孫子の兵法は、何百万人もの自己啓発の達人や企業戦略のコンサルタントによって引用され、さらに100万枚以上のパワーポイントのスライドに誤引用されている。しかし、ある種のものは、常に適切であるために決まり文句になる。孫子は「すべての戦争は欺瞞に基づいている」と主張しましたが、この真理は5世紀の戦場にも、21世紀のサイバーセキュリティにも当てはまります。 私たちは、悪意のあるエージェントがサイバー世界の影でこそこそと動き回り、欠陥が明らかになった瞬間に攻撃しようと待ち構えていると考えていますが、防御側も同様に、狡猾さと欺瞞の訓練を受けなければならないのです。
この考え方は、人気の高い「MITRE ATT&CK™」フレームワークの基礎となっています。Adversarial Tactics, Techniques and Common Knowledgeの略で、サイバーセキュリティチーム、脅威ハンター、レッドチームが攻撃者の思考と行動を監視するために、既知の敵対的戦術と技術を分類したデータベースです。この情報は、組織が緩和策とコントロールの優先順位を決め、侵害から迅速に回復するのに役立ち、時には敵を騙して罠にはめることさえあります。
CyberArkのグローバルセールスエンジニアであるホワイトハットハッカーのLen Noeは、「サイバー攻撃は単発ではなく、積み重ねである」「そこにないものはハックできない」といった格言のような話を、まるで孫子のように語っています。
今回は、Noeが随時ガイダンスを行い、MITRE ATT&CKフレームワークを活用し、2021年に米国最大級の燃料パイプラインを狙ったランサムウェア攻撃で使われたとされる具体的な戦術やテクニックのいくつかを検証します。この攻撃に関する公表された情報に基づくNoeの完全な分析は、このオンデマンドのAttack & Defendガイド体験で見ることができます。
過去に何が行われたかを理解することは、組織が次の侵入経路や最新の攻撃手段に対してより良い準備をするのに役立ちます。Noeが言うように、「ツールではなく、テクニックに対処する必要がある」のですから。
MITRE ATT&CKフレームワークを用いたランサムウェア攻撃の実態解明
攻撃フェーズ1 – 偵察
この初期段階において、攻撃者は攻撃目標に関する一般に入手可能な情報を調べ、Metasploitリスナーを起動して外部からの接続をモニタリングしました。攻撃者は、組織のIT管理者からの偽の電子メールで、ユーザーにPuTTYのバージョンをアップグレードするよう要求するアップデートを要求するなど、単純なフィッシング技術を採用しました。この「アップグレード」は、悪意のあるペイロードジェネレータ「MSFvenom」に感染し、標的となるマシンと攻撃者の間に「Call Home」を作り出しました。
攻撃フェーズ 2 – 初期アクセス
そこからユーザーのデスクトップに移動し、「AD Recon」ツールをアップロードしてActive Directoryの状況を把握し、企業の内部インフラをより深く理解することができたのです。高度なデータ偵察レポートを実行し、必要な情報を流出させた後、攻撃者は自分たちの活動の痕跡を削除し、発見されないようにしました。
このシナリオでは、攻撃者は最初の足がかりを得るために、MITREが定義したいくつかの異なるテクニックを使用しています。ソーシャルエンジニアリングやその他の技術によって得られた有効なアカウントへのアクセスを悪用し、IDを危険にさらしてより多くのアクセスを得るために認証情報をターゲットとした活発なフィッシングキャンペーンを行い、一般公開されているアプリケーションを悪用したのです。
攻撃フェーズ3 – 実行
最初の足がかりができると、攻撃者は出力ディレクトリを調べ、ドメインコントローラーの場所、IPアドレスとホスト名に関する情報を得ました。
ドメインコントローラは、攻撃者にとっての宝の山であり、適切に保護されていない場合、不正アクセスは組織に壊滅的な打撃を与える可能性があります。攻撃者は、Microsoft Windowsのデフォルト認証プロトコルであるKerberosの脆弱性を利用して、正当なユーザーを装い、ネットワークを通過し、ホストからホストに移動してデータを盗み、ランサムウェアを拡散し、様々な方法で大混乱を引き起こすことが可能です。
ドメインコントローラーにアクセスすることで、これらの攻撃者はOS標準ツールを実行してデュアルセッションをセットアップし、実質的に自分のコンピュータをシステム管理者と並行してセットアップすることが非常に簡単にできるようになりました。
Noe氏が指摘するように、Kerberosの実装プログラムを保護することは、権限のないユーザーがアクセスし、「ゴールデンチケット」や「パスザハッシュ」といった破壊的な攻撃を実行することを防ぐために重要です。それは、「違反を前提とする」考え方の重要性に帰結します。
攻撃フェーズ 4 – 粘り強さ
忍耐力や持続力は美徳とされることが多いですが、ランサムウェアの攻撃でも重要な鍵を握っているのです。攻撃者は、パラレル・アドミニストレータを確立すると、悪意のあるエージェントを使用してスケジュール・タスクを作成し、それが実行されると、自動的にコマンド&コントロール・サーバに連絡し、そのホストへの攻撃者のポータルを開いたままにしておくのです。
そこから、エクスプロイトやハッシュダンプ(基本的に、Hashcatのようなプログラムで読み取り可能な情報の塊)を実行することができました。その情報が読み取れ、並べ替えられるようになると(それには時間と粘り強さが必要ですが)、攻撃者はミッションに不可欠な管理者パスワードを特定することができました。
Noeはここで、システムロックを解除するための1つのキーセットを持つことを避け、システム間でのパスワードの再使用や複製を防ぐために、自動再生パスワードシステムの利用を推奨しています。ここでも、水平方向と垂直方向の移動をできるだけ制限することが重要です。
攻撃フェーズ5 – エスカレーション
このゲームの名前は、ほとんどの場合、特権の昇格です。攻撃者は、システムを操作するために、ハッシュダンプをクラックし、クレデンシャルを取り出し続けました。彼らは、様々なタイプのクレデンシャルに関する操作を行い、最終的に、この昇格したアクセス権を使用して、ランサムウェアのペイロードをダンプ(正確には、アップロード)する場所に移動しました。
攻撃フェーズ 6 – 回避
Noeが言うように、「最初のアクセスの後、攻撃者の第二の優先順位は防御回避だ」。検知されないようにすることが重要なのです。このあたりから、スパイ対スパイの様相を呈してきます。侵害されたシステムには(うまくいけば)秘密の防御メカニズムがあるが、敵対者は最善を尽くして忍び寄ろうとしているのだ。例えば、攻撃者は「クリーン」な状態を保つために、出力ディレクトリ、CSVファイル(カンマ区切り値)、パワースクリプトを削除し、侵害の兆候を削除する。このような回避的なテクニックは、ランサムウェア対策に重層的で深層的な防御のアプローチが必要であることを強調すると、Noeは指摘します。
攻撃フェーズ7 – クレデンシャルアクセス
このランサムウェアの攻撃は、これまでの多くの攻撃と同様、デスクトップのミラーリングやパスワードのハッシュダンプダイブをはるかに超えています。この攻撃は、機密データやシステムへの広範囲な管理アクセスを可能にする特権的な認証情報をターゲットとしていました。
だからこそ、最低限の権限をユーザーに付与する特権アクセス管理は、 レイヤードセキュリティのアプローチに不可欠であり、「何も信用せず、すべてを検証する」ゼロトラストの哲学に貢献するのだとNoeは強調する。
次の大規模な攻撃は、おそらくこのような形ではない
While the MITRE ATT&CKのフレームワークは確かに有用ですが、それは流動的なリソース、つまり出発点でなければなりません。攻撃者は常に革新的であり、それぞれの攻撃は独自の道を歩んでいます。バイオハッキングからランサムウェア・アズ・ア・サービスの革新的な技術まで、常に新しい技術が生まれていますが、時折、古い手口が復活することもあるのです。Noe氏は、「解凍時に実行されるJavascriptを含むファイルをZip圧縮する全く新しい方法を目にすることがあります。以前にもこのような手口はありましたが、攻撃者がこのような方法で圧縮ファイルを狙うのは久しぶりです」。
サイバーセキュリティの哲学者であるLen Noeの言葉を借りれば、プロアクティブであること、クリエイティブであること、攻撃者のように考えることが、サイバーセキュリティに必要なアプローチなのです。しかし、既知の事柄への取り組みと 未知の事柄への備えのバランスをどうとるかによって、攻撃者との戦いに勝つだけでなく、戦争に勝つこともできるのです。
