正規のオープンソース監視ツールが攻撃者によって悪用され、侵害されたシステムの完全な遠隔制御を取得するために再利用されています。
Ontinueのサイバー防御センターからの新しい調査結果によると、この活動はNezhaを含んでいます。Nezhaは広く使われている監視プラットフォームで、管理者にWindows環境とLinux環境全体でのシステム可視化と遠隔管理機能を提供しています。
このキャンペーンでは、Nezhaはマルウェアではなく、ポスト悪用の遠隔アクセスツールとして展開されています。ソフトウェアは正規で積極的にメンテナンスされているため、VirusTotal上でゼロ検出を記録しており、72のセキュリティベンダーが何も疑わしいものをフラグアップしていません。
エージェントは静かにインストールされ、攻撃者がコマンドを発行し始めたときだけに見えるようになります。これにより、従来のシグネチャベースの検出が無効になります。
「Nezhaの兵器化は、脅威アクターが正規ソフトウェアを体系的に悪用して永続性と横展開を実現しながら、シグネチャベースの防御を回避する新しい現代的攻撃戦略の出現を反映しています」と、Qualysのセキュリティ研究マネージャーであるMayuresh Daniは述べています。
「このサーバ監視ツールが事前に認識されているネットワークでは、防御チームがこの異常な活動を見落とす可能性もあります。」
Nezhaがどのように悪用されているか
Nezhaはもともと中国のIT業界向けに開発され、GitHubでほぼ10,000スターを獲得しています。
そのアーキテクチャは、監視対象システムにインストールされた軽量エージェントを管理する中央ダッシュボードに依存しています。
これらのエージェントはコマンド実行、ファイル転送、インタラクティブターミナルセッションをサポートしています。これらの機能は管理者に有用ですが、攻撃者にとっても同様に魅力的です。
Ontinueの研究者は、インシデント対応の過程でこの悪用を特定しました。bashスクリプトは、攻撃者が制御するインフラストラクチャを使用してNezhaエージェントをデプロイしようとしていました。
スクリプトには中国語のステータスメッセージと、日本に位置するAlibaba Cloudインフラストラクチャでホストされているリモートダッシュボードを指す設定詳細が含まれていました。
言語は中国語話者による作成を示唆していますが、Ontinueはそのような指標は改ざんが容易で、帰属に使用すべきではないと注意しています。
テストが明らかにしたもの
制御された試験で、Ontinueはそのようなテストで、Nezhaエージェントが設計上、昇格された権限で実行されることを確認しました。
Windowsシステムでは、NT AUTHORITY\SYSTEMとしてインタラクティブなPowerShellセッションを提供し、Linuxデプロイはroot権限にアクセスしました。悪用または権限昇格は必要ありませんでした。
「懸念されるのは、Nezhaエージェントがシステム/ルートレベルのアクセスを提供することです」とDaniは述べています。
「それは設計上悪意のあるものではありませんが、脅威アクターがこの正規ツールの使用目的を変更するのに役立ち、遠隔コマンドを確実に実行し、遠隔ファイルにアクセスし、インタラクティブシェルを使用して侵害されたシステムにアクセスするための開発時間を短縮します。」
ポスト悪用検出についての詳細:攻撃者が競合を排除するために悪用後に脆弱性を「パッチ」
インシデントに関連する暴露されたダッシュボードのレビューは、数百のエンドポイントが接続されている可能性があることを示唆しており、単一の共有シークレットが侵害された場合、このような悪用が到達できるスケールを強調しています。
Ontinueは、悪意のある意図を正規使用から区別することが引き続き課題であると述べています。
Daniが述べたように、「ツールを悪意のあるものまたは無害なものとして見ることをやめ、代わりに使用パターンと文脈に焦点を当てる必要があります。」
翻訳元: https://www.infosecurity-magazine.com/news/nezha-abused-post-exploitation/
