Storm-0249、ステルス攻撃でEDRプロセスを悪用

出典: holwichaikawee / Shutterstock

初期アクセスブローカー（IAB）であるStorm‑0249は、騒がしく検知されやすいフィッシング攻撃から、はるかに検知・阻止が難しい高度に標的化されたキャンペーンへとシフトしている。

ReliaQuestによると、ランサムウェアオペレーターへのネットワークアクセス仲介で知られるStorm-0249は、正規のエンドポイント検知・応答（EDR）プロセスやWindowsに組み込まれたユーティリティを武器化し、侵害後の活動にますます利用している。これには、侵害済みシステム内を探索して情報を収集すること、コマンド＆コントロール（C2）チャネルを確立すること、環境内で持続性を維持することなどが含まれる。これらの新たな戦術により、Storm‑0249は防御をすり抜け、ネットワークの奥深くまで入り込み、ほぼ完全にレーダーの下で活動できるようになっていると、同セキュリティベンダーは述べている。

Storm-0249による「ニューカマーのエネルギー」

「新興のIABとして、Storm-0249はすでに不安定な情勢にフレッシュなニューカマーのエネルギーをもたらしています」と、ReliaQuestの脅威インテリジェンスディレクターであるBrandon Tirado氏はDark Readingに語る。「幅広く汎用的なフィッシングを用いる従来型ランサムウェアから、ステルス性の高いローダー中心のClickFixスタイルのキャンペーンへと急速に方向転換したことで、RaaSアフィリエイトが迅速かつ静かにアクセスを獲得するための技術的・金銭的ハードルが下がっています」と同氏は述べる。

この「ニューカマーによるイノベーション」というダイナミクスは、IABエコシステム全体で模倣的な採用を加速させる可能性があり、防御側はもはや評判が低い、あるいは最近観測されたばかりのアクターを軽視する余裕はないとTirado氏は指摘する。「あらゆる新たな脅威は、初日から潜在的に高いインパクトを持つものとして扱わなければなりません。」

Storm‑0249の最近の活動は、ClickFixとして知られる戦術から始まる。これは、ユーザーに対し、Windowsの「ファイル名を指定して実行」ボックスに一見無害そうなコマンドを貼り付けて実行するよう仕向けるソーシャルエンジニアリング手法だ。しかし、何かを修復する代わりに、そのコマンドは、正規のMicrosoftサポートポータルを装ったフィッシングサイトから、偽装されたMicrosoftサポートインストーラーを静かにダウンロードする。起動されると、そのMSIはWindows Installerに組み込まれた「SYSTEM」権限を悪用し、攻撃者が保護されたディレクトリにファイルを配置し、システムレベルの完全な制御権限でペイロードを実行できるようにする。

ReliaQuestによれば、そのMSIの内部には、SentinelOneのEDRソフトウェアの正規コンポーネントを装ったトロイの木馬化されたダイナミックリンクライブラリ（DLL）が含まれている。悪意あるインストーラーは、攻撃者が同時に持ち込む正規のSentinelOne実行ファイルのすぐ隣に、武器化されたDLLをシステムのAppDataフォルダ内に配置する。SentinelOneの実行ファイルが起動して必要なファイルを検索すると、正規のDLLではなく悪意あるDLLが読み込まれ、典型的なシグネチャベースのアラートを発生させることなく、攻撃者が悪意あるコードを実行できるようになる。

このようなDLLサイドローディング攻撃自体は新しいものではない。しかし、Storm-0249がこれらの戦術をプレイブックに統合していることは、脅威アクター全体が「アイデンティティベースかつ回避重視の戦術」へと広く進化していることを反映しているとReliaQuestは述べている。重要なのは、Storm-0249の手法は容易に適応可能であり、SentinelOneだけでなく他のEDRプラットフォームにも同様に通用するだろうと、同セキュリティベンダーが付け加えている点だ。

正規のWindowsユーティリティの活用

最近のいくつかの攻撃で、ReliaQuestはStorm-0249がcurl.exeのようなWindows標準ツールを利用し、Microsoft発であるかのように見えるURLから悪意あるPowerShellスクリプトを取得していることを観測した。開発者やシステム管理者などは、ファイルのダウンロード、APIのテスト、自動化タスクなどのために毎日のようにcurl.exeを使用しているため、Storm-0249がこれを使う狙いは、通常のアクティビティに紛れ込み、検知を回避することにあるとReliaQuestは説明する。

悪意あるスクリプトはPowerShellのメモリに直接パイプされ、ディスクに書き込まれることなく実行される。これらのコマンドは、日常的なIT運用で広く使われている正規のシステムユーティリティによって実行されるため、従来型のエンドポイント防御ではしばしば検知に失敗するとReliaQuestは述べている。

「ファイルレスPowerShellは完全にメモリ上で実行され、DLLサイドローディングは信頼された署名付きバイナリを悪用します」とTirado氏は指摘する。「そのため、どちらの手法も、いまだ多くのスタックを支配しているシグネチャベースのツールを回避してしまうのです。」

同氏は、Storm-0249のような脅威アクターが、信頼を素早く獲得するために、これらよく知られた盲点を意図的に突いていると評価している。効果的な対抗策としては、予期しないパスからの異常なDLLロードを検知する行動分析、EDRのベースライン化、90日未満しか存在していないドメインへの接続を検知するDNS監視などが挙げられる。

Tirado氏の見解では、最も悪用されているセキュリティギャップは、監視されていないAppDataやレジストリハイブ、境界防御やシグネチャベース防御への過度な依存、そして「Living-off-the-land」バイナリ（LOLBins）攻撃で脅威アクターが典型的に使用するバイナリを、制約なしでホワイトリスト登録してしまうことだという。組織は、PowerShellの制限付き言語モードのような厳格なLOLBins制限を適用し、ネットワークを積極的にセグメント化し、自動化されたレスポンスプレイブックを導入すべきだと同氏は述べている。