新たな研究により、偽造証明書攻撃がもたらす深刻なリスクが浮き彫りになりました。これらの攻撃は、重要な企業リソースへの不正アクセスにつながる可能性があります。
シャドー・クレデンシャル(Shadow Credentials)手法として知られるこれらの攻撃では、さまざまなサービスへのユーザーアクセスを管理するActive Directory(AD)と呼ばれるシステムの特定部分を攻撃者が悪用します。
Kasperskyのサイバーセキュリティ専門家であるアレクサンダー・ロドチェンコ氏が本日公開された本研究を実施し、同社のマネージド検知・対応(MDR)サービスを通じて、これらの攻撃を検出するための重要な手がかりを見いだしました。さらに同氏は、システム内の不審な活動を明らかにするツールを開発し、セキュリティシステムが潜在的な攻撃を識別できるよう支援するルールも作成しました。
「当社のMDRサービスにおける実務経験を分析した結果、ネットワーク内でこの種の攻撃を示すいくつかの兆候を特定し、AD内の痕跡(アーティファクト)を見つけられる概念実証(PoC)ユーティリティを開発しました。また、SIEMに追加できる検知ロジックのルールも複数作成しました」と、同セキュリティ専門家は記しています。
ADセキュリティについて詳しく読む:Active Directoryのパスワードポリシーを強化する5つの方法
技術的な観点では、攻撃者は初期認証における公開鍵暗号(PKINIT)を悪用し、ユーザーのパスワードを必要とせずに特定のシステム部分へアクセスします。
この文脈では、攻撃者はシステムが信頼する認証局(CA)によって通常発行される信頼済み証明書を用いてシステムを欺き、ユーザーのパスワードなしでチケット発行チケット(TGT)を取得します。
本研究は、攻撃中に発生する特定のイベントを分析する重要性を強調しました。このイベントには、攻撃者が使用した証明書に関する重要な情報が含まれています。このプロセスを簡素化するため、ロドチェンコ氏は、正当なリクエストをフィルタリングするのに役立つELKスタック(Elasticsearch、Logstash、Kibana)と呼ばれるツールの使用を提案しました。
「デフォルトでは、Logstashは実際にイベント4768のビットフィールドを、リスト内のチケットに固有の値の配列へ変換する方法を理解しています。これにより検索もはるかに高速かつスムーズになります」と、ロドチェンコ氏は記しています。
さらに研究者は、不審な活動の重要な兆候として、システム内に特定のフラグが存在しないことを特定しました。特定のスクリプトを用いることで、ロドチェンコ氏はこの兆候に基づいて攻撃を特定でき、攻撃者ツールであるWhiskerおよびRubeusの活動を明らかにしました。
ロドチェンコ氏が開発したユーティリティにより、サイバーセキュリティ専門家はシステム内の正当な属性と不審な属性を比較できるようになり、これらの攻撃をより容易に検知し、効果的に対応できるようになります。
この勧告は、Asecが証明書ソフトウェアのゼロデイ脆弱性を利用して韓国の金融企業を標的としたLazarus Groupのキャンペーンに関する報告書を公開してから数か月後に出されたものです。
翻訳元: https://www.infosecurity-magazine.com/news/study-reveals-forged-certificate/
