はじめに
Varonisの支援により、ある顧客環境でサーバーのCPUアクティビティに異常なスパイクが観測されました。この浅い調査から、後にRansomHubのアフィリエイトによる進行中の侵害が明らかになりました。Varonisチームは48時間以内に顧客と緊密に連携し、脅威がランサムウェアとなる前に調査、ハンティング、封じ込め、修復を行い、ビジネスのダウンタイムをゼロに抑えてネットワークを保護しました。
初期アクセス
インシデントは、ユーザーが正規のブラウザアップデートと信じてダウンロードし、実行したファイルから始まりました。これは悪意のあるJavaScriptペイロードでした。このペイロードの初期実行により、自動化された偵察と初期コマンド&コントロール活動が連鎖的に開始されました。これには、Active Directoryユーザーとコンピューターの列挙、主要なローカルシステム情報のクエリ、メモリ内の資格情報の探索、およびその他の様々な発見技術が含まれていました。
数分以内に、永続化のために定期的なスケジュールされたタスクとしてセカンドステージのマルウェアが展開されました。その後、正規のPythonディストリビューションが%LOCALAPPDATA%ConnectedDevicesPlatformにダウンロードされ、攻撃者インフラストラクチャとのSOCKSプロキシとして機能する暗号化されたPythonスクリプトが伴い、企業ネットワークがインターネット経由で直接公開されました。
この暗号化されたスクリプトは、10層の多段階暗号化ルーチンによって保護されており、各ステージが次のステージと他のコンポーネントを解凍する仕組みでした。各復号化レベルには、解凍試行を阻止するためにランダム化された変数名が使用されていました。さらに、各ステージはVM検出、デバッグ検出、プロセス追跡検出などの基本的なアンチ分析技術を実装しようとしていました。最終的なペイロードは、攻撃者のエンドポイントと内部ネットワークインフラストラクチャ間の通信を容易にするためのSOCKSプロキシでした。
また、フォレンジックチームは、この脅威アクターが$env:APPDATA\Microsoft\Signaturesに保存されているすべてのメール署名を操作し、末尾に悪意のある画像参照を埋め込んでいたことを確認しました。この種の変更はエンドユーザーには気づかれにくいですが、脆弱なクライアントでNTLM認証の試行を強制し、追加の資格情報収集につながる可能性がありました。
発見フェーズ
エンドポイントを最初に侵害した後、攻撃者は直ちに顧客のネットワーク内で資格情報と特権昇格の機会を探索し始めました。これには、RDP、OVPNファイル、KeePass Vaults、および一般的に認証データを含むその他の拡張子やファイル名など、資格情報を含む可能性のあるネットワーク共有のスキャンが含まれていました。上記のコマンドは、マルウェアによる自動偵察ステージの一部として、デバイスに接続されているすべてのネットワーク共有に対して実行されました。
さらに、脅威はChromeおよびEdgeのローカル状態データベースを分析することで、ブラウザに保存されている資格情報を特定しようとしました。以下のスニペットは、DPAPIを悪用して、以下のファイルからブラウザに保存されているパスワードを復号化しようとする試みを示しています。
$env:LOCALAPPDATA\(Google|Microsoft)\(Chrome|Edge)\User Data\Default\Login Data$env:LOCALAPPDATA\(Google|Microsoft)\(Chrome|Edge)\User Data\Local State
特権昇格
この時点で、脅威はネットワークトンネルを介して環境への直接ネットワークアクセスを持ち、最初に侵害されたデバイスを直接制御していました。Varonisの分析により、攻撃者は初期侵害から約4時間後にドメイン管理者アカウントを制御し始めたことが判明しました。侵害されたデバイスを特定するためにネットワーク全体を探索することに加えて、この特権昇格がどのように発生したかを正確に調査し、誤設定や脆弱な領域を特定しました。
初期侵害から約2時間後、この顧客のADFSアカウントが、侵害されたワークステーションから読み取り専用のドメインコントローラーに認証されているのが観測されました。関連する4624認証イベント内の「Elevated Token」パラメータによって示されるように、その後、管理特権を持っていました。このログオンセッションは、環境内の他のユーザー(ドメイン管理者やSYSTEMを含む)を偽装することを許可する危険な役割であるSeTcbPrivilege特権割り当ても持っていました。
その後まもなく、脅威が複数のドメイン管理者アカウントを悪用し始めているのが観測されました。限られたテレメトリのため、正確な昇格方法は特定できませんでした。しかし、顧客のActive Directory環境の監査を実施し、昇格のための攻撃対象となるいくつかの重要な問題が特定されました。その中でも特に重要なのは、証明書サービス(AD CS)の誤設定された証明書であり、これによりESC1を介した特権昇格が可能になっていました。AD CSの誤設定は、一般ユーザーがほとんど抵抗なくドメイン管理者に特権を昇格できるため、極めて危険です。脅威アクターはこれを認識し、この設定エラーを悪用して、ドメイン管理者ユーザーを含む複数の高特権アカウントへのアクセスを取得したと考えられます。この一般ユーザーから管理者への迅速な昇格は、悪意のあるファイルの最初のクリックから4時間未満で発生しており、脅威が検出されたらできるだけ早く行動する必要があることを示しています。
追加の発見活動
攻撃者が特権を獲得した後、彼らはネットワーク全体を探索する旅に出ました。彼らが最初に行ったことの1つは、ドメイン管理者に属するラップトップを標的にすることでした。これを行うために、彼らはリモートサービスとレジストリの相互作用を通じて、関連するマシンでRDPが有効になり、許可されていることを確認しました。その後、他の誰もログオンしていないことを確認した後、以下に示すように、デバイスにインタラクティブにアクセスしました。
脅威アクターはまた、reg.exeとnetsh.exeを悪用して、リモート接続を許可する適切なレジストリ設定を構成し、ターゲットデバイスでポート3389が開いていることを確認しました。その後、quserを使用してログオンしているユーザーを確認しました。デバイスが使用されていないと判断されると、脅威アクターはエンドポイントでバッチファイルに追加の情報収集および資格情報収集スクリプトを展開しました。これらのスクリプトは、以下に示すように、実行後すぐに削除されました。
ping、nltest、net、qwinstaなどの標準的な発見技術の悪用に加えて、脅威は驚くべきことを行いました。彼らはインストールされているWord、Visio、Excelのコピーを使用して、クライアントの内部アーキテクチャ、ネットワーキング、サーバー環境に関する特定の関心のあるファイルを開きました。この種のデータは通常、分析のためにオフラインにされるため、これはユニークな発見でした。しかし、この脅威アクターは、侵害されたサーバーからMicrosoft Officeユーティリティを使用してファイルを開き、彼らの動機とプロセスに関する高い可視性を提供しました。開かれたファイルの例には以下が含まれます。
- ESXiホストチートシート
- Azure VMネットワーキングソリューション
- サーバーのReadmeファイル
- クライアントアーキテクチャ/データベースに関する一般情報
この活動は意図的かつ標的型であり、脅威アクターがどれほどの努力をするかを示す一例です。データアクセスを監視することは、企業のセキュリティ体制とリスク許容度にとって極めて重要です。
データ流出
初期侵害から約24時間後、攻撃者はドメイン管理者を正常に取得し、環境全体に複数の永続化メカニズムを展開し、ほぼすべてのActive Directoryを列挙し、広範なネットワークおよびファイル発見を実行しました。彼らは進捗に満足し、Microsoft Azure Storage Accountとの対話ユーティリティであるAzCopyを展開しました。以下に示すように、脅威はこれを使用して、いくつかのターゲットディレクトリ間で大量のデータ流出を達成しました。
このデータ流出活動が、初期のCPUスパイクを引き起こし、顧客の注意を引きました。その後まもなく、Varonisチームは脅威の永続化メカニズムと関連するIOCを特定し、顧客との共同遮断を組織して、すべての悪意のあるアクセスがネットワーク全体で同時に切断されるようにしました。これにより、顧客は修復のための時間を得て、脅威がランサムウェアに発展するのを防ぐことができました。
Varonisのチームによる戦術、技術、手順(TTP)および関連する侵害指標(IOC)の分析により、この侵入はSocGhoulishマルウェアを初期アクセス活動に利用するRansomHubグループのアフィリエイトに関連付けられました。幸いにも、Varonisの介入サービスは、この顧客がビジネスのダウンタイムをゼロに抑えて脅威を完全に根絶するのに役立ちました。もしこれが数時間でも気づかれずにいたら、ランサムウェアが顧客の環境全体に展開されていた可能性が高いでしょう。