2018 / 2019 比較、APT等使用攻撃ツール ~ CrowdStrikeの「高度で継続的」研究成果から | ScanNetSecurity
2020.08.13(木)

2018 / 2019 比較、APT等使用攻撃ツール ~ CrowdStrikeの「高度で継続的」研究成果から

レポートでは、標的型攻撃の首謀者らが、ホストのネイティブツールを使用するなどの、「 Living off the Land 」( LOTL:自給自足 / 現地調達)方式を採用して検知を回避していることを立証しました。

調査・レポート・白書 調査・ホワイトペーパー
 CrowdStrike 社が最新の「 OverWatch 2019年 中間レポート」をとりまとめ公開した。OverWatch は、CrowdStrike のマネージド型脅威ハンティングサービスの名称。CrowdStrike Falcon プラットフォームを用い、同社のスペシャリストチームが 24 時間体制で詳細な分析を行う。

 OverWatch レポートの最大の特長は、極めて高い攻撃力を持つ攻撃者グループを主な研究対象として、CrowdStrike のスペシャルチームである OverWatch が分析している点にある。いわば「サイバー攻撃防御のエキスパートによるエキスパートサイバー攻撃集団の研究調査結果」、CrowdStrike による「高度( Advanced )」で「継続的な( Persistent )」研究成果だ。

 OverWatch は、政府からの委託や、犯罪を目的として、高度な技術を使って企業・組織を継続的に狙う攻撃者グループを捜し出すことが主な任務だ。

 「 OverWatch 2019年 中間レポート」は、OverWatch チームが任務遂行過程で遭遇した、2019 年前半の多くの攻撃活動のうち、特に国家主導型、及び標的型の eCrime(サイバー犯罪活動)について解説する。

 「 OverWatch 2019年 中間レポート」は、2019 年前半に発生した侵害活動のトレンドの振り返りと、今日の攻撃者グループの戦術に対する知見を提供する。また、OverWatch が特定した特に注目すべき侵害インシデントについて、その戦術とテクニックの詳細について紹介している。

 全 61 ページという大部の同レポートの抄訳版として特に注目すべき事項をピックアップし本稿で紹介する。

>> レポートDL ( 無料・要登録 )


●標的型の攻撃者が用いるツール

 CrowdStrike による以前のレポートでは、標的型攻撃の首謀者らが、ホストのネイティブツールを使用するなどの、「 Living off the Land 」( LOTL:自給自足 / 現地調達)方式を採用して検知を回避していることを立証しました。「 Living off the Land 」とは、攻撃対象のシステム上にすでにインストールされている正規のツールを使用して、セキュリティツールによる検知を逃れるテクニックを指します。しかしながら、2019 年前半に OverWatch が分析した標的型侵害のケースでは、1 つ以上の非ネイティブツールが使用されていました。

標的型攻撃者グループが使用した正規のツール
 上のグラフは、攻撃者グループらが攻撃を行いやすくするために利用する最も一般的な非ネイティブのツールを示しています。標的型攻撃(国家主導の攻撃者グループとサイバー攻撃( eCrime )の両方)で多く使用された順番に並べてあります。

標的型侵入で使用されたペネトレーションテスト用ツール
 こちらは、2019 年前半に OverWatch が確認した最も一般的なペネトレーションテスト用ツールのリストです。ペネトレーションテスト用のツールは、標的型攻撃を仕掛ける攻撃者グループの首謀者らの間で相変わらずの人気を集めています。それらは手に入れやすく、高性能で、どこにでも存在するため、使用しても攻撃者の特定にはつながりにくいという特性があります。そのため、今後も攻撃者グループの武器として重宝されるであろうと OverWatch は見ています。

●標的型攻撃を仕掛ける首謀者の戦略とテクニック

 Falcon OverWatch チームは、侵入活動を分析する際に、MITRE ATT&CK のマトリクスをフレームワークとして攻撃者グループの行動を分類しています。2019 年の ATT&CK ヒートマップ次のチャートは、2019 年前半に行われたすべての高機能かつ持続的な攻撃において、OverWatch が特定した攻撃者グループの戦略とテクニックのヒートマップです。このヒートマップは、標的型攻撃や重大な侵害における攻撃者のすべての行動を OverWatch のアナリストがレビューした結果であり、攻撃者が用いたすべての手法を正確に特定するようにしたものです。予想どおり、2019 年前半に多く確認された手法は、2018 年全体の結果をほぼ引き継いでいます。 OverWatch が確認した侵害インシデントにおいて、最も多く用いられた手法は「正当なアカウントの悪用」「コマンドラインインターフェイス」「スクリプティング」「 PowerShell 」および「探索( Discovery )」などでした。

2019年前半に標的型攻撃において確認されたTTP
 OverWatch は、2 年近くにわたり、ATT&CK フレームワークの観点から攻撃者グループの行動を詳しく追跡しています。そして、標的型攻撃から得られた膨大かつ詳細なデータを ATT&CK に照らしてまとめました。2018 年および 2019 年前半に確認した「標的型攻撃で用いられたテクニック」を示します。

※ 青:2018 年でのみ確認/紫:2019 年でのみ確認/両年で確認
※ 青:2018 年でのみ確認/紫:2019 年でのみ確認/両年で確認

 どちらかの年にのみ確認されたテクニックは、使用頻度が低めであり、重要なトレンドの変化を代表するものとは言えません。年ごとの傾向を比較することで、次のような重要な知見が導き出されます。初期アクセスに関しては、2018 年は、幅広い種類のテクニックが用いられたものの、2018 年、2019 年前半の両方において、最も多く使用されたテクニックに変化はありませんでした。使用頻度順では「正当なアカウントの悪用」「スピアフィッシング」「オンラインに晒されたアプリケーションへのエクスプロイト」となります。




「脅威ハンティングの最前線 FalconOverWatch中間報告:2019年版」
 CrowdStrike Japan株式会社
 2020年2月1日/PDF形式/約60ページ/1.60 MB


「脅威ハンティングの最前線 FalconOverWatch中間報告:2019年版」 CrowdStrike Japan株式会社 2020年2月1日/PDF形式/約60ページ/1.60 MB
目次
 3. はじめに
 4. 国家主導の標的型攻撃および犯罪者による侵害キャンペーンの概要
 4. 攻撃者グループの動機
 5. 産業セクター
 5. 2017年から2019年-注目すべき業種

 7. 標的型攻撃の首謀者
 8. 標的型の攻撃者が用いるツール
 9. 標的型攻撃の首謀者の戦略とテクニック
 9. 2019年のATT&CKヒートマップ
 9. 2018年と2019年におけるTTPの比較
 12. マルウェアを使用した攻撃活動の概要

 15. 国家主導とみられる攻撃者による重大な侵害インシデント
 15. Telcoへの攻撃で使用された多様な攻撃テクニック
 23. ヘルスケア企業を標的とする広範囲な攻撃
 29. 航空業界に対する攻撃に使用されたカスタムツールと急速な変化を遂げるTTP
 38. 化学品業界への攻撃において横展開に使用されたカスタムRATとブレイクアウト
 42. アクセストークンの操作などの手法で防衛産業基盤(DIB)組織を攻撃

 49. サイバー犯罪者(eCrime)による重大な侵害インシデント
 49. 通信業界に対するサイバー犯罪活動
 52. Microsoft SharePoint Serverを悪用する攻撃
 54. WebLogic Serverの新たな脆弱性の悪用にすぐさま乗り換える攻撃者

 59. まとめと推奨事項
 59. 推奨事項

 61. CROWDSTRIKEについて

>> レポートDL ( 無料・要登録 )
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×