# 2023/01/01 - 2023/01/15 - [Understanding Malware-as-a-Service (MaaS): The future Of cyber attack accessibility](https://cybersecurity.att.com/blogs/security-essentials/understanding-malware-as-a-service-maas-the-future-of-cyber-attack-accessibility) <details><summary>本文和訳</summary> マルウェア・アズ・ア・サービス(MaaS)を理解する。サイバー攻撃へのアクセシビリティの未来 2023年1月9日｜Marija Mladenovska（マリヤ・ムラデノフスカ この投稿の内容は、あくまでも著者の責任です。 AT&Tは、この記事で著者が提供したいかなる見解、立場、情報も採用または支持しません。 テクノロジーの爆発的な発展に伴い、企業は悪意のあるサイバー攻撃に対してこれまで以上に脆弱になっています。そして、サイバー犯罪者がより巧妙になるにつれて、新しい攻撃方法が次々と現れています。 火に油を注ぐように、データ侵害の平均コストは、2021年には386万ドルから424万ドルに増加しました。これは、ほとんどの中小企業が赤字に転落するのに十分なコストです。もちろん、情報漏えいがブランドの風評被害をもたらすことは言うまでもありません。 マルウェア・アズ・ア・サービス（MaaS）のような最新のサイバーセキュリティの動向から身を守り、ネットワーク、データ、システム、そしてビジネスの評判を守ることで、このような恐ろしい運命を避けることができるのです。 マルウェア・アズ・ア・サービス（MaaS）という言葉を聞いたことがなくても、心配はご無用です。この記事は、そんなあなたのためのものです。 マルウェア・アズ・ア・サービスについて知っておくべきことをすべて説明し、最後に、潜在的な脅威から企業独自のデータを保護するためのベストプラクティスを紹介します。 それでは、始めましょう。 マルウェア・アズ・ア・サービス(Maas)とは？ マルウェア・アズ・ア・サービス（MaaS）とは、サイバー攻撃の一種で、犯罪者がインターネット上で他のハッカーや悪意のある行為者にマルウェアや配備サービスを提供するものです。 これらのサービスは、通常、ダークウェブで利用可能です。購入すると、悪意のある行為者は、機密情報の窃取、コンピュータシステムの妨害、データの暗号化とその解除のための身代金の要求など、さまざまな悪質行為を実行することができます。 マルウェアの代表的な種類には、以下のようなものがあります。 ウイルス。自己を複製して他のコンピュータに拡散するプログラム。コンピュータの動作に支障をきたす、情報を盗まれる、ファイルを破損させられるなど、さまざまな問題を引き起こす。 トロイの木馬。正規のソフトウェアに見せかけ、データを盗んだり、コンピュータに不正にアクセスするなどの悪質な活動を行うプログラム。 ワーム。自己複製を行うプログラムで、ネットワーク上に拡散し、コンピュータの操作を妨害したり、ネットワークリソースを消費したりします。 アドウェア。コンピュータに不要な広告を表示するソフトウェア。ユーザーのオンライン活動を追跡することもあります。 ランサムウェア。被害者のデータを暗号化し、その解除のために身代金の支払いを要求するもの。重要なデータやファイルを失い、ビジネスに大きな打撃を与える可能性があります。 スパイウェア ユーザーのオンライン活動に関する情報を、ユーザーの認識や同意なしに収集し、機密情報（財務諸表やパスワードなど）を盗み出すために設計されたソフトウェア。 ボット。ウイルスやワームなど、他の種類のマルウェアと一緒に使用されることが多い。例えば、ウイルスがコンピュータに感染し、ボットをダウンロードしてインストールすると、そのコンピュータやネットワーク上の他のコンピュータで悪質な活動を行うことができる。 MaaSを利用すれば、サイバー犯罪者は、自らマルウェアを開発することなく、既成のマルウェアを購入して利用できるため、攻撃を仕掛けることが容易になります。この区別により、法執行機関、サイバーセキュリティの専門家、ITチームは、攻撃を行った人物を追跡することが難しくなる可能性があります。 また、悲しいことに、サイバー攻撃は業界を問わない。例えば、運輸業界では、サイバー犯罪者が電子記録装置の脆弱性を悪用し、クラウド接続されたトラックから貴重な情報を盗み出すことがあります。 また、Salarship、Indeed、UpWorkなどのオンライン求人サイトや、求人応募が保管されているプラットフォームにとっても、MaaSは大きな脅威となります。攻撃者は、これらのサイトを標的にすることで、数千人または数百万人の個人データに簡単にアクセスすることができます。 肝心なのは 企業データを扱う企業として、マルウェアの種類を認識し、これらの凶悪なサービスから保護するために必要な予防策を講じることが不可欠です。 ランサムウェア・アズ・ア・サービス（RaaS）とマルウェア・アズ・ア・サービス（MaaS）の比較 ランサムウェアはマルウェアに分類されます。しかし、Ransomware-as-a-Service（RaaS）とMalware-as-a-Service（MaaS）にはどのような違いがあるのだろうか。 MaaSとRaaSの主な違いは、サービスとして提供されるマルウェアの具体的な種類にあります。MaaSはあらゆるマルウェアを開発・展開するのに対し、RaaSは特にランサムウェアの開発・展開で構成されています。 ランサムウェアは、感染したコンピュータシステムやそのデータへのアクセスを制限し、アクセスを回復するために身代金の支払いを要求するマルウェアの一種である。通常、フィッシングメールや悪意のあるウェブサイト、標的型攻撃を通じて拡散します。 MaaSやRaaSは、ダークウェブ上のオンラインサービスで、経験や知識のない人でも簡単に攻撃を開始することができます。 RaaSの場合、攻撃者が被害者のデータを盗み、身代金を要求し、被害者にデータを返すよう要求するケースもあります。また、攻撃者は被害者のデータを暗号化し、それを盗むことなくロックを解除するために支払いを要求する場合もある。 いずれにせよ、ランサムウェアの目的は、被害者を恐喝することで金銭を得ることです。 MaaSからビジネスを保護する方法 マルウェアがより洗練され、アクセスしやすくなるにつれて、悪質な行為者からビジネスを守るための防御プログラムをいくつか用意することが不可欠になっています。 最近の調査によると、64%のアメリカ人が、個人情報の紛失について、ハッカーではなく会社を非難すると回答しています。 ありがたいことに、その影響を軽減する方法があります。シスコのレポートによると、一般データ保護規則（GDPR）を遵守することで、データ侵害の影響を最小限に抑えられることが示されています。 なぜでしょうか？企業がGDPRを遵守していれば、攻撃者は悪用するデータを見つけられないかもしれないからです。プライバシーポリシー作成ツールを使えば、ボタンをクリックするだけで、GDPRに準拠したビジネスが可能になります。 ここでは、MaaSからビジネスを保護するために、さらにいくつかのステップを紹介します。 Webアプリケーションファイアウォール、侵入検知、安全なパスワードなど、強力なネットワークセキュリティ対策を実施する。 すべてのソフトウェアとオペレーティング・システムを定期的に更新し、既知の脆弱性を修正するためのパッチを適用する。 マルウェア・アズ・ア・サービスのリスクとその回避方法（疑わしい電子メールの添付ファイルを開かない、信頼できないWebサイトにアクセスしないなど）について従業員を教育する。 信頼できるアンチウイルスおよびアンチマルウェアソフトウェアを使用し、感染の兆候がないかどうか定期的にネットワークをスキャンする。 必要なデータは定期的にバックアップし、万が一の事態にも迅速に業務を復旧できるようにする。 企業にとって最も重要な資産のひとつは、データのプライバシーと評判であり、それはビジネスの価値に直接影響します。そのため、強力かつ適切に実施されたサイバーセキュリティ計画によって、MaaS からデータを保護することが非常に重要です。 まとめ サイバー犯罪者は、悪意のあるハッキングを成功させるために、もはや強力な技術的背景を必要としなくなりました。MaaSモデルによって、誰もがサイバー犯罪者になることが可能になりました。 しかし、だからといって、インターネットを永遠に避けなければならないわけではありません。 予防策と強固なサイバーセキュリティ戦略があれば、MaaSの攻撃から企業データを守ることができ、夜もぐっすり眠れるようになります。 オンラインを安全に利用するための詳しいアドバイスについては、AT&T Cybersecurity ブログをご覧ください。 </details> - [CircleCI incident report for January 4, 2023 security incident](https://circleci.com/blog/jan-4-2023-incident-report/) <details><summary>本文和訳</summary> 2023年1月4日、弊社はお客様にセキュリティインシデントの発生を警告しました。本日は、何が起こったのか、何がわかったのか、そして今後のセキュリティ体制を継続的に改善するための計画についてお伝えしたいと思います。 また、このインシデントによりお客様の業務に支障をきたしたことをお詫び申し上げます。第三者のシステムや店舗への不正アクセスを防止するため、まだ対策をとっていないお客様には、ぜひ対策をとっていただきたいと思います。また、徹底的な調査を行っている間、お客様やコミュニティの皆様が辛抱強く対応してくださったことに感謝いたします。責任ある情報公開を目指し、私たちは情報公開のスピードと調査の完全性の維持のバランスをとることに全力を尽くしました。 この報告書では、以下を取り上げます。 何が起こったのか？ この攻撃経路が閉鎖され、安全に構築できることをどのように確認するか？ お客様とのコミュニケーションとサポート 自分が影響を受けたかどうかを知るには？ 内部調査に役立つ詳細情報 このインシデントから学んだこと、次に行うこと 従業員の責任とシステムの安全対策に関する注意点 セキュリティのベストプラクティス 最後に 何が起きたのか？ 日付と時間は、特に断りのない限り、すべてUTCで報告されています。 2022年12月29日、あるお客様からGitHub OAuthの不審なアクティビティについて警告を受けました。この通知は、CircleCIのセキュリティチームによるGitHubとのより深いレビューをキックオフしました。 2022年12月30日、このお客様のGitHub OAuthトークンが不正な第三者によって侵害されていることが判明しました。このお客様はすぐに問題を解決することができましたが、慎重を期して、2022年12月31日に、お客様に代わってすべてのGitHub OAuthトークンをローテーションするプロセスを積極的に開始しました。GitHubと協力してAPIレートの制限を増やしたものの、ローテーションのプロセスには時間がかかりました。この時点では、他のお客様が影響を受けているかどうかは明らかではありませんでしたが、私たちは分析範囲を拡大し続けました。 2023年1月4日までに、当社の内部調査により、不正な第三者による侵入の範囲と攻撃の進入経路を特定することができました。現在までのところ、不正な第三者が、CircleCI のエンジニアのラップトップに展開されたマルウェアを利用して、有効な 2FA で保護された SSO セッションを盗み出したことが判明しています。このマシンは、2022年12月16日に侵入されました。このマルウェアは、当社のウイルス対策ソフトウェアでは検出されませんでした。当社の調査によると、マルウェアはセッション Cookie の窃盗を実行し、遠隔地にいる標的の従業員になりすまし、当社の本番システムのサブセットへのアクセスをエスカレートさせることができたことが判明しました。 この従業員は、通常の業務の一環として、本番用アクセストークンを生成する権限を持っていたため、不正な第三者は、顧客の環境変数、トークン、キーなど、データベースやストアのサブセットからデータにアクセスし流出させることができました。2022年12月19日、不正な第三者が偵察活動を行ったと信じるに足る理由がある。2022年12月22日に流出が発生し、これが当社の本番システムにおける不正な活動の最後の記録となりました。流出したデータはすべて静止状態で暗号化されていましたが、第三者は実行中のプロセスから暗号鍵を抽出し、暗号化されたデータにアクセスする可能性がありました。 当社は、社内調査の結果に自信を持っていますが、調査を支援し、調査結果を検証するために、第三者のサイバーセキュリティ専門家と契約しています。現在までの調査結果は、当社の認証ツール、ネットワークツール、監視ツール、およびパートナー企業から提供されたシステムログやログ解析の結果に基づいています。 このインシデントを受け、弊社は以下の対応を行いました。 2023年1月4日16:35（UTC）に、アカウントが漏洩した従業員のすべてのアクセスをシャットダウンしました。 2023年1月4日18:30（UTC）に、ほぼすべての従業員の本番アクセスをシャットダウンし、運用上の問題のために極めて少数のグループにアクセスを限定しました。この調査中、他の従業員やそのデバイスの認証情報が漏洩したという証拠は一切ありませんでしたが、潜在的な影響範囲を限定するためにこの措置をとりました。 2023年1月4日22:30（UTC）に、私たちは、潜在的に露出したすべての生産ホストを回転させ、生産マシンを清潔にしました。 2023年1月5日03:26（UTC）に、すべてのProject API Tokenを失効させました。 2023年1月6日05:00 UTCに、2023年1月5日00:00 UTC以前に作成されたすべての個人APIトークンを失効させました。 2023年1月6日06:40 UTCに、私たちはアトラシアンのパートナーとともに、私たちの顧客に代わってすべてのBitbucketトークンをローテーションする作業を開始しました。この作業は2023年1月6日10:15 UTCに完了しました。 2023年1月7日07:30 UTCに、2022年12月31日04:00 UTCに開始したGitHub OAuthトークンのローテーションを完了させました。 2023年1月7日18:30 UTCに、AWSのパートナーと協力して、影響を受ける可能性のあるAWSトークンをお客様に通知する作業を開始しました。それらの通知は、2023年1月12日00:00UTCの時点で完了したと理解しています。 この間、私たちは外部調査機関の支援を受けながらフォレンジック調査を継続し、私たちのプラットフォーム上で追加のセキュリティ層を展開し、お客様の機密保護をサポートするための追加ツール（詳細は下記）を構築・配布しています。 この攻撃ベクトルが閉じていて、安全にビルドできるとどうしてわかるのですか？ 私たちは、お客様がCircleCI上で安全にビルドできることを確信しています。 この攻撃を知ってから、攻撃ベクトルを閉じるため、またセキュリティのレイヤーを追加するために、以下を含む多くのステップを踏んでいます。 MDMおよびA/Vソリューションを通じて、この攻撃で使用されたマルウェアが示す特定の動作の検出とブロックを追加しました。 セキュリティ対策を強化するため、本番環境へのアクセスをごく限られた従業員に限定しました。私たちは、プラットフォームのセキュリティに自信を持っており、他の従業員のデバイスが侵害された兆候はありません。 本番環境へのアクセスを保持する従業員に対しては、さらにステップアップした認証手順と制御を追加しています。これにより、2FAに基づくSSOセッションが盗まれた場合でも、不正な本番アクセスを防ぐことができます。 このシナリオで特定した特定の行動パターンに対して、複数のトリガーとさまざまなサードパーティベンダーを介した監視と警告を実施しました。 私たちは、セキュリティ対策に終わりはないことを知っています。この特定のベクトルを閉じるだけでなく、潜在的な攻撃に対するより強力な防御を確保するために、強化された継続的なレビューを行っています。 お客様とのコミュニケーションとサポート 2023年1月4日22:30（UTC）にすべての本番ホストのローテーションを完了した時点で、攻撃のベクトルと、破損したホストの残存の可能性の両方を排除できたと確信しています。 2023年1月4日午後6時30分（太平洋標準時）/2023年1月5日午後2時30分（世界標準時）に、公開メールを送信し、ブログにセキュリティ通知を掲載し、ソーシャルメディアアカウントとDiscussフォーラムを通じてお客様に通知し、推奨するセキュリティ手順の実行方法についてサポート記事を作成しました。 私たちは、すべてのお客様にOAuthトークン、Project APIトークン、SSHキーなどを含む秘密のローテーションを行うことを推奨しました（詳しくは、ブログ記事またはDiscuss記事をご覧ください）。 この公開をきっかけに、お客様との積極的かつ継続的なコミュニケーションが始まりました。私たちは、この事件に対するお客様の協力的な反応と、お客様に追加のツールを提供する機会を特定するための私たちの協力の両方に感謝したいと思います。私たちは、このフィードバックを受け、新しいツールを作成、リリースし、既存のツールを修正し、以下のようにお客様を迅速に対応できるようにしました。 シークレットローテーションのための実用的なリストを作成するためのシークレットファインディングのスクリプト。 CircleCI APIへの2つの重要な変更。 GitHub UIとよりマッチするように、チェックアウトキーのSHA-256署名を返す新しい機能性。 更新された_atフィールドは、顧客がこれらの変数の成功した回転を確認できるように、Contexts APIに追加されました。 監査ログは、顧客がCircleCIプラットフォームの活動を確認するのに役立つように、無料と有料の両方のプランですべての顧客がアクセスできるようになった。 私たちは、インシデントを私たちのチャネル全体でもっと見えるようにする機会を含め、私たちのコミュニケーションを改善することができる場所についてのお客様からのすべてのフィードバックに感謝します。 自分が影響を受けたかどうかを知るにはどうすればよいですか？ 私のデータは危険にさらされているのでしょうか？ このインシデントでは、不正行為者が2022年12月22日にお客様の情報を流出させ、その中にはサードパーティシステム用の環境変数、キー、トークンが含まれていました。この期間に当社のプラットフォーム上に秘密を保存していた場合、アクセスされたと仮定し、推奨される緩和策を講じてください。2022年12月16日に始まり、2023年1月4日の私たちの開示後に秘密のローテーションを完了した日に終わる、あなたのシステムでの疑わしい活動を調査することをお勧めします。2023年1月5日以降にシステムに入力されたものは、安全だと考えてよいでしょう。 不正アクセス者がそのデータを使って、私のシステムにアクセスしたのでしょうか？ この事件はサードパーティシステムのキーとトークンの流出を伴うため、あなたの秘密がサードパーティシステムへの不正アクセスに使われたかどうかを私たちが知る術はありません。お客様の調査を支援するために、以下にいくつかの詳細を記載します。 なお、本報告書発行時点で、本事故に起因する第三者システムへの不正アクセスについて、弊社に報告されたお客様は5名未満です。 内部調査の参考となる情報 このたび、第三者機関のフォレンジック調査員の協力のもと、お客様の監査や調査に役立つ情報を確認いたしました。 影響があった日付 2022年12月19日に第三者による不正アクセスが確認され、2022年12月22日にデータの流出が発生しました。 2022年12月19日以前に、お客様に影響を与える行為があったという証拠はありません。慎重を期して、2022年12月16日の破損日から2023年1月4日以降の機密ローテーションを行った日までの期間に、システムで異常な活動がなかったか調査することをお勧めします。 脅威者が使用していることが確認されたIPアドレス 178.249.214.10 89.36.78.75 89.36.78.109 89.36.78.135 178.249.214.25 72.18.132.58 188.68.229.52 111.90.149.55 脅威者が利用していることが確認されたデータセンターとVPNプロバイダー。 Datacamp Limited Globalaxs Quebec Noc ハンディネットワークスLLC Mullvad VPN 検索および削除する悪質なファイル /private/tmp/.svx856.log（プライベート/tmp/.svx856.ログ /private/tmp/.ptslog PTX-Player.dmg (SHA256: 8913e38592228adc067d82f66c150d87004ec946e579d4a00c53b61444ff35bf) PTX.app 以下のドメインをブロックします。 potrax[.]com GitHubの監査ログファイルを見て、以下のような予期せぬコマンドがないか確認します。 repo.download_zip このインシデントから学んだこと、および次に行うこと 私たちは学びました。私たちは、攻撃を阻止し、検出するためのツールを備えていますが、セキュリティ態勢を強化する機会は常に存在します。 今回、認証、セキュリティ、追跡の各ツールを導入したことで、問題を総合的に診断し、修正することができました。悪意ある行為者の洗練度が増すにつれ、私たちはセキュリティ基準を継続的に進化させ、将来の脅威の一歩先を行くためのベストプラクティスを推進しています。また、セキュリティツールの使用についても、ますます積極的に取り組んでいきます。今後は、より保守的な姿勢を維持し、悪意ある者が当社のシステムに不正にアクセスするのを防ぐため、既存のツールの構成を最適化し、防御の層をさらに増やしていく予定です。 その計画とは まず、すべてのお客様に対して、OAuthトークンの定期的な自動ローテーションを開始します。また、OAuthからGitHubアプリに移行し、トークンにより詳細なパーミッションの付与を可能にする予定です。さらに、第三者によるレビューを含め、すべてのツール構成の包括的な分析を完了する予定です。さらに、アラート機能の拡張、セッションの信頼度の低減、認証要素の追加、より定期的なアクセスローテーションの実施などの対策を続けています。最後に、システムパーミッションをより刹那的なものにし、同様のインシデントで得たトークンの目標値を厳しく制限する予定です。 私たちは学びました。私たちの最も高度なセキュリティ機能を、お客様がより簡単に採用できるようにすることができます。 CircleCIの進化を通じて、私たちはお客様のビルドパイプラインのセキュリティを向上させるための機能を導入し続けてきました。高度なセキュリティ機能をお客様に提供する一方で、これらの機能の採用を促進するためにもっとできることがあります。 私たちの計画 OIDCやIPレンジなど、最新かつ高度なセキュリティ機能を、お客様がシームレスに導入しやすくする必要があります。また、トークンの自動期限切れや未使用のシークレットに対する通知など、私たちが検討している追加のプロアクティブなステップも存在します。私たちは、お客様が安全性の高いパイプラインを作成・維持することをよりシンプルかつ便利にし、クラウドのあらゆる利点を活用しながら、リスクをスマートに管理できるようにしていきます。 従業員の責任とシステムの安全対策に関する注意点 私たちは明確にしておきたいと思います。一人の従業員のノートパソコンが今回の巧妙な攻撃によって悪用されたとはいえ、セキュリティ事故はシステム障害です。組織としての私たちの責任は、すべての攻撃ベクトルから保護する安全装置の層を構築することです。 セキュリティのベストプラクティス 高度に洗練され、動機づけられた悪意ある行為者の存在がますます大きくなっていることを踏まえ、私たちは、将来避けられない攻撃に対する集団的防御を強化するために、お客様とベストプラクティスを共有することに全力を尽くしています。以下は、パイプラインのセキュリティを向上させるために、お客様が取るべき推奨事項です。 可能な限りOIDCトークンを使用し、CircleCIに長期間の認証情報を保存しないようにする。 IPレンジを利用して、システムへのインバウンド接続を既知のIPアドレスのみに制限する。 Contextsを使用して、共有の秘密を統合し、特定のプロジェクトへのアクセスを制限し、APIを介して自動的にローテーションすることができます。 特権アクセスや追加のコントロールには、IP制限やIAM管理など、CircleCIプラットフォームを自社の計算機や環境に接続できるランナーを使用することもできます。 閉会の言葉 重要なシステムで発生したセキュリティインシデントに対応するのに都合の良い時間はないことは承知しており、今回のインシデントを受けてすぐに行動を起こしたすべてのお客様に心から感謝申し上げます。このような集団行動によって、私たちは将来の脅威と戦うためのより強い立場に立つことができるのです。また、多くのお客様がDiscussフォーラムで知識を共有し、互いに助け合いながら、我々の顧客コミュニティの強さと寛大さを直接目撃しました。今回の事態を解決するために、皆様のご支援とご容赦に感謝いたします。 </details> - [Malicious JARs and Polyglot files: “Who do you think you JAR?”](https://www.deepinstinct.com/blog/malicious-jars-and-polyglot-files-who-do-you-think-you-jar) <details><summary>本文和訳</summary> 2022年を通じて、Deep Instinctは、悪意のあるJARを持つポリグロットファイルのさまざまな組み合わせを観測しました。 最初の手法は、署名付きMSIファイルを使用してMicrosoftのコード署名検証を回避するもので、2018年頃にさかのぼります。1年後の2019年、Virus TotalはMSI+JARのポリグロットテクニックについて書きました。このとき、Microsoftはこの問題を修正しないことを決定しました。そして2020年、このテクニックは再び悪意のあるキャンペーンで悪用され、Microsoftはこの問題に対処するためにCVE-2020-1464を割り当てました。 修正されたにもかかわらず、Deep Instinctは2022年に、この手法がまだ使用されており、必ずしもCVEを悪用しない新しいタイプのポリグロットも含まれていることを観察しました。むしろ、攻撃者は現在、JARファイル形式を適切に検証しないセキュリティソリューションを混乱させるためにポリグロット手法を使用しているのです。 ポリグロットとは？ ポリグロットファイルとは、2つ以上のファイル形式を、それぞれの形式がエラーにならずに解釈できるように組み合わせることで作成されるファイルです。 これは少し厄介で、ファイル形式の任意の組み合わせからポリグロットを作ることはできませんが、かなり多くの選択肢から選ぶことができます。 なぜJARなのか？ JARファイルは基本的にZIPアーカイブです。ZIPファイルの特別な点は、アーカイブの最後にあるend-of-centralディレクトリレコードの存在によって識別されることです。これは、私たちがファイルの先頭に追加したどんな「ジャンク」も無視され、アーカイブはまだ有効であることを意味します。 他のファイル形式では、ファイルの先頭に特別なマジックヘッダがあり、JARとは異なり、最初から読み込む必要があります。これらのフォーマットの1つがMSIです。 この2つが組み合わされると、有効なMSIと有効なJARの両方のファイルを受け取ることができます。 2022年のキャンペーン 2022年を通じて、Deep Instinctは、StrRATとRattyのサンプルがポリグロットとして、または先頭にジャンクを付加したJARファイルとして配布されていることを確認しました。 どちらのRATも既知の脅威です。StrRATについては、コンフィグ抽出ツールが存在します。Rattyについては、私たちは独自に設定抽出器を書き、GitHubでコミュニティと共有しました: https://github.com/deepinstinct/RattyConfigExtractor これらのファイルが単一の脅威者のものか、複数の脅威者のものかを判断することはできませんでしたが、多くのサンプルでブルガリアのホスティング「BelCloud LTD」の使用が確認されています。 さらに、同じC2サーバを共有するRattyとStrRATのサンプルもいくつか見受けられました。 簡単のために、ファイルに付加されているものによって分類します。 #1番MSI。 Sample 5e288df18d5f3797079c4962a447509fd4a60e9b76041d0b888bcf32f8197991 Linuxのfileコマンドでファイルを検査すると、MSIファイルであることがわかります。 図1: Linux fileにより、サンプルがMSIファイルであることが確認されました。 図1: Linux fileがサンプルをMSIファイルと認識した例 しかし、このファイルには有効なJARも含まれています。当社のRatty設定抽出ツールは、C2サーバーの情報を抽出することに成功しました。 このサンプルは、Sendgridを使用して送信されていることが確認されています。これは特別なことではありませんが、MSI+JARポリグロットのStrRATサンプルのいくつかは、同様にSendgridを経由して送信されています。 MSI+JARポリグロットを使用したStrRATサンプルの一部は、cutt.lyやrebrand.lyなどのURL短縮サービスを使用して拡散されていることが確認されています。また、サンプルがDiscordでホストされているケースもありました。 #2 CAB CABファイルは独自のマジックヘッダを持ち、最初から最後まで解釈されるため、JARファイルとのポリグロットには最適な候補です。 RattyとStrRATの両サンプルがCAB+JARのポリグロットを使用していることが確認されました。 特に、Rattyのサンプルf620c4f59db31c7f63e8fde3016a33b3bfb3934c17874dcfae52ca01e23f14deとStrRATのサンプル2f4c6eb0a307657fb46f4a8f6850842d75c1535a0eD807cd3d6b6678102e571が共にCAB+JARのポリグラフを使って、同じC2サーバ、donutzを使用していたことが判明しています。 ddns[.]net 図2：StrRATとRatty（CAB+JAR）が同じC2サーバーdonutz.ddns[.]netにリンクしている。 図2：StrRATとRatty（CAB+JAR）は同じC2サーバーdonutz.ddns[.]netにリンクされています。 #3番 HEX Trash / Fake PE: 脅威者が誤って作成したのか、意図的に作成したのかは不明ですが、これらのJARファイルにはHEX値が付加されています。 図3：HEX値が付加されたサンプル19154b831614211de667c2aedd6a4b5b89d4bfc1e129eb402a6300ad2e156dcf。 図3：HEX値が付加された19154b831614211de667c2aedd6a4b5b89d4bfc1e129eb402a6300ad2e156dcfの例。 追加されたテキストのHEX値は、実行可能ファイルのものです。しかし、Linuxの "file "コマンドは、ファイルタイプなどの "data "を返します。 このように、攻撃者は、Linuxの "file "コマンドを使用してファイルの種類をチェックするセキュリティ・ソリューションを混乱させ、回避することができるのです。 #4 バイナリジャンク 図4：バイナリデータが付加されたサンプル8d801f58d10ddbc52739fa35aa862286c3fe9606411f0e5f7b8b3fd71f678cad。 図4：バイナリデータが付加された8d801f58d10ddbc52739faa35a862286c3fe9606411f0e5f7b8b3fd71f678cadの例。 このバリエーションは、またしても真の意味でのポリグラフではなく、これがミスなのか、それとも意図的に行われたものなのかは不明である。追記された内容は、何らかのバイナリの一部であるように見えますが、追記されたデータは、追記されたファイルの先頭が欠落しているように見えます。 結果は同じで、ファイルタイプのチェックで「データ」として検出される有効なJARファイルです。 これは有効ですか？(YES!)です。 RattyやStrRATはよく知られた脅威ですが、これらの付加されたJARファイルの中には、VirusTotalで非常に低い検出率を受けるものがあります。 図5：CAB+JAR polyglotの低検出率 図5: CAB+JAR polyglotの低い検出率 VirusTotalの検出率は、ファイルが動的に実行された場合の挙動が異なる製品もあるため、特定のベンダーの真の実力を示すものではありません。 とはいえ、コンテンツが追加されたJARファイルは、既知の脅威であっても、少なくとも実行されるまでは検出されないことがあることがよくわかります。 これ以上悪いことはないでしょう？そうです、私の友人は、それが可能です... 検出工学の観点からこのことを考えてみましょう。Linuxの "file "コマンドのような単純なファイルタイプチェックに頼っていたためにJARファイルを識別できなかった場合、簡単な解決策は、JAR拡張子を持つすべてのファイルを「スキャン」することだけです。その気になれば、ファイルの末尾にあるセントラルディレクトリレコードの末尾の存在を確認することで、そのファイルが有効なJARであることの検証を投げることも可能です。 しかし、これではまだ十分ではありません。JAVAはファイル拡張子を気にせず、どんな拡張子を持つ有効なJARファイルでも喜んで実行します。拡張子".jar "をリネームすることの唯一の欠点は、JARを単にクリックして実行するのではなく、コマンドラインから実行する必要があることです。 このことを実証するために、HTML+JARのポリグルを作成しました。 図6：html拡張子を持つHTML+JARポリグラフが、ブラウザで適切に表示され、JREで適切に実行されている様子 図6：HTML+JARポリグロット（html拡張機能付き）、ブラウザで正しく表示され、JREで正しく実行された様子 このファイルは、Rattyマルウェア設定抽出ツールとともに、弊社のGitHubで公開されています。 まとめ JARファイルに対する適切な検出は、静的および動的の両方であるべきです。すべてのファイルをスキャンして、ファイル末尾のend of central directoryレコードの存在を確認するのは非効率的です。 防御者は、「java」プロセスと「javaw」プロセスの両方を監視する必要があります。このようなプロセスが引数として「-jar」を持つ場合、引数として渡されたファイル名は、ファイル拡張子やLinuxの「file」コマンドの出力に関係なく、JARファイルとして扱われる必要があります。インシデント対応者やサイバーコミュニティは、感染時に Deep Instinct が提供する Ratty マルウェア設定パーサーを使用して、IOC を迅速に把握し、迅速に修復手順に移行することをお勧めします。 MITRE ATT&CK: 戦術 テクニック 説明 観測可能 初期アクセス T1566.002 フィッシング：スピアフィッシングリンク 攻撃者は、ペイロードにつながる URL 短縮サービスを使用します。 リブランド[.]ly/afjlfvp 防衛回避 T1036.001 マスカレード。無効なコード署名 攻撃者は、署名された MSI ファイルを追加します。 85d8949119dad6215ae0a21261b037af 防衛回避 T1027.001 難読化されたファイルまたは情報。バイナリパディング 攻撃者は、ファイルの先頭にジャンクデータを追加し、"file" コマンドが異なるファイルタイプを返すようにします。 cb17f27671c01cd27a6828faaac08239 コマンドと制御 T1102 ウェブサービス 攻撃者は、Discordのコンテンツデリバリーネットワーク（CDN）を使用して、マルウェアを配信していました。 https://cdn[.]discordapp[.]com/attachments/938795529683480586/941658014962823208/Package_info[.]jar IOC d51d269b62e55d4af8a4bd72dcf3c5115ad27fe5466640041c658c0325194451 534a4b0e17723755dd8cbdcdec309004ef59c3dfacb87fac86da4548780d2f1b 08921a6b0b2903b9c991acb869930c7cab3cbaf11e002be9c88400af48c3fa21 59a02230a78b87c97eebbf7cdba40ea17c7d9411d706fd255c2a6a025584fd9f a9ac4ae704da346a0f3d2960b084d8f314c0fd60a934116e3c75647c713314b6 47fc7fc1658acfa2f7a0b388bea6b52787f186bf8297ce189a575d547dfbd8e0 a80add76ff8ad0e1c3bdab9459546fd724e1f4034248d1542aec1264c02d3857 f0e57c84ba1958cabf24cfec4a0d50be6b7bc0e45c639d08a53097494373ae9e e7812ff64dbe51584d3090e008b464510dbb87ac860c68d89e224621755021f9 41ef2dfa736e9a24a1a29a373357ac249dad99f86f1cc0283ddd4765fa14e54a 8d801f58d10dbcd52739fa35aa862286c3fe9606411f0e5f7b8b3fd71f678cad f79ba296aeab13be409ee3ef435f47a8888f7186a062fa481603ec32f3d6b678 262e6824f0c4c765e73a7041362d7a3a8d63dab1be91ecf5e80623ac6e2f389e b6a0dcd8c9bc11794837e8f9350e2816ae7a60d148f3e6f436c2645f450feeab f620c4f59db31c7f63e8fde3016a33b3bfb3934c17874dcfae52ca01e23f14de 54814775c2f266cafe3d4ddc58bc400360aad8cea95e0d3ee74ceceb927cb3b8 2f4c6eb0a307657fb46f4a8f6850842d75c1535a0ed807cd3da6b6678102e571 74c8d5e01e2bb52c6f5cd7863168085ff81bea970b5309ec180c2e1a299096df f2b36a7df3d0b4d63bbbc529b7a27282e5626300e1353d2596866e4a82165f64 4f00914f63181c0afbfff41a95f5f1364c61d78ffb250ec8ef3102b3d3bd7003 a989289cd6df1b1c38dbda84eb3b286bb8fb7a2af9beb1e55b029dbf861bac83 521a2e7ee2558d83e29bceb68a8c4ea0ecce4bddcb05cc0d3b0365522f126d1f 19154b831614211de667c2aedd6a4b5b89d4bfc1e129eb402a6300ad2e156dcf e3be7066e6922d7460dea80ca5b7fef8f4abc7b1f056d8f329c03b306e8ca9b0 788f1abb67d6f21cf299e2f67a2b414d169e8ab16cc8a61bf698e5c7f1482999 5e288df18d5f3797079c4962a447509fd4a60e9b76041d0b888bcf32f8197991 0c14d804efe1db9377bfe3d5e06ba37a4817cc4bd0f6404ed7d705219295e815 1056554bca75450d07fcc5df7c1ca4686a2fefbe76cc9fb60343364678ca8744 f2d7e93978c0991e376466810adf18262e4a7fb2864c7a87f22e3fa71adb6519 496251bb063e4ee3769139a34ccfbdd81ba52b004836da7aaabd5e5e67f87478 d00d85589908ba95536822dea356afb5a9148628a7e2207c6e850024c0ba434d 928551a303110983871266af840df71bf7427dcff242688c105f04d4aa87806b e2d67077cbcab70d47a95b8da25a2a35fe1f1099ed71d8b06f8e78dd741fc2b7 d0703f8f70aff6e3975f3b7c8d037b5a0d3d1b8e4a91b2a6c65227c7932dded5 9e0468a7249fd6bc2b911434b0c7afa2a9d92473e2402a1a3ad357119c579d63 fe72f76f147bce32338a4b0b88c3d59dd3e85406ab1b3b273aab7cb7227fae52 964eceee84de3d0b8b3565100c1e45dab1b4b5ff7c61f03a198a56714c03ca32 d8c04d3a6e6e5058c10a56890a9dcf41ac5e47a22dc1002e89415ee0f37c7f05 </details> - [THREAT ANALYSIS: From IcedID to Domain Compromise](https://www.cybereason.com/blog/threat-analysis-from-icedid-to-domain-compromise) <details><summary>本文和訳</summary> 背景 この脅威分析レポートでは、Cybereasonチームが最近のキャンペーンで使用された戦術、技術、手順（TTP）を示す最近のIcedID感染について調査しています。IcedIDはBokBotとしても知られ、従来は被害者から金融情報を盗むために使用されるバンキングトロジャンとして知られています。少なくとも2017年から存在し、脅威グループであるTA551と結びついています。 最近IcedIDは、他のマルウェアファミリーのドロッパーとして、また初期アクセスブローカー用のツールとしてより多く使用されています。 キーオブザベーション 動きが速い。攻撃者は、最初の感染から横方向への移動まで1時間未満で行っています。Active Directoryドメインは、24時間以内に侵入されました。 標準化された攻撃の流れ：攻撃者は、攻撃を通じて、偵察コマンド、クレデンシャルの盗難、Windowsプロトコルの悪用による横移動、新たに侵入したホスト上でのCobalt Strikeの実行というルーチンに従いました。この活動については、以下の「横方向への移動」のセクションで詳しく説明します。 他のグループから借用した技術。私たちが観測したいくつかのTTPは、Conti、Lockbit、FiveHands、およびその他のグループによる攻撃でも確認されています。これは、攻撃者がグループ間でアイデアを共有している傾向を示しているだけでなく、あるグループの技術や戦術を検知する能力が、他のグループの検知に応用できることを示しています。 初期感染経路の変更。これまでのキャンペーンでは、攻撃者は文書内の悪意のあるマクロを使ったフィッシングによってIcedIDを配信していました。マイクロソフトが最近実施した変更により、攻撃者はISOファイルやLNKファイルを使用してマクロを置き換えています。この記事で示された動作は、その傾向を裏付けるものです。 迅速な浸出 お客様の環境では、最初の感染から2日後に浸出が始まりました。 解析 タイムライン Cybereasonチームが調査したケースでは、攻撃者はこのタイムラインに表示されているように様々なアクションを実行しました。 タイムライン 初期アクセス、実行、初期持続 このセクションでは、患者ゼロのマシンで採用された感染方法について説明します。このマシンは、攻撃者が残りの侵害のためのピボットとして使用されました。 以下の図では、このケースで観察された展開メカニズムを説明しています。 被害者がアーカイブを開く。 被害者は、ISOファイルをクリックし、仮想ディスクを作成します。 被害者は、仮想ディスクに移動し、表示されている唯一のファイル（実際にはLNKファイル）をクリックします。 LNKファイルは、DLLを一時フォルダにドロップし、rundll32.exeで実行するバッチファイルを実行する。 Rundll32.exeはDLLをロードし、IcedID関連ドメインへのネットワーク接続を作成し、IcedIDのペイロードをダウンロードする。 IcedIDのペイロードがプロセスにロードされる。 IcedID 感染の流れ 類似のIcedID感染は、通常、被害者がISOファイルを含むパスワードで保護されたZIPファイルを開くことから始まります。 ISO ファイルを含む zip アーカイブを開く ダブルクリックすると、ISOファイルは自動的に読み取り専用のディレクトリとしてマウントされます。このディレクトリには、隠しフォルダとLNK（ショートカット）ファイルが含まれています。 仮想ドライブとしてマウントされたISOファイルの内容 隠しフォルダには、難読化されたバッチファイルとDLLペイロードの両方が含まれています。 フォルダ "hey "の中身はDLLファイル-1 フォルダ "hey "の中身は、DLLファイルです。 ショートカットファイルをクリックすると、システムコンポーネントcmd.exeを介して、隠しディレクトリにあるバッチファイルが実行されます。 これをクリックすると twelfth.bat が実行されることを示す LNK ファイル-1 これをクリックするとtwelfth.batが実行されることを示すLNKファイル このバッチファイルは、xcopy.exeを呼び出してDLLを%TEMP%ディレクトリにコピー＆ドロップし、rundll32.exeとコマンドライン引数「#1」（DLLの序数1を示す）を使って実行されるようになっています。 難読化されたBATファイルのスニペット-1難読化されたBATファイルのスニペット 部分的に難読化されたBATファイル。DLLのコピーとrundll32.exeの実行を示す部分的に難読化されたBATファイル。DLLのコピーとrundll32.exeの実行を示す部分的に難読化されたBATファイル。 今回報告する攻撃の最初の実行は、典型的なIcedID感染の既知の例と同様に、"D:³³"というディレクトリで見つかった "dealing.bat "という名前のバッチファイルを通じて開始されました。 BATファイル「dealing.bat」の実行BATファイル「dealing.bat」の実行。 このバッチファイルは、ユーザーの %TEMP% ディレクトリにある DLL homesteading.dll を実行するために rundll32.exe プロセスを起動させました。DNSリクエストとcrhonofire[.]infoというアドレスへのHTTP接続が成功したことが確認されました。 homesteading.dllというDLLファイルを実行するRundll32.exeプロセス-1homesteading.dllというDLLファイルを実行するRundll32.exeプロセス 次に、攻撃者はnet.exeでホスト発見を行い、ドメイン、ワークステーション、およびDomain Adminsグループのメンバーに関する情報を照会した。 OSとActive Directoryの検出活動を示すCybereasonのプロセスツリーのスクリーンショット-1 OSとActive Directoryの検出活動を示すCybereasonのプロセスツリーのスクリーンショット ICEDID 最初の攻撃開始の数分後、homesteading.dllは、xaeywn1.dllという名前のファイルをダウンロードしました。その後、Rundll32.exeはこのファイルをメモリにロードしました。license.dat」を参照するコマンドライン引数は、これがIcedIDマルウェアの構成要素であることを示しています。license.dat」ファイルは、IcedIDペイロードを復号化するための鍵として機能します。 Rundll32.exe が xaeywn1.dll を読み込み、引数として "license.dat" を参照している様子Rundll32.exe が xaeywn1.dll を読み込み、引数として "license.dat" を参照している様子 また、同時にMS-TSCH SchRpcRegisterTaskへのMSRPCリクエストがあり、rundll32.exeプロセスによってスケジュールタスクが作成されたことが確認されましたが、これは毎時間、毎ログオン時にxaeywn1.dllを実行するもので、マシン上でのパーシステンスを確立していることがわかります。 スケジュールされたタスクの作成を示すMSRPCコール-1スケジュールされたタスクの作成を示すMSRPCコール 次に、rundll32.exeがフローティング・モジュール「init_dll_64.dll」をロードしている様子が確認できます。これは、復号化され、解凍されたIcedIDメインボットです。HTTP/S接続は、IcedIDマルウェアに関連するすべてのドメインであるblackleaded[.]tattoo、curioasshop[.]pics、cerupedi[.]comに行われました。 モジュールinit_dll_64.dllがメモリにロードされている様子-1 メモリに読み込まれたモジュールinit_dll_64.dll その後、復号化されたIcedIDペイロードであるxaeywn1.dllを参照するコマンドラインを持つ、dllhost.exeという名前の子プロセスが作成されていることが確認されました。Dllhost.exeは外部ネットワーク接続を行い、cmd.exeの対話型セッションを開始しました。 IcedIDを解凍し、dllhost.exe-1を生成したrundll32.exeを示すCybereasonのプロセスツリー。 この対話型セッションの間、curl.exeはHTTP経由でリモートIPアドレスからpower.batとPowerDEF.batというファイルをダウンロードするために使用されました。 power.bat と powerDEF.dat をダウンロードするために curl プロセスが使用された-1 power.bat と powerDEF.dat をダウンロードするために curl プロセスが使用された-1 ダウンロードされると、攻撃者は次に「powerDEF.bat」を実行し、追加のファイルをダウンロードするBase64エンコードされたpowershellを実行する。このプロセスにより、2.txtと2.exeがダウンロードされました。最後に、tasklist.exeは、ホスト上で実行されているすべてのプロセスをリストアップするために使用されました。 復号化されたPowerShellコマンド-1復号化されたPowerShellコマンド インタラクティブなCMDセッションを示すCybereasonのプロセスツリー-1 インタラクティブなCMDセッションを示すCybereasonのプロセスツリー コバルトストライク IcedIDで最初の足場を築いた後、regsvr32.exeはファイル「cuaf.dll」を読み込みました。オープンソースとインテリジェンス (OSINT) の調査により、これが Cobalt Strike ビーコンであることを突き止めることが出来ました。このファイルのハッシュは、攻撃者がネットワーク上を横方向に移動した際に、他のマシンでも確認されました。 このプロセスは、Cobalt Strikeのコマンド＆コントロールサーバーとして知られるdimabup[.]comドメインから解決されるIPへの接続も行っています。 regsvr32.exeがCobalt Strikeモジュールをロードし、ネットワーク上で発見アクションを実行し、C2ドメインと通信している様子を示すプロセスツリー-1regsvr32.exeがCobalt Strikeモジュールをロードし、ネットワーク上で発見アクションを実行し、C2ドメインと通信している様子を示すプロセスツリー-2regsvr32.exeがCobalt Strikeモジュールをロードし、ネットワーク上で発見アクションを実行し、C2ドメインと通信している様子を示すプロセスツリー。 クレデンシャル盗難のセクションで詳しく説明しましたが、Cobalt Strikeビーコンは、Kerberosとの対話や不正利用のためにC#で書かれたツール、Rubeusをロードし、さらにnet.exe、ping.exe、nltest.exeによる偵察活動も実施しました。 この偵察活動に関する追加情報は、「発見」のセクションでご覧いただけます。 RubeusをロードするCobalt StrikeプロセスRubeusをロードするCobalt Strikeプロセス 横移動 攻撃者は、横方向の移動に関しては、標準的なプロセスと思われるものを踏襲しました。Cybereason GSOCが観測した別のマシンへの最初のピボットは、最初の感染からおよそ1時間未満でした。攻撃者は、ping.exeを使用してホストがオンラインかどうかを判断し、"process call create "引数でwmic.exeを使用して、リモートワークステーション上でリモートファイル "db.dll "を実行しました。 横移動に使用されるWmic.exe横移動に使用されるWmic.exe リモートホスト上で確立されると、攻撃者は同じCobalt Strikeビーコンを実行し、今度はgv.dllと名付けました。 攻撃者はこのプロセスをネットワーク全体で継続し、ping.exeを使用してホストがオンラインであるかどうかを確認し、WMIを介して横方向に移動し、より良い足場を確保するためにCobalt Strikeペイロードを実行しました。 横方向への移動後に使用されるCobalt Strikeペイロード横方向への移動後に使用されるCobalt Strikeペイロード カーバオースティングによってサービスアカウントの認証情報を侵害した攻撃者は、内部のWindowsサーバーに横移動することができました。このアカウントはドメイン管理者権限を持ち、攻撃者はCobalt Strikeビーコンを配備していました。 パーシステンス Contiのテクニックを借りて、攻撃者はAteraAgent RMMツールを複数のマシンにインストールしました。Ateraは、リモート管理に使用される正規のツールです。このようなITツールを利用することで、攻撃者は、最初の永続化メカニズムが発見され、修復された場合に、自分自身のために追加の「バックドア」を作成することができます。 これらのツールは、アンチウイルスやEDRで検出される可能性は低く、また誤検出と判断される可能性も高くなります。 AteraAgentのインストールAteraAgentのインストール 実行されたコマンドラインは、インストールプロセス中に、攻撃者がoutlook.itドメインのスペルを間違えていることを示しています。Ateraをバックドアエージェントとして使用する際、攻撃者がProtonとOutlookの両方から「バーナー」電子メールアドレスを使用することは、かなり一般的な手法です。 Ateraエージェントの実行を示すプロセスツリーAteraエージェントの実行を示すプロセスツリー クレデンシャル盗難 ケルベロスティング（KERBEROASTING 最初の認証情報窃盗は、最初の感染からわずか15分後に発生しました。攻撃者はKerberoasting (MITRE ATT&CK ID: T1558.003) を使用して、ドメイン上のサービスアカウントのハッシュを引き出します。この場合、C#のKerberosユーティリティと対話ツールであるRubeusが使用されました。 この攻撃では、ネットワークからハッシュを流出させることができ、サービスアカウントのパスワード（複数可）の強度に応じて、Hashcat や John the Ripper などのツールを使用してハッシュをクラックすることが可能です。 Kerberoasting攻撃を行うプロセスrundll32.exeが検出されるKerberoasting攻撃を行うプロセスrundll32.exeが検出される。 DCSYNC 環境内のファイルサーバに横移動し、サービスを経由してSYSTEMに権限を昇格させた後、DCSync攻撃を成功させ、攻撃者はドメインを侵害することができました。DCSync 攻撃 (MITRE ATT&CK ID: T1003.006) は、攻撃者がドメインコントローラーになりすまし、他のドメインコントローラーからパスワードハッシュを要求することを可能にします。 これは、AD ObjectsのためのDC、すなわちDRSGetNCChangesにRPCコールを行うことによって行われます。Active Directoryとの特定のレプリケーション権限を持つアカウントのみがDCSyncの標的となり使用されますが、それ以外は壊滅的な信用情報窃盗攻撃です。DCSync攻撃は、最初に感染したホストの1つでも検出されました。 DRSGetNCChanges MSRPCコールによって特定されるActive Directoryの不正使用を示す検出DRSGetNCChanges MSRPCコールによって特定されるActive Directoryの不正使用を示す検出 ブラウザフッキング IcedIDは、FirefoxやChromeなどのブラウザにフックして、認証情報、Cookie、保存情報を盗み出そうとすることが知られています。メインボットのロード後、chrome.exeでフックする挙動を確認しました。 Chrome.exeにフックしているプロセスChrome.exeにフックしているプロセス ディスカバリー ディスカバリーコマンド 攻撃者は、攻撃中に、いくつかのdiscoveryコマンドを使用しました。これらのコマンドの多くは、IcedIDボットの「SysInfo」モジュールの一部として実行されます。 Net.exeは、OSとActive Directoryの情報を発見するために利用されました。 net view /all /domain net config workstation net group "ドメイン管理者" /domain net group "Domain Computers" /domain net view \{HOST IP ADDRESS} /all /all 前述したように、ping.exeは横移動のためにリモートマシンがオンラインであるかどうかを確認するために使用された。 攻撃者は、nltest.exeを使用して、Active Directoryの情報を抽出しました。 nltest /domain_trusts ホストが通信できる信頼されたドメインを見つけるために使用される nltest /domain_trusts /all_trusts nltest /dclist ネットワーク上の全ドメインコントローラーのリストを返す PowerShellコマンドのInvoke-Share Finderも、ネットワーク上の非標準的な共有を見つけるために使用されました。 ホストに関するより多くの情報を取得するために、追加のシステムコマンドが使用されました。 システムインフォ 時間 Ipconfig 最後に、攻撃者は、不足しているアップデートやパッチをチェックするために、「wuauclt.exe /detectnow」コマンドを実行しました。 ネットワークスキャン この攻撃者は、Conti社から別の手法を借用し、SoftPerfect社が作成した正規のITツールであるnetscan.exeを使用して、Beachheadマシンが存在するネットワークの大部分をスキャンしていた。スキャンの結果は、ローカルファイル "results.xml "に書き込まれた。 Netscan.exeは、横移動のための追加ホストの検索に使用されたNetscan.exeは、横移動のための追加ホストの検索に使用されたNetscan.exe データ流出 攻撃者は、一般的なファイル同期ソフトウェア「rclone」の名前を変更したコピーを使用して、複数のディレクトリを暗号化し、ファイル共有サービス「Mega」に同期させました。 リネームされたrclone.exeの実行 リネームされたrclone.exeの実行 rcloneの使用は、Lockbitを含む多くの脅威行為者の選択した流出ベクトルとなっています。 cybereasonの推奨事項 お客様の環境でIcedIDの活動が確認された場合、攻撃を阻止するために以下のことを推奨します。 Cybereason NGAVのSignaturesモードとArtificial Intelligenceモードの両方を有効化し、これらの機能のDetectモードとPreventモードを有効化します。 センサーポリシーで、Behavioral Execution Prevention (BEP) に移動し、BEP と Variant Payload Prevention の両方を Prevent に設定します。 Cybereasonによるスレットハンティング。Cybereason MDRチームは、特定の脅威を検出するためのカスタムハンティングクエリーを顧客に提供しています。Cybereason Defense Platformを使用した脅威ハンティングとマネージド検知および応答に関する詳細については、こちらからCybereason Defenderにお問い合わせください。 Cybereasonは、製品とは関係のない推奨事項も提供しています。 フィッシングメール対策：可能であれば、メールゲートウェイでパスワードで保護されたzipファイルをブロックまたは隔離してください。 類似の脅威に対するユーザーの警告：通常とは異なるインターネットからのファイル（例：ISOファイルやLNKファイル）を扱う場合は、注意が必要です。 ディスクイメージファイルの自動マウントの無効化：この感染手法を回避するために、GPOを通じて、ディスクイメージファイル（主に.iso, .img, .vhd, .vhdx）の自動マウントをグローバルに無効化することを検討してください。 これは、Windowsエクスプローラーのファイルの関連付けに関連するレジストリ値を変更して、これらのファイル拡張子に対するエクスプローラーの自動「マウントと書き込み」ダイアログを無効にすることで実現可能です。 ただし、マウント機能そのものを無効にするのではありません。 侵害されたユーザーをブロックする。ネットワーク上での攻撃者の伝播を止めるか、少なくとも遅らせるために、そのマシンが攻撃に関与しているユーザーをブロックします。 悪意のあるネットワーク接続を特定し、ブロックする。レポートで特定された悪意のあるIPまたはドメインに向かうネットワークフローを特定し、接続をブロックして、攻撃者が侵害されたマシンを制御するのを阻止します。 Active Directoryのアクセス権をリセットする。ドメインコントローラ（DC）が攻撃者によってアクセスされ、すべてのアカウントが盗まれた可能性がある場合、ネットワークを再構築する際に、すべてのADアクセスをリセットすることが推奨されます。重要：krbtgtアカウントは、2回、適時にリセットする必要があります。 インシデント・レスポンスに参加する。攻撃者の行動を徹底的に調査し、見落としがないようにし、パッチが必要なものにはすべてパッチを当てることが重要である。 感染したマシンをクリーンアップする。感染したマシンを隔離し、再イメージ化することで、2次感染や攻撃者がネットワークにアクセスするリスクを抑制します。 </details> - [SSLVPNdにおけるヒープベースのバッファオーバーフローの解析](https://www.fortinet.com/jp/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd) - [SSH key injection in Google Cloud Compute Engine [Google VRP]](https://blog.stazot.com/ssh-key-injection-google-cloud/) <details><summary>本文和訳</summary> この記事は、私とSreeramが2022年にGoogle Cloudで発見したバグに関する一連の記事の最初のものです。 Driveのような一般的なGoogleアプリで継続的にバグを探し回った後、Google Cloudに挑戦しようと思いました。これは、私たちがこのプラットフォームで発見した最初のバグで、犠牲となったユーザーのCompute EngineインスタンスにシングルクリックでRCEが発生するというインパクトのあるものでした。 Google Cloudへの最初のステップであったため、最も人気のある製品の1つであるCompute Engineに当然行き当たりました。その機能や仕組みを探っているうちに、"SSH-in-browser "に気がつきました。これはGCPの機能の一つで、ユーザーはSSHを通して、ブラウザから自分のコンピュート・インスタンスにアクセスすることができるのです。視覚的にはCloud Shellによく似たインターフェースです。 SSHインブラウザのコンソール SSH-in-browserの様々な機能やオプションを見ていた時のことです。その中で目を引いたのが、"Change Linux Username" という機能です。 ユーザ名入力をユーザから取得 このダイアログでは、ユーザーからユーザー名を入力し、それをGETパラメータnewLinuxUsernameでサーバーに渡します。指定されたユーザー名が存在しない場合でも、指定されたユーザー名で新しいユーザーを作成し、そのユーザーとしてログインします。 https://ssh.cloud.google.com/v2/ssh/projects/{PROJECT-NAME}/zones/{INSTANCE-ZONE}/instances/{INSTANCE-NAME}?newLinuxUsername={USERNAME} となります。 ランダムトークンやCSRF保護がないため、誰でもリンクを細工してCompute Engineのユーザーに送り、そのインスタンスに新しいユーザーを作成することができます。それほどインパクトはありませんが、注意すべき点です。しかし、興味深いのは、少なくとも表面的には、ユーザーの入力を受けて、それをuseraddやadduserコマンドに渡しているように見えるということです。つまり、コマンド・インジェクション？ 私は `whoami`, $(whoami) のようなペイロードを追加して、それが実行されるかどうか試してみました。しかし、何も起こりませんでした。2次コマンドの実行を確認するために、`curl https://stazot.com` をペイロードとして試してみました。ここでも、何も起こりませんでした。私はCompute Engineのインスタンスページに戻り、他のものを探し始めました。 SSH Keys」セクションに、ペイロードとして試したユーザ名がリストアップされていることに気づきました。このセクションには、インスタンスの全ユーザと、それぞれの追加/生成されたSSH鍵のリストが含まれています。whoami` などのペイロードはそのまま表示されましたが、curl のペイロードは変な形でリストアップされました。 インスタンスのSSHキー ユーザー名欄には`curl http'、SSH鍵欄にはstazot.com`:ssh-key-valueが記載されていました。瞬間、私の頭の中で鐘が鳴り始めました。 サーバーはコロン記号「:」を区切り文字として使っていたのです。の前はユーザー名、:の後はそのユーザーのSSHキーとみなされるのです。理論的には、これによって攻撃者はユーザー名とその公開SSH鍵を注入することができるはずです。これは、先に述べたように、サーバーがこの入力をGETリクエストで受け取り、CSRF保護機能がなかったために可能でした。 つまり、犠牲者に悪意のあるリンクを開かせると、攻撃者のユーザ名とSSH鍵が彼らのコンピュートインスタンスに追加されてしまうのです。このバグを確認するために、ペイロードとして攻撃者:{URL-ENCODED-SH-PUBLIC-KEY}を指定して以下のURLを構築してみました。 https://ssh.cloud.google.com/v2/ssh/projects/{PROJECT-NAME}/zones/{INSTANCE-ZONE}/instances/{INSTANCE-NAME}?newLinuxUsername=attacker:{URL-ENCODED-SSH-PUBLIC-KEY} とします。 被害者としてリンクを開き-、攻撃者としてコンピュートインスタンスにログインしようとしました。しかし、うまくいきませんでした。理由は、私が追加したSSHキーに、Googleがバックエンドで生成したSSHキーが付加されていたからです。これを解決するために、私はペイロードに改行文字を付加しました。 https://ssh.cloud.google.com/v2/ssh/projects/{PROJECT-NAME}/zones/{INSTANCE-ZONE}/instances/{INSTANCE-NAME}?newLinuxUsername=attacker:{URL-ENCODED-SSH-PUBLIC-KEY}%0d%0a この犠牲者がこのリンクを開いた後、私は攻撃者としてそのインスタンスにログインしようとしました。私は sudo 権限でターゲットマシーンにログインしていました。 🎉 以下は、この攻撃を実演したビデオです。 なぜこのバグが存在したのか？ この動作は、SSH-in-browser機能による認証を容易にするために存在しました。ブラウザはSSHクライアントのように動作するため、インスタンスにログインするためには認証されたSSHキーが必要です。 Compute Engineは、インスタンスの各ユーザー（SSH-in-browserを使用する）に対してSSHキーを作成し、それをインスタンスのメタデータに格納することでこれを処理します。ユーザーがSSH-in-browserを使ってログインすると、インスタンスはメタデータサーバーから全ての認可されたSSHキーをフェッチし、ユーザーにログインさせる。 これは非常に精巧なプロセスであり、ここで詳しく説明します。 ディスクロージャー このバグをGoogle VRPに報告したことで、5000ドルの懸賞金と1000ドルのボーナスを受け取りました。 この判断の根拠 今週のバグ! クールなバグ :D タイムライン 2022年7月14日 - 報告される 2022年7月15日 - 意図的な動作としてクローズされました。 2022年7月15日 - 詳細な説明を送信しました。 2022年7月16日 - 再現不能 2022年7月16日 - PoC ビデオを送信しました。 2022年7月23日 - 🎉 ナイスキャッチ! 2022年7月26日 - 6000ドルの懸賞金が支払われました。 </details>