ドメイン環境における EDR を活用した内部偵察段階の検知 Posted By ATCP , 2024년 01월 03일 攻撃者は、初期侵入プロセスを経てコインマイナーやランサムウェアをインストールして収益を得ることができるが、バックドアまたは RAT マルウェアをインストールして先に感染システムの操作権限を取得する場合が多い。インフォスティーラーマルウェアはシステムに存在するユーザーの情報を窃取することが目的だが、その後は攻撃者が窃取した情報をもとにシステムの操作権限を取得し、最終的にはコインマイナーやランサムウェアをインストールする目的で使用する場合もある。 攻撃対象が独立した特定のシステムに限られるならば無関係だが、企業や機関内に構築された環境であることが確認された場合、攻撃者は当該システムが含まれた全体のインフラに対する攻撃を試みる場合がある。組織のインフラがアクティブディレクトリ(Active Directory)を使用する環境であり、感染システムが当該ネットワークに含まれている場合、攻撃者はマルウェアおよび複数のツールを利用して当該ドメイン全体を掌握することができる。 ここでは、攻撃者がアクティブディレクトリ環境に属するシステムを掌握したあと、内部ネットワークを偵察して情報を収集する一般的なプロセスを扱う。このようなプロセスに成功すると、攻撃者は資格情報を窃取し、その情報を利用してラテラルムーブメントのプロセスを経てドメイン環境を掌握する。そして、最終的にはネットワークに接続されたシステム全体にランサムウェアを配布したり、企業の内部情報を窃取して収益を得る。 このような内部偵察段階では、システム管理用の正常なツールが使用される場合が多い。そのため、AntiVirus のような従来の製品では検知に限界があり、EDR を活用して疑わしい振る舞いをモニタリングして対処する必要がある。 AhnLab EDR(Endpoint Detection…
