CoinMiner

脆弱な Apache Tomcat Web サーバーをターゲットにインストールされる CoinMiner マルウェア

ASEC 分析チームでは最近、脆弱な Apache Tomcat Web サーバーをターゲットとする攻撃を確認した。最新のアップデートが適用されていない Tomcat サーバーは代表的な脆弱性攻撃のベクトルの一つである。過去にも ASEC ブログにおいて脆弱な JBoss バージョンがインストールされた…

マルウェア感染時、単純な駆除にとどめてはいけない理由

2022年1月、韓国国内の製造業分野で有数の企業において、内部システムの多数が Darkside ランサムウェアに感染する被害が発生した。 AD グループポリシーを利用して Darkside ランサムウェアが配布されたことが確認されたため、DC サーバーにフォレンジックを試みたものの、仮想環境で運用中であった DC サーバーの仮想環境運用システム自体が破損しており、DC サーバーを確保することができなかった。代わりに、Darkside ランサムウェアに感染した後、過去のバックアップを活用して復旧されたシステムのうち…

Metasploit の Meterpreter を利用した攻撃事例

Metasploit はペネトレーションテストを目的としたフレームワークである。企業や機関のネットワークおよびシステムに対するセキュリティの脆弱性をチェックする目的で使用可能なツールとして、ペネトレーションテストの各段階別に様々な機能をサポートしている。Metasploit は CobaltStrike のように、最初の感染のための様々な形のペイロード生成からアカウント情報奪取、内部ネットワークの移動を経てシステムを掌握するまでの段階ごとに必要な機能を提供している。 CobaltStrike は商用プログラムだが、クラック版が流出したことで攻撃者によって頻繁に使用されており、Metasploit は基本的に公開されたオープンソースであることにより、容易に使用できる。ここでは、Metasploit の Meterpreter が攻撃に使用された実事例を取り扱っていく。 Metasploit…