ブログ(製品・サービス関連)

FireEye Endpoint SecurityのProcess GuardモジュールによるHAFNIUMからの保護

2021年3月、Microsoft は、4つのゼロデイ脆弱性をもつMicrosoft Exchange Serverを標的としたHAFNIUMという名前のアクティブなグローバル・キャンペーンを発表しました。Microsoftによると、脅威グループは、これらの脆弱性を悪用する可能性があり、ターゲット・マシンへの初期アクセスとWeb Shellの導入を可能にしました。Web Shellが確立されると、オペレーターは、クレデンシャル・ダンピング技術を使用して、標的組織内のさらなる権限昇格と水平展開に使用できるクレデンシャルと抽出情報を収集しました。

この進行中のキャンペーンの詳細については、詳細な分析ブログの記事を参照してください。

クレデンシャル・ダンピング

クレデンシャル・ダンピング(MITRE ATT&CK® の技術:T1003.001)は、記録されたユーザー・クレデンシャルを収集する手法であり、現在多くの国家支援型APTおよび金銭的に動機付けされた団体(FIN)によって使用されている一般的な手法です。攻撃者グループがこれらのクレデンシャルを取得すると、侵害されたネットワーク内での水平展開および権限の昇格を簡略化できます。

コンピューターは、デバイスにログインするユーザーの確認、パスワード変更の管理、アクセス・トークンの作成など、多くの重要な機能の資格情報に依存します。Microsoft Windowsデバイスにおいては、Microsoft Windows Local Security Authority Subsystem Service(LSASS)がセキュリティ・ポリシーの適用を担うプロセスです。LSASSが適切に機能するために、デバイスの起動時にさまざまなダイナミック・リンク・ライブラリ(DLL)がメモリにロードされ、それらのDLLは暗号化されていないパスワードおよび平文パスワードにアクセスできます。メモリにロードすると、procdumpMimikatzなど、さまざまな利用可能なフリー・ツールを使用して、メモリをダンプしたり、LSASSのメモリ内容を暗号化されていないファイルでディスクに書き込んだりできます。その結果、ファイルに、攻撃者グループが権限を昇格したり、組織内を水平方向に移動したりするために使用できるクレデンシャルが含まれることになります。図1は、procdumpアプリケーションを使用したエンドポイントでの正常なクレデンシャル・ダンピングを示しています。


図1: Procdumpを使用したクレデンシャル情報の正常なダンピング

FireEye Endpoint SecurityのProcess Guard

FireEye Endpoint SecurityのProcess Guardは、クレデンシャル・ダンピングの重要な段階を防止し、進行オペレーターを阻止するのに役立ちます。クレデンシャル・ダンピングと抽出を防ぐことで、パッチが適用されていない危険な状態の組織であっても、この種の攻撃に対してある程度保護されます。

FireEye Endpoint SecurityのProcess Guardは、攻撃者がWindows Local Security Authority Subsystem Service (LSASS)プロセス内に保存されているクレデンシャル・データまたはキー・マテリアルへのアクセスを取得できないようにするため、一般的なクレデンシャル窃取攻撃からエンドポイントを保護するのに役立ちます。Process Guardは、軽量で効率的なモジュールであり、FireEye Endpoint Securityコンソールから直接環境内の個々のホスト、ホストセット、またはすべてのホストに展開できます。

FireEye Endpoint SecurityのProcess Guardモジュールは、FireEyeの広範な最前線の経験を基に開発されたイノベーション・アーキテクチャ (IA)モジュールであり、世界中で最大の高度な侵害を調査し、対応します。当社の独自のモジュール方式により、お客様は、今日の攻撃者グループで使用されている、絶えず変化する戦術、技術、および手順 (TTP)に対処するために、革新的なコンポーネントを迅速に展開することができます。図2は、procdumpツールを使用したクレデンシャル・ダンピングの試行を正常に防止するProcess Guardを示しています。


図2: FireEye Endpoint Security Process Guardモジュールでクレデンシャル・ダンピングの防止に成功

Process Guardモジュールは、次のような能力を提供します。

  • LSASSプロセス保護の有効化/無効化
  • 検知機能でのブロックの有効化/無効化
  • 許可されたアプリケーション抽出の追加
  • Process Guardイベントの表示
  • Enricherモジュールとの統合
  • アラートの生成

Process Guardからのアラートは、図3に示すように、Endpoint Securityコンソールのアラート・ページにPGのアラート・タイプで表示されます。個々のアラートをクリックすると、ホスト・ページにアラートの具体的な詳細が表示されます。

図3: Endpoint Security本体で発生するアラート

要約

クレデンシャル・ダンピングは、現在攻撃者グループで広く使用されている技術であり、最近のパッチ適用されていないMicrosoft Exchange Serverに対するグローバル・アタックの一部としても使用されています。FireEye Endpoint SecurityのProcess Guardを展開して有効にすると、セキュリティ・ポスチャを強化し、組織内の攻撃対象領域を減らすことができます。

既存のFireEye Endpoint Securityのお客様は、追加料金なしでProcess Guardモジュールにアクセスでき、FireEyeMarketからダウンロードして配備することができます。モジュール、リリース・ノート、ユーザー・ガイドがすべて利用可能になりました。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:March 11, 2021「Protecting Against HAFNIUM With FireEye Endpoint Security Process Guard Module