セキュリティ企業であるFireEyeは、最近話題になったPulse Secure VPNアプライアンスの脆弱性を利用してアメリカとヨーロッパ全域の防衛関連企業や政府機関に侵入した中国のハッキンググループの活動を捕捉していました。
FireEyeは、中国ハッカーのPulse Secure VPNアプライアンスの脆弱性を利用したハッキング手法を7段階に分けて解説しています。
中国ハッカーの攻撃方法まとめ
初期アクセス
攻撃者は、Pulse Secure VPNアプライアンスの複数の脆弱性を利用しました。FireEyeは、最近パッチがリリースされた脆弱性CVE-2021-22893を利用してPulse Secureアプライアンスにアクセスしていることを確認しました。多くのケースでは、攻撃者がフォレンジックの証拠を改ざんまたは削除したり、アプライアンスのアップグレードを受けて最初の攻撃に関連する証拠が破壊されたりしたため、詳細の攻撃手法と時間を確定することができませんでした。
足場の確立
いくつかのケースにおいてFireEyeは、攻撃者が侵入後のネットワークにあるWindowsサーバ上で独自のローカル管理者アカウントを作成していたのを確認できました。これにより、攻撃者はシステムへのアクセスを維持することができ、ターゲット環境内で自由に活動するための十分なアクセスネットワークを確立することができました。また、攻撃者は内部のWindowsやLinuxのエンドポイントに配備されたバックドアを使用するのではなく、あくまでPulse SecureのWebShellとマルウェアのみで標的環境への足掛かりを維持していました。
特権の昇格
FireEyeは攻撃者がWindowsシステム上で3つの認証情報ハッキング技術を使用していることを確認しました。
- 認証情報ハッキングツール「Mimikatz」を使用してメモリ上のクリアテキストのパスワードやハッシュを狙います。Mimikatzのバイナリはローカルにコピーされてターゲットシステムで実行されるのではなく、RDPセッションのソースシステム(VPNに接続された脅威行為者のシステム)にRDPマッピングされたドライブを介して実行されていました。
- ローカルおよびドメインアカウントのキャッシュされたNTLMハッシュを含むSAM、SECURITY、およびSYSTEMレジストリのコピー
- Windowsタスクマネージャプロセスを利用して、ローカルセキュリティオーソリティサブシステムサービス(LSASS)のプロセスメモリをターゲットにしてNTLMハッシュを取得
これらの特権昇格技術に加えて今回の攻撃では過去に侵害された個人が所有する別の特権アカウントを特にターゲットにしていました
内部偵察
FireEyeは攻撃者が被害者ネットワークのVPNに接続する自分のPCの名前を、標的環境の命名規則に合わせて変更していた証拠を発見しました。この行為は、長期的な持続性と検知回避を目的とした行為者の目的に合致しており、被害者環境の内部ホスト名に精通していたことを示しています。
攻撃者はWindowsベースのユーティリティーのみを使って業務遂行していました。net.exe、quser.exe、powershell.exe、powershell_ise.exe、findstr.exe、netstat.exe、cmd.exe、reg.exe、tasklist.exeなどのユーティリティの使用が確認されました。
横方向への移動(ラテラルムーブメント)
横方向への移動(ラテラルムーブメント)のほとんどは感染したPulse Secure VPNアプライアンスから環境内の内部システムへの移動となります。Pulse VPN アプライアンスに接続した攻撃者のシステムに、Pulse VPN の DHCP プールから IP アドレスが割り当てられリモート・デスクトップ・プロトコル(RDP)、セキュア・シェル・プロトコル(SSH)、HTTPS でホストされたリソースへのブラウザベースの通信を利用して、環境内に拡大していきました。また事前に取得した認証情報を使って、Microsoft M365 クラウド環境などの他のリソースにもアクセスしていました。
FireEyeは攻撃者が ESXi ホストサーバを標的にしていたことも確認しました。この攻撃者はWebInterfaceのGUIを使用して、無効になっていたESXiホスト上のSSHを有効にしました。システムに対する操作が終了すると、攻撃者はESXiホスト上のSSHを再び無効にし、実行された活動に関連するすべての関連ログを消去をおこなっていました。これには、システム上の認証、コマンド履歴、およびメッセージログが含まれます。
アクセス維持
FireEyeではPulse Secure Applianceのアップグレードプロセスを阻害することで攻撃者がネットワークアクセスを維持していることを確認しました。アクセス維持行動は、主に正規の DSUpgrade.pm ファイルを変更し、管理者が行うアップグレードのたびに ATRIUM WebShellをインストールすることで実現していました。DSUpgade.pm は、システムのアップグレード手順の中核となるファイルであり、更新時にパッチが確実に適用されることから、パッチロジックのホストとして選択されていたものと思われます。パッチャーは、/tmp/data のコンテンツを変更します。このディレクトリには、新しくアップグレードされたシステムが起動する際に抽出されたアップグレードイメージが格納されているためです。これにより、攻撃者はアップデートの間もシステムへのアクセスを維持することができる接続性を維持しました。
攻撃者は、Linux ファイルシステムのアンマウントに使用される /bin/umount ファイルに bash スクリプトを追加することでも接続性を確保していました。このバイナリは、Pulse Secure アプライアンスがシステムのアップグレード時に実行するものであるため攻撃者の標的となりました。攻撃者のスクリプトは、umount バイナリが特定の引数セットで実行されていたことが確認できています。挿入された悪意のあるbashスクリプトは、ファイルシステムを読み書き可能な状態で再マウントし、一連のbashルーチンを繰り返し実行して、ATRIUM WebShellの注入、レガシーファイルインテグリティbashスクリプトからのSLOWPULSEの隠蔽、umountファイルからの自身の削除または追加、ファイルシステムを読み書き可能な状態に戻すための再起動後のウェブプロセスの実行の検証を行っていました
ミッションコンプリート
攻撃者の目的は、認証情報の窃取、被害者のネットワークへの長期にわたる持続的なアクセスの維持、機密データへのアクセスまたは流出であると考えられます。FireEyeでは、攻撃者は以下のような行為を行っていることを確認しています。
- 機密プロジェクトに関連するデータを C:Users\Public に保存
- 侵入用アーカイブの名前を Windows Update(KB)に似せたり、KB.zip のように隠蔽
- データの流出に JAR/ZIP ファイル形式を使用
- 侵入されたアーカイブの削除
関連する MITRE ATT&CK テクニック、Yara ルール、およびハッシュについてはFireEye分析チームMandiant の GitHub ページで公開されています。
Comments