FireEyeは過去数か月間、金銭的利益を目的とする攻撃グループが、被害者の環境全体にランサムウェアを大量に展開することによって、ビジネス・プロセスを中断させる戦術を採用していることを確認しました。ビジネス・プロセスが正常に行われることが不可欠であるという理解の下、これらのランサムウェア・キャンペーンでは数百万ドル単位の身代金が要求されていました。このブログ記事では、2018年4月に最初にレポートした技法を応用した、最近のキャンペーンを1つ検討します。
2019年5月から9月にかけて、FireEyeは、Webインフラの侵害によって被害者の環境に最初の足掛かりを確立した、金銭的利益を目的とした攻撃グループによる複数のインシデントに対応しました。この活動は、2018年4月に最初に特定された偽ブラウザー・アップデート・キャンペーンとの一致が見られ、FireEyeはFakeUpdatesとして追跡しています。今回のキャンペーンでは、侵害されたシステムからDridexやNetSupportなどのマルウェアや、侵入拡大用のフレームワークを展開しました。いくつかのケースにおける攻撃グループの最終的な目標は、BitPaymerまたはDoppelPaymerランサムウェアを使用して、多くのシステムから身代金を要求することでした(図1参照)。
図1:最近のFakeUpdates感染チェーン
キャンペーンが拡散されたため、FireEyeは、Managed Defenseのお客様とMandiantによるインシデントレスポンス調査の両方でこの活動に対応しました。Managed Defenseネットワークとホスト・モニタリング、およびMandiantのインシデントレスポンス結果を通じて、FireEyeは、攻撃グループが取った経路、侵害の範囲と、さまざまなツールキットを観察しました。
ランサムウェアなんてわが社にはいりません!
過去数年間、ランサムウェアは単なる目障りなマルウェアから、被害者のネットワークからかなりの金額の身代金を奪うために使われるになるまで成長しました。さらに、攻撃グループはランサムウェアと他のツールキットやマルウェアを多数組み合わせて、より強力な足掛かりを得ようとしています。このブログの記事だけでも、被害者組織を人質に取るために、攻撃者が複数の手動および自動ツールを活用するのを目の当たりにしました。
ランサムウェアはまた、企業内のどこからでも甚大な影響を及ぼすことができるので、準備ができていない組織のリスクを高めます。攻撃グループが社内で最も機密性の高い部分にアクセスする必要はありません。ビジネス・プロセスを妨害できる部分にアクセスできれば良いのです。これにより、攻撃に晒される範囲が広がりますが、それにつれて検知と対応の機会もまた増加します。Mandiantは最近、ランサムウェア・イベントのリスクを軽減するのに役立つ、ランサムウェアの防御と封じ込め戦略に関する詳細なホワイトペーパーを発表しました。
インジケーター
以下のインジケーターは、複数の侵害事案の調査中に識別された痕跡を収集したものです。
Type |
Indicator(s) |
FakeUpdates Files |
0e470395b2de61f6d975c92dea899b4f 7503da20d1f83ec2ef2382ac13e238a8 102ae3b46ddcb3d1d947d4f56c9bf88c aaca5e8e163503ff5fadb764433f8abb 2c444002be9847e38ec0da861f3a702b 62eaef72d9492a8c8d6112f250c7c4f2 175dcf0bd1674478fb7d82887a373174 |
FakeUpdates Domains & IP Addresses |
<8-Characters>.green.mattingsolutions[.]co gnf6.ruscacademy[.]in backup.awarfaregaming[.]com click.clickanalytics208[.]com track.amishbrand[.]com track.positiverefreshment[.]org link.easycounter210[.]com |
nircmdc.exe |
8136d84d47cb62b4a4fe1f48eb64166e |
Dridex |
7239da273d3a3bfd8d169119670bb745 72fe19810a9089cd1ec3ac5ddda22d3f 6e05e84c7a993880409d7a0324c10e74 63d4834f453ffd63336f0851a9d4c632 0ef5c94779cd7861b5e872cd5e922311 |
Empire C2 |
185.122.59[.]78 109.94.110[.]136 |
技法の検出
FireEyeのプラットフォームは、Dridex、Empire、BitPaymer、DoppelPaymerランサムウェアの名前付き検知を含め、この活動を検出します。これらの調査を受けて、FireEyeでは、エンドポイント・セキュリティおよびネットワーク・セキュリティ・アプライアンスにインジケーターとシグネチャを新たに導入しました。以下の表に、この活動が発生する前から公開されていた関連する検知名の一部を示します。
Platform |
Signature Name |
Endpoint Security
|
HX Exploit Detection |
Network Security |
Backdoor.FAKEUPDATES |
MITRE ATT&CK Technique Mapping
ATT&CK |
Techniques |
Initial Access |
Drive-by Compromise (T1189), Exploit Public-Facing Application (T1190) |
Execution |
PowerShell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047) |
Persistence |
DLL Search Order Hijacking (T1038) |
Privilege Escalation |
Bypass User Account Control (T1088), DLL Search Order Hijacking (T1038) |
Defense Evasion |
Bypass User Account Control (T1088), Disabling Security Tools (T1089), DLL Search Order Hijacking (T1038), File Deletion (T1107), Masquerading (T1036), NTFS File Attributes (T1096), Obfuscated Files or Information (T1027), Scripting (T1064), Virtualization/Sandbox Evasion (T1497) |
Credential Access |
Credential Dumping (T1003) |
Discovery |
Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Share Discovery (T1135), Process Discovery (T1057), Remote System Discovery (T1018), Security Software Discovery (T1063), System Information Discovery (T1082), System Network Configuration Discovery (T1016), Virtualization/Sandbox Evasion (T1497) |
Lateral Movement |
Remote Desktop Protocol (T1076), Remote File Copy (T1105) |
Collection |
Data from Local System (T1005), Screen Capture (T1113) |
Command And Control |
Commonly Used Port (T1436), Custom Command and Control Protocol (T1094) ,Data Encoding (T1132), Data Obfuscation (T1001), Remote Access Tools (T1219), Remote File Copy (T1105), Standard Application Layer Protocol (T1071) |
Exfiltration |
Automated Exfiltration (T1020), Exfiltration Over Command and Control Channel (T1041) |
Impact |
Data Encrypted for Impact (T1486), Inhibit System Recovery (T1490), Service Stop (T1489) |
本ブログは、米FireEyeが公開した「Head Fake: Tackling Disruptive Ransomware Attacks」の要約版です。技術詳細を含むブログ全文は、英文記事をご参照ください。
日本語版:Reviewed by Takahiro Sajima