サイバー脅威
Webシェル攻撃とVPN侵害の初期段階を解説:XDR分析レポート
Webシェルを使った攻撃やVPNの不正利用は、古くからある手法ではありますが、今なお深刻な脅威となっています。トレンドマイクロのMXDR(Managed XDR)チームが最近分析したインシデントから、セキュリティ対策における行動分析と異常検知の重要性が改めて明らかになりました。
主なポイント
- 攻撃者は、Webシェル、通信トンネリングツール、リモートアクセスソフトなど、複数のツールを組み合わせた多層的な戦略を採用する傾向が強まっています
- トレンドマイクロの専門家がXDRの分析を提供するTrend Micro MXDRの対応事例から、一つの侵入経路が遮断されても活動を継続できるよう、脅威が複数のステップを踏んで展開されることが判明しました
- Webシェルは攻撃者に侵害したサーバへの双方向アクセスを提供し、悪意ある活動を可能にするだけでなく、状況に応じた柔軟な戦術の変更も実現します
- VPNアカウントへの侵入により、攻撃者はネットワーク内での発見を避けられます。マルウェアや不正な活動を正規のプロセスに偽装することで、検知から逃れています
- MXDRとデジタルフォレンジック・インシデント対応の能力を活用することで、企業は実用的な脅威インテリジェンスを得られます。これにより、セキュリティチームは侵害の早期発見、異常行動の事前把握、そして適切な対処と復旧が可能になります
現代のサイバー脅威は日々進化しており、組織には絶え間ない警戒が求められます。トレンドマイクロが確認した2件の注目すべきセキュリティ事例は、従来の手法に新たな工夫を加えた「Webシェルを使った攻撃」と「VPNの侵害」です。今回、Vision Oneを使用した封じ込め作業とその後の分析を通じて、これらの脅威がどのように発生し、拡大していったのか、また次にどのような行動を取る可能性があったのかを詳しく解明することができました。トレンドマイクロのMXDRチームが、これらの事例を詳細に分析し、企業や組織のセキュリティ対策とインシデント対応の改善に役立つ知見をお伝えします。
MXDRケース1:執拗に続くWebシェル攻撃
Webサーバは一般にインターネットに公開されているため、脆弱性や設定ミス、パッチ未適用のソフトウェアを狙う攻撃者の格好の標的となっています。いったん侵害されると、マルウェアの仕掛け、データの窃取、サイバースパイ活動など、さらなる攻撃の足がかりとして悪用されかねません。
Webサーバを侵害する代表的な手法の一つが、不正なWebシェルの埋め込みです。攻撃者は脆弱性を悪用するか、ファイルアップロード機能を悪用して、公開サーバに悪意のあるツールを仕掛けます。Webシェルがインストールされると、リモートからコマンドを実行できる入口が作られます。これにより、マルウェアのインストール、新たな攻撃の開始、データの窃取、あるいはネットワーク内の他のマシンを狙うための拠点として、サーバが悪用される可能性があります。
このインシデントでは、以下のような攻撃フローが確認されました。
初期侵入(Initial access): 攻撃者はサーバにWebシェルファイルをアップロードし、後にInternet Information Services(IIS)ワーカー(w3wp.exe)を通じてコマンドを実行しました。Webシェルの初期アップロードは以前にも確認されていましたが、その時点では悪意のある活動は行われませんでした。ログが不十分だったため、これらのファイルがどのようにアップロードされたのかを特定することはできませんでした。
不正活動の実行(Execution): ファイルはIISワーカー配下でシステムに導入され、cmd.exeを使用して実行されました。
永続化(Persistence): 攻撃者はローカル管理者アカウントを作成しました。このアカウントはインシデント中には使用されませんでしたが、発見されなければ後に使用される可能性があったと考えられます。さらに、攻撃者は外部IPからリモートデスクトッププロトコル(RDP)でアクセスを可能にするため、lcx5qm.jpgというトンネリングソフトウェアも導入しました。
特権昇格(Privilege escalation): コマンドはw3wp.exeインスタンス内で実行され、プロセスと同じ権限で動作していました。また、作成されたローカル管理者アカウントは、管理者権限が必要な操作の実行に使用できる状態でした。zxin.jpgというツールが配置され、C:\Windows\system32\svchost.exe -k netsvcs -p -s seclogonの下で実行されることで権限が昇格されました。
検出回避(Defense evasion): 攻撃者が配置した複数のバイナリファイルは.jpgという拡張子を持っており、これは無害なファイルに見せかけるための典型的な手法です。
事前調査(Discovery): Windowsに組み込まれているユーティリティ(set、reg.exe、whoamiなど)を使用して、ホストに関する情報を収集するコマンドが実行されました。
コマンド&コントロール(C&C: Command and control): 実行されたファイルの1つで、潜在的なC&Cサーバの証拠が検出されました。IPアドレス45[.]154[.]12[.]246が実行ファイルlcx5qm.jpgの引数内で発見されました。また、攻撃者は別のツール(fff.txt)も導入しており、これはリバースプロキシツールで、111[.]223[.]247[.]193に向けた外向きの通信を開始していたことが確認されています。
MXDRケース2: VPN侵害による水平移動・内部活動
VPNアカウントの侵害は、フィッシング、脆弱性の悪用、または脆弱なログイン認証情報の取得などの方法によって、悪意のある攻撃者がVPNアカウントにアクセスを得た際に発生します。侵入後、攻撃者は侵害したアカウントを使用して悪意のある活動を実行し、ネットワーク内に潜伏してセキュリティ対策を回避することができます。アクセス権限によっては、重要なシステムへの横断的侵害やランサムウェアなどの追加の攻撃プログラムを展開することも可能になります。
分析したインシデントでは、以下の攻撃チェーンが観察されました:
初期侵入(Initial access):初期の活動では、環境のホスト命名規則に準拠したワークステーションからVPN IPを使用したログインが確認されました。これにより、攻撃者は即座に疑いを持たれることを避けられた可能性があります。
不正活動の実行(Execution): 複数のホストでAnydesk.exe(サードパーティ製のリモートデスクトップアプリケーション)の実行と、net.exe(Windowsのネットワーク管理用の標準コマンドユーティリティ)の使用が確認されました。
永続化(Persistence): 攻撃者は環境にAnyDeskを展開し、ユーザアカウントを作成しました。AnyDesk以外にも、侵害されたアカウントが「Remote Desktop Users」グループに追加されているのが確認されました。これは環境へのリモートデスクトップアクセスを確保するためです。
特権昇格(Privilege escalation): 環境内で新しいユーザアカウントを作成する「net」コマンドの使用が確認されました。Trend Micro Deep Discovery Inspector(DDI)は、ローカルアカウントとドメインアカウントの両方のパスワードハッシュを収集するために使用されるImpacketのSECRETSDUMPとWMIEXECPYに関連するネットワーク活動も検出しました。また、Zerologonとして知られる権限昇格の脆弱性(CVE-2020-1472)を悪用しようとする試みも観察されましたが、こちらは失敗しました。
検出回避(Defense evasion): 攻撃者は環境内での足がかりを強化するため、anydesk.exeなどの正規ツールを悪用しました。また、「programdata」や「systemtest」といったディレクトリ名を使用してツールを偽装しました。
コンフィデンシャルアクセス(Credential access): ローカルアカウントとドメインアカウントの両方のパスワードハッシュを収集するため、ImpacketのSECRETSDUMPとWMIEXECPYの使用を裏付ける活動が確認されました。
事前調査(Discovery): 攻撃者は環境内のリモートシステムの探索を開始するため、netscan.exeのコピーであるnetapp.exeというツールを使用しました。DDIログからは、ポート80、139、443、445を対象としたポートスキャン活動も確認されました。
水平移動・内部活動(Lateral movement): 侵害されたアカウントを使用して、RDPが他のエンドポイントへの侵入に利用されました。さらに、WMIExecがリモートでコマンドを実行するために使用されました。
コマンド&コントロール(C&C: Command and control): Anydesk.exeの悪用は、侵害されたホストを使用して環境全体を制御するためのコマンド&コントロールを確立する目的で行われた可能性があります。
主要な攻撃パターンと教訓:段階的な防御戦略による脅威対策
両方のインシデントにおいて最も問題となったのは、アプリケーションログ(VPNおよびIISログ)の不足でした。これらのログは、脅威の侵入経路を理解し、より適切なセキュリティ対策を提案するために極めて重要です。また、定期的なセキュリティ監査は、不正なリモートアクセスや不自然なトンネリング活動など、脅威の代替的な攻撃手段の兆候を特定するのにも役立ちます。
両インシデントのデジタルフォレンジックとインシデント対応(DFIR)分析から、攻撃者がどのようにネットワークに適応し、潜伏を続けるかについての重要な知見が得られました。これは、単に一つの侵入経路を防ぐだけでは不十分だということを示しています。組織は適切なログ監査を確実に行う必要があります。これは簡単なことのように思えますが、往々にして見過ごされがちです。
また、積極的なサイバーセキュリティ戦略には、包括的なインシデント対応計画が不可欠です。例えば、Webサーバがcmd.exeを起動するような異常なプロセスの動作や、想定外のVPNログインの検出は、早期の侵害指標となります。積極的なDFIRは、被害の封じ込めと復旧を支援するだけでなく、防御を強化するための実用的な情報も提供します。類似の攻撃で見られたように、Webシェルを経由したランサムウェアの展開といった最悪の事態を防ぐには、これらの脅威を早期に発見することが重要です。別のインシデントでは、公開されたRDPホストへの不正アクセス後、わずかな時間でランサムウェアが展開されています。
セキュリティ上の考慮事項と推奨対策
多層的なセキュリティ、実効性のあるインシデント対応計画、従業員教育の実施が不可欠です。DFIR分析から得られた知見は、これらの戦略の策定と、進化する脅威に対する組織の対応力向上に役立ちます。
Webシェルの脅威への対策:
適切な入力検証とサニタイズの実施:コード注入によるWebシェル攻撃を防ぐため、Webアプリケーションで厳密な入力検証とサニタイズを実装します。入力フィールドには特定の文字、データ形式、値の範囲のみを許可し、潜在的に危険なコードを除去します。攻撃者が注入を試みる可能性のある悪意のあるスクリプトやコマンドをブロックするため、サーバサイドでの検証を行います。また、クロスサイトスクリプティング(XSS)、SQLインジェクション、その他の種類の注入攻撃を防ぐため、安全なコーディング手法、ライブラリ、フレームワークを採用します。攻撃者が容易に回避できるため、クライアントサイドの検証だけでは不十分であることに注意が必要です。
ネットワークの分離による横断的侵害の防止:Webサーバを内部ネットワークから分離することで、重要な内部資産との接触を最小限に抑え、侵害後の攻撃者の横断的な移動を防ぎます。ファイアウォールとアクセス制御リスト(ACL)を使用して、Webサーバネットワークと内部ネットワーク間の通信を厳密に制御します。また、侵入検知システム(IDS)や侵入防止システム(IPS)を使用してこれらのセグメント間のトラフィックを監視し、侵害の試みを示唆する不自然な活動を検出して対応します。
Webアプリケーションの最新化:IISサーバ、Webアプリケーション、サードパーティのプラグインやモジュールに対して、定期的にセキュリティパッチとアップデートを適用します。攻撃者は既知の脆弱性を狙うことが多いため、古いソフトウェアはWebシェル攻撃の格好の標的となります。セキュリティ修正を迅速に適用できるよう、定期的なパッチ管理プロセスを確立します。即座のパッチ適用が難しい場合は、既知の攻撃から一時的に守るための仮想パッチの使用を検討します。
IISサーバのアクセス権限の制限:ファイル、ディレクトリ、サーバ設定の変更権限を厳密に制御します。ユーザとアプリケーションには必要最小限の権限のみを付与する原則を徹底します。例えば、IISワーカープロセス(w3wp.exe)がWebシェルの展開に利用される可能性のあるディレクトリへの書き込み権限を持たないようにします。適切なファイルシステム権限とロールベースのアクセス制御で変更機能を制限します。これらの権限を定期的に確認・監査し、攻撃者が悪用する可能性のある設定ミスを見つけて修正します。
Webアプリケーションファイアウォール(WAF)によるトラフィックの制御:Webサーバの前段にWAFを設置して、HTTP/Sトラフィックを監視・制御します。WAFは、Webシェルのアップロード試行などの既知の攻撃パターンをブロックし、悪意のあるリクエストを除去できます。組織のアプリケーションとサーバ環境に合わせたルールを設定します。ログを取得し、不審なファイルアップロードの試みや、悪意のあるコードを含むリクエストなどの異常な活動を検知したらアラートを発するよう設定します。この積極的な監視により、脅威が拡大する前に早期発見・対応が可能になります。
不要なサービスとポートの無効化:Webサーバの設定を定期的に見直し、アプリケーションに不要なサービス、機能、ポートを無効にします。例えば、アプリケーションがFTPを使用しない場合は、IISサーバのFTPサービスを停止します。稼働中のサービスを最小限に抑えることで攻撃対象を減らし、攻撃者の侵入口となり得る可能性を制限します。また、Webシェルの展開に悪用される可能性のある不要なポートを見つけて閉じるため、定期的にサーバのポートスキャンを実施します。
VPN侵害への対策:
認証情報の即時リセット: VPNアカウントの侵害が疑われる場合は、直ちに認証情報をリセットします。強固なパスワードポリシーを実施します。可能な場合は、VPNアクセスに多要素認証(MFA)を導入し、追加の防御層を設けることで、盗まれた認証情報による攻撃者の再侵入リスクを低減します。
アカウントの異常な活動の監視:侵害の兆候を察知するため、VPNの利用状況を常時監視します。想定外の場所からのログイン、通常の勤務時間外のアクセス、連続したログイン失敗など、危険信号を見逃さないようにします。リモートアクセスソフトやネットワーク探索ツールなど、攻撃者が悪用する可能性のある正規ツールの突然の使用やダウンロードにも注意を払います。不審な行動を特定して調査するために役立つデータを収集・分析します。
サイバーセキュリティ防御の強化策:
最小権限の原則とシステム強化の徹底:アプリケーションには、必要最小限の権限のみを付与します。管理者権限の付与など、過度に寛容な権限設定は、攻撃者がより深いシステムアクセスを得る機会を与えかねません。システムの強化には、不要なサービスの停止、重要なシステムファイルの保護、レジストリ設定の適切な管理、不正な変更を防ぐファイル権限の設定が含まれます。潜在的な脆弱性を見つけて修正するため、権限と設定を定期的にチェックします。
詳細なログ記録と定期的な監査の実施:サーバの動作を監視するため、HTTPアクセスログ、イベントログ、エラーログなど、包括的なログをWebサーバで取得します。IISサーバでは、IPアドレス、リクエストヘッダ、タイムスタンプ、HTTPステータスコードなどの重要な情報を記録します。監視と相関分析のため、MXDRソリューションにログを集約します。インシデント発生後の分析に備え、適切な保持期間でログを安全に保管します。連続したログイン失敗、重要なディレクトリへの不正アクセス、異常なHTTPメソッドなど、不審な動きを見つけるため、これらのログを定期的に確認します。
確実なパッチ管理の実施:IISサーバ、Webフレームワーク、プラグインなど、すべてのアプリケーションに最新のセキュリティパッチを確実に適用します。新たな脆弱性の発生やサービスの中断を防ぐため、テスト期間を設けます。即座のパッチ適用が難しい場合は、既知の攻撃から一時的に守るための仮想パッチを検討します。パッチが必要なコンポーネントを素早く特定できるよう、サーバ上のすべてのソフトウェアバージョンを最新の状態で把握します。
強固な認証システムの導入:IISサーバへのアクセスをMFAで保護します。脆弱なパスワードやデフォルトパスワードの使用を禁止し、厳格なパスワードポリシーを実施します。ブルートフォース攻撃を防ぐためのアカウントロック機能を導入します。信頼できるIPアドレスやネットワークセグメントからのみサーバアクセスを許可します。想定外の場所からのログインやMFAの回避試行など、不審なログイン活動の兆候について認証ログを監視します。
トレンドマイクロは、これらの脅威に対する総合的な保護を提供しています。Trend Cloud One™は、アプリケーション制御、整合性監視、侵入防止機能を通じて、不正なアプリケーションの実行を防止し、システムの予期せぬ変更を監視し、不審なネットワークトラフィックを検知することで、サーバ環境を守ります。これらの多層的な防御は、WebシェルやVPN侵害がもたらすリスクを軽減する上で重要な役割を果たします。
Trend Micro Vision Oneのスレットインテリジェンス
日々進化するサイバー脅威に対して先手を打つため、Trend Microのお客様はTrend Micro Vision Oneで提供される各種インテリジェンスレポートと脅威インサイトをご活用いただけます。脅威インサイトを活用することで、サイバー脅威が発生する前に必要な対策を講じ、新たな脅威への備えを強化することができます。攻撃者の特徴、悪意ある活動の内容、使用される攻撃手法など、包括的な情報を提供しています。このインテリジェンス情報を活用することで、お客様は自社環境の保護、リスクの低減、脅威への効果的な対応に向けた事前対策を講じることができます。
Trend Vision Oneのアプリ「Intelligence Reports」(IOC Sweeping)
Webシェルと VPN脅威の初期段階を解説:MXDRによる詳細分析
Trend Vision Oneのアプリ「Threat Insights」
最新の脅威:Understanding the Initial Stages of Web Shell and VPN Threats: An MXDR Analysis(WebシェルとVPN脅威の初期段階を解説:MXDRによる詳細分析)
ハンティングクエリ
Trend Vision Oneのアプリ「Search」で利用可能なハンティングクエリ
Trend Micro Vision Oneをご利用のお客様は、検索アプリを使って、このブログ記事で紹介した悪意のある指標と自社環境のデータを照合・分析することができます。
Webシェル作成の可能性を検出するクエリ:
processFilePath:w3wp.exe AND eventSubId: 101 AND objectFilePath:(".aspx" OR ".asp")
「Threat Insights」のライセンスお持ちのVision Oneのお客様は、さらに多くの探索クエリをご利用いただけます。
侵入の痕跡(IoC:Indicators of Compromise)
すべてのIOCリストはこちらのページでご確認いただけます。
参考記事:
Understanding the Initial Stages of Web Shell and VPN Threats: An MXDR Analysis
By: Ryan Maglaque
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)