[レポート] 2022年SOCで観測した攻撃事例紹介とそこから見えてくる対策について #SecurityDaysSpring2023

Security Days Spring 2023 のセッション「2022年SOCで観測した攻撃事例紹介とそこから見えてくる対策について」のレポートです。
2023.03.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

最初に

東京で開催された Security Days Spring 2023 に参加してきました!視聴させていただいたセッションは下記です。
2022年SOCで観測した攻撃事例紹介とそこから見えてくる対策について | SecurityDaysSpring2023

セッション概要

Emotetのようなバラマキ型の攻撃から外国政府を背景にもつと言われるグループによる標的型攻撃など2022年にSOCで観測したサイバー攻撃の事例を紹介します。さまざまな手口を利用して攻撃を仕掛けてくる攻撃者の攻撃手法と、それに対するSOCにおける取り組みを説明します。また、観測された攻撃の全体から見えてくる攻撃の傾向についても紹介します。 上述で紹介した攻撃事例に対してそれぞれどのような対策が有効なのかを考察します。また、マルウェアに感染してしまったときにどのようにSOCとお客様が連携し、封じ込めを行ったか事例を交えて紹介します。

スピーカー

NTT Security Holdings セキュリティオペレーション部 林 匠悟 様

レポート

日本大企業を中心に数百社の NW、エンドポイントを 24/365 で観測している。そこで見えてきた事例の紹介

2022年の概要

  • インシデントチケット発行数 TOP 10
    • ばらまき型マルウェア(Emotet)
    • 不自然な挙動(マルウェアか、ツール等の挙動かがログだけでは判断できないような確認が必要なもの)
    • スキャン
    • 好まれざるプログラム(PUP)
    • 不適切な情報の公開(サーバのバージョン、ソフトウェア一覧の情報などが見えてしまっている)
    • リモート攻撃
    • 標的型マルウェア(2021、2022 大きな変動がない)
    • ネットワークログオン
    • アカウント情報の漏洩
    • ランサムウェア(SOC の環境では、そこまで多く観測されてない or 攻撃が成功してない)

SOCで観測した攻撃事例と対策

ばらまき型編

  • Emotet
    • 2022/2~3月に大量に観測し、一旦落ち着いて同年11月にも活発化
    • 2022年は、Excelファイルが多かった、2023年は Wordファイルで来ることが多い
    • パスワード付き Zip でメールで送られてくる

    • 感染フローもすぐに変わる
    • Windows の標準プロセスを使う
    • プロセスツリーが長い場合、コマンドライン文字列をもとに EDR での検知がしやすいが、プロセスツリーが短いと誤検知も増える

    • EDR 製品では検知がバラバラだった
    • ほぼ、C&Cサーバへアクセスするまでにアンチウイルスや、EDR 機能で止められた
    • 2023 年に観測している Emotet では、C&C サーバへのアクセスが成功してメールがばらまかれた事例が多くなっている

    • 2022 年最後の攻撃では、Excel → Regsvr32.exe (Microsoft 標準の実行ファイル)を使用していた。
    • Excelを開くと、「\Program Files\Microsoft Office 配下に移動して使用してください。」という指示が表示されていた。そのため、管理者権限を持たないユーザは移動できないという背景もあり、感染が広がらなかった。(2022/11月)また、サンドボックスでかなり検知できた。EDR、アンチウイルス、プロキシに通信先遮断(ブラックリスト)も有効。

    • プロキシに適用するとよいインジケータ
    • URLhaus, FEODO tracker, Triage

  • Raspberry Robin
    • 2022/5月以降に増えてきた
    • USB メモリを経由して感染する
    • 日本ではあまり話題にはなってないが、日本企業の海外拠点での観測が圧倒的に多かった
    • QNAP 社の NAS を侵害して、マルウェアをばら撒く特徴
    • マルウェアが最終的にランサムウェアに発展する
    • 観測した事例
      • USB 内のリンクをダブルクリック → Malicious File が実行される → QNAP の NAS にダウンロード(.MSI 拡張子) → DLL にロード → TOR node にアクセス
      • AUTORUN.INF を使って USB が接続されただけで感染するという報告もある様子
      • いろんな端末で使いまわして感染拡大した事例もあったが、ランサムウェアまで至ったことはなかった(EDR ですぐ検知できた
    • 対策
      • USB を禁止する
      • オフラインで開くなどの対処
      • Tor node リストを確認して、検知や制御
      • AUTORUN.INF させない
      • 公開情報の利用
      • 悪用されたQNAPのNASサーバリストや、C&Cサーバリストをプロキシのブラックリストに登録
  • Qbot
  • CobaltStrike のダウンローダーとして、よく使われている

    • 2022/9月以降増えている。
    • 9割がQbotのダウンロード通信を検知
    • メールに添付された Office ファイルを開く → Qbot のマルウェアを取得しに行く(取得先は Qbot のマルウェアが設置されたドメインのフィッシングサイトが乱立していて、そのようなサイトを閲覧していても検知する)

    • 日本では、ほとんどなかった
    • 対策は、Emotet と同じで、リサーチャーの公開情報を使用して対処する

   

  • Raccoon Stealer
  • 情報摂取型のマルウェア

    • MaaS 経由で誰でも簡単に利用できる特徴
    • 販売者のサイトで仮想通貨などで購入されている

    • 事例
    • メールで、リンクを開く → Onedrive にアクセス → 仕込まれたマルウェアが入った ZIP がダウンロードされる → .rar 拡張子とテキストファイルが展開 → テキストファイルに記載されたパスワードを使用して、.rar ファイルを解凍して、pdf.exe という二重拡張子の実行ファイルをダブルクリックしてしまい、感染する(パスワードは、検知回避のために設定されている)

    • 当時は、C&C サーバにアクセスするときの POST通信ヘッダーに特徴的なUserAgentが含まれていたので、それをもとに検知できた。が、挙動が少ないためEDRでの検知が困難

その他

  • フリーソフトの罠
  • インストールすると、Open Proxy のような特定のポートでリッスンして、外部のトラフィックを受け入れてしまうものがある。(利用規約画面に明記されていることもある)

    • FW の制御が聞く環境ならいいが、機能がない、もしくは有効になってない場合などで、感染することもある。
    • また、PC が踏み台にされるため、攻撃者に加担してしまう可能性もある。
    • 攻撃者もどこかを経由してPCにアクセスしてくるため、IPアドレスが分かりにくく、EDR 製品でも攻撃元の特定が難しい

    • フォレンジック等で検出させていた。
  • サポート詐欺
    • 数は少ないが、ポップアップなどで、「ウイルスに感染しました。○○に電話してください。」などの文言で、ユーザが電話 → リモートでパソコンを調べるふりをして、勝手に不要なソフトウェアの購入や、製品の契約をさせられる。
    • RemoteAdminTool をバックドアとして利用された。
    • こちらも、どこかを経由してアクセスしてきたので、検知や調査が難しい部分
    • やはり、フォレンジック対応が必要になる

  • リモートネットワークログオン
  • ブルートフォース攻撃で不正にログインされていた

    • 被害ホストはクライアントが多かった(グローバルIP を持っていた)
    • 事例
    • 未知のネットワークにアクセス → Windows 側でプライベートかパブリックネットワークの選択で、プライベートを選択すると、グローバル IP 経由でホストにアクセス。 → RDP、SMB を使用したブルートフォースが多かった

    • 一回で認証が成功している事例もあった(おそらくどこかで情報を得て、パスワード使いまわしによりアクセス出来てしまった。)
    • 対策
    • 管理者権限は一般ユーザに持たせない。注意喚起が重要、アカウントの棚卸、推測可能なパスワードの禁止、パブリックネットワークの選択。

標的型攻撃の事例と対策

  • 事例
    • SQL サーバへの SQL インジェクション
    • Cobalt Strike を利用してマルウェアの横展開(それ以外は、商用ツールを利用して情報搾取)
    • C&C 通信先は、複数の VPS 会社
    • 調査が非常に難しい

    • copy コマンドで別ホストへのマルウェア転送
    • Windows 標準のコマンドで横展開
  • 封じ込め
    • EDR を導入 → 感染端末の洗い出し → 端末隔離 → Hash値を禁止
  • FlowCloud
  • USB メモリ経由で感染

    • Windows 標準プロセスの svcHost にインジェクションして、C&C サーバにアクセスする
    • 検知ログでは、EDR、NW 製品では、重要度の低いアラートとして検知する / 検知しないものもある
    • 実行ファイルにはデジタル署名がついていることがほとんどだったり、ファイルの設置パスがWindows 直下や、プログラムファイル直下であるため

セキュリティ製品をカスタマイズしていく必要がある。EDR、NW、などで、攻撃の特性により多層防御を実装する。(NW セグメントや、アカウントの権限管理なども必要)  情報摂取型のマルウェア、デジタル署名されたマルウェア、USBメモリを使用した攻撃も増えているので注意が必要。今は、脆弱性をつついて外部侵害の可能性が高まっているので、外部調査機関などのレポートでトレンドを追いつつ適用していく必要がある。また、フォレンジック対応をしていくことも必要。

まとめ

実際のSOC で見えてきた巧妙な攻撃と、事例や対処方法について知ることが出来ました。特にどのセッションでも言われていましたが、リモートワークでセキュリティ対策が必要な中でもセキュリティインシデントが発生している状況であり、攻撃者が増えている昨今、個々の意識を強化することも必要に感じました。セキュリティインシデント対応が必要ないのが一番ですが、もし何か発生した時の為にもあらかじめ最低限の対処方法や、どんな脅威があるかは学んでいくのが、デジタル化が進んだ現代の社会において必要で、会社と自分、周囲の為にもなるかなと思います。