AhnLab 検知

AhnLab EDR を活用した Kimsuky グループのスピアフィッシング攻撃の検知(AppleSeed、AlphaSeed)

Posted By ,

北朝鮮の支援を受けていることで知られている Kimsuky 脅威グループは、2013年から活動している。初期には韓国の北朝鮮関連の研究機関等に対する攻撃を行っており、2014年、韓国のエネルギー機関への攻撃が、そして2017年以降は韓国以外の国への攻撃も確認されている。[1](韓国語にて提供) 主にスピアフィッシング攻撃で国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的としている。[2](韓国語にて提供) Kimsuky グループは、攻撃によって様々なマルウェアを使用するが、代表的なものとして AppleSeed と AlphaSeed マルウェアをインストールする事例がある。これらの攻撃は数年前から続いており、過去にも「Kimsuky グループの APT…

AhnLab MDS を活用したアカウント情報窃取マルウェアの検知(Web ブラウザ、電子メール、FTP)

Posted By ,

一般的にユーザーは、利便性のために Web ブラウザや電子メール、FTP クライアントのようなプログラムで自動ログイン機能を使用し、これは結果的に各プログラムが設定データにユーザーのアカウント情報を保存することに繋がる。このような機能はユーザーに利便性を提供するが、セキュリティ上の問題もある。攻撃者によってユーザーのアカウント情報が簡単に窃取される可能性があるからだ。 もし、マルウェアや攻撃者が感染システムの制御権を獲得した場合、様々なツールを利用してユーザーのアカウント情報を窃取することができ、このようなアカウント情報の窃取を主な目的とするインフォスティーラーマルウェアも存在する。マルウェアが既知のマルウェアの場合、エンドポイントにインストールされている既存のアンチウイルスで対応できる。しかし、不明なマルウェアに対応するには、AhnLab MDS(Malware Defense System)が必要である。 サンドボックスベースのファイル解析ソリューションである Ahnlab MDS は、仮想環境でファイルを実行した後、発生した振る舞いを解析する。新種ファイルにも既知の不正な振る舞いが含まれているため、AhnLab…

EDR を利用した様々な LSASS 資格証明ダンプ方式の検知

Posted By ,

AhnLab SEcurity intelligence Center(ASEC)は、「ドメイン環境における EDR を活用した資格情報窃取段階の検知」 [1] ブログにて攻撃者がアクティブディレクトリ環境に属しているシステムを掌握したあと、資格情報を窃取する様々な方式を紹介した。この記事では、資格情報を窃取する方式のうち、LSASS プロセスのメモリに保存されている NT Hash(NTLM 認証プロトコルで使用するハッシュ)をダンプする様々な手法についてより詳細に紹介する。…

ドメイン環境における EDR を活用した資格情報窃取段階の検知

Posted By ,

「ドメイン環境における EDR を活用した内部偵察段階の検知」[1] の記事では、攻撃者がアクティブディレクトリ環境に属しているシステムを掌握したあと、内部ネットワークを偵察して情報を収集するプロセスを、EDR を利用して検知する事例を取り上げた。組織のインフラがアクティブディレクトリ(Active Directory)を使用する環境の場合、攻撃者は内部偵察段階を経てドメイン環境の情報を収集し、資格情報を窃取したあと、これをもとにラテラルムーブメントを実行し、最終的にドメイン環境を掌握できる。 ここでは、攻撃者がアクティブディレクトリ環境に属するシステムを掌握したあと、ラテラルムーブメントのために資格情報を窃取する攻撃段階を解説し、EDR を利用してこれを検知する方式を紹介する。攻撃者は資格情報の窃取のために Mimikatz を含む様々なツールも活用することがあり、管理者の不注意を悪用する可能性がある。 このような資格情報窃取の段階はドメインを掌握するための核心的なステップであるため、攻撃者はセキュリティ製品による検知を回避するために様々な手法を用いる。ファイル検知を回避するためにパッキングや難読化を施すことはもちろん、振る舞い検知を回避するために正常なユーティリティである ProcDump…

ドメイン環境における EDR を活用した内部偵察段階の検知

Posted By ,

攻撃者は、初期侵入プロセスを経てコインマイナーやランサムウェアをインストールして収益を得ることができるが、バックドアまたは RAT マルウェアをインストールして先に感染システムの操作権限を取得する場合が多い。インフォスティーラーマルウェアはシステムに存在するユーザーの情報を窃取することが目的だが、その後は攻撃者が窃取した情報をもとにシステムの操作権限を取得し、最終的にはコインマイナーやランサムウェアをインストールする目的で使用する場合もある。 攻撃対象が独立した特定のシステムに限られるならば無関係だが、企業や機関内に構築された環境であることが確認された場合、攻撃者は当該システムが含まれた全体のインフラに対する攻撃を試みる場合がある。組織のインフラがアクティブディレクトリ(Active Directory)を使用する環境であり、感染システムが当該ネットワークに含まれている場合、攻撃者はマルウェアおよび複数のツールを利用して当該ドメイン全体を掌握することができる。 ここでは、攻撃者がアクティブディレクトリ環境に属するシステムを掌握したあと、内部ネットワークを偵察して情報を収集する一般的なプロセスを扱う。このようなプロセスに成功すると、攻撃者は資格情報を窃取し、その情報を利用してラテラルムーブメントのプロセスを経てドメイン環境を掌握する。そして、最終的にはネットワークに接続されたシステム全体にランサムウェアを配布したり、企業の内部情報を窃取して収益を得る。 このような内部偵察段階では、システム管理用の正常なツールが使用される場合が多い。そのため、AntiVirus のような従来の製品では検知に限界があり、EDR を活用して疑わしい振る舞いをモニタリングして対処する必要がある。 AhnLab EDR(Endpoint Detection…

RDP を侵入経路に使用するランサムウェア攻撃の事例 – EDR 検知

Posted By ,

リモートデスクトップサービス(Remote Desktop Services)は、他の PC を遠隔で操作できる機能を意味し、Windows OS では RDP(Remote Desktop Protocol)を利用してこのようなサービスをデフォルトで提供している。これにより、操作対象のシステムが Windows を使用しているならば別途の遠隔操作ツールをインストールする必要がなく、RDP…