ブログ(製品・サービス関連)

Light in the Dark: SUNBURSTのハンティング

今日、国家ぐるみのグループなどの敵は、秘密保持の目的を達成しつつ、検知をうまく回避するための資源と専門知識を持っています。SolarWinds Orionの侵害は、セキュリティ侵害の発生から検知までに要した日数の長期化によって、攻撃者グループが被害者の組織に有利な足がかりを得ることができるということの証明となる当社の最新実績です。ベスト・プラクティスとして、攻撃者グループのセキュリティ侵害の発生から検知までに要した日数を短縮し、これらの隠れた脅威を明らかにするため、お客様に脅威ハンティングを使用することを推奨します。

2020年12月、FireEyeは、SolarWindsのOrion Platformを利用して幅広いサプライ・チェーン攻撃を統合し、SUNBURSTと呼ばれるバックドアを展開する高度な攻撃者グループの詳細を明らかにしました。この攻撃は、世界中の組織に影響を与え、主要な組織幹部が、自身の環境が被害を受けたかどうか疑いました。多くは環境内のSolarWinds資産をすばやく特定し、潜在的な影響を判断することを急ぎました。しかし、Mandiant Managed Defenseのお客様には不要でした。お客様は、インシデント・レスポンス経験から直接的に引き出され、MDRサービスに組み込まれた脅威ハンティング・サービスの利点を侵害の時点で得ており、現在も継続されています。

2021年2月25日にこちらで、SUNBURSTのハンティングとManaged Defense Huntingについてお話ししました。

攻撃が公になった同日、当社ではすでにManaged Defenseのお客様ベースで影響を最小限に抑えるために取り組んでいました。初期の経験から、攻撃者グループの技術を観察し、お客様の環境内と同様のアクティビティを特定するために迅速に動きました。これは、MDRが提供するサービスの中で日々実行可能であり、直接的に脅威ハンティング・ミッションにつながる脅威インテリジェンスの自然な流れです。Mandiantは、世界中のインシデントレスポンスの最前線に立ち、その調査結果は、ハンティング・チームがワークフローを迅速に進めることに役立ちます。

SUNBURSTははじまりに過ぎなかった

SolarWindsによるFireEye侵害の発見過程で、UNC2452で利用されている戦術と技術の詳細を得ることができました。SolarWindsやSUNBURSTのマルウェアはエントリー・ベクターであった可能性がありますが、当社がお客様の環境で発見した唯一の活動証拠ということではありません。いずれにせよ、UNC2452は型にはまらない攻撃グループです。注目すべき技術を以下に示します:

  • デジタル署名されたバイナリ内でコンパイルされた数千行の正当なコード内に悪質なコードを隠蔽
  • 環境への特権的なアクセスを必要とし、デジタル環境全体を継続的にポーリングしたプラットフォーム(SolarWinds Orion)の利点に触れ、大量の水平展開トラフィックを生成
  • FireEyeを含む何十ものエンドポイント・セキュリティ手段を無効化
  • 第1段階と第2段階のC2コミュニケーションにDNSを使用
  • 侵害後の環境に最小限のカスタム・マルウェアを導入。これらは多くの場合、調査、窃取する認証、水平方向への移動、および最終目標への進展のために、ネイティブWindowsツールを介して「生き残っている」ことがあります。

攻撃者グループが従来の検知を破壊したり、セキュリティ・ソフトを無効にしたりする技術を利用すると、組織は暗闇に引きずり込まれたように感じられるでしょう。経験上、攻撃者がどのように目標を達成するかを深く直接的に知り、脅威ハンティングを行うことが暗闇の中で光を探す最善の方法です。当社は脅威ハンティングのミッションを作成し、お客様のネットワークの最も暗い隅に潜む攻撃者を回避するため、日常的にこれを維持しようとしています。

脅威ハンティングの仮説の多くは、高レベルなテクニックとして始まり、その後、最前線にある活動と対になります。攻撃者のアクティビティを研究し、使用可能な遠隔測定ソースを利用して、仮説をさらに絞り込みます。お客様の多くは、攻撃者グループの活動を識別するための貴重な情報を提供するネットワーク、エンドポイント、クラウド、電子メールの可視性を持っています。このテレメトリを活用することで、キャンペーンを絞り込み、検知の正確性を高めることができます。これにより、検知と対応の周期が短くなります。

テレメトリと正確性を観点に入れるために、最近投稿されたSUNBURSTのブログ(図1)の1つからフロー図を分析し、脅威ハンティング・チームが検知の機会を見つけた場所を確認してください。


図1:SolarWindsの攻撃フロー図

 

  1. FireEyeは、悪意のあるSolarWindsプラグインや既知の2段階認証の証明書など、UNC2452が利用する技術を特定するためのハント・キャンペーンを作成しました。
  2. C2 DNS DGAを発見した後、悪意のあるDNS要求のために利用可能なネットワーク・トラフィックを通してハントしました。
  3. FireEyeは、UNC2452が使用する可能性がある補助的なマルウェアのインスタンスを識別するためのハント・ミッションを作成し、追加の攻撃者の活動証拠を探すキャンペーンを行いました。アクティビティを以下に示しますが、この限りではありません。
    • スケジュールされたタスクを含む持続的メカニズム
    • ステージング・ディレクトリーと実行可能ファイルのそれらの場所への書き込み
    • データ窃取に利用された圧縮ソフトウェア
    • エンコードおよび/または難読化PowerShellの実行
  4. これらのハンティング活動の一部は、すでにManaged Defense全体で行われていました。たとえば、エンコードおよび/または難読化PowerShellや水平展開のハンティングは、一般的な攻撃者技術です。これらの技術に対する定期的なハンティング・キャンペーンを設計し、UNC2452の戦術に関する知識を利用して正規化します。

優れた脅威ハンティング活動の基本原則は、高価値テメトリの機能を利用することです。しかし、攻撃者がどのようにして目標を達成したのかという状況や経験がなければ、私たちは単に、すでに知っていることを探し求めて、データの山を掘り下げているだけだったでしょう。最前線での経験と私たちが利用できる膨大なグローバル・データ・ソースを組み合わせることによって、脅威ハンティング・チームは、干し草の中から針を見つけるように脅威を見つけ出すことができるのです。それによってお客様を、存在したことすら知らなかった脅威から保護します。

2020年12月に発生したSolarWindsの侵害に対してManaged Defenseがお客様にどのような対応をいただいたか知るには、2021年2月25日のオンライン・セミナーをご覧ください。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:February 16 , 2021 「Light in the Dark: Hunting for SUNBURST