リモートデスクトップサービス(Remote Desktop Services)は、他の PC を遠隔で操作できる機能を意味し、Windows OS では RDP(Remote Desktop Protocol)を利用してこのようなサービスをデフォルトで提供している。これにより、操作対象のシステムが Windows を使用しているならば別途の遠隔操作ツールをインストールする必要がなく、RDP を利用して遠隔地にある PC を操作できる。
遠隔操作のためには対象のシステムの資格証明情報を知っている必要があり、これを利用してログオンするプロセスが必要である。これにより、RDP が有効化されているシステムが外部に公開されている場合、攻撃者は総当たり攻撃(または辞書攻撃)を実行して資格証明情報を突き止めることができる。万が一、ユーザーが不適切なアカウント情報を使用しているならば、攻撃者は総当たり攻撃によってシステムの資格証明情報を取得することができる。
RDP サービスを対象とする攻撃は、過去から現在まで持続的に行われている。この攻撃によって取得した資格証明情報を利用して直接攻撃を実行する攻撃者もいるが、取得した多数の資格証明情報をダークウェブに販売する事例も存在する。このようにして販売される脆弱な RDP システムの資格証明情報を、様々な攻撃者たちが購入する。そして、取得した資格証明情報で攻撃対象のシステムにログオンし、情報を窃取したりランサムウェアをインストールして金銭的収益を獲得している。
RDP は初期侵入の観点からも重要な手段の一つだが、ラテラルムーブメントのプロセスでも使用可能である。特定のネットワークのシステムを掌握した後、保存された様々な情報を収集し、このプロセスで見つけ出した資格証明情報を利用して、内部ネットワークに存在する他のシステムを掌握することもできる。
このように RDP は様々な攻撃で活用されているが、ここではランサムウェア攻撃者の攻撃事例をまとめていく。
1. ランサムウェア攻撃の事例
ランサムウェア攻撃者たちは、直接取得した、またはダークウェブで購入した資格証明情報を利用して感染システムにログインする。ログイン後は、Mimikatz のようなツールを利用して感染システムおよび内部ネットワーク管理者の資格証明情報を取得し、NirSoft 社の WebBrowserPassView、MailPassView 等のアプリケーションに保存されたアカウント情報を取得することもある。
また、内部ネットワークに他のシステムが存在する場合、ラテラルムーブメント攻撃により当該システムを掌握するプロセスで、ポートスキャナを使用するケースも多い。攻撃者は、このほかにも DefenderControl、Process Hacker のようなツールを利用して感染システムにインストールされた AntiVirus を無効化する傾向がある。
これらのプロセスが完了すると、最終的にランサムウェアをインストールする。内部ネットワークでラテラルムーブメントが成功すると、攻撃対象のシステム以外にもネットワークの他のシステムもすべて暗号化対象となる。このような方式の攻撃によってインストールされるランサムウェアには、GlobeImposter、MedusaLocker [1]、Hakuna matata [2]、Venus、Crysis [3]、Lockis [4] 等がある。
AntiVirus しかインストールされていないシステムでこれらの攻撃を防ぐことには、いくつかの限界がある。例えば、攻撃者は初めから AntiVirus を削除したり、DefenderControl、Process Hacker のようなツールを利用して AntiVirus を無効化することができる。もしこれらの試みが失敗しても、一般的なユーザーが正常な目的で使用できるツールを使用しているため、これらのツールを AntiVirus 製品で検知して遮断することには限界がある。
AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベースの解析エンジンをもとにエンドポイント領域に対する強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知・対応ソリューションである。AhnLab EDR は疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これにより総合的な解析を通じて原因把握と適切な対応、再発防止プロセスを策定できる。
AhnLab EDR は初期侵入段階である RDP 総当たり攻撃から情報収集等の様々なツールを利用した攻撃プロセスを検知して解析し、組織の管理者が脅威に対処できるようサポートする。ここでは、AhnLab EDR を利用してそれぞれの攻撃プロセスを解析する。
2. RDP 総当たり攻撃および辞書攻撃段階
Windows OS はポリシーを通じてログイン失敗イベントをモニタリングできる。これにより、RDP 総当たり攻撃が行われる場合、多数の失敗イベント(Windows セキュリティイベント ID:4625)をシステムから確認できる。以下の事例は実際に Hakuna matata ランサムウェアに感染されたシステムが、ランサムウェア攻撃が行われたあとも持続的に総当たり攻撃を受けていたログである。
AhnLab EDR では多数のログイン失敗イベントが発生した場合、これを脅威として検知し、管理者が認知できるようにサポートする。
管理者はこのログが正常な認証プロセスにおいて発生したものかどうかを、認証ログを通じて確認できる。例えば、発生した多数のログイン失敗ログを確認すると、同じユーザーアカウントではなく、ありふれたユーザーアカウントである。一般的に攻撃者はよく使用されるユーザーアカウントやパスワードを利用して辞書攻撃を実行する。
3. 様々なツールを利用した攻撃段階
資格証明情報を取得した攻撃者は、RDP を通じて攻撃対象のシステムにログインする。ログイン後はポートスキャニング、情報収集およびセキュリティ製品の無効化等、様々な目的で複数のツールをインストールする。ここでは、このようなツールをインストールするログと Ahnlab EDR 製品によりそれを検知する事例を整理する。
3.1. アカウント情報の奪取
感染システムに保存されたアカウント情報を収集するプロセスでは、NirSoft 社のツールがよく使われる。WebBrowserPassView は Chrome、Firefox、IE 等の Web ブラウザに保存されたアカウント情報を抽出して表示するツールであり、Mail PassView は Outlook、Thunderbird のような電子メールクライアントに保存されたアカウント情報を抽出して表示する。このほかにも、VNCPassView、WirelessKeyView 等、感染システムに保存されている様々なアカウント情報を抽出して表示できる。
3.2. ProcDump、Mimikatz
Mimikatz は Windows システムに保存された資格証明情報を抽出する機能を持つツールである。資格証明情報は様々な形で残されている場合があり、これによって Mimikatz も資格証明情報を抽出するための様々な形式をサポートする。最も代表的な方式は LSASS プロセスのメモリに保存された資格証明情報を抽出し、それを復号化する方式である。
しかし、このような方式はセキュリティ製品によって検知および遮断される可能性が高く、攻撃者はこれを回避するための目的で様々な方法を考案している。代表的な例として、Mimikatz の代わりに Sysinternals 社の ProcDump ツールを利用して LSASS プロセスのメモリをダンプし、このプロセスを通じて生成されたメモリダンプから資格証明情報を抽出して復号化する方式がある。
ProcDump は正常な目的で使用できるツールであるため、AntiVirus を利用してこれらの振る舞いを検知するには限界がある。AhnLab EDR は、攻撃者が ProcDump ツールを使用して LSASS プロセスのメモリをダンプする行為についても検知できる。
攻撃者はその後、Mimikatz を利用して LSASS プロセスのメモリダンプを解析してシステムに保存された資格証明情報を窃取できる。一般的に Mimikatz はツールというよりもマルウェアに近いが、攻撃者が検知を回避するためにパックまたは難読化して AntiVirus のファイルベースの検知では認知できないように製作する場合がある。AhnLab EDR はこのような場合であっても、Mimikatz だけの特徴をもとに検知できる。
3.3. セキュリティ製品の無効化
これらのツールを悪用する攻撃を、AntiVirus のようなセキュリティ製品ですべて検知することには限界がある。また、これらの攻撃に成功したとしても、攻撃者の最終目的であるランサムウェアのインストールは、ランサムウェアの特性上 AntiVirus 製品で容易に検知および遮断される。そのような理由から、攻撃者は攻撃の過程で AntiVirus のようなセキュリティ製品を削除したり、無効化する場合もある。
これまでに取り上げたランサムウェアの攻撃者たちは、Defender Control というツールをよく使用する傾向がある。Defender Control は Windows Defender を無効化するツールである。Windows Defender は最新の Windows OS にデフォルトでインストールされており、他の AntiVirus がインストールされている環境であっても AntiVirus を削除すると、再び有効化される。
このようなことから、様々な攻撃者たちが Windows Defender を無効化しようと試み、主に Defender Control が使用される。AhnLab EDR は Defender Control を利用した Windows Defender 無効化の振る舞いを検知し、管理者がこれを認識できるようにサポートする。
4. 結論
多くのランサムウェア攻撃者たちが RDP を攻撃ベクトルとして使用している。代表的には GlobeImposter、MedusaLocker、Hakuna matata、Venus、Crysis、Lockis 等、様々なランサムウェア攻撃者が存在し、すでに数年間にわたり持続的に同じ形式の攻撃手法を用いている。このような攻撃は主に不適切なアカウント情報を有するシステムへの総当たり攻撃および辞書攻撃から始まる。
ユーザーは、RDP を使用しない場合は無効化して攻撃の試みを減らすことができる。RDP サービスを使用するシステムでは、アカウントのパスワードを複雑なものにし、さらに定期的に変更して総当たり攻撃や辞書攻撃を防止しなければならない。また、VPN および多要素認証を適用してセキュリティを強化しなければならない。
これらの攻撃は、AntiVirus 製品だけでは検知および遮断に限界がある。AhnLab EDR は、RDP を対象とする総当たり攻撃の段階から様々なツールを利用した資格証明情報の窃取プロセス等、攻撃者がランサムウェアをインストールする前に各攻撃段階を検知し、管理者が原因を把握して適切な対応および再発防止プロセスを策定できるようにサポートする。
振る舞い検知
– InitialAccess/EDR.Event.M11071
– Execution/EDR.Event.M10819
– CredentialAccess/EDR.WirelessKeyView.M11215
– Execution/EDR.Event.M10817
– Execution/EDR.Event.M10815
– Execution/EDR.Behavior.M10741
– Execution/EDR.Behavior.M10484
– CredentialAccess/EDR.Mimikatz.M11469
– SystemManipulation/DETECT.T1562.M4022
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories: AhnLab 検知