マイクロソフト環境をアイデンティティベースの攻撃から守る。
アイデンティティ・エクスポージャー・ギャップ分析を今すぐご予約ください。
ランサムウェア

Maze Ransomwareの検知と停止にVectra 。

2020年8月5日
Vectra AI セキュリティ・リサーチ・チーム
サイバーセキュリティ
Maze Ransomwareの検知と停止にVectra 。

以前は「ChaChaランサムウェア」としてコミュニティで知られていたMazeランサムウェアは、ジェローム・セグラによって2019年5月29日に発見された。この時点で1年以上経過しているが、Canonへの最近の攻撃が示すように、まだ野放し状態で確認されている。他のランサムウェアと同様、Mazeは企業ネットワーク全体に広がり、見つけたコンピュータを感染させ、データを暗号化してアクセスできないようにする。

Maze Ransomwareはどのように動作するのか?

Mazeはデータを暗号化するだけでなく、発見したデータを盗み出し、攻撃者が管理するサーバーに流出させ、身代金を支払わなければデータを解放すると脅迫する。他のランサムウェア (Sodinokibiとしても知られるREvilなど) でも、同様の手口を使うものが増えている。

Mazeおよび類似のランサムウェア攻撃は、暗号化されたコマンド・アンド・コントロール(C2)、欺瞞、およびシグネチャベースのセキュリティ制御による検知を回避するためのWindowsネイティブ関数の使用を活用します。

Vectraのモデル検知 は、シグネチャではなく行動に焦点を当てているため、これらの脅威が実際に発生した場合でも一貫しています。攻撃者のインフラやツールは変化しますが、行動はより安定しています。このため、Vectraは現在のランサムウェアだけでなく、将来作成される可能性のある新しいランサムウェアも捉えることができます。

セキュリティ・オペレーション・センター(SOC)のアナリストは、振る舞い の検知を活用して、敵がデータの流出や暗号化などの悪意のある目的を達成する前に、攻撃者の先手を打つことができます。

このブログでは、Mazeからの典型的な攻撃の進行と、Vectraを活用してネットワークをセキュアにしている人にどのように見えるかを分析したい。

現代のランサムウェア攻撃はどのようなものか?

まず、現代のランサムウェア攻撃の一般的なタイムラインを見てみよう:

  • スピアフィッシングメールを介して組織が危険にさらされる
  • C2設立
  • 実行ファイルがドロップされ、脅威者は長いリードタイムを持ち、そこでクレデンシャルの窃取やその他の局所的な偵察が行われる。
  • psexec、Cobaltstrike、Empire、ADFindなどの追加ツールがホストにダウンロードされる。
  • リコン・ツールの実行と結果の収集
  • 脅威者はペイロードを環境内のターゲットにコピーする。
  • 防御回避と暗号化が行われ、プロセスが停止する
  • 身代金のメモが投函される
  • C2またはTOR経由でのデータ流出

SOCの観点から、これを単純化し、観察可能な5つのステップに集約してみよう。

  1. 攻撃者が標的企業の足場を固める
  2. 攻撃者は、関心のある情報や、ネットワーク内での横の動きや特権の昇格を可能にするパスワードを見つけるために偵察を行う。
  3. ほとんどの宿主をコントロールするための横方向への動き
  4. 機密データの流出
  5. 最後に、Mazeランサムウェアの展開と実行は、以前に作成されたチャネルに向けて行われた。

アクターによって、これらのステップが存在する場合もあれば、存在しない場合もあることに注意。手法はさまざまであるため、以下に示す検知の可能性を確実なものとみなすことはできません。また、偶然にMazeのサンプルを開き、自分自身を感染させることができますが、この場合、C&Cチャネル内でのインタラクションが実行されないため、ランサムウェアの検知のみがトリガされることに注意してください。

Maze ランサムウェア攻撃の解剖

Maze Ransomware攻撃の解剖図
Maze Ransomware攻撃の解剖図

ステップ1 - 最初の妥協

最初の侵害については、「患者ゼロ」のリモート・コントロールを得るためにコバルト・ストライク・インスタンスを起動するために使用される悪意のある文書から始まるキャンペーンもある。報告されたいくつかのケースは、窃取した認証情報、脆弱なソフトウェアの悪用、またはインターネットに接続されたデバイスの脆弱なパスワードを使用した、アクターによる直接的な侵害によるものです。患者ゼロを制御するために使用される最も一般的なツールは、CobaltStrikeのようです。

ステップ2-偵察と特権の昇格

アクターは、ランサムウェアを実行および展開したり、横方向に移動したり、興味深いファイルを発見したりするために、特権の昇格を使用することがあります。この攻撃ステップは、偵察行動を構成します。

  • これは、ローカルでmimikatzを使って行うことができる。
  • このアクターは、"password "という単語を含むファイルを探すことができ、ファイル共有の列挙を引き起こす可能性がある。
  • BloodHoundツールの列挙/偵察機能のいくつかの使用法が報告されており、攻撃者は関心のあるホストを見つけ、ターゲットのアーキテクチャをよりよく理解することができる。
  • 偵察の段階ではさまざまなツールが報告されているが、その目的はすべて同じで、ネットワークの構造、移動できる場所、さらに移動するのに役立ちそうなアカウントを見つける場所......を理解することだ。
  • これらの行動はすべて、ポートスキャン、内部ダークネットスキャン、疑わしいLDAPクエリ、ファイル共有の列挙など、私たちのリコン検知の引き金となる可能性がある。

攻撃者がターゲットの環境に足がかりを得ると、何度か偵察を試み、他のターゲットに向かって横方向の移動も行う。

IP-10.50.2.103が主なエントリーポイントで、横方向への動きと重要な偵察行動を示している。

横方向への移動と重要な偵察行動を示すスクリーンショット

ステップ3 - 横方向の動き

横方向への動き自体は、攻撃側は最初の足場からコバルト・ストライクを活用することがほとんどだ。

  • 一部のアクターは、感染したドメイン上に自分自身のアカウントを作成する。このような行為により、「Privilege Anomaly: Unusual Account on Host (特権異常:ホスト上の異常なアカウント) 」のような特権アクセス異常が発生する可能性があります。
  • ツールを使って横方向に移動するためにpsexecのような悪用が行われた場合、Suspicious Remote Executionが発火する可能性がある。
  • この場合、「Suspicious RDP」および「RDP Recon」の検知がトリガーされやすい。あるアクターはRDPにトンネルを使用していることが報告されており、攻撃者の使用方法によってはSuspicious Relayとして表示される可能性があります。

疑わしいリモート実行の詳細では、攻撃者が近隣ホストのサービスを管理するためにpsexecを操作している。

不審なリモート実行

ステップ4 - 流出

最後に、いくつかのケースでは、mazeによる暗号化の前に、さまざまな方法で、主にftpまたはクラウドホスティングサービスに対して行われた流出が示されている。

  • 流出したファイルの量によっては、Data smugglerとSmash and Grabが発動する可能性がある。
  • 万が一、攻撃者がSharePointサイトからデータを流出させようとした場合、"異常なボリューム "のO365検知が予想される;)
ここで、ランサムウェア自体の爆発に先立ち、ホストPC4が外部からのリモートアクセスやSmash andGrabによる侵入を試みられていることに注意されたい。

ここで、ランサムウェア自体の爆発に先立ち、ホストPC4が外部からのリモートアクセスやSmash andGrabによる侵入を試みられていることに注意されたい。

外部からのリモートアクセスは、偵察検知と組み合わせると、常に外部からの敵対者の強力な指標となります。検知の詳細で、C2 アプリケーションのタイプ (この場合は Teamviewer) がわかります。C2 アラートは、脅威を除外するために常に調査する必要があります。脅威の情報だけに頼らず、より広い活動範囲を考慮してください。自問してください:

  • ホストはリコンも行っているのか?
  • ホスト上で不審なアカウントの動きがありますか?
  • 宛先は論理的か (この場合はオランダのIP) 。
  • エンドポイント検知とレスポンス (EDR) がアラートをトリガーしたか?
外部リモートアクセスコンソール

ステップ5 - ランサムウェア

Mazeランサムウェアはその後、チャネルを介して展開されます。これは明らかに、以下のようにランサムウェア・ファイルの活動を誘発します。

Maze Ransomware スクリーンショット

ランサムウェアの検知自体については、検知ビューには、影響を受けたファイルの数と共有名が表示されます。ランサムウェアのノートも表示され、名前から特定のマルウェアのファミリーを特定するのに役立ちます:

Maze ランサムウェア検知 スクリーンショット
Maze ランサムウェア検知 スクリーンショット

拡張ビューを使用すると Recallenhanced viewを使うと、攻撃時にいくつかの外部セッションが開始されたことがよくわかる:

Maze Ransomwareの攻撃を受けた外部セッション
Maze Ransomwareの攻撃を受けた外部セッション

インシデント発生後の報告実際のMazeランサムウェア攻撃を特定するための5つのステップ

以下は、ランサムウェア攻撃の初期指標を特定し、ネットワークファイル共有の暗号化を防ぐために取られた手順を示す、実際のインシデント発生後のレポートの要約である。

Vectra は、匿名性を確保し、顧客の個人情報を保護することにより、この事故後の報告 書を公表する権限を与えられている。この種の報告書は通常、社内の分析に限って機密扱いとされる。

  1. Vectra Consulting Analyst Teamは、ランサムウェアが爆発する1週間前の1日目に、侵害されたネットワークの内部で、紛れもない偵察と横移動の攻撃行動を検知しました。攻撃ライフサイクルのこれらのフェーズは、攻撃者が身代金要求のためにネットワークファイル共有を暗号化する前に、侵害する重要なシステムを探していることを示していました。
  2. Vectra によると、スキャンは幅広いホストから行われ、ネットワークファイル共有が列挙されたことから、他のスキャンはランサムウェアの活動に関連していた。
  3. さらに、Vectra 、侵害されたホストの1つが、Sodinokibiマルウェアに関連しているウクライナの既知の悪意のあるIPアドレスと通信していることを確認した。
  4. 外部接続は、ウクライナのIPアドレスに約80MBのデータ転送で成功した。
  5. Vectra 、外部に送信されるデータ量が非常に多いため、検知数が気になった。

顧客からの追加情報により、この攻撃はMazeランサムウェアと関連づけられた。

この 事件後のレポートこのレポートは、被害や壊滅的なデータ漏洩を回避するために、サイバー攻撃を早期に検知することの重要性を示しています。確実かつ正確に、脅威の前兆となる行動を特定し、インシデントを迅速に調査し、適切なレスポンス ツールで武装することが不可欠です。

検知 でランサムウェアを阻止する。Vectra AI

関連する行動の優先順位付けと自動化されたレスポンスを組み合わせることで、検知 脅威を早期に発見し、環境への伝播を阻止することができます。私たちの専門家と連絡を取るには、新しく発表されたVectraサービスを利用することで、お客様はセキュリティ運用を成熟させることができ、最も知識のあるVectraのスタッフにアクセスできるようになります。また、デモのご予約や詳細については、いつでもお気軽にお問い合わせ ください。