シスコTalosの新たな調査によると、リモートアクセスソフトウェアやサービスの悪用が、最も一般的な「ランサムウェア前兆」の指標となっています。
研究者らは、攻撃者が正規のリモートサービス(RDP、PsExec、PowerShellなど)を頻繁に利用していることを観察しました。さらに、AnyDesk、Atera、Microsoft Quick Assistなどのリモートアクセスソフトウェアもよく悪用されています。
シスコは、これらの戦術・技術・手順(TTPs)が、サイバー犯罪者が侵害されたシステムで企業レベルのドメイン管理者アクセスを得るための取り組みの一環であると特定しました。
ランサムウェア前兆とは、攻撃者が特権昇格、認証情報の収集、リモートアクセスの展開などの活動を行う段階であり、まだ本格的な暗号化は実行されていません。
このようなリモートアクセスソフトウェアやサービスの悪用に対する推奨される対策は以下の通りです:
- 安全性が確認されたアプリケーションのみが起動できるようにセキュリティソリューションを設定し、予期しないソフトウェアのインストールを防止する
- リモートアクセスやアイデンティティアクセス管理(IAM)サービスを含むすべての重要なサービスでMFA(多要素認証)を必須とし、MFAの悪用を監視する
- WindowsのSystem Monitorなどのツールを導入し、エンドポイントの可視化とログ取得を行う
今すぐ読む:忘れられたリモートアクセスツールが組織をリスクにさらす方法
もう一つの一般的なランサムウェア前兆のTTPは、オペレーティングシステムの認証情報ダンピングでした。この手法は、侵害されたシステムからアカウント認証情報を抽出し、横方向への移動を可能にするものです。
研究者らは、主要な認証情報ダンピングの手法や場所として、ドメインコントローラーのレジストリ、SAMレジストリハイブ、AD Explorer、LSASS、NTDS.DITを挙げています。
オープンソースのMimikatzツールも、認証情報の抽出によく使用されています。
ネットワークサービスの探索も、重要なランサムウェア前兆の戦術として強調されました。ネットワークサービス探索に使用された主なツールやコマンドには、netscan、nltest、netviewなどが含まれます。
「リモートサービスやリモートアクセスソフトウェアの利用を制限し、前述の認証情報ストアのセキュリティを強化することが、これらのランサムウェア前兆活動で見られる大多数の攻撃者を抑制するのに役立つだろう」と研究者らは述べています。
研究者らは、調査対象となったすべてのインシデントが、ランサムウェア展開に先立って一貫して見られる戦術を含んでいたことに高い確信を持っていると述べました。
迅速な対応がランサムウェア展開防止の鍵
9月8日に公開されたCisco Talosの調査では、深刻なランサムウェアインシデントの発生を防ぐためには迅速な対応が重要であることが強調されました。
Talosインシデントレスポンス(IR)が最初の活動観測から1~2日以内に対応した場合、攻撃阻止に成功したケースの3分の1(32%)でランサムウェアの実行が防がれました。
EDR/MDRのアラートによってセキュリティチームが2時間以内に封じ込めを行ったことが、32%の攻撃阻止に寄与した要因と特定されました。
米国政府のパートナーや管理サービスプロバイダー(MSP)の担当者から、環境内でのランサムウェア準備の可能性について通知を受けたことで、14%のケースでランサムウェアの実行が防がれました。
これには、2023年3月に開始されたサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のランサムウェア前兆通知イニシアチブからのアラートも含まれます。
組織のセキュリティ制限も、成功した対応の9%で攻撃連鎖を妨げる重要な要素となりました。ある例では、脅威アクターが標的組織のサービスアカウントを侵害しましたが、アカウントに適切な権限制限が設定されていたため、ドメインコントローラーなどの主要システムへのアクセス試行が阻止されました。
翻訳元: https://www.infosecurity-magazine.com/news/remote-access-abuse-pre-ransomware/