APT&標的型攻撃
~正規を利用した隠蔽が進む~ 日本国内での標的型攻撃を分析
トレンドマイクロでは、2018年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。ネットワークに侵入する攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。このような状況の中で、極力マルウェアを使用せず正規ツールやOSの標準機能を利用して活動を行う攻撃戦略が攻撃者の常套手段となってきていることがわかりました。
トレンドマイクロでは、2018年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。ネットワークに侵入する攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。トレンドマイクロのネットワーク監視の中では、3社に1社の割合で脅威の侵入可能性高として警告が行われており、そのうちの6割、全体で見ると5社に1社では遠隔操作が行われた疑いも検出されています。このような状況の中で、極力マルウェアを使用せず正規ツールやOSの標準機能を利用して活動を行う攻撃戦略が攻撃者の常套手段となってきていることがわかりました。
図1:ネットワーク監視における脅威兆候の検出有無と侵入の疑いの検出の割合(n=100)
トレンドマイクロが2018年に確認した標的型攻撃の分析からは、法人組織のネットワークに侵入する脅威の手口として「環境寄生(英:Living Off The Land)」とも呼ばれる「正規」を隠れ蓑にする攻撃手法が継続して確認されています。中でもWindows標準機能であるPowerShellや商用/オープンソースのツールの利用は常套手段となっています。この攻撃手法は侵入時活動から内部活動のいずれの段階でも見られており、侵入時に攻撃と気づかせない、侵入後の遠隔操作や内部活動に気づかせない、活動の痕跡を可能な限り残さない、といった活動の隠蔽と調査の困難化を達成する手法になっています。
図2:標的型攻撃の各段階
特に2018年には、標的型攻撃の要となる遠隔操作に使用する遠隔操作ツール(RAT)に自前のマルウェアを使用せず、商用ツールやオープンソースのツールのみを使用した事例が確認されました。その他の具体的な攻撃手法としては以下のようなものがあります。
- 侵入時のOffice文書ファイルの使用(マクロなどの機能や脆弱性の利用)
- 複数のPowerShellスクリプトやシェルコードの連携によるファイルレス活動
- 画像ファイル内に不正コードを格納してダウンロード(ステガノグラフィ)
- 遠隔操作通信を一般のWeb通信に紛れ込ませる
- 遠隔操作通信のサーバとしてクラウドストレージなどの正規クラウドサービスを利用
このように正規を悪用して巧妙に自身の活動を隠蔽する標的型攻撃の被害を回避するためには、攻撃者の基本戦略と具体的な手口を理解し、対策に活かしていくことが必要になっています。特に、遠隔操作を含む内部活動の可視化には、攻撃者にとって最も偽装が難しいネットワーク通信の監視が重要です。また、不審に気づいたときに迅速な対応を行うためには攻撃者の痕跡消去に対抗するためのエンドポイントでの監視と記録が重要になっています。
