公の議論では、脅威アクターは高い技能を持つオペレーターとして、正確に段階を踏んだサイバー攻撃を実行しているかのように描かれがちです。しかし、詳細なエンドポイント・テレメトリは、現実がはるかに複雑であることを示しています。
Huntressが分析した最近の一連のインシデントでは、攻撃者が手間取り、試行錯誤し、繰り返しの失敗を通じて学んでいく様子が明らかになりました。これは、事後の説明でしばしば示唆されるような完璧な実行とは程遠いものです。
11月に発生したVelociraptor DFIRプラットフォームに関する事例では、攻撃者がコマンドを何度も打ち間違え、Cloudflareトンネルのインストールに失敗し、さらにソフトウェアが存在しないにもかかわらずOpenSSHを実行しようとしたことを、Huntressが記録しています。
この「洗練された制御」ではなく試行錯誤というパターンは、同一の脅威アクターが関与し、侵入経路としてMicrosoft IISサーバーを用いた最近の3件のインシデントでも続きました。
各攻撃は、アクターがWebアプリケーション内の脆弱性を悪用し、リモートコマンドを発行して、Golangベースのトロイの木馬であるagent.exeをエンドポイントにダウンロードして実行するところから始まりました。
重要なのは、Windows Event LogsとSysmonテレメトリの分析により、攻撃者がMicrosoft Defenderなどの組み込み防御による障害にしばしば直面し、それに対応していたことが明らかになった点です。
Incident 1では、攻撃者 が、Living-off-the-Land Binaryであるcertutil.exeを使って悪意のあるファイルをダウンロードして実行しようとしました。防御側がこの試みをブロックしたため、815.exeなどの名前を変えた実行ファイルを用いて複数回の再試行が必要になりました。
ファイルが隔離された後も、同じ攻撃者は何度も戻ってきて、最終的にはアクセスを取り戻そうとして、名前を変えたGotoHTTPリモート管理ツールを投下しました。
11月17日のIncident 2では、同じアクターが以前の障害から学んだように見えました。マルウェアを展開する前に、PowerShellコマンドを一連で実行してDefenderの除外パスを変更し、以前ブロックされたアンチウイルス保護を回避したのです。
その後、SparkRAT(dllhost.exe)として特定された新しいバージョンのトロイの木馬を展開し、「WindowsUpdate」という名前のWindowsサービスを使って永続化を試みました。しかし、サービスログによればインストールは起動に失敗しており、再び実行が阻止されました。
11月25日に別の組織で発生したIncident 3でも、ほぼ同一の手順が展開され、同じアクターが有意な改善のないままインフラとTTPを再利用していたことが示されました。
Defenderの除外追加、同じ実行ファイルのインストール、Windowsサービスによる永続化の作成はいずれも再び失敗しました。
これら3件を通じて、Huntress は、IPアドレス188.253.126.202、103.36.25.171、188.253.121.101の重複と、agent.exe、test.exe、dllhost.exeを含む一貫したツール使用を指摘しました。継続的な革新というより、インシデントは反復的なトラブルシューティングと場当たり的な対応を示していました。
防御側にとって、この雑然とした実態は、セキュリティ分析が「高度」な戦術だけに焦点を当てるべきではなく、攻撃者の反復的な行動や、ツールが失敗したときに敵対者がどう反応するかにも目を向けるべきだという注意喚起になります。
そうした摩擦点を理解することで、攻撃者に2度目、3度目の機会を与える前に、組織は防御を強化できます。
翻訳元: https://cyberpress.org/windows-event-logs-cyberattacks/