ブログ(脅威調査)

Managed Defense:アナリストにとって重要なマインドセットとは

サイバーセキュリティ(マネージドサービスなど)対策において、最終的には、環境を安全に保つためにアナリストの専門知識にすべてを委ねます。製品と脅威インテリジェンスはセキュリティを構成する重要な構成要素で、検知シグナルを生成し、関係のないアラートを減らします。しかし、結局のところ経験を積んだアナリストの視点と調査プロセスが、アラートから対応へと効果的に進めるための決定要因となります。

このブログの記事では、FireEye Managed Defenseによる最近のイベントの調査を取り上げ、アナリストの調査ツールと解析プロセスを紹介します。

脅威の概要

最近、FireEye Managed Defenseは東南アジアにおける輸送、建設、メディア部門を対象とした、中国が関与すると疑われる脅威グループのキャンペーン攻撃に対応しました。FireEyeの調査の結果、以前には見られなかったマルウェア、DUOBEANを発見しました。DUOBEANは、コマンドアンドコントロール(C2)インフラに追加モジュールを要求し、それをプロセス・メモリに挿入するバックドアです。

最初の手がかり

この攻撃の最初の手がかりはManaged Defenseの脅威ハンティングで見つかりました。その中で不正なLNKファイルを含むZIPアーカイブを特定して、そこに埋め込まれたPowerShellコマンドが不正なペイロードをダウンロードして被害者のプロセス・メモリに挿入していることがわかりました。添付ファイルは東南アジアにあるFireEye ETPアプライアンスでブロックされましたが、疑わしいインフラを監視するため、ペイロードのネットワーク・インジケーターが抽出されました。

IPアドレスを監視するタスクでは、脅威ハンティング活動中、我々のネットワーク・センサーは、Managed Defenseチームによる追加の解析をするため、疑わしい宛先へのトラフィックを観察して記録します。監視されたトラフィックからの新しい手がかりが収集されると、アナリストは、疑わしいネットワーク活動を探索するためのダッシュボードとして、内部ツールMDASHを使用します。

アナリストの視点

エンドポイント・テレメトリーおよびネットワーク・トラフィックから入手可能な多量の証拠を利用するとともに、データを失うことなくできるだけ効果的に攻撃グループの活動に対応するために、目的をはたすべく一連の疑問をもちながら痕跡に取り組むことが重要です。

この取り組みでは、脅威ハンティングの手がかりを生じたIPアドレスの追跡により、DUOBEAN攻撃の最初の手がかりを入手しました。この種の証拠では、PCAPの内容を見る前に、いくつかの質問に答えておきたいと思います。

このインジケーターの監視を開始したのはなぜか?

インジケーターを評価するときにアナリストにとって最も重要なことは、検知しようとする対象を理解することです。FireEyeでは、生成された手がかりをレビューするアナリストに必要なコンテキストを提供するため、監視されたネットワーク・インフラは監視担当者によって解説されます。

このケースで我々のチームは、東南アジアでブロックされたETP添付ファイルにあったCHAINLNKの最近のサンプルが、同じSSL証明書を提供するインフラにビーコンを出していたことを確認しました。不正なドメインがペイロードから収集され、IPに関連付けられたSSL証明書を識別するためにPassiveTotalを使用して検査されたときに、SSL証明書を再利用する関連したインフラが列挙されました。次に、SHA-1証明書をPassiveTotalの結果と照合して検索し、同じ証明書を提供する追加のネットワーク資産を特定しました。この、証明書を重複して使用する方法を図1に示します。


図1:ハンティング活動で観測された疑わしいインフラ

このIPアドレスを追跡している期間はどれくらいか?

IPアドレスは、セキュリティの世界で最も流動的なインジケーターの1つです。インフラ移行に対する攻撃者の運用コストは名ばかりであるため、インジケーターとしての正確性は時間が経過するにつれて低下します。

この例では、IPアドレスは7日間だけ監視したため、相対的な鮮度を考慮すると、インジケーターの信頼度は高くなります。

この活動の発現率はどのようなものか?

IPアドレスへのトラフィックの割合は、正常性のベースラインとなります。複数の組織にある複数の可変ホストからのトラフィックが大量にあることにより、我々の基準となるフレームが変更され、活動についての疑いを減少させます。一方、1つまたはごく少数のお客様環境から常に一定した少数の内部ホストからのトラフィックは、標的型攻撃者の活動に一致する傾向があります。

この取り組みにおいて、我々は1つの組織上の6つのホストを観察しました。それは、インフラへ同じHTTPSリクエスト(レスポンスなし)を送信していました。この限定された対象範囲は、より疑わしい活動に一致すると考えられます。

活動が観察される頻度はどれくらいか?

トラフィックの頻度は、活動がプログラムによるものかインタラクティブなものかをアナリストに知らせます。人間は、一定の間隔で同じ活動を容易に繰り返すことはできません。マルウェアは定期的に、ビーコン処理に一定でない時間を使用していますが、一貫したアウトバウンド・リクエストは、ユーザーのセッションではなく、プログラムされたタスクが攻撃を生成していることを示しています。

この取り組みでは、我々は6つのホストすべてから15分間隔でアウトバウンド・トラフィックが発生していることを観察しており、これはプログラムのタスクがリクエストを開始していることを示しています。

このようなホストの間で渡される情報の量はどれくらいか?

ネットフロー情報を厳密に見ると、トラフィックのバイト・サイズと方向性からも、観察内容に関する解析情報が提供されます。サイズが一定して小さいアウトバウンド・パケットは、ビーコン・トラフィック(正規でもそうでなくても)を表す傾向がありますが、通信頻度の高いさまざまなサイズのリクエスト/レスポンスは双方向性を示唆しています。

この取り組みでは、ビーコン処理と一致して、各ホスト上で数バイトのアウトバウンド・トラフィックしか観測されませんでした。

パケットを見なくても、フロー・データに対する我々の一連の質問から、すでに、その内容は非常に疑わしい特徴を示し始めています。ネットワークのキャプチャ内容(図2)を見ると、収集されたアウトバウンド・トラフィックは、攻撃者が一般的に使用しているフリー・ドメインへの正確なTLS Client Helloトラフィックであることがわかります。


図2:パケットのキャプチャでのTLS Client Hello

ハンティング調査から得られた知見を踏まえ、Managed Defenseチームはすぐにお客様に、疑わしいインフラと通信する6つのホストについて、さらなるエンドポイント解析を実施する予定であることを伝えました。当時、お客様にはFireEyeエンドポイント・セキュリティが導入されていなかったため、ホストごとに一時的にツールを導入してキャプチャを実施し、解析のためにManaged Defenseチームに安全にアップロードされました。

さらなる解析

エンドポイントからの情報(Windowsファイル・システム・メタデータ、Windowsレジストリ、Windowsイベント・ログ、Webブラウザーの履歴、アクティブ・ネットワーク接続を伴うプロセスのリストを含む)が、Managed Defenseアナリストのために収集されました。

Windowsイベント・ログは、何百万というエントリーではなくても、単独で数十万というエントリー数になります。アナリストとしては、エンドポイントの調査中に、どのような質問に答えようとしているかを明確にすることが、ますます重要になります。このケースでは、調査を開始するための最初の質問が1つありました。それは、「疑わしいインフラと定期的に通信しているアプリケーションはどれか?」というものです。

アクティブなネットワーク接続情報から、正規のWindowsバイナリ「msiexec.exe」が疑わしいインフラへのネットワーク接続の原因であることを示しています。この情報は、図3に示すWindowsイベント・ログの詳細なプロセス追跡証拠(EID 4688)にも含まれています。


図3:「msiexec.exe」の疑わしい使用方法を詳細に示したWindowsイベント・ログ

正規のアプリケーション「msiexec.exe」は、Windowsインストーラー・アプリケーション(*.msiファイル)のコマンドライン・インストールと変更を実行するもので、ネットワーク接続を確立することはほとんどありません。解析者の観点では、このバイナリを標準的に使用したときにネットワーク活動に低頻度で出現するということは、プロセス注入の疑いがあると言えます。また、このインスタンスの親プロセスは、マルウェアの持続性に一般的に使用される、最小権限の%AppData%\Roamingディレクトリにあります。

解析者としては、この時点で、不正な活動がホスト上で発生していることを確信します。我々の一連の質問は、ネットワーク・トラフィックのソースを探索することから、ホスト上の侵害の対象範囲を発見することへと移ります。トリアージするには、次の一連の質問をします。

これは何?

この質問では、被害者のコンピュータ上での攻撃者の振る舞い、特にこの調査におけるマルウェアを把握しようとしています。これには、使用される機能と持続的メカニズムが含まれます。

最初の手がかりは、Windowsイベント・ログにリストされたステージング・ディレクトリの可能性のある%AppData%\Roamingであり、まず、「eeclnt.exe」の数分以内に作成されたファイルを確認します。Mandiantが公開している Redlineツールを使って、ディレクトリのフィルタリングを行って調べたファイルのリストを図4に示します。


図4:Mandiant Redlineを使って調べた、ステージング・ディレクトリの可能性がある%Appdata%\Roamingのファイルのリスト

質問への回答として、3つの疑わしいファイル、「eeclnt.exe」、「MSVCR110.dll」、「MSVCR110.dat」が返されます。これらのファイルは、詳細な解析のために、FLAREチームの内部マルウェア・サンドボックス、Horizonにアップロードされます。

「eeclnt.exe」はESET Smart Securityの正規のプロブラムで、「MSVCR110.dll」のインポートを必要としていることが、PEファイル情報からわかります。「MSVCR110.dll」は、Microsoft Visual C++で開発されたアプリケーションに必要な補助ライブラリです。このケースでは、「MSVCR110.dll」が不正なローダーDLLに置き換えられました。「eeclnt.exe」を実行すると、悪意のあるDLL「MSVCR110.dll」がインポートされます。これは、「MSVCR110.dat」に含まれているバックドアを、プロセス・ハロウイング(Process Hollowing)を利用して「msiexec.exe」のプロセス・メモリにロードします。これは「サイドローディング」と呼ばれ、攻撃者が不正なコードを実行するために、正規の実行ファイルを使用して検知を回避するために使用するテクニックです。

Managed Defenseアナリストによる最初のトリアージの後、バックドアはFLAREチームのリバース・エンジニアリング担当者に渡され、マルウェアの機能とマルウェア・ファミリーの特定が行われました。このケースでは、今まで見られなかったバックドアであったため、マルウェアを特定したManaged DefenseアナリストがDUOBEANと命名しました。

どのようにして持続性を維持したのか?

Windowsホストでは、マルウェアは通常、3つの方法のいずれか1つで持続性を実現します。レジストリ「Run」キー:特定のユーザー(場合によっては任意のユーザー)がワークステーションで認証するたびに特定のアプリケーションを実行します。Windowsサービス:マシン・ブート時に起動され、バックグラウンド・プロセスとして動作し続けます。タスク・スケジューラー:指定された間隔で任意のコマンドまたはバイナリを実行します。

このケースでは、サイドローディングされたバイナリ「eeclnt.exe」をフィルタリングしました。DUOBEANバックドアのために持続性を維持し、ファイル作成タイムスタンプの前後に作成されたWindowsサービス「Software Update」を、すばやく特定しました。

どうやってそこにたどり着いたのか?

これは、調査の世界において、答えるには難しい質問の1つです。データ保持時間とログ・データのローテーション・サイクルの制限がある中で、最初のベクトルを容易に識別できるとは限りません。

このケースでは、被害者のエンドポイントでバックドアDUOBEANが作成された時点前後のブラウザーの履歴とファイル・システムの変更を確認するためのピボット操作が、我々の回答を導き出しました。ネットワーク内部への侵入のタイムラインを列挙したMandiant Redlineの出力を図5に示します。


図5:ホストの最初の侵害のタイムラインを含むMandiant Redlineの出力

イベントのタイムラインは、ユーザーが個人用Gmailでフィッシングされ、Eメールに埋め込まれたOneDriveにリンクされた、パスワード保護付きCHAINLNK添付ファイルを開いたことを示しています。活動に続き、図6に含まれるWindowsイベント・ログで観察された不正なPowerShellコマンドは、CHAINLNKが正常に実行され、DUOBEANがダウンロードされたことを示します。


図6:Windowsイベント・ログで観察された不正なCHAINLNK PowerShellコマンド

提供された調査証拠からは、このホストからそれ以上の活動は確認されず、Managed DefenseはさらなるIOCを探すために環境の調査を継続しました。今回の攻撃グループの活動は、攻撃ライフサイクルの初期段階で検知されました。そのために攻撃グループの影響は限定的で、Managed Defenseは被害者組織に迅速な復旧対策を提案することができました。

要約

この記事で詳述した中国関与の攻撃グループ活動は、多数のお客様に拡大し、最終的にはManaged Defense Community Protection Event(CPE)へと拡大しました。CPEは、ビジネスに大きな影響を与える可能性のある複数のお客様を対象とした発生中のキャンペーンを指します。Managed Defenseサービスを契約しているお客様にはCPEへの対応実施を即座に通知しました。インジケーターがお客様環境の製品を監視するために展開され、Managed Defenseコンサルティング・チームはリスクを軽減する方法についての知見を提供しました。

調査の規模の大小に関係なく、時間との戦いが重要です。明確な質問のない調査資料のもとで右往左往することは、組織に被害を与える攻撃者に、攻撃の時間を与えることになります。製品と脅威インテリジェンスはセキュリティ対策の構成要素ですが、これらの対策を効果的に対応するように仕向けるためには、経験値がより一層重要だといえます。

 

本ブログは、米FireEyeが公開した February 11, 2020「Managed Defense: The Analytical Mindset」(英語)の日本語抄訳版です。

日本語版:Reviewed by Toru Tanimura