Varonisは最近、環境内のサーバーでCPUアクティビティの急増を観測した顧客を支援しました。デバイスの簡易的な調査により、進行中の高度な脅威アクターによる侵害が判明し、後にRansomHubの関係者によるものと特定されました。
その後48時間にわたり、当社チームは顧客と緊密に連携し、調査・ハンティング・封じ込め・脅威の修復を行い、ランサムウェア化を未然に防ぎました。
当社チームの高度な介入能力により、顧客のネットワークは業務停止ゼロで保護されました。インシデントがどのように始まったか、続きをご覧ください。
初期アクセス
インシデントは、ユーザーが正規のブラウザーアップデートだと信じ込まされてファイルをダウンロード・実行したことから始まりました。実際には悪意のあるJavaScriptペイロードでした。
ダウンロードにより、自動化された偵察と初期コマンド&コントロール活動の連鎖が開始され、Active Directoryのユーザーやコンピューターの列挙、主要なローカルシステム情報の照会、メモリ内の認証情報の探索、その他さまざまな探索手法が実行されました。
数分以内に、永続化のための定期的なスケジュールタスクとしてセカンドステージのマルウェアが展開されました。その後、正規のPythonディストリビューションが%LOCALAPPDATA%ConnectedDevicesPlatformにダウンロードされ、攻撃者インフラとSOCKSプロキシとして機能する暗号化されたPythonスクリプトも配置され、企業ネットワークがインターネット経由で直接公開されました。
暗号化スクリプトは10層の多段階暗号化からなるアンパックルーチンで保護されており、各段階で次の層と他のコンポーネントが展開されました。
復号プロセスの各レベルには、アンパックを妨害するためのランダム化された変数名が使用されていました。さらに、各段階でVM検出、デバッグ検出、プロセストレース検出などの基本的なアンチ解析技術が実装されていました。
当社チームはこの特定バリアント用のアンパックルーチンを作成し、最終ペイロードを平文で取得できるようにしました。Varonisの顧客で支援が必要な場合は、IRチームまでご連絡ください。
最終ペイロードはSOCKSプロキシであり、攻撃者のエンドポイントと内部ネットワークインフラ間の通信を、侵害されたホストを中継点として可能にするものでした。
さらに、当社のフォレンジックチームは、この脅威アクターが$env:APPDATA\Microsoft\Signaturesに保存されたすべてのメール署名を操作し、末尾に悪意のある画像参照を埋め込んでいたことを確認しました。
この種の変更はエンドユーザーには気付かれませんが、脆弱なクライアントに対してNTLM認証試行を誘発し、追加の認証情報窃取につながる可能性があります。
探索活動
エンドポイントの初期侵害後、攻撃者は即座に認証情報や権限昇格の機会を探し始めました。これには、RDPなどの認証情報を含む可能性のあるネットワーク共有のスキャンが含まれていました。下記の通り、OVPNファイル、KeePass Vault、その他の拡張子やファイル名には認証データが含まれていることがよくあります。
上記コマンドは、マルウェアによる自動偵察段階の一環として、デバイスに接続されたすべてのネットワーク共有に対して実行されました。さらに、脅威はChromeやEdgeのローカルステートデータベースを解析して、ブラウザに保存された認証情報の特定も試みました。下記スニペットは、Data Protection API(DPAPI)を用いて以下のファイルからブラウザ保存パスワードを復号しようとした例です:
- $env:LOCALAPPDATA\(Google|Microsoft)\(Chrome|Edge)\User Data\Default\Login Data
- $env:LOCALAPPDATA\(Google|Microsoft)\(Chrome|Edge)\\User Data\Local State
権限昇格
この時点で、脅威はネットワークトンネルを通じて環境への直接アクセスと、最初に侵害したデバイスの直接制御を得ていました。当社の分析では、攻撃者が初期侵害から約4時間後にドメイン管理者アカウントの制御を開始したことが判明しました。
ネットワーク全体で侵害デバイスを特定する探索活動に加え、どのように権限昇格が発生したかを調査し、設定ミスや脆弱な箇所の封じ込めを行いました。
初期侵害から約2時間後、この顧客のADFSアカウントが侵害されたワークステーションからリードオンリーのドメインコントローラーへ認証し、Elevated Tokenパラメータによって管理者権限を持っていたことが関連する4624認証イベントから確認されました。
このログオンセッションにはSeTcbPrivilege権限も割り当てられており、これは付与されたユーザーが環境内の他の任意のユーザー(ドメイン管理者やSYSTEMを含む)を偽装できる危険な役割です。
その直後、複数のドメイン管理者アカウントの悪用が観測されましたが、テレメトリが限定的だったため正確な昇格手法は特定できませんでした。
顧客のActive Directory環境を監査した結果、昇格の攻撃面となりうるいくつかの重要な問題が判明しました。
特に、証明書サービス(AD CS)の設定ミスがあり、ESC1による権限昇格が可能な状態でした。AD CSの設定ミスは極めて危険で、通常ユーザーでもほとんど抵抗なくドメイン管理者へ昇格できてしまいます。
脅威アクターはこれを認識し、設定ミスを悪用して複数の高権限アカウント(ドメイン管理者含む)へのアクセスを得たと考えられます。この通常ユーザーから管理者への急速な昇格は、悪意のあるファイルの初回クリックから4時間以内に発生しており、脅威検知時の即時対応の重要性を示しています。
追加の探索活動
攻撃者が権限を得ると、ネットワーク全体の探索を開始しました。最初に行ったことの一つは、ドメイン管理者のノートPCを標的にすることでした。そのために、RDPが有効かつ許可されていることをリモートサービスやレジストリ操作で確認し、他のユーザーがログインしていないことを確かめた上でインタラクティブにデバイスへアクセスしました。
また、reg.exeやnetsh.exeを悪用してリモート接続を許可する適切なレジストリ設定を行い、ターゲットデバイスのポート3389が開いていることを確認しました。その後、quserを使ってログイン中のユーザーを確認しました。
デバイスが未使用であることが判明すると、TAはエンドポイントにバッチファイルで追加の情報・認証情報収集スクリプトを展開しました。これらスクリプトは実行後すぐに削除されました。
ping、nltest、net、qwinstaなどの標準的な探索手法に加え、脅威アクターが驚くべき行動を取ったことも判明しました。クライアントの内部アーキテクチャやネットワーク、サーバー環境に関する特定ファイルを開くため、インストール済みのWord、Visio、Excelを利用したのです。
通常この種のデータはオフラインで分析されますが、今回の脅威アクターはMicrosoft Officeユーティリティがインストールされた侵害サーバー上でファイルを開いたため、彼らの動機や手法を高い可視性で把握できました。
開かれたファイルの例:
- ESXiホスト チートシート
- Azure VMネットワークソリューション
- サーバーReadme
- クライアントアーキテクチャ/データベースに関する一般情報
この活動は意図的かつ標的型であり、脅威アクターがどこまで手間を惜しまないかの一例です。データアクセスの監視は、あらゆる企業のセキュリティ体制とリスク許容度にとって極めて重要です。
データ流出
初期侵害から約24時間後、攻撃者はドメイン管理者権限を取得し、環境全体に複数の永続化メカニズムを展開し、ほぼ全てのActive Directoryを列挙し、広範なネットワーク・ファイル探索を実施していました。
進捗に満足した脅威は、AzCopyというMicrosoft Azure Storage Account操作ユーティリティを展開しました。下記の通り、これを使って特定ディレクトリから大量のデータ流出を実現しました。
通常このユーザーは1日1,000ファイルを閲覧していましたが、流出当日は約27万件に達し、Varonisで対応するアラートが生成されました
このデータ流出活動が初期のCPUスパイクを引き起こし、顧客の注意を引きました。その直後、当社チームは脅威の永続化メカニズムと関連IOCを特定し、顧客と共同でネットワーク全体の悪意あるアクセスを同時に遮断する対応を実施しました。これにより顧客は修復のための猶予を得て、脅威がランサムウェアへ発展するのを防ぐことができました。
戦術・技術・手順(TTP)および関連する侵害指標(IOC)の分析から、本侵害はRansomHubグループの関係者によるものであり、初期アクセス活動にSocGhoulishマルウェアが利用されていたことが判明しました。
幸いにも、当社の介入サービスにより顧客は業務停止ゼロで脅威を完全に排除できました。もし数時間でも発見が遅れていれば、ランサムウェアが顧客環境全体に展開されていた可能性が高いでしょう。
スポンサー:Varonisによる執筆。
