OverWatch レポートの最大の特長は、極めて高い攻撃力を持つ攻撃者グループを主な研究対象として、CrowdStrike のスペシャルチームである OverWatch が分析している点にある。いわば「サイバー攻撃防御のエキスパートによる、エキスパートサイバー攻撃集団の研究調査結果」、CrowdStrike による「高度( Advanced )」で「継続的な( Persistent )」研究成果だ。
OverWatch は、政府からの委託や、犯罪を目的として、高度な技術を使って企業・組織を継続的に狙う攻撃者グループを捜し出すことが主な任務だ。
「 OverWatch 2019年 中間レポート」は、OverWatch チームが任務遂行過程で遭遇した、2019 年前半の多くの攻撃活動のうち、特に国家主導型、及び標的型の eCrime(サイバー犯罪活動)について解説する。
「 OverWatch 2019年 中間レポート」は、2019 年前半に発生した侵害活動のトレンドの振り返りと、今日の攻撃者グループの戦術に対する知見を提供する。また、OverWatch が特定した特に注目すべき侵害インシデントについて、その戦術とテクニックの詳細について紹介している。
全 61 ページという大部の同レポートの抄訳版として特に注目すべき事項をピックアップし本稿で紹介する。
>> レポートDL ( 無料・要登録 )
●通信企業への攻撃で使用された多様な攻撃テクニック
2019 年 2 月下旬、OverWatch は、インド太平洋地域のとある通信企業に対する侵害を確認しました。この侵害活動においては、さまざまな戦略やテクニックが使用されており、以前から存在する複数の攻撃者が、高度なアクセス権限を取得して、長期にわたり攻撃を行っている可能性が疑われました。
この攻撃活動では、詐取された管理者権限のユーザーアカウントが多く使われました。WebShell やカスタムツールが多用された他にも、認証情報ダンピング、DLLハイジャック、C2 通信用の Web メールサービスなどの技術の使用が確認されており、次々と手段を変えて標的としたネットワーク上で執拗に目的を遂行しようとしたことが伺えます。
OverWatch が確認した悪質な攻撃活動の最初の部分では、攻撃者グループは既存の ChopperWebshell にアクセスして、システム情報やファイル/ディレクトリの検出などのホストの偵察を行っていました。この偵察活動では、身元不明のオペレーターが、C:\Windows\debug\PASSWD.LOG ファイルを解析する目的で Chopper Webshell を使用しているのが確認されました。OverWatch は次のコマンドが使用されたことを確認しています。
cmd /c cd /d "c:\Windows\debug\" & notepad passwd.log
PASSWD.LOG ファイルには、パスワードの変更、認証の試行、およびターミナルサービスのアカウント「 TsInternetUser 」に関連する詳細情報が含まれていることが知られています。「 TsInternetUser 」アカウントを使用してターミナルサービスセッションの認証が行われる場合、ログオン用のダイアログボックスが表示されないことに注意する必要があります。
(中略)
次の表は、MITRE ATT&CK フレームワークに基づいて、この攻撃活動の一部に採用されているすべての戦術とテクニックの概要を示しています。前述の侵害の概要に含まれていないテクニックも存在します。
「脅威ハンティングの最前線 FalconOverWatch中間報告:2019年版」
CrowdStrike Japan株式会社
2020年2月1日/PDF形式/約60ページ/1.60 MB
目次
3. はじめに
4. 国家主導の標的型攻撃および犯罪者による侵害キャンペーンの概要
4. 攻撃者グループの動機
5. 産業セクター
5. 2017年から2019年-注目すべき業種
7. 標的型攻撃の首謀者
8. 標的型の攻撃者が用いるツール
9. 標的型攻撃の首謀者の戦略とテクニック
9. 2019年のATT&CKヒートマップ
9. 2018年と2019年におけるTTPの比較
12. マルウェアを使用した攻撃活動の概要
15. 国家主導とみられる攻撃者による重大な侵害インシデント
15. Telcoへの攻撃で使用された多様な攻撃テクニック
23. ヘルスケア企業を標的とする広範囲な攻撃
29. 航空業界に対する攻撃に使用されたカスタムツールと急速な変化を遂げるTTP
38. 化学品業界への攻撃において横展開に使用されたカスタムRATとブレイクアウト
42. アクセストークンの操作などの手法で防衛産業基盤(DIB)組織を攻撃
49. サイバー犯罪者(eCrime)による重大な侵害インシデント
49. 通信業界に対するサイバー犯罪活動
52. Microsoft SharePoint Serverを悪用する攻撃
54. WebLogic Serverの新たな脆弱性の悪用にすぐさま乗り換える攻撃者
59. まとめと推奨事項
59. 推奨事項
61. CROWDSTRIKEについて
>> レポートDL ( 無料・要登録 )
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43329.jpg)
