サイバー脅威
複数レイヤーにおける正規リモートアクセス手段の悪用で検出回避を試みる攻撃手法の解説
トレンドマイクロのManaged XDR(eXtended Detection and Response)を担当するチーム(以下、MDRチーム)は最近、ある顧客を標的とした攻撃事例に対処しました。この事例は、攻撃者による巧妙な検出回避と、複数レイヤーに跨る攻撃を示すものでした。まず、エンドポイントの脆弱性を攻撃し、そこから水平移動・内部活動へと繋げる様子が確認されました。
トレンドマイクロのManaged XDR(eXtended Detection and Response)を担当するチーム(以下、MDRチーム)は最近、ある顧客を標的とした攻撃事例に対処しました。この事例は、攻撃者による巧妙な検出回避と、複数レイヤーに跨る攻撃を示すものでした。まず、エンドポイントの脆弱性を攻撃し、そこから水平移動・内部活動へと繋げる様子が確認されました。一連の攻撃は、脆弱性「ProxyShell」を突いたクラウドサーバへのWebシェルのインストールから始まり、最終的な侵入手段としてリモートデスクトッププロトコル(Remote Desktop Protocol:RDP)を含む正規リモートアクセス手段を用いた持続的な攻撃に発展しました。
今回の事例は、企業や組織のセキュリティ部門により、脅威に対して迅速な対処を実現する上で、統合的なアプローチによる脅威の検出、監視、対応がいかに重要であるかを示すものでした。こうしたアプローチは、新型コロナウイルス感染拡大により企業のリモートワークが標準的なものとなった現在、特に重要性を増していると言えるでしょう。
■ 初期調査
まずMDRチームでは、エンドポイント側でマルウェアが隔離されたことを確認しました。従来のエンドポイント保護プラットフォーム(Endpoint Protection Platforms:EPP)であれば、この時点で対応は完了します。一方、MDRの場合は、マルウェアが検出された際の攻撃の全体像もあわせて考慮します。今回検出されたマルウェアは、Microsoft Exchange Server上に展開されたWeb シェル(トレンドマイクロでは「Possible_SMWEBSHELLYXBH5A」として検出対応)でした。このことから、当該サーバは脆弱性を突いてセキュリティ侵害を受けた可能性が高いと推測されました。今回の事例では、恐らく、ProxyShellにおける「CVE-2021-31207」、「CVE-2021-34473」、「CVE-2021-34523」の3つの脆弱性が突かれたものと判断されました。以上を踏まえ、MDRチームは、当該顧客への連絡の上、インシデント対応開始しました。
■ リモートコントロール第一レイヤー:Webシェル
調査の結果、攻撃者に当該サーバを経由してエンドポイントを遠隔操作する手段を提供する、Webシェルと疑われる複数のファイルを確認しました。
図1:事象発生初期のログ
Trend Micro Vision One ™のProgressive Root Cause Analysis(PRCA)機能により、Webシェルの作成は、Exchange製品の正規バイナリファイル「MSExchangeMailboxReplication.exe」によるものであることが判明しました。
図2:Webシェルの検出
以降に述べるTightVNCは、正規のリモートツールであり、もとより正当な目的に使用されるものです。しかしながら、不自然にもExchangeサーバに存在していることから疑いが生じ、攻撃者が実際にProxyShellを悪用していたことが判明しました。
■ リモートコントロール第二レイヤー:正規ツールTightVNCの利用
MDRチームは、この正規リモートアクセスツールTightVNCがエンドポイント内にあることを確認しました。そして同様に、このツールが今回のような形でエンドポイントに存在することも不自然であると判断されました。トレンドマイクロでは、TightVNCがシステム内に存在すべきでないことについて顧客側にも確認をとった上で、アンインストールするように連絡しました。
さらに監視とPRCAによる調査を継続したところ、リモートコントロール手段を経由して、さらに別のレイヤーにてTightVNCが再びインストールされたことが確認されました。
■ リモートコントロール第三レイヤー:バックドアPowerShellスクリプト
図3:PowerShellスクリプトの検出
こうして引き続き、攻撃者は、PowerShellスクリプト(「Backdoor.PS1.REVSHELL.AB」として検出対応)を以下のパスに作成して実行しました。
- C:\Windows\System32\AppLocker\winServicePrinter.ps1
このスクリプトはリバースシェルであり、実行されたコマンド履歴は下記の通りです。
TightVNCの再インストールと実行
さらに別の正規ツール「Ngrok」の使用も確認されました。
Ngrokのダウンロードと実行(詳細な解説について、トレンドマイクロのレポート「Analysis of a Convoluted Attack Chain Involving Ngrok」をご参照ください)
図4:Ngrokの検出
さらなる調査から、ローカル環境のアプリケーションを外部からアクセス可能にする正規ツールであるNgrokが用いる「auth_token」は、以下のメールアドレスから来ていることが分かりました。これはダミーの捨てアカウントと見てよいでしょう。
- excizewn[@]gmail[.]com
Ngrokは、ポート3389と443を開き、Ngrokサーバを経由してインターネットに繋がります。ここから、リモートコントロールの最終段階、第四レイヤーに繋がります。
■ リモートコントロール第四レイヤー:RDP(リモートデスクトッププロトコル)
最後に攻撃者は、Microsoft Windowsに組み込まれている正規リモートコントロールツールであるRDPの利用に踏み込みました。RDPを利用することにより、別のコンピュータにネットワーク経由で接続されたインターフェースへの遠隔操作が可能となります。さらにこの機能は、情報窃取を目的とする攻撃の手段としても、攻撃者の間で長期に渡って利用されています。窃取された情報はアンダーグラウンド市場で売り払われ、被害にあったシステムは、サイバー攻撃グループが掌握するボットネットの一部に取り込まれ、さらなる深刻な不正アクセスを引き起こすことなります。(RDPの不正使用による情報窃取の事例について、事例1または事例2をご参照ください。)
企業や組織がテレワーク用の環境を整備し、ハイブリッドワークを推し進めた結果、RDPの使用は一般的なものとなりました。このため、多くのITチームは、RDPネットワークトラフィックを無害で正常なものと認識する傾向があります。しかし、この認識により、RDPは、攻撃者にとっては、検出回避性能に優れた武器にもなります。企業や組織のセキュリティ部門は、テレメトリ情報を注意深く監視しない限り、こういったRDP攻撃を見逃す可能性が高くなります。この攻撃自体は、2人のユーザが同じシステムに接続して正常な通信を行っているだけのように見えるからです。
Trend Micro MDR のテレメトリ情報は、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークに限らず、全てのセキュリティレイヤーから収集したデータで構築されます。そして、MDRプラットフォームは、各セキュリティレイヤーからの多様なテレメトリ情報を取得し、未知の脅威の検出と因果分析を行います。
最終レイヤーとしてRDPが確かに利用されたことを示す唯一の証跡が、下記のようなテレメトリ情報です。
図5:MDRのテレメトリ情報
標的となった端末内で、lsass.exeのメモリダンプに先立ち、rdpclipプロセスが実行されたことに着目してください。RDP Clipは、正規のWindowsファイルであり、ローカルコンピュータと遠隔操作するリモートデスクトップとの間で、クリップボードの監視と共有を行います。このエンドポイントにおける攻撃者の狙いは、水平移動・内部活動に必要な認証情報を窃取することでした。
図6:LSASSプロセスメモリからの認証情報窃取
幸い、トレンドマイクロは、今回のような事例の対応にあたり、顧客に対して早期に注意喚起を行い、クラウドサーバを介した初期侵入の時点から監視体制に入り、綿密なサポートを通して最終的なクリーンアップと復旧に至りました。
■ 本事例から見る洞察
今回のような事例は、企業や組織のセキュリティ部門にとっては、攻撃をさまざまな視点を交えて俯瞰的に捉える一つの機会になるでしょう。企業や組織は、できる限りのシステム保護を念頭に置いた先進的なセキュリティ対策を進めるにあたり、下記の着眼点について考慮されることを推奨します。
Webシェルの検出と対応
MDRは、Webシェル関連と見られる複数の不正なファイルを検出しました。これらのファイル名はランダムであり、その格納先は、Internet Information Service(IIS)のインスタンスで使用されるサーバースクリプトの格納先と同じ場所でした(IISはMicrosoft社が提供する拡張型Webサーバであり、Windows NTファミリで使用されます)。これは非常に警戒すべき状況であったと言えます。これらのファイルは、テスト用には見えず、また、ランダムのファイル名が複数存在することは、攻撃者が複数のWebシェルをサーバに展開しようとしたことを示唆するからです。実際、この後、Webシェルの活動が確認され、攻撃者が少なくとも1つのWebシェルの展開に成功し、アクセスできるようになったことが分かりました。
正規ツールの悪用可能性は複数レイヤーの相関分析により判断可能
TightVNCとNgrokは、どちらも正規のアプリケーションですが、攻撃者によって悪用されていました。EPPだけを用いても、企業や組織のセキュリティ部門は、こうした正規ツールの不正使用が深刻な攻撃に繋がっていることを見抜けない可能性があります。一方、MDRであれば、複数のセキュリティレイヤーからデータを自動収集して相関分析するため、迅速な脅威の検出、調査、対応が可能です。今回の事例では、MDRの統合的なアプローチによって、攻撃が発生した前後関係も明らかになり、解析チームは、各事象の繋がりを分析し、攻撃に対する正確な判断と的確な対応を実現しました。
攻撃者側の視点に立つと、まず、脆弱な外部公開サーバがシステム侵入の糸口となり、さらに攻撃の足場を固めて目的を遂行すべく、エンドポイントを遠隔操作する手段としてTightNVCとNgrokが悪用されました。この時点で、攻撃者はWebシェルで感染させたサーバ、正規のリモートコントロールツールTightNVC(EPPでは検出できない)、トンネリングアプリケーションNgrok(同じくEPPでは検出できない)を掌握していたことになります。
■ 結論
今回の事例から、企業や組織は、さまざまな知見を得られるでしょう。その1つは、持続的な攻撃を阻止するには、EPPだけでは不十分ということです。EPP単体では、早期の検出、調査、応答に必要となる俯瞰的な視点での状況把握が困難なためです。これまで述べた通り、今回の攻撃は、複数のセキュリティレイヤーを絡め、一見すると無害なツールを用いて検出を回避しながらシステムへの侵入を図ります。攻撃の手口が複雑化する中、企業や組織のセキュリティ部門にとっては、各事象間の繋がりを分析し、俯瞰的な視点から攻撃構想を把握し、その中での状況をいかに明確に捉えるかが大きな課題となります。
もう一点挙げるべき事項として、これはパンデミックによって企業や組織のリモートワークが進展した現在は特に当てはまることですが、RDPのような正規のツールでさえ、攻撃手段に使われることです。攻撃者は想像力を駆使し、善良な発想で動いている人々を出し抜こうと、常に画策しているからです。攻撃による影響と範囲、そして被害を最小限に抑え込むには、迅速なだけでなく、的確な対応が必要不可欠です。
参考記事:
- 「Uncovering and Defending Systems Against Attacks With Layers of Remote Control」
By: Abraham Camba, Gilbert Sison, Ryan Maglaque
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)