発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」 | ScanNetSecurity
2023.02.08(水)

発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」

APT において実際の攻撃活動を支えるのは「横展開」(ラテラルムーブメント)と「検知のバイパス」機能だ。多くの APT アクターは、この 2 つを実現するため Windows の認証機能と Mimikatz というエクスプロイトツールを活用している。

研修・セミナー・カンファレンス セミナー・イベント
 APT において実際の攻撃活動を支えるのは「横展開」(ラテラルムーブメント)と「検知のバイパス」機能だ。多くの APT アクターは、この 2 つを実現するため Windows の認証機能と Mimikatz というエクスプロイトツールを活用している。

 これを逆手にとって、攻撃者の侵入を検知し、様子を伺い、ときには攻撃活動を妨害したプロジェクトがある。台湾の「TEAM T5(T5)」が展開した「私はトム作戦( Operation: I am a Tom )がそれである。本稿は、昨秋開催された CODE BLUE 2020(本年は10/19~10/20開催)の TEAM T5 の Aragorn Tseng 氏、Charles Li 氏の講演から、作戦の概要をお伝えする。なお T5 は、ある企業ネットワークで APT 攻撃のアクターを発見し、この作戦によって最終的にはアクターをネットワークから追い出すことに成功している。

●ペンテストにも APT 攻撃にも利用される mimikatz

 クラウド時代と言われながらも、業務システムや業務用 PC を Windows 環境で構築している企業は多い。そして、一定規模のシステムとなるとユーザーのアカウント管理や認証・アクセス制御に Active Directory( AD )を利用している。

 mimikatz(ミミカッツ)は、もともと、Windows の認証プロトコルに対する脆弱性を検証するために開発されたツールだ。開発したのは、セキュリティ研究者であってハッカーや犯罪者ではない。実際、mimikatz は、オープンソースプロジェクトとして管理されている。企業ネットワークのペネトレーションテストや脆弱性診断によく利用されている。

 しかし、フリーソフトウェアの利用は誰にも制限はできない。APT アクター(攻撃者)は、minikatz を利用して侵入したネットワーク内を渡り歩き、管理者権限を奪取したり、スクリプトやコード注入を行ったりしている。たとえば、mimikatz は、Windows のセキュリティコンポーネント(例: LSA : Local Security Authority )がプロセスメモリに生成する ID、パスワード、ハッシュ値などクレデンシャル情報を読み取ることができる。
《中尾 真二( Shinji Nakao )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×