ブログ(脅威調査)

COOKIEJAR: FireEye エンドポイント・セキュリティのLogon Trackerモジュールを使用した攻撃者の追跡

Mandiant Managed Defense による、ある通信事業者での最近の調査で、弊社チームは、攻撃者によって侵害された正規ドメインアカウントを用いてアクセスされたシステムを迅速に特定することを任務としていました。この顧客が FireEye エンドポイント・セキュリティ製品の Logon Tracker モジュールを有効にしていたため、この困難な作業が簡単になりました。

Logon Tracker は Endpoint Security Innovation Architecture モジュールのひとつで、Windows エンタープライズ環境内での水平展開の調査を簡素化するためのものです。Logon Tracker は、過去のログオン活動を集約し、新しい活動を監視するメカニズムを提供することで、水平展開に対する調査の効率を向上させます。このデータはユーザー・インターフェースからアクセス可能で、調査のリード(例:漏洩したアカウント)に関係する活動を分析したり、疑わしいアクティビティ(例:特権アカウントによる RDP アクティビティ)を探すことができます。Logon Tracker はまた、ホスト名、ユーザ名、プロトコル、時間帯、プロセス名、特権レベル、ステータス(成功/失敗)などをフィルタリングするオプションを提供し、通常とは異なるようなユニークなログオンをグラフ・インターフェースから識別できます。


図 1: Logon Tracker GUI インターフェース

インシデント対応を成功させるための重要な要素は、攻撃者によってアクセスされた可能性のあるシステムを特定するスコーピング作業です。Windows イベント ログは、Windows システム間での攻撃者の水平展開を探し出すための一般的な情報源です。しかし、すべてのログ・ソースと同様に、Windows イベント・ログはエンドポイントに保持されるデータ量に制限があるため、Logon Tracker によって提供される集約されたログオン・アクティビティは、インシデント対応のための重要な証拠のソースとなります。

Logon Tracker のグラフ表示と生のログオンイベントを活用し、Mandiant Managed Defense は 10 台の侵害された可能性のあるホストを迅速に特定し、攻撃者の活動タイムラインの作成を開始することができました。

Managed Defense はまた、Logon Tracker を活用して、インシデント対応中の疑わしいログオンと攻撃者の活動も監視しました。既知の侵害されたアカウントを用いたログオン(失敗した場合と成功した場合の両方)と侵害されたシステムからのアクティビティを検索することで、アナリストはどのシステムを優先的に分析すべきかを迅速に判断することができました。さらに、Logon Tracker はアナリストに以下の機能を提供します。

  • ユーザーが提供した IP アドレス範囲から発信されたアクティビティのログオンデータをフィルタリングする
  • 「ドメイン管理者」や「エンタープライズ管理者」など、特定の特権アカウントのアクティビティのログオンデータを検索する
  • 「特権」ログオンの種類を使って、任意の特権ログオンを検索する
  • アクティビティ検知機能とカスタムルールの定義(coming soon!)

ケースの背景

7月中旬に、Managed Defense Security Operations Center は、Windows サーバー上で資格情報収集アクティビティの可能性を特定しました。この活動には、図 2 に示すように、アクティブな NTDS.dit ファイルのスナップショットを取得し、ローカルでテキストファイルに保存するために、Windows 組み込みのユーティリティである NTDSUTIL を実行するように設定されたスケジュールされたタスクの作成が含まれていました。

"schtasks  /s <redacted> /create /tn ntbackup /tr \"ntdsutil snapshot \\\"activate instance ntds\\\" create quit quit >c:\\Users\\admin\\AppData\\Local\\Temp\\ntds.log\" /sc once /st 05:38:00 /sd 07-12-2020 /f

図2:NTDS.DIT収集のためのスケジュールされたタスク作成

NTDS.ditファイルは Active Directory データを保存するデータベースで、ユーザーオブジェクト、グループメンバーシップ、グループ、そして攻撃者にとってより有用な、ドメイン内の全ユーザーのパスワードハッシュなどが含まれます。

Logon Tracker と簡単なタイムライン分析を活用することで、Managed Defense は、環境内で使用されている命名規則と一致しないホスト名を持つシステムからこのシステムにアクセスし、スケジュールタスクを作成したことを迅速に突き止めました。Logon Tracker データの例を図 3 に示します。


Figure 3: Logon Tracker データ

疑わしいホスト名と侵害された可能性のあるユーザー名を得た Managed Defenseは、Logon Tracker の検索機能を使用して、攻撃者がアクセスした可能性のあるシステムの範囲を特定しました。

調査の結果、インターネットに公開している顧客関係管理(CRM)アプリケーションが Linux Apache ウェブサーバー上でホストされていたのですが、これが侵害されていることが判明しました。複数の Webshell がアクセス可能なフォルダ内に配置されており、攻撃者がサーバー上で任意のコマンドを実行できるようになっていました。攻撃者はこれらのWebshellのひとつを利用して悪意のある Apache モジュールをインストールし、そのモジュールを有効にするために Apache を再起動しました。MandiantはこのモジュールをCOOKIEJARと命名しました(詳細は記事の最後にある付録を参照してください)。COOKIEJAR モジュールにより、攻撃者は侵害されたサーバーを介して、顧客の内部ネットワーク内の任意の IP/ポートにプロキシすることが可能になりました(図 4 を参照)。


図4:PCAPデータ

この顧客ネットワークへのプロキシされたアクセスを使用して、攻撃者は以前に侵害されたドメインの資格情報を利用し、SMB を使用して複数の Windows サーバーに接続しました。顧客ネットワークに接続するためにプロキシを使用したため、攻撃を実行するために使用された攻撃者のワークステーションのホスト名もログオンイベントに渡されました。このタイプのアクティビティは、顧客のネットワークへの直接接続により発生し、同じ LAN 上にいるのと同じようなものです。攻撃者が使用する顧客の命名規則から逸脱するホスト名は、スコーピング作業を容易にしてくれます。さらに、Managed Defense は、ネットワーク監視を活用して、攻撃者のホストからの認証試行や活動を検知することができました。

付録: マルウェア

対応の過程で、Mandiantは Apache HTTP サーバーへの HTTP リクエストを傍受できる、カスタマイズされた悪意のある Apache プラグインを特定しました。このマルウェアと関連する活動を紐付けて追跡するために、新しいマルウェアファミリー COOKIEJAR が作成されました。COOKIEJAR モジュールは、クライアントの IP アドレスが特定のハードコードされた攻撃の IP アドレスと一致した場合にのみ実行されるプリコネクションフックをインストールします。COOKIEJAR モジュールは、/tmp/cacert.pem/tmp/privkey.pem から読み込まれた証明書と秘密鍵を使って、Apache サーバーが指定したポートで SSL/TLS 接続を待ち受けします。クライアントの IP アドレスがハードコードされた IP アドレスと一致する場合 (図 4)、バックドアは URL の先頭に基づいて 3 つのコマンドを受け付けます。

  • /phpconf_t/. 単にレスポンスとして <html><h1>accepted.</h1></html> を書く。おそらく、サーバーがマルウェアに感染しているかどうかをテストするために使用される
  • /phpconf_s/. サーバー上でコマンドを実行する。システムとの通信はすべてシェルに転送され、AES-256-ECB で暗号化された後、Base58 でエンコードされる
  • /phpconf_p/: サーバー上でコマンドを実行する。ホスト名/ポートとして与えられた 2 番目のエンコードされた文字列を (1 番目の文字列は無視される)、Base58 と AES-256-ECB (以前と同じキー) を使ってデコードする。サーバーはリモートホストに接続し、コマンド&コントロール(C2)のプロキシとして動作する。C2 との間のデータは Base58 と AES-256-ECB を使用してエンコードされる。リモートホストとの間のデータはエンコードされない
     


図5: COOKIEJAR内のハードコード化された設定データ

検出ルール

製品

シグネチャ

Network Security/MVX

  • APT.Backdoor.Linux64_COOKIEJAR_1
  • APT.Backdoor.Linux_COOKIEJAR_1
  • APT.Backdoor.Linux.COOKIEJAR

謝辞

  • Chris Gardner, Malware Analyst
  • Fred House, Director, Engineering
     

モジュールのダウンロードやユーザーマニュアルなど、FireEye エンドポイント・セキュリティのLogon Trackerモジュールの詳細情報は、FireEye Marketplaceで入手できます。

 

本ブログは、米FireEyeが公開した August 11, 2020「COOKIEJAR: Tracking Adversaries With FireEye Endpoint Security’s Logon Tracker Module」(英語)の日本語抄訳版です。

日本語版:Reviewed by Takahiro Sugiyama