遠隔操作ツールは RAT(Remote Administration Tool)とも呼ばれ、遠隔地の端末を管理し、操作する機能を提供するソフトウェアである。最近、初期侵入プロセスやラテラルムーブメントのプロセスで攻撃対象のシステムを操作するため、バックドアマルウェアの代わりに遠隔操作ツールをインストールする事例が増加している。
これはファイアウォールや検知を回避するための意図的なもので、AntiVirus 製品では一般的なマルウェアとは異なり、これらのツールを単純に検知して遮断することに限界があるためである。そのため攻撃者はこれらの点を悪用しており、このような攻撃に備えるためには EDR を活用して、疑わしい振る舞いをモニタリングし、対応する必要がある。
AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベース分析エンジンをもとにエンドポイント領域に対して強力な脅威モニタリングと分析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は、疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および分析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な分析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。
図1. AhnLab EDR 製品
AhnLab SEcurity intelligence Center(ASEC)では、「遠隔操作ツールを利用した感染システムの制御 – EDR 検知」[1] の記事で、AhnLab EDR を通じて攻撃者が感染システムを操作するために使用する遠隔操作ツールを検知する事例を取り扱った。当該記事では、とりわけよく悪用される AnyDesk、NetSupport、そして Chrome Remote Desktop を取り上げたが、ここでは GotoHTTP、RustDesk など、別の遠隔操作ツールの悪用事例と AhnLab EDR を利用した検知方式を取り上げる。
1. GotoHTTP
ASEC では、不適切に管理されている MS-SQL サーバーを対象とする攻撃事例をモニタリングしていたところ、未知の攻撃者が初期侵入後に GotoHTTP をインストールした事例を確認した。一般的に、このような攻撃の場合は AnyDesk が確認されることがほとんどだが、2024年下半期からは GotoHTTP をインストールする事例が確認されている。[2]
GotoHTTP は他の遠隔操作ツールと同様、遠隔画面操作を提供するツールであり、感染システムに GotoHTTP をインストールしたあと「Computer Id」と「Access Code」がわかれば、それを利用して遠隔でシステムを操作することができる。
図2. GotoHTTP を利用した遠隔操作
AhnLab EDR では、システムに GotoHTTP が実行される振る舞いを脅威として検知し、管理者が事前に認知できるようにサポートする。
図3. AhnLab EDR を活用した GotoHTTP 実行振る舞いの検知
2. RustDesk
RustDesk は、オープンソースの遠隔操作ツールであり、AnyDesk と同様にファイル送信、リモートデスクトップなど様々な機能を提供する。攻撃者は以下のように実行プロセスで確認できる ID とパスワードを利用して、RustDesk がインストールされた感染システムを操作できる。実際、Akira ランサムウェア攻撃者は、攻撃の過程で RustDesk を利用したことが知られている。[3](外部サイト、英語にて提供)
図4. 遠隔操作ツール RustDesk
AhnLab EDR では、システムに RustDesk が実行される振る舞いを主な振る舞いとして検知し、管理者が認知できるようにサポートする。
図5. AhnLab EDR を活用した RustDesk 実行振る舞いの検知
3. Atera
Atera もまた、様々な攻撃者によって悪用されるツールであり、BlackSuit(Royal) [4](外部サイト、英語にて提供)、ALPHV/BlackCat [5]、Hive [6](外部サイト、英語にて提供) など、主にランサムウェア攻撃者が使用する傾向がある。もちろん、ラテラルムーブメントや操作権限奪取の過程で使用するケースだけでなく、初期侵入プロセスで使用されることもあり、以下のように PDF ファイルに偽装した LNK ファイルによってインストールされるケースも存在する。インストール過程では、攻撃者が指定したメールアドレスが確認できることが特徴である。
図6. Atera インストール過程で確認できる攻撃者のメールアドレス
AhnLab EDR では、Atera がシステムにインストールされ動作する振る舞いを脅威として検知し、管理者が事前に認知できるようにサポートする。
図7. AhnLab EDR を活用した Atera Agent インストールの振る舞いの検知
4. ConnectWise ScreenConnect
ScreenConnect も Atera と同様、ランサムウェア攻撃者がよく使用する RMM(Remote Monitoring and Management)ツールであり、Atera と同時に攻撃に使用されることもある。代表的なランサムウェア攻撃者としては ALPHV/BlackCat [7](外部サイト、英語にて提供)、Hive [8](外部サイト、英語にて提供) が挙げられ、このほかにも APT グループが悪用する事例も存在する。
AhnLab EDR では、ScreenConnect がシステムにインストールされ動作する振る舞いを脅威として検知し、管理者が事前に認知できるようにサポートする。
図8. AhnLab EDR を活用した ScreenConnect 実行振る舞いの検知
5. 結論
最近、攻撃者は攻撃対象を操作するために、RAT やバックドアのような追加マルウェアの代わりに遠隔操作ツールをインストールする事例が増加している。遠隔操作ツールは、遠隔地の端末を操作、または管理するための目的で使用できる正常なソフトウェアである。
攻撃者は、攻撃対象のシステムに遠隔操作ツールをインストールすることにより攻撃対象のシステムを操作すると同時に、AntiVirus ベースのセキュリティ製品による検知を回避することができる。これは、遠隔操作ツールが正常なソフトウェアであることにより、AntiVirus 製品がそれらを単純に検知して遮断することに限度があるためである。
AhnLab EDR は、ユーザーが遠隔操作のために正常な目的で遠隔操作ツールを使用する振る舞いについても関連情報を収集して表示することにより、管理者が疑わしい振る舞いを認知して対処できるようにする。また、遠隔操作ツールが疑わしい方式でインストールされた場合、これを脅威として検知し管理者が原因を把握して適切な対処、および再発防止プロセスを確立できるようにサポートする。
振る舞い検知
– Execution/EDR.GotoHTTP.M12139
– Execution/DETECT.RustDesk.M12042
– Execution/EDR.Atera.M11764
– Execution/EDR.ScreenConnect.M11766
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories: EndPoint