本レポートでは、国家が支援する脅威アクターが大規模多国籍企業に対して実行した高度に洗練された大量削除攻撃について探求しています。悪用されたアーキテクチャ脆弱性、標的とされたデータ保護インフラストラクチャ、およびクラウド制御プレーン侵害を防止および復旧するために必要な戦略的機能について説明しています。
攻撃ベクトル&実行
本インシデントの脅威アクターは、大量データ削除を実現するためにエンドポイントにカスタムマルウェアを展開する必要がありませんでした。現在の脅威インテリジェンスに基づいて、攻撃チェーンは以下のように進行した可能性があります:
- インフォスティーラーを経由した初期アクセス: 証拠は、初期侵入が地下のインフォスティーラー交換から取得した漏洩認証情報によって容易になったことを示唆しており、これは標準的なエンタープライズ境界防御をバイパスするために活用される急速に成長する脅威ベクトルです。
- 特権昇格&クラウド横展開: 初期アクセスに続いて、攻撃者はMicrosoft Intuneの管理者アカウントを侵害し、新しい不正なグローバル管理者アカウントを作成するための特権昇格に成功したと報告されています。
- バックアップインフラストラクチャへの横展開: 攻撃者は単一サインオン(SSO)アカウントも侵害し、一次境界防御をバイパスして組織のデータ保護環境にアクセスすることを可能にしました。
- 実行(大量デバイスワイプ): Microsoftの正当な管理権限を装いながら動作して、脅威アクターはMicrosoft Graph APIを介したネイティブな「ワイプ」コマンドの発行によってMicrosoft Intuneを武装化し、世界中の数万台の企業およびBYOD(BYOD)エンドポイントをリモートで削除しました。
データ保護アーキテクチャ&設定コンテキスト
攻撃と復旧努力の範囲を理解するには、被害者のデータ保護トポロジーを把握する必要があります。
組織はほぼ70個のバックアップクラスタを管理し、物理データセンター、40以上のエッジサイト、クラウド環境にまたがっていました。ワークロードには、重要なVMwareインフラストラクチャ(つまり、ドメインコントローラー)、Azure VM、およびSAP HANAやOracleを含むデータベースが含まれていました。
組織はデータ復旧のために「アーカイバルリーダー」パターンに依存していました。ローカルクラスタはデータをクラウドストレージボルト(Azure/RCV)に直接アーカイブしていました。災害が発生した場合、新しいクリーンクラスタを立ち上げ、これらの既存クラウドアーカイバル位置をリーダーとしてアタッチして復旧を実行することに依存していました。
アーキテクチャ走査
最大限の破壊のために、脅威アクターは従来のネットワークとエンドポイントデータプレーンをバイパスし、ほぼ完全にクラウド管理プレーン内で動作しました。
アーキテクチャの悪用には次のものが含まれました:
- Microsoft Entra ID(ID平面): クラウドID権限として機能し、脅威アクターはEntra IDを悪用して特権を昇格させ、グローバル管理者の足がかりを確立しました。
- Microsoft Intune(制御平面): 組織のMDMソリューションは、管理されたエンドポイントに破壊的なワイプコマンドをプッシュするために武装化されました。
- データ保護環境: 攻撃者は、組織の安全ネットを破壊し、データ損失を固めるために、MFAが有効でない侵害されたSSO アカウントにアクセスしました。
悪用されたギャップ
本インシデントは、高度な回避技術に対するクラウドID平面を保護するための進化する課題を強調しています。敵対者が標的とした主要な領域には以下のものが含まれていました:
- 境界制御の回避: 攻撃者は高度な技術と収集した認証情報を使用して、一次認証境界をバイパスし、管理環境にアクセスすることに成功しました。
- ID昇格パス: 脅威アクターはクラウドID構造をうまく操り、特権を昇格させ、テナント全体での運用範囲を拡大しました。
- マルチ管理者承認(MAA)の不在: 組織は、標準管理者ロールが二次認可ゲートなしに一括ワイプ機能を保持することを許可していたと思われます。
最後の防御線としてのクォーラム認可
攻撃者はMicrosoft Intuneのマルチ管理者承認(MAA)ゲートの不在により、ライブエンドポイント上で大量ワイプ操作をうまく実行しました。大量データ損失を引き起こすために、攻撃者はデータ保護環境に焦点を当てました。
侵害されたSSO アカウントを介してRubrikコンソール内で動作して、攻撃者はおよそ20の重要なホストのバックアップを手動で削除しようとしました。
ライブデータとデバイスは失われましたが、クォーラム認可(QAuth)機能は回復不可能なデータ損失を防ぎました。破壊的なアクション(スナップショットの削除またはSLAポリシーの変更など)を実行するために侵害されていない管理者からの二次的な帯域外承認を要求する厳密なポリシーは、脅威アクターの削除コマンドをブロックしました。
顧客は確かにインフラストラクチャの再構築における運用的な挫折に苦しみましたが、データは最終的に保持されました。QAuthがなければ、攻撃者はバックアップをパージして、永続的で壊滅的なデータ損失をもたらした可能性があります。
インシデント後の復旧&重大な学習
エンジニアリングおよびサポートチームは、クラウドアーカイバルリーダーを介したデータ復旧とリーガルホールドの安全な適用を確保することにより、攻撃後にエッジサイトの再構築で組織を積極的に支援しています。
将来の発生を防ぐために、インシデント学習は運用上の調整と戦術的アイデンティティ改善に分類できます:
運用上の学習
このインシデントは、ハイブリッドクラウドバックアップに依存するすべてのエンタープライズにとって重要な戦略的学習として機能する、いくつかの運用上のデータ保護ギャップを露出させました:
- 資産保護の検証 –複雑なサイバー復旧中、迅速な復旧はティア0/1資産の継続的な検証に依存しています。継続的なSLA割り当て監査を確認すると、復旧中の重要なインフラストラクチャの可視性ギャップが防止されます。
- 学習: 組織は、すべてのティア0/1資産が積極的に保護されていることを継続的に監査および検証する必要があります。重要なサーバーがバックアップされていると仮定して、SLA割り当てを確認しないと、復旧中にブラインドスポットが作成されます。
- リモートサイトでのアーカイバルラグ –リモートエッジロケーションの限定されたバンド幅により、クラウドスナップショットのアーカイビングで3〜5日の取り込みラグが生じました。ローカルスナップショットはエッジアプライアンスに存在していましたが、最新のバックアップはクラウドボルトに完全には複製されていませんでした。
- 学習: アーカイバルリーダーパターンを使用している組織は、オフサイトの不変ボルトで復旧ポイント目標(RPO)が達成されることを確認するため、リモートアーカイバルバンド幅とキューの長さを注意深く監視する必要があります。
- サイバー調査中の容量圧力 –サイバーインシデントは、法医学的証拠を保護し、さらなる破壊を防ぐために標準的なデータライフサイクルを凍結します。攻撃後、サイバーイベントロックダウンが有効化され、スナップショット満期とガベージコレクションが自動的に無効になりました。1日あたり約50TBの新しいデータを取り込むSAP HANAのような積極的で継続的なワークロードと組み合わせて、ガベージコレクションがないと、クラスター容量使用率が容量の94%以上に急速に上昇しました。空き容量が制御され、ロックダウンが解除された後でのみ、必要なスナップショットに外科的なリーガルホールドが適用されました
- 学習:準備は重要です。組織は包括的なサイバー復旧計画を開発し、検証のために定期的にテストする必要があります。サイバーイベントロックダウン中のクラスターの場合、復旧計画をテストすると、一時停止できないワークフロー、特にクラスターを迅速に満たす高いデータ取り込み率を持つワークフローが強調されます。組織は、サイバー攻撃中に十分な空き容量が利用可能であることを確認する必要があります。
戦術的学習:ID衛生&ID復元力の事例
高度なID復元力ソリューションは、侵害された認証情報を積極的に特定し、姿勢チェックを実行するために必要な継続的な可視性を提供しており、最新のクラウド制御プレーン攻撃から防御するための必須要素です。
そのようなギャップに対処するために、組織は基本衛生を高度なID復元力の可視性に直接マップする必要があります。機能には以下のものが含まれます:
- フィッシング耐性MFA&認証情報衛生
- 学習: 攻撃者は、インフォスティーラーログからの古い認証情報と厳密なMFAを欠いた侵害された管理者アカウント(SSOを含む)を使用し、生のユーザー名/パスワードペアが境界をバイパスすることを許可しました。
- アクション: すべての管理者ロールに対してFIDO2ハードウェアキーを実装し、厳密なパスワードローテーションを実行します。ID の統一インベントリを構築し、衛生障害を継続的にスキャンします。「古いパスワードを持つサービスアカウント」と「特権ID用の弱いMFAまたはMFA無効」を含むポリシーは、古いアカウントとSSOを欠いたSSOアカウントを自動的にフラグ付けし、攻撃者が認証情報を取得する前にインフォスティーラー認証情報を無効にしていたはずです。
- ジャストインタイム昇格&ブラスト半径の制限
- 学習: 特権ロールはPIMワークフロー全体に永久に割り当てられ、標準アカウントにグローバルリーチが与えられました。
- アクション: ジャストインタイム(JIT)アクセスを必須にし、永続的な特権ロール割り当てを削除します。Intune スコープタグを介したID セグメンテーションを実装して、ブラスト半径を包含します。Entra IDを特権昇格リスクについて監視します。「PIM経由で機密ディレクトリロールを有効化するために承認は必要ありません」などのポリシーは、組織が厳密な昇格ゲートを実行することを保証するためにアラートをトリガーする必要があります。
- マルチ管理者承認の実施
- 学習: 組織は、標準管理者ロールが二次認可ゲートなしに一括ワイプ機能を保持することを許可していました。QAuthが第2の承認者を要求することでバックアップを保存したのと同様に、Microsoft Intuneはエンドポイントを保存するためにMAAが必要でした。
- アクション: セキュリティチームは、ワイプ、廃止、削除などの破壊的なアクションに対して、ネイティブなMAA ワークフローを必須にする必要があります。継続的にID姿勢を評価して、過度な特権を持つロールがフラグ付けされており、ID セグメンテーション構成が完全であることを確認し、単一のIDが一方的な破壊力を保持していないことを保証します。
- 不正なアカウントの検出と改ざん耐性復旧のオーケストレーション
- 学習: 攻撃中、脅威アクターは大量ワイプを容易にするために不正なグローバル管理者アカウントを作成しました。このレベルの敵対者は通常、自分の痕跡を隠すためにネイティブイベントログをクリアします。
- アクション: 改ざんを防ぐためにネイティブなWindowsイベントログとは独立してActive DirectoryとEntra IDを監視します。不正なグローバル管理者プロファイルの作成は、不変で近いリアルタイムアラートを生成する必要があります。オーケストレーションされた復旧により、DFIRチームはEntra IDユーザー、ロール、エンタープライズアプリ、条件付きアクセスポリシーへの不正な変更を直接外科的にロールバックでき、敵対者の迅速な排除を保証する必要があります。
継続的なID姿勢管理を、クォーラム認可などの堅牢なデータ保護とともに実施することで、組織は単一の侵害された認証情報が最終的なデータ損失またはエンタープライズフリートの完全な破壊をもたらさないことを保証できます。
翻訳元: https://zerolabs.rubrik.com/blog/identity-under-siege-anatomy-cloud-control-plane-compromise
