2020年12月8日、FireEyeは高度に洗練された脅威アクターによって侵入されたと発表した。攻撃の性質、規律、運用セキュリティ、使用されたテクニックから、FireEyeは国家が支援した攻撃であると疑っている。
最初の調査で、攻撃者は FireEyeが使用するレッドチームツールを標的とし、盗んだことが判明した。これらのツールは、多くのサイバー脅威者の行動を模倣し、FireEyeが顧客のセキュリティポスチャをテストし評価することを可能にしています。
Vectra ユーザーが知っておくべきこと
Vectra 顧客は、盗まれたツールを活用する攻撃者から保護されていることに安心することができます。各ツールの概要と、それぞれに関連するVectra の検知結果については、下にスクロールしてください。
ファイア・アイ、オープンソースの検知結果を公開
盗まれたツールは、偵察を自動化するための単純なスクリプトから、CobaltStrikeやMetasploitといった一般に公開されている技術と同様のフレームワーク全体まで、多岐にわたる。
FireEyeは、世界中の組織の侵害への対応を支援することで長年にわたって人気を博しており、インシデントレスポンスのリーダーが適切な対応方法を知っているのは当然のことだ。FireEyeは24時間以内に、Snort、YARA、ClamAV、HXIOCを含む最も人気のあるオープンソースのフレームワークのために盗まれたツールを検知することができるシグネチャのリストを公開githubリポジトリで公開し、これらのツールを効果的に使用不能にした。
FireEyeは、ゼロデイ・エクスプロイトが流出していないことを明言している。つまり、盗まれたツールはすでに知られている脆弱性を利用しているということだ。とはいえ、レッドチームのカスタムツールを作成することは、攻撃者にとって多大な時間を費やすことになる。FireEyeは、これらを検知するシグネチャを公開することで、攻撃者が容易に発見されずに使用できないようにしている。
このインシデントに関するファイア・アイの情報開示とセキュリティ・コミュニティとの協力に拍手と称賛を送りたい。
ツールおよび検知の概要
FireEyeから共有された情報を確認した後、Vectra のセキュリティ・リサーチ・チームは、盗まれたツールの多くの目的、それらのツールがネットワーク上でどのように表示されるか、Vectra のAIアプローチが攻撃におけるそれらのツールの使用をどのように識別できるかを理解した。
ADPASSHUNT:ADアカウントのパスワードを特定するために設計されたクレデンシャル盗難ツール。盗まれたツールは、攻撃者が貴重な認証情報を特定し、それを使ってネットワークに深く入り込むことを可能にする。Vectra特権アクセス異常アラートは、盗まれたクレデンシャルがどこでどのようにアクセスされても、その使用状況を特定することができます。
BEACON:DNS、HTTP、HTTPSプロトコルを活用したコマンド&コントロールツール。盗まれたツールは、Cobalt StrikeのさまざまなMalleableプロファイルを利用し、攻撃者が制御トラフィックを隠して良性に見せかけることを可能にします。VectraHidden DNS Tunnel、Hidden HTTP Tunnel、Hidden HTTPS Tunnelのアルゴリズムは、作成に使用されたツールに関係なく、これらのタイプの制御チャネルにアラートを発するように設計されています。基礎となるAIは、使用される回避戦術に関係なく、中核となる制御動作を特定することができます。
FLUFFY:Kerberoastingを実行するために設計されたユーティリティ。 Kerberoastingは、攻撃者がオフラインでクラックできるクレデンシャル・ハッシュにアクセスし、ネットワーク内で横方向に移動するために使用することを可能にする。 Vectra特権アクセス・アノマリー・アラートは、盗まれたクレデンシャルがどこからどのようにアクセスされても、その使用を特定することができる。
IMPACKETOBF:SMBとMSRPCを介した通信をサポートするユーティリティ。攻撃者はこの種のツールを使って、盗んだアカウントでリモート実行を行い、環境内を横移動する。Vectra疑わしいリモート実行(Suspicious Remote Execution)」は、盗まれた認証情報がリモート・コードの実行に使用された場合に識別することができます。
PUPPYHOUND:AD偵察マッピングユーティリティ。このツールは、攻撃者が環境をマッピングし、最終的なゴールに到達するために必要な権限とパーミッションを理解することを可能にする。複数のVectra モデル、RPC Recon、Suspicious LDAP Query、Automated replication により、この種の偵察行動のさまざまな側面を特定できる。
REDFLARE(ゴラート):コマンド&コントロールツール。これにより、攻撃者はネットワーク上のホストを遠隔操作できるようになる。VectraHidden HTTP Tunnelは、このようなタイプのコントロール・チャネルに対して、その作成に使用されるツールに関係なく警告を発するように設計されています。
SAFETYKATZ / EXCAVATOR:認証情報ダンプツール。これにより、攻撃者は認証情報を盗み出し、他のホストマシンに横移動することができる。VectraSAFETYKATZの「Privilege Access Anomaly」アラートと「Suspicious Admin」は、盗まれたクレデンシャルがどこからどのようにアクセスされても、その使用状況を特定することができます。
私たちがお手伝いします
Vectra は、セキュリティ運用の改善やインシデントレスポンス の能力強化が必要な場合、またはFireEyeの情報漏えいに関連するリスク評価が必要な場合、いつでもご利用いただけます。Vectra アドバイザリーサービスの専門家は、エグゼクティブ・ブリーフィングを含め、お客様の組織固有のニーズに合わせた幅広いソリューションを提供しています。