホストである cscript.exe を使用してスクリプトを実行する。
• VBS のダウンロードに失敗した場合、コマンドはシステムアーキテクチャが 64 ビットか 32 ビットかを識別した後、適切な PowerShell スクリプトを同一のホストからダウンロードする。

PowerShell スクリプトには PowerSploit [S0194] ペネトレーションテストツールキットの要素が含まれていました。このツールキットは、環境寄生型の手法を使用する攻撃者のためのフレームワークとしてますます人気が高まっています。Orion は、ネットワーク上の信頼されたドメインコントローラを識別してマッピングする Domain Trust Discovery [T1482] モジュールである PowerSploit から、Invoke-MapDomainTrust コマンドレットを検出しました。

Orion はまた、悪意ある侵入における使用が増加している Cobalt Strike [S0154] のペネトレーションテストツールキットから、コマンド & コントロール [TA0011] ビーコンも検出しました。この特定のビーコンは、攻撃者がシェルスクリプトを取得し、それをメモリにロードした上ですべてを PowerShell 内で実行することを可能にします。ファイルレスマルウェアの一般的な手法です。

ネットワーク上の他の場所で攻撃者は、組み込みの PsExec [T1569.002] Windows ツールと侵害されたドメイン管理者の認証情報を使用して、SYSTEM レベルの特権を持つリモートアクセスのトロイの木馬型バイナリを実行しました。また、セキュリティが侵害されたサーバ上で Windows の認証情報窃盗ツール Mimikatz [S0002] を実行しようとしました。

追加のフォレンジック分析では、攻撃者が、さまざまなクラウドストレージサービス上のファイルを管理するためのコマンドラインプログラムである RClone を使用して、侵害を受けたサーバからデータ [TA0010] をクラウドストレージサービス [T1567.002] の Dropbox に流出させていたことが判明しました。

予防策

ウォッチガード脅威ラボは今回、侵害されたシステムに Orion を使用して Panda EDR を導入した後でも、悪意のあるファイルを特定して削除することができました。しかし、同様の攻撃を検出して防ぐためには、組織は以下の推奨事項を実施する必要があります。

多要素認証の実装

攻撃者は、ローカルアカウントとドメインアカウントの両方で有効な認証情報を取得していました。多要素認証（MFA）を使用しても、あらゆる形態の認証情報不正使用から保護できるわけではありませんが、 MFA で保護されたリソースに攻撃者がアクセスする手段を制限したり、認証情報が侵害されていることを被害者に気づかせたりする役割を果たします。

多層型セキュリティアプローチの一環としての強力な EDR の導入

この分析に記載されている APT は、不審なアクティビティを特定して脅威を特定できる EDR サービスを導入する前から顧客のネットワーク上に存在していました。回避型マルウェアはあらゆる規模の組織に対する無差別な脅威であり続けており、EDR を含む複数のセキュリティレイヤーはすべての組織にとって必須となっています。

マルウェアの段階的ダウンロードと C&C を特定するサービスの導入

最近の APT の多くは段階的で、標的となるシステムの特性を識別するドロッパーに始まり、次に悪意のあるペイロードをダウンロードします。C&C サーバへのビーコンを特定してブロックすることで、マルウェアツールキットのさらなるダウンロードを防ぎ、感染の影響を抑えることができます。

セキュリティ侵害の痕跡情報（IoC）
ドメイン：

• sjjjv[.]xyz

ファイルの MD5

• 13FB0116DC5421EB64F8A0657FD0823A