攻撃者が何年もかけて侵入経路を探し続ける場合、エアギャップネットワークも安全を保証できません。Sygniaの研究者たちが「Operation Highland」の全詳細を公開しました。中国に関連する脅威グループ「Velvet Ant」が、ある大規模組織の内部ネットワークに約10年間にわたって検知されることなく潜伏し続けたキャンペーンです。
10年間にわたる検知されない侵入
Sygniaによると、この環境におけるVelvet Antの活動の最初の痕跡は2016年にまで遡ります。この侵入が特に注目に値するのは、標的の性質にあります。当該ネットワークはインターネットへの直接接続がありませんでした。攻撃者はまず外部からアクセス可能なサーバーに足場を築き、標準的な企業ネットワークを経由して横移動し、最終的に隔離された重要インフラセグメントへと到達しました。
初期侵入とラテラルムーブメント
初期の足場を確保するため、Velvet AntはGS-Netcatの改ざん版を展開し、秘密裏にリバースコマンドシェルを確立しました。悪意あるファイルはシステムユーティリティ「auditdb」に偽装され、/usr/sbin/ディレクトリ内に配置されました。サーバーごとに異なるメカニズムで永続性を維持しており、systemdへのサービス登録や旧来のSysVinitスタートアップスクリプトの悪用といった手法が用いられました。
並行して攻撃者はPerlベースのSOCKS5プロキシを展開し、ネットワークトラフィックを密かにリダイレクトしながらインフラ内を移動し続けました。プロセスは正規のシステムサービスに偽装され、ホストごとにファイル名・ポート番号・プロセス名が変更されており、攻撃全体のパターンを意図的に難読化していました。
認証メカニズム自体へのバックドア
このキャンペーンで最も深刻だったのは、個々のサーバーの侵害ではありませんでした。Velvet Antが標的にしたのは、認証メカニズムそのものでした。グループはPAMモジュールとOpenSSHコンポーネントを武器化されたバージョンに差し替えました。これらの改ざんにより、攻撃者は標準的なパスワード検証を回避し、認証情報を傍受し、管理者が入力したコマンドを記録できるようになりました。
研究者たちは改ざんされたpam_unix.soモジュールの9種類のバリアントを特定しました。一部はバックドアへの秘密アクセス用にハードコードされたパスワードを受け付けるもので、さらにユーザーの認証情報を隠しファイルに記録するものもありました。各バリアントは別々の環境でコンパイルされており、入念に調整・計画された作戦であることが示唆されます。
ssh、sshd、scpのバックドア版も同様に危険な機能を備えていました。パスワードの記録、シェルコマンドのログ取得、活動痕跡の隠蔽を行うほか、root権限で起動した場合にはSELinuxを無効化することさえできました。sshの一つのバリアントには、攻撃者が自分たちのセッションのログを抑制するための専用オプションが含まれていました。
パスワード不要の永続アクセスを支えるSSHキー
Velvet Antはさらに、侵害したサーバーのauthorized_keysファイルに自分たちの公開鍵を挿入しました。この手法により、改ざんされたシステムバイナリとは独立して機能するパスワード不要の永続アクセスが確保され、侵入に二重の耐性が加わりました。
リスクをはらむ復旧プロセス
侵害のクリーンアップは特に繊細な作業となりました。攻撃者が管理者のサーバーアクセスに不可欠なコンポーネント自体に潜り込んでいたため、PAMやOpenSSHの置き換えで少しでもミスを犯せば、インシデントレスポンスチームが重要システムから完全に締め出され、障害を引き起こすリスクがありました。
インシデントレスポンスチームはまず管理された検証環境で復旧手順を確認し、次に影響を受けた各システムに対応する正しいクリーンなコンポーネントのバージョンを特定し、その後に修正を隔離ネットワークへ移送するという手順を踏みました。各ステップの後、チームはSSHアクセスと標準認証が正常に機能し続けることを確認しました。技術的な詳細については、SygniaのOperation Highlandレポートをご覧ください。
ステルス持続性の新たな基準
Sygniaは「Operation Highland」を、高度な脅威グループが目立つマルウェアを展開したり明らかなアラートを発生させたりすることなく、インフラ内に何年も潜伏できることを明確に示す事例と位置づけています。Velvet Antは単に個々のノードを侵害したのではありません。管理者がシステムに認証するためのプロセスそのものを掌握したのです。このレベルの侵害に対処するには、表面的なクリーンアップをはるかに超えた対応が必要です。システム管理の根幹をなすメカニズムへの信頼を根本から見直すことが求められます。
翻訳元: https://meterpreter.org/velvet-ant-air-gapped-network-operation-highland/
