先日、Kaspersky Labs は、Duqu 2.0 と名付けられた巧妙なサイバー攻撃の被害に遭ったことを明らかにした。Kaspersky LabsのチームはDuqu 2.0の詳細な分析を発表しており、一読の価値がある。
元祖ドゥークの脅威
オリジナルのDuqu脅威アクターは、malware のファミリーで、ほとんどの研究者は、国家によって作成されたと考えており、悪名高いStuxnetworm に関連しています。Stuxnet は、ウラン濃縮に使用される遠心分離機に損害を与えるために使用されましたが、オリジナルの Duqu は、侵害されたネットワーク内の監視と情報収集を目的としていたようです。
カスペルスキーの分析は、この攻撃について非常に興味深い洞察を提供しており、高度な攻撃を検知する上で、振る舞いベースシステムが重要な役割を果たすことを明確に示していると考えています。
オリジナルのDuquフレームワークと同様に、Duqu 2.0はゼロデイ脆弱性を多用し、初期の被害者システムを侵害しました。この最初の侵害から、攻撃者は以下のことを行うことができました:
- 内部ネットワーク・トポロジーをマップするために内部偵察を行う。
- パス・ザ・ハッシュ」と呼ばれるKerberos攻撃テクニックを使って、ネットワーク内で横方向に拡散する。
- ドメイン管理者アカウントに権限を昇格させる。
- これらのドメイン管理者権限を使用して、MSIパッケージを配信し、追加のホストを感染させる。
によって検知された異常Vectra
これらの計算されたステップは、まさにVectra 、シグネチャやサードパーティの評価リストを必要とせずにリアルタイムで検知する振る舞いのタイプです。
- 内部ダークネット・スキャンと ポート・スキャン- これらのVectra の検知は、攻撃者が内部ネットワークをマッピングし、新たに発見されたホスト上で利用可能なサービスを特定することを明らかにします。
- Kerberos クライアントのアクティビティ:この検知では、盗まれた認証情報の使用や、攻撃者がカスペルスキーのネットワーク内で横方向に移動することを可能にするパスザハッシュ攻撃など、多くの攻撃が明らかになりました。パスザハッシュには多くの亜種がありますが、Vectra 、それらに共通する基本的な動作を特定することができます。
- 自動複製- この検知は、特定のホストが、追加のホストを感染させるために使用される悪意のあるMSIパッケージなど、ネットワーク全体に同様のペイロードを伝播していることを明らかにします。
これらの検知はいくつかのポイントに光を当てるが、全体像を見ることも重要だ。多くの点で、Duqu 2.0はオリジナルと非常によく似ている。ゼロデイ脆弱性の知識を持つ洗練されたスキルを悪用する攻撃者が、ホストに静かに感染し、静かに拡散し、ネットワークをスパイする。次回は新たなゼロデイ脆弱性が登場するものの、このパターンは今後も繰り返される可能性が高い。
洗練されたスキルを悪用する攻撃者は、常に新しい脆弱性を仕掛ける。しかし、ネットワーク内に侵入した後の彼らの基本的な目標と行動は、驚くほど不変である傾向がある。
攻撃者はネットワーク内で自らを方向付け、特権を昇格させ、ネットワークを通じて拡散する。これらの振る舞いは、内部ネットワークを注意深く監視している製品であれば、直接観察することができる。このような行動に焦点を当てたセキュリティ・モデルの適用を始めない限り、続編はすでに見たエピソードとよく似たものになるだろう。