ランサムウェア
ランサムウェア「Conti」の攻撃活動をトレンドマイクロの技術により追跡
2021年2月、トレンドマイクロはランサムウェアファミリ「Conti」による攻撃に関連した一連の疑わしいイベントに対して警戒を強めていたところ、弊社製品であるTrend Micro Vision Oneによって攻撃の痕跡を確認しました。Contiは悪名高いランサムウェアファミリ「Ryuk」の後継とされていました。
2021年2月、トレンドマイクロはランサムウェアファミリ「Conti」による攻撃に関連した一連の疑わしいイベントに対して警戒を強めていたところ、弊社製品であるTrend Micro Vision Oneによって攻撃の痕跡を確認しました。Contiは悪名高いランサムウェアファミリ「Ryuk」の後継とされていました。実際、攻撃者は次第に、過去にRyukの拡散に使用された手法と同じ手口で不正プログラムを配信するようになりました。たとえば、他のマルウェアファミリ「Trickbot」、「Emotet」、「BazarLoader」がContiの配信に使用されています。本稿では、商用のペネトレーションツール「Cobalt Strike beacon」がContiによってどのように使用されているか、またトレンドマイクロがTrend Micro Vision Oneプラットフォームを使用してContiによる脅威をどのように追跡したのかを解説していきます。
■ 脅威の検出
<
図1:Contiによる一連の攻撃のタイムライン
図1のContiによる一連の攻撃はTrend Micro Vision OneのWorkbench機能によって確認することができました。Workbenchには、クライアント組織のセキュリティオペレーションセンター(SOC)とトレンドマイクロのManaged XDR(MDR)チームの両方がアクセスできます。Workbenchを活用することで、進行中のインシデントに対する攻撃手法の調査や対応をすることができます。
図2:Vision Oneで脅威を検知した際のWorkbenchの画面
図2のWorkbenchアラートでは、リモートマシン上でsys64.dll(Cobalt Strike beacon)の実行が指示されていることが確認できます。親プロセスはwinlogon.exeで、一般にはログオン関連タスクの処理に使用されます。そのため、sys64.dllの起動というのは、非常に疑わしい挙動だと考えられます。
図3:Vision Oneで脅威を検知した際のWorkbenchの画面
図3のアラートは図2と似ていますが、sys64.dllを実行する代わりにvd.exeを実行しています。このvd.exeもCobalt Strike beaconです。実行されたコマンドは以下のとおりです。
wmic /node:{IP address} /user:"<domain>\<user>" /password:"<password>" process call create "cmd /c C:\vd.exe"
Trend Micro Vision OneのSearch機能を使用して脅威に関連するイベントを調査すると、図4のテレメトリイベント“701 – TELEMETRY_MODIFIED_PROCESS_CREATE_REMOTETHREAD”によって示されているとおり、wusa.exe(Windows更新プログラム用インストーラ)がCobalt Strike beacon(vd.exe)によるプロセスインジェクションの標的になっていることがわかります。
図4:Cobalt Strike beaconのインジェクションを示すテレメトリイベント
図5:Vision Oneで脅威を検知した際のWorkbenchの画面
その後、攻撃者はntdsutilを使用してドメインパスワードのハッシュのダンプを試み、結果を後で使用できるようc:\windows\temp\abcとして保存しました。
C:\Windows\system32\cmd.exe /C ntdsutil "ac in ntds" "ifm" "cr fu c:\windows\temp\abc" q q
図6:機械学習型検索によって脅威を検知した際のWorkbenchの画面
その後、攻撃者はそれ以上の不正な活動をすぐには実行しませんでした。代わりに、数時間後にContiランサムウェアペイロードの展開を開始しましたが、トレンドマイクロの機械学習型検索によってただちに検出されました。ファイルxx.dllは現在、Ransom.Win64.CONTI.Aとして検出されています。
図7:ランサムノートを検知した際のWorkbenchの画面
CONTIランサムウェアが展開された後、いくつかのエンドポイントでランサムノートが検出されました。
■ 侵入経路の調査
Cobalt Strike beaconの侵入経路はすぐには明らかにならなかったため、Trend Micro Vision Oneのさまざまな機能を使用して徹底的に調べました。
Trend Micro Vision OneのObserved Attack Techniques(OAT)機能を使用したところ、いくつかのエンドポイントのみが2021年の2月11日と12日にTrend Micro Vision Oneへのテレメトリデータの送信を開始していたため、他のエンドポイントからより多くのテレメトリを調査することができれば、侵入経路を確認することができた可能性があります。
図8:Vision Oneで確認したテレメトリ
Smart Protection Network(SPN)から提供されたフィードバックによると、同じ組織で2月4日にCobalt Strike beaconと思われる検体が検出されたことを確認しています。これが攻撃者にとって組織への潜入を初めて試みたものと考えられ、その際は成功しなかった可能性があることがわかります。
図9:2月4日のSPNフィードバック
この攻撃のほかには、初期の攻撃に使用された具体的な方法を特定することはできませんでした。攻撃者は、保護されていなかったか、その他の理由で監視されていなかったエンドポイントで攻撃を開始した可能性があります。
■ インシデントレスポンス
前述のとおり、組織はエンドポイントの保護を強化することで、攻撃に対応していました。恐らく攻撃者はこのことに気づき、機密情報をできるだけすぐに外に送信することを決めたようです。
OAT機能でさらなる調査を行うと、“Rarely Accessed IP Address”(ほとんどアクセスされないIPアドレス)のフィルタで検知しているアラートがいくつか確認できました。詳細情報を展開すると、攻撃者が盗んだデータを保存していた場所が明らかになりました。
図10: “Rarely Accessed IP Address”アラート
オープンソースツール「Rclone」は通常、指定されたクラウドストレージプロバイダにファイルを同期するために使用されます。このインシデントでは、攻撃者はクラウドストレージサービス「Mega」にファイルをアップロードするためにこのツールを使用していました。
図11:Rcloneに関連したアラートのテレメトリ情報
このインシデントの数日後、Cobalt Strike beaconの検体の亜種がさらに確認されました。これは、攻撃者が保護されていないエンドポイントにさらにアクセスできることを示しています。
図12:Cobalt Strikeに関連したアラート
■ Cobalt Strikeの横展開(ラテラルムーブメント)手法
Vision Oneによる調査後のタイムラインは、以下のようになります。
図13:Vision Oneによる調査後のConti/Cobalt Strike攻撃のタイムライン
ここでは、Cobalt Strikeが自身とContiランサムウェアをネットワーク全体にどのようにして拡散できたのかを解説します。
Cobalt Strikeは、LSASSから認証情報ハッシュにアクセスしてダンプを生成する機能により、パスワードを復元して、以後の横展開にそれらのパスワードを使用することができます。
図14:lsass.exeを起動するコマンドを記録したイベント
Cobalt Strike beaconは、cmd.exeのコピーコマンドを使用して、ファイルをリモートドライブに送信します。このコマンドは、注入されたプロセス(winlogon.exe、wininit.exe、wusa.exeなど)から直接発行することも、バッチスクリプトを使用して追加で実行することもできます。
図15:注入されたプロセスから呼び出されたcmd.exeコマンド
図16:バッチファイル/スクリプトによる実行
これらのコンポーネントは通常、以下のパスにドロップされます。
- C:\
- C:\ProgramData\
- C:\Temp\
図17のとおり、リモートエンドポイント上で、ファイル作成プロセスがntoskrnl.exeによって開始されます。このexeファイルの動作をほかのCobalt Strike beaconの動作と突き合わせれば、侵害が起きているかどうかを確認できます。また、この方法で作成されたファイルが疑わしいパスに保存されようとしていないか監視することもできます。
図17:ntoskrnl.exeによる実行
リモートエンドポイント上で自身のコピーを実行するためのコマンドを送信する場合にも、同じことが当てはまります。
図18:リモートエンドポイント上での実行
スケジュールタスクを使用するほかに、WMIコマンドを使用して自身のDLLまたはEXEのコピーを実行します(図19を参照)。
図19:WMIを使用して自身のコピーを実行
■ セキュリティ上の推奨事項
この脅威が最初にどのようにして被害組織に侵入したのかはわかりませんが、Contiはフィッシングメールを使用して、ランサムウェアのペイロードをドロップするダウンローダ型マルウェアを配信することで知られています。ソーシャルエンジニアリングの潜在的なリスクを認識し、そうしたリスクに対処するためのトレーニングを行うことが、リスクの軽減に役立ちます。
トレンドマイクロの包括的なXDR(Extended Detection and Response)ソリューションは、企業全体にわたるトレンドマイクロのソリューション(メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど)から収集した詳細なデータセットに対して最も効果的なエキスパート分析を適用し、それらのデータを迅速に関連づけて攻撃を特定および阻止します。強力な人工知能(AI)および専門家によるセキュリティ分析は、お客さまの環境から収集したデータとトレンドマイクロのグローバル脅威インテリジェンスを関連づけ、より洗練されたアラートを生成し、迅速かつ的確な脅威の検出に貢献します。
■ 侵入の痕跡
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Trend Micro Vision One: Tracking Conti Ransomware」
by Alvin Nieto, Mark Vicente, RonJay Caragay, Miguel Carlo Ang, McJustine De Guzman, Emmanuel Evangelista, Divina Chua, Marco Dela Vega