Trickbot の中断

本日発表されたように、Microsoft はTrickbot ボットネットに対して措置を講じ、世界で最も持続的なマルウェア オペレーションの 1 つを妨害しました。マイクロソフトは、世界中の通信プロバイダーと協力して、主要な Trickbot インフラストラクチャを混乱させました。その結果、オペレーターはこのインフラストラクチャを使用して、Trickbot マルウェアを配布したり、ランサムウェアなどの展開されたペイロードをアクティブ化したりすることができなくなります。

Microsoft は、脅威の状況を積極的に追跡し、脅威アクター、そのキャンペーン、特定の戦術、およびマルウェアの進化を監視しています。私たちはこの情報をコミュニティと共有し、研究を使用して製品を継続的に改善しています。以下では、Trickbot マルウェアの進化、関連する戦術、最近のキャンペーンについて詳しく説明し、私たちが観察した特定の攻撃の構造を掘り下げます。

Trickbot は、2016 年に Dyre の後継として作成され、銀行の認証情報を盗むように設計されたバンキング型トロイの木馬として初めて発見されました。何年にもわたって、Trickbot のオペレーターは大規模なボットネットを構築することができ、マルウェアはサービスとしてのマルウェアで利用可能なモジュラー マルウェアに進化しました。 Trickbot インフラストラクチャは、ボットネットを人間が操作するキャンペーンのエントリ ポイントとして使用するサイバー犯罪者が利用できるようになりました。サイバー犯罪者は、認証情報を盗み、データを盗み出し、ターゲット ネットワークに追加のペイロード (最も顕著なのは Ryuk ランサムウェア) を展開する攻撃を含みます。

Trickbot は通常、時事問題や金銭的なルアーを利用して悪意のあるファイルの添付ファイルを開いたり、悪意のあるファイルをホストしている Web サイトへのリンクをクリックするようにユーザーを誘導する電子メール キャンペーンを介して配信されました。 Trickbot キャンペーンでは通常、悪意のあるマクロ コードを含む Excel または Word ドキュメントが使用されますが、他の種類の添付ファイルも使用されています。キャンペーンは幅広い業種と地理位置情報で観察され、オペレーターは以前のキャンペーンで以前に侵害された電子メール アカウントを頻繁に再利用して、標的を絞り込むことなく電子メールを配信しました。

フィッシング メールに加えて、Trickbot はサーバー メッセージ ブロック (SMB) を介したラテラル ムーブメントを通じて、または Emotet のような他のマルウェアの第 2 段階のペイロードとしても展開されました。 Trickbot が起動されると、オペレーターはそれを利用して、PowerShell Empire、Metasploit、Cobalt Strike などの偵察ツールをインストールしました。これらのツールを使用して、認証情報やネットワーク構成情報を盗んだり、価値の高い資産に横方向に移動したり、悪意のあるペイロードを追加配信したりしました。

Microsoft 365 Defenderからの脅威データは、エンドポイント、電子メールとデータ、ID、およびクラウド アプリからのシグナルを関連付けて、脅威に対する包括的な保護を提供します。Trickbot は、世界中の大企業と中小企業の両方に現れ、そのモジュラーによって間違いなく助けられたことを示しています。その性質と、それが「コモディティ」バンキング トロイの木馬であるという誤解が広まっています。

Trickbot キャンペーンの分析

Trickbot は、世界で最も多作なマルウェア オペレーションの 1 つであり、特定の期間に複数のキャンペーンを展開しています。ある特定のキャンペーンでは、Trickbot オペレーターは、侵害されたいくつかの異なる電子メール アカウントを使用して、何百もの悪意のある電子メールを企業アカウントと消費者アカウントの両方に送信しました。受信者は、さまざまな業種や地理的位置に属しており、特に標的にされたようには見えません。このキャンペーンは、配送とロジスティクスのテーマを使用し、次の件名がありました。

• 出荷領収書
• 配信終了
• 緊急受領コメント
• 重要な領収書のリマインダー
• 必要な申告

電子メールには悪意のある Excel 添付ファイルが含まれており、開くと、ユーザーはマクロを有効にするよう求められました。有効にすると、マクロは悪意のある JScript Encoded (JSE) ファイルをディスクに書き込み、WScript を介して実行されます。 JSE スクリプトは、影響を受けた組織のドメイン コントローラに接続し、いくつかの LDAP クエリを実行して、スキーマやユーザー リストなどの Active Directory に関する情報を収集しました。その後、スクリプトは攻撃者が制御するインフラストラクチャに情報を盗み出しました。このスクリプトは、jscript.encode コマンドを使用してサーバー側とクライアント側の両方のファイルをエンコードし、コンテンツを難読化して検出を回避しました。

次に、JSE ファイルはいくつかの偵察クエリを実行して、デバイスのネットワーク アダプタ、ウイルス対策製品、ドメインの役割、および電子メールに関する情報を取得しました。流出が完了すると、ドロップされた .bat ファイルが 2 つの別個の C2 サーバー (IP アドレスと、別の IP アドレスでホストされているドメイン) との接続を確立しました。 Trickbot は、これら両方の C2 サーバーを使用して、ネットワーク フィルタリング構成を回避しました。 .bat ファイルは、ネットワーク上のドメイン管理者を見つけるために偵察コマンドを実行しました。次に、Greenshot スクリーンショット ツールと Cobalt Strike ビーコンをデバイスにドロップして起動しました。

この時点で、オペレーターが悪意のある電子メールの添付ファイルを開いてからわずか 8.5 時間後に、オペレーターは影響を受けたデバイスを制御できました。その後、オペレーターはフリーウェア ツール ADFind.exe のコピーを開始しました。このツールは、ドメインの構成と組織の情報を収集するだけでなく、検出にも使用されました。次に、この発見中に見つかったデータを .7z ファイルにアーカイブして、後で抽出できるようにしました。

攻撃者はいくつかのコマンドを実行して、ドメイン コントローラーに関する情報を取得し、Kerberos チケットを収集し、SMB ポート 445、NetBIOS 139 でポート スキャンを実行し、複数のサーバー デバイスについて LDAP にクエリを実行しました。収集した情報を使用して、攻撃者は価値の高い可能性があるいくつかのデバイスに ping を実行しました。そこから、彼らは特定のテキスト ファイルとログ ファイルの内容を確認しました。ポート 445 が開いているデバイスを見つけると、彼らは認証に runas /netonly (ログオン イベントの分析を混乱させるために意図的に使用されるログオン タイプ 9) を使用し、デバイス上で対話的にコマンドを実行しました。

認証が完了すると、攻撃者は RDP の設定と資格情報について、関連のない以前のセッションから既存の RDP ファイルを表示しました。そこから、彼らは Trickbot 実行可能ファイルを投下し、Windows Vault および Credentials Manager から資格情報を盗み、Local Security Authority Subsystem Service (LSASS) メモリにアクセスするプロセスを監視して資格情報をダンプする、多くのよく知られたセキュリティ メカニズムを攻撃者が回避できるようにしました。 .bat ファイルを使用して、複数の共有を表示し、追加のサーバーに ping を実行し、いくつかのテキスト ファイルを読み取りました。最後に、攻撃者は収集したすべてのデータを盗み出しました。

攻撃者は、Startup フォルダにある悪意のある .jse ファイルのコピーを介して、ネットワーク内にとどまりました。この .jse ファイルを使用すると、後でこのネットワークに戻り、他のより価値のあるデバイスにログオンして、追加情報を盗んだり、追加のペイロードをドロップしたりすることができます。これは、Trickbot のような「コモディティ マルウェア」に対する包括的な対応の重要性を浮き彫りにしています。最初のバンキング型トロイの木馬の感染はトリアージされ修復される可能性がありますが、人間の敵への侵入経路としての Trickbot を完全に理解していなければ、本当の脅威はネットワークに残ります。

モジュール式のマルチステージ マルウェア

Trickbot は、通常、ラッパー、ローダー、およびメインのマルウェア モジュールで構成される多段階のマルウェアです。常に変化する複数のテンプレートを使用するラッパーは、主要なマルウェア コードが同じままであっても、独自のサンプルを生成することで検出を回避するように設計されています。

ラッパー プロセスが実行されると、そのメモリ内でローダーが完全に実行されます。ローダーは、高度にモジュール化された設計になっています。各関数は、実行前に実行時に復号化され、暗号化されて戻されます。同様に、人間が読める文字列はすべて復号化され、すべての API は実行時に解決されます。一部のシナリオでは、Trickbot は UAC バイパスを使用してプロセスの権限を昇格させます。 64 ビット システムでは、Trickbot は「Heaven’s Gate」手法を使用して 32 ビット コードを 64 ビットに切り替え、64 ビット ローダーがメイン モジュールを中断されたプロセスに挿入する追加のステージを備えています。

ローダーは、メインのマルウェア モジュールをメモリ内で直接実行します。永続化のためにスケジュールされたタスクを作成した後、メインのマルウェア モジュールは構成ファイルを復号化します。この構成ファイルには、次のステップに必要な情報が含まれています。

• コマンド アンド コントロール (C2) サーバーとの HTTPS 通信を確立する
• C2 サーバーからモジュールをダウンロードする
• ダウンロードしたモジュールのステータスを監視する
• メインモジュールとダウンロードモジュール間の通信を同期

モジュールは同様に、中断されたプロセスへのインジェクションを介してメモリ内で実行されます。長年にわたり、Trickbot はさまざまな悪意のある活動に幅広いモジュールを使用してきました。これらには次のものが含まれます。

Trickbot は、侵害されたネットワークのドメイン名や IP 範囲などの情報をオペレーターに送り返します。オペレーターは、これらのネットワークの一部を選択して、追加の悪用および偵察活動を行います。一部のネットワークでは、Trickbot オペレーターが Cobalt Strike などの追加ツールをインストールし、ハンズオン キーボード攻撃に切り替えました。オペレーターがネットワークに足場を築くと、Mimikatz や LaZagne などのツールを使用して追加の資格情報を盗み、BloodHound や ADFind などのツールを使用して偵察アクションを実行しました。攻撃者は、盗んだ資格情報と収集したデータを使用して攻撃を進めるだけでなく、データを盗み出しました。その後、Ryuk ランサムウェアなどの他のペイロードを最終的に配信できるように、ネットワーク上に複数の永続ポイントを残します。

Trickbot の想定されるウイルス対策回避機能については多くのことが行われてきましたが、これは Microsoft Defender ウイルス対策をオフにするために実行される単純な PowerShell コマンドですが、ユーザーが管理者権限を持っている場合にのみこのアクションを実行できます。

最近の顕著な Trickbot キャンペーン

2020 年 6 月に、複数の Trickbot キャンペーンを追跡しました。 Trickbot によくあることですが、一部の電子メール キャンペーンは現在の出来事を利用して、ユーザーに悪意のある添付ファイルをクリックするように仕向けます。これらのルアーには、Black Lives Matter と COVID-19 が含まれます。今年の初めに、Trickbot が COVID-19 をテーマにしたルアーを使用した最も多作なマルウェア操作であると報告しました。他の多くの同時キャンペーンでは、出荷とロジスティクス、請求と支払い、顧客の苦情、さまざまな金融ルアーなど、より一般的なルアーが使用されました。

多くの場合、メールの本文はシンプルですが、件名で使用されているルアーとの一貫性が保たれていました。電子メールには、次のようなさまざまな種類の添付ファイルが使用されていました。

• Word マクロの添付ファイル
• Excel VBA マクロの添付ファイル
• Excel 4.0 マクロの添付ファイル
• Java Network Launch Protocol (.jnlp) 添付ファイル

一部のキャンペーンでは、添付ファイルを削除し、代わりに悪意のあるファイルをホストする Web サイトへの悪意のあるリンクを使用します。

これらすべての電子メールの送信者インフラストラクチャもさまざまでした。ほとんどのキャンペーンで、オペレーターは侵害された正当な電子メール アカウントと侵害されたマーケティング プラットフォームを使用して、悪意のある電子メールを配布しました。ただし、ある例では、オペレーターは「.monster」や「.us」などの人気の低いトップレベル ドメイン (TLD) を使用していくつかのドメインを登録し、独自のメール サーバーを作成して、攻撃者が定義したメール アドレスから悪意のあるメールを送信しました。これらのキャンペーンの少なくとも 1 つで、攻撃者が所有する電子メール送信インフラストラクチャが使用されました。このインフラストラクチャは、後に別のキャンペーンで Dridex マルウェアを配信するために使用されました。 Dridex マルウェアは、CHIMBORAZO (TA505 としても知られる) 犯罪グループに関連していることが知られています。さらに、CHIMBORAZO は、Trickbot を配信するキャンペーンを同時に実行しました。

次の図は、オペレーターが使用するさまざまなキャンペーン、戦術、および手法を示しています。これらの同時キャンペーンとテクニックの複雑さは、これが洗練された活動グループによって実施される調整された専門的な取り組みであることを示しています。

あらゆる種類の脅威に対する拡張された検出と対応

Trickbot に対するアクションは、Microsoft が脅威に対する実際の保護を提供する方法の 1 つです。この措置により、Trickbot インフラストラクチャを介して配信されるマルウェアや人間が操作するキャンペーンから、金融サービス機関、政府、医療、その他の業種を含む幅広い組織を保護することができます。

最近リリースされたMicrosoft Digital Defense Reportでは、あらゆるスキル セットのサイバー犯罪者が、コモディティの脅威はビジネスへの影響が少ないという認識を利用していると指摘しました。 Trickbot は、この仮定が時代遅れであることの証明であり、組織は、Trickbot やその他のマルウェア感染を、それ自体が広範囲に損害を与える脅威として扱い、対処する必要があります。

Microsoft 365 Defenderは、一般的なマルウェアから、Trickbot のような高度にモジュール化された多段階の脅威、および国家レベルの攻撃まで、あらゆる種類の脅威からお客様を保護するために、ID、エンドポイント、クラウド アプリ、電子メール、およびドキュメント。 Microsoft Defender for Office 365は、電子メール キャンペーン内の悪意のある添付ファイルとリンクを検出します。 Microsoft Defender for Endpointは、Trickbot マルウェアとすべての関連コンポーネント、およびエンドポイントでの悪意のあるアクティビティを検出してブロックします。 Microsoft Defender for Identityは、疑わしいユーザー アクティビティと侵害された ID を特定して検出します。

この幅広いクロスドメインの可視性により、Microsoft 365 Defender はシグナルを関連付け、攻撃チェーンを包括的に検出して解決できます。その後、セキュリティ運用チームは、Microsoft 365 Defender の豊富なツール セットを使用して、脅威をさらに探し、ネットワークを侵害から強化するための洞察を得ることができます。

Microsoft 365 Defender 脅威インテリジェンス チーム

Microsoft 365 Defender 研究チーム

デジタル犯罪対策課 (DCU)

検知および対応チーム (DART)

私たちに話してください

この話に関する質問、懸念、または洞察はありますか? Microsoft 365 Defender 技術コミュニティでのディスカッションに参加してください。

Microsoft セキュリティ インテリジェンスのブログ投稿をすべてお読みください。

Twitter @MsftSecIntelでフォローしてください。