2017 年以来、Mandiant は FIN13 を追跡してきました。FIN13 は、2016 年にさかのぼる活動の時間枠でメキシコで長期的な侵入を行っている、勤勉で用途の広い金銭目的の攻撃者です。FIN13 の活動には、サイバー犯罪データの現在の傾向とはいくつかの顕著な違いがあります窃盗とランサムウェア恐喝。
その活動は今日まで続いていますが、多くの点で、FIN13 への侵入は、昔からの伝統的な金融サイバー犯罪のタイム カプセルのようなものです。今日蔓延しているひき逃げのランサムウェア グループの代わりに、FIN13 は時間をかけて情報を収集し、不正な送金を行います。ほとんどの FIN13 の侵入では、Cobalt Strike のような攻撃フレームワークに大きく依存するのではなく、長期的な環境に潜むカスタム パッシブ バックドアとツールを多用しています。このブログでは、FIN13 の活動の注目すべき側面について説明し、さらなる調査に値するサイバー犯罪者の地域エコシステムを強調します。
FIN13の目的
2017 年半ば以降、Mandiant は FIN13 に起因する複数の調査に対応してきました。金銭的に動機付けられた他のプレイヤーとは異なり、FIN13 は非常に的を絞ったターゲットを持っています。 Mandiant の 5 年以上にわたる侵入データは、FIN13 がメキシコを拠点とする組織のみを対象として活動しており、特に金融、小売、ホスピタリティ業界の大規模組織を標的にしていることを示しています。公開されている財務データのレビューによると、これらの組織のいくつかは、数百万ドルから数十億ドルの年間収益を上げています (2021 年 12 月 6 日現在、1 米ドル = 21.11 MXN)。
FIN13 は、被害者のネットワークを徹底的にマッピングし、資格情報を取得し、企業文書、技術文書、財務データベース、その他のファイルを盗み、被害者組織からの不正な資金移動を通じて金銭的利益を得るという目標をサポートします。
滞留時間と運用寿命
Mandiant の調査によると、FIN13 の滞留時間の中央値 (サイバー侵入の開始からその識別までの期間として定義) は 913 日または 2.5 年でした。経済的動機を持つアクターの長期在職期間は、多くの要因により異常で重要です。 2021 年の Mandiant M-Trends レポートでは、エンゲージメントの 52% の滞留時間が 30 日未満で、2019 年の 41% から改善されました。「滞留時間が 30 日以下のインシデントの割合が増加した主な要因は2019 年の 14% から 2020 年には 25% に増加した、ランサムウェアに関連する調査の割合の継続的な増加です。」ランサムウェア調査の滞留時間は数日で測定できますが、FIN13 は通常、最もステルスな操作を実行し、可能な限り最高の報酬を得るために環境に何年も存在します。
Mandiant は、Mandiant の Managed Defense および Incident Response チームによる直接の調査を含む、さまざまなソースから脅威アクターの活動を集約します。 Mandiant が追跡している金銭目的の活動の 850 を超えるクラスターのレビューで、FIN13 は、2013 年から 2019 年にかけてカナダで起きた惨劇であるFIN10だけと説得力のある統計を共有しています。複数の侵入を追跡し、1 つの国の組織を標的にしました。
グループの特定されたアクティビティ (「運用期間」) の最も古い日付と最新の日付を考慮すると、データは興味深いものになります。 Mandiant が追跡している金銭目的の脅威グループのほとんどは、活動期間が 1 年未満です。運用寿命が 1 年から 3 年であるのは 10 社のみです。耐用年数が 3 年を超えるものは 4 つです。これら 4 つのうち、5 年以上運用されているのは FIN10 と FIN13 の 2 つだけで、Mandiant はこれをまれだと考えています (図 1)。
FIN13 は、大規模で収益性の高いメキシコの組織のネットワークで、かなりの期間、ステルス性を維持できることが証明されています。
Mandiant の標的型攻撃のライフサイクル
標的型攻撃は通常、予測可能な一連のイベントに従います。付録 A では、Mandiant の標的型攻撃のライフサイクルに関する追加情報を提供します。これは、典型的な侵入の主な段階を示しています。すべての攻撃がこのモデルの正確な流れに従うわけではありません。その目的は、攻撃のライフサイクルを視覚的に表現することです。
プレゼンスを設定する
Mandiant の調査によると、FIN13 は主に外部サーバーを悪用して、BLUEAGAVE や SIXPACK などの一般的な Web シェルやカスタム マルウェアを展開し、プレゼンスを確立していたことが明らかになりました。何年にもわたって標的にされてきたエクスプロイトと特定の脆弱性の詳細は、FIN13 の長い滞留時間と相まって証拠が不十分であるため、確認されていません。 2 つの別々の侵入で、初期の証拠は、被害者の WebLogic サーバーに対するエクスプロイトの可能性を示唆し、一般的な Webshell を作成しました。別のケースでは、Apache Tomcat の悪用を示唆する証拠がありました。正確なベクトルの詳細は不明ですが、FIN13 はこれまで、被害者へのゲートウェイとして、外部サーバー上の Web シェルを使用してきました。
FIN13 がJSPRATを使用することで、攻撃者はローカル コマンドの実行、ファイルのアップロード/ダウンロード、および侵入の後の段階で追加のピボットを行うためのプロキシ ネットワーク トラフィックを実現できます。 FIN13 は歴史的に、PHP、C# (ASP.NET)、Java など、さまざまな言語でコーディングされた公開されている webshell を使用してきました。
FIN13 はまた、環境内で最初の存在を確立することにより、ターゲット ホストに BLUEAGAVE PowerShell パッシブ バックドアを広く実装しました。 BLUEAGAVEは HttpListener.NET クラスを使用して、ハイ エフェメラル ポート (65510 ~ 65512) にローカル HTTP サーバーを設定します。バックドアは、ルート URI または設定されたポートへの受信 HTTP 要求をリッスンし、HTTP 要求を解析し、Windows コマンド プロンプト ( cmd.exe) を介して、要求の「kmd」変数内に保存されている URL エンコード データを実行します。このコマンドの出力は、HTTP 応答の本文でオペレーターに返されます。さらに、Mandiant は FIN13 を Linux システム上で確立できるようにする BLUEAGAVE の Perl バージョンを特定しました。 BLUEAGAVE の PowerShell コードの例を次に示します (図 2)。
|
Mandiant は、アクティブ ビーコンをコマンド アンド コントロール サーバーに送信せずに被害者の環境へのアクセスを提供するマルウェアとしてパッシブ バックドアを分類します。パッシブ バックドアには、特定のプロトコルを使用して着信接続を受け入れたりリッスンしたりする Web シェルやカスタム マルウェアが含まれる場合があります。 FIN13 が BEACON のような一般的に使用されるアクティブなバックドアではなく、パッシブなバックドアを使用していることは、攻撃者がステルスと長期にわたる持続的な侵入を望んでいることを示しています。 FIN13 はまた、被害者のネットワークに関する積極的な知識を維持しているため、最初の基点からターゲット環境に複雑なピボットを効果的に作成することができます。最近の侵入の際、Mandiant は、FIN13 が最初の基盤を利用して複数の Webshell を連鎖させ、環境内の BLUEAGAVE に感染したホストにトラフィックを送信していることを確認しました。以下の図 3 は、ログに記録された HTTP 要求の例です。これは、FIN13 が最初のベースから複数の webshell を連鎖させていることを示しています。
|
権限昇格
FIN13 は主に一般的な権限昇格手法を使用しますが、攻撃者は、さまざまな被害者ネットワークにさらされたときに柔軟に適応できるように見えます。 FIN13 は、Windows Sysinternal のProcDumpなどの公開ユーティリティに依存して、LSASS システム プロセスのメモリ ダンプを取得し、その後、Mimikatz を使用してダンプを分析し、資格情報を抽出しました。以下は、FIN13 が LSASS プロセス メモリをダンプするために使用するホスト コマンドの例です (図 4)。
|
Mandiant はまた、FIN13 が正規の Windows certutil ユーティリティを使用し、場合によっては検出回避のために ProcDump などの難読化されたユーティリティのコピーを実行していることも確認しています。あるハッキングでは、FIN13 が certutil を使用して、base64 でエンコードされたバージョンのLATCHKEYカスタム ドロッパーをデコードしました。 LATCHKEY は、コンパイル済みの PowerShell to EXE (PS2EXE) ドロッパーであり、ディスク上の LSASS システム プロセスのミニダンプを生成するPowerSploit Out-Minidump 関数を base64 でデコードして実行します。
FIN13 では、さらに独自の権限昇格手法もいくつか使用されています。たとえば、最近の侵入の際、Mandiant は FIN13 が正規の KeePass バイナリをトロイの木馬化されたバージョンに置き換え、新しく入力されたパスワードをローカルのテキスト ファイルに記録したことを観察しました。これにより、FIN13 はその使命を推進するために、多数のアプリケーションの資格情報をターゲットにして収集することができました。以下は、FIN13 によってクライアント環境に実装された KeePass のトロイの木馬化されたバージョンからのコードの抜粋です (図 5)。
|
内部認識
FIN13 は、ネイティブのオペレーティング システム バイナリ、スクリプト、サードパーティ ツール、およびカスタム マルウェアを活用して、侵害された環境内で内部偵察を実行することに特に長けています。このアクターは、さまざまなテクニックを駆使して、最終的な目標をサポートする背景情報をすばやく収集しているようです。
Mandiant は、FIN13 が一般的な Windows コマンドを使用して whoami などの情報を収集し、現在ログインしているユーザーのグループと権限の詳細を表示することを確認しました。ネットワーク偵察のために、ping、nslookup、ipconfig、tracert、netstat、および net range コマンドを利用することが観察されています。ローカル ホスト情報を収集するために、脅威アクターは、systeminfo、fsutil fsinfo、attrib、および dir コマンドの広範な使用を使用しました。
FIN13 は、そのプロセスを自動化するために、これらの偵察作業の多くをスクリプトに組み込みました。たとえば、pi.bat を使用してファイル内の IP アドレスのリストを反復処理し、ping コマンドを実行して、出力をファイルに書き込みました (図 6)。同様のスクリプトで dnscmd を使用して、ホストの DNS ゾーンをファイルにエクスポートしました。 .
|
FIN13 は、 NMAPなどのサードパーティ製ツールを活用して、偵察操作をサポートしています。 FIN13 の 3 つの調査で、攻撃者はGetUserSPNS.vbsスクリプトの亜種を使用して、サービス プリンシパル名に関連付けられたユーザー アカウントを特定しました。このユーザー アカウントは、ユーザー パスワードをクラックするための「Kerberoasting」として知られる攻撃の標的となり得るものでした。また、PowerShell を使用して追加の DNS データを取得し、ファイルにエクスポートします (図 7)。同様の PowerShell コードが、coderoad[.]ru の 2018 年 6 月の投稿に記載されています。
|
別のケースでは、FIN13 は PowerShell スクリプトを実行して、過去 7 日間のホストからログイン イベントを抽出しました。情報を収集し、FIN13 をターゲット システムの通常の運用に統合できるようにするために使用された可能性があります。さらに、このスクリプトは、対応するイベント 7002 がないログイン ユーザー、イベント 7001 を識別するのに役立ちます。これは、LSASS ダンプがユーザー資格情報を取得できることを示唆しています (図 8)。同様の PowerShell コードが、codetwo[.]com の 2018 年 7 月の投稿に記載されています。
|
さらに、FIN13 は企業のインフラストラクチャを利用して偵察活動を行っています。調査中、FIN13 はターゲットの Symantec Altiris Console (ハードウェアとソフトウェアの管理プラットフォーム) にアクセスし、ホストとネットワークの情報を取得するために、インターフェース上の既存の Run Script タスクを繰り返し変更しました。別の調査では、FIN13 は侵害された LanDesk アカウントを使用してコマンドを実行し、環境からホスト、ネットワーク、およびデータベース情報を返しました。
FIN13 は、公開されているツールだけでなく、さまざまなカスタム マルウェア ファミリを使用して内部偵察を支援しています。 FIN13 は 3 つの調査で、Java ベースのポート スキャナーである PORTHOLE を使用してネットワーク調査を実施しました。 PORTHOLEは、多くの IP アドレスとポートに対して複数のソケット接続を試みることができます。また、マルチスレッドであるため、重複する可能性のある複数の接続を使用して、この操作を迅速に実行できます。マルウェアは、最初の引数として、アドレスまたはファイル名にワイルドカードを含む IP アドレスを受け入れます。 2 番目の引数は各 IP をスキャンする開始ポート範囲で、3 番目は終了ポート範囲です。
CLOSEWATCHは、特定のポートを介してローカル ホスト上のリスナーと通信し、被害者のオペレーティング システムに任意のファイルを書き込み、被害者のホストで任意のコマンドを実行し、プロキシを無効にし、リクエストを発行する JSP Web シェルです。リモートホストの。適切な HTTP URL パラメータが指定されている場合、CLOSEWATCH はポート 16998 でローカル ホストへのソケット接続を作成できます。この接続では、チャンク転送エンコーディングを使用した HTTP のような通信を使用してデータを送受信できます。 range パラメータが指定されている場合、CLOSEWATCH はカスタム パラメータを使用して IP アドレスとポートの範囲をスキャンできます。このマルウェアは、FIN13 の最初の調査の 1 つで確認されました。サンプルは最近パブリック リポジトリに出現しましたが、このマルウェアは最近の調査では確認されていません。単なる偵察ツールではありませんが、CLOSEWATCH の範囲パラメーターは FIN13 に別のスキャン機能を提供します。
FIN13 は Microsoft の osql ユーティリティを実行することが知られていますが、SQL 調査のために、 Mandiantが SPINOFF として追跡する別の JSP Webshell も利用しています。 SPINOFF は、特定のデータベースに対して任意の SQL クエリを実行し、結果をファイルにダウンロードできます。 CLOSEWATCH と同様に、このマルウェアは初期の調査で蔓延していました。
Mandiant が DRAWSTRING として追跡するダウンローダには、いくつかの内部偵察機能があります。主に FIN13 に任意のファイルをダウンロードして実行する機能を与える一方で、DRAWSTRING は systeminfo.exe も実行し、その情報をコマンド アンド コントロール (C2) サーバーにアップロードします。マルウェアは起動時に、サービス、.lnk ファイル、または SoftwareMicrosoftWindowsCurrentVersionRun レジストリ キーの更新のいずれかの方法で永続性を作成します。マルウェアは多数のウイルス対策プロセスをチェックし、見つかった場合は永続化方法を変更します。
次に、マルウェアは次の 2 つのコマンド (図 9 と図 10) を実行します。ここで、%s はプログラムの名前に置き換えられます。
|
この Add-MpPreference コマンドは、Windows Defender の設定を変更し、リアルタイム スキャンとスケジュール スキャンから除外するファイル パスを指定します。
|
このコマンドは、DRAWSTRING 発信通信を許可する Windows ファイアウォールに新しい規則を追加します。
このマルウェアは、systeminfo.exe を実行してシステム情報を収集し、ユーザー名、コンピューター名、システム パッチ情報、プログラム ファイル ディレクトリ リスト、およびアーキテクチャが暗号化され、base64 でエンコードされます。次に、DRAWSTRING は、キャプチャしたシステム データを使用して、ポート 443 経由で HTTP POST 要求を行います。この通信はポート 443 を使用しますが、データは TLS/SSL 経由ではなく、暗号化されません。マルウェアは C2 への接続を 10 回試行し、各ラウンドの間に 10 秒間スリープします。応答は復号化され、保存され、実行されます。
呼び出しの例を図 11 に示します。Mandiant は、FIN13 が DRAWSTRING と GOTBOT2 C2 に同じ IP アドレスを使用していることを確認しました。
|
横移動
このグループは、多くの場合、 Windows Management Instrumentation (WMI) を利用してコマンドをリモートで実行し、横方向に移動します。つまり、ネイティブの wmic コマンド、公開されているバージョンのInvoke-WMIExecスクリプト、またはWMIEXECを使用します。以下は、FIN13 で使用される WMIC コマンドの例です (図 12)。
|
FIN13 が wmiexec.vbs を使用したのと同じ調査で、Mandiant は、攻撃者が BUSTEDPIPE と呼ばれるカスタム JSP Webshellトンネラーを使用して、Web リクエストを介したラテラル ムーブメントを容易にしていることも確認しました。
Mandiant はまた、FIN13 がマネージド ディフェンス クライアントでInvoke-SMBExec PowerShell ユーティリティなどの Invoke-WMIExec に類似したユーティリティを使用していることも確認しています。以下は、FIN13 で使用される Invoke-SMBExec コマンドの例です (図 13)。
|
NIGHTJARは、複数の調査で観察された Java ローダーであり、 ここで見つかったコードに基づいているようです。 NIGHTJAR は、実行時にコマンド ラインで指定されたソケットをリッスンし、ファイルをダウンロードしてディスクに保存します。このマルウェアには持続性メカニズムが含まれておらず、C:WindowsTemp または C:inetpubwwwroot ディレクトリで確認されています。コマンド ライン構文の 2 つのバージョンが確認されています (図 14)。
|
|
プラットフォーム間を横方向に移動するために、FIN13 は BLUEAGAVE Webshell と、特定のユーザー名とパスワードを使用して SSH 経由で Linux システム間でコマンドをリモートで実行するために使用された他の 2 つの小さな PHP Webshell を使用しました。これらの Webshell の 1 つのスニペットを以下の図 16 に示します。
|
存在感を維持する
最初の FIN13 の侵入では、持続性のために複数の汎用 Web シェルが関与していましたが、FIN13 は何年にもわたって、環境内での持続性に使用するカスタムおよび公開されている両方のマルウェア ファミリのポートフォリオを開発してきました。
複数のハッキングで、FIN13 はSIXPACKとSWEARJARを実装しました。 SIXPACK は、トンネラーとして機能する C# で記述された ASPX Webshell です。 SIXPACK は、接続先のリモート ホストと TCP ポート、タイムアウト値、指定されたホストへの接続後に送信する Base64 エンコード データを含む HTTP フォーム データを受け入れます。 SIXPACK は応答データを読み取り、それを元のクライアントに返します。 SWEARJAR は、シェル コマンドを実行できる Java ベースのクロスプラットフォーム バックドアです。
あるケースでは、FIN13 はMAILSLOTと呼ばれるバックドアを実装しました。このバックドアは SMTP/POP over SSL を介して通信し、攻撃者がコマンド アンド コントロールのために制御する設定済みの電子メール アカウントとの間で電子メールを送受信します。 MAILSLOT により、FIN13 は、攻撃者が C2 に電子メール通信を使用するまれなケースになります。
また、クライアント モードまたはサーバー モードで動作し、TCP を介してカスタム バイナリ プロトコルと通信できる C/C++ で記述されたトンネラーである HOTLANE と呼ばれるカスタム Mandiant ユーティリティも使用しています。
カスタム マルウェアに加えて、FIN13 はGOBOT2バックドアやTINYSHELLなどの公開されているマルウェアを使用しています。
攻撃者が使用する公に入手可能な単一のユーティリティはPHPSPY ベースの PHP Webshell であり、 Mandiantによって SHELLSWEEP として追跡され、クレジット カード情報を取得する機能が含まれていました。次の図には、PHP Webshell のスニペットが含まれています (図 17)。
|
バックドアを永続的に実行するために、FIN13 は C:WINDOWShosts.exe にあるファイルを実行するように構成された HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunhosts などの Windows レジストリ実行キーを使用しました。彼らはまた、acrotryr や AppServicesr などの名前のスケジュールされたタスクを作成し、C:Windows ディレクトリで同じ名前のバイナリを実行しました。
ミッションを完了する
多くの組織がランサムウェアに殺到していますが、FIN13 は標的型データの窃盗を通じて侵入を収益化し、不正なトランザクションを可能にします。 FIN13 は、LSASS プロセス ダンプやレジストリ キーなど、一般的に標的にされたデータを盗み出しましたが、最終的には、財務目標を達成するために強力なユーザーを標的にしました。ある侵入で、FIN13 は被害者の財務システムのすべての主要なユーザーと役割を具体的にリストしました。その後、FIN13 は、POS や ATM ネットワークなど、ネットワークの機密性の高い部分に移動し、さまざまな非常に特殊なデータを盗み出す可能性がありました。
被害者の 1 人では、POS システムでの送金を容易にするために一般的に使用されているソフトウェアである Verifone に関連するファイルが FIN13 によって抽出されました。少なくとも 1 つのケースでは、FIN13 は POS システムのベース フォルダ全体を盗み出しました。これには、ファイルの依存関係、レシートの印刷に使用される画像、効果音に使用される .wav ファイルが含まれていました。別の被害者では、FIN13 が被害者の ATM ソフトウェアの依存ファイルを同様に盗みました。金融取引のために重要なシステムから盗まれた情報は、不正行為の可能性のある経路を明らかにするために使用される可能性があります。
また、FIN13 はデータベースとやり取りして、財務上の機密情報を収集しました。被害者のデータベースで、FIN13 は抽出のために次のテーブルの内容を取得しました。
- 「claves_retiro」(英訳「引き出しキー」)
- 「codigos_retiro_sin_tarjeta」(英訳「キーレスカード出金コード」)
- 「retirosefectivo」(英訳「現金引き出し」)
宝物を手にした FIN13 は、Windows certutil ユーティリティを使用して入力ファイルから Base64 でエンコードされた偽の証明書を生成することで、保存されているデータを偽装しました。証明書にはアーカイブ ファイルの内容が含まれていました (図 18)。これは、次のような通常の証明書の開始ステートメントと終了ステートメントを使用して、抽出用に準備されています。
|
その後、FIN13 は、以前に環境に実装された Web シェルを介して、または単純な JSP ツール (図 19) を使用して、次のような Web アクセス可能なディレクトリにデータを抽出しました。
|
FIN13 は、不正な取引を助長する可能性のある特定のデータを標的にしていましたが、FIN13 が盗んだ情報をどのように利用したかを直接目撃できるとは限りませんでした。被害者の 1 人から、GASCAN と呼ばれるツールを取得することができました。
GASCAN は Java ベースのマルウェアで、POS データを処理し、特別に細工されたメッセージをコマンド ラインで指定されたリモート サーバーに送信します。送信されたデータには、 2 つの異なる ISO 8583 メッセージ タイプのいずれかに対応する値が含まれており、ISO 8583 詐欺トランザクションの構築に使用できます。最初のメッセージ タイプ 0100 は、承認メッセージに対応するデータを示し、存在するかどうかを判断するために使用されます。特定の口座で利用可能な資金。最初のメッセージを受信した後、C2 サーバーは文字列「Approved」を含むバッファーを返します。 2 番目のタイプのメッセージである 0200 には、財務要求メッセージに使用されるデータが含まれており、特定のアカウントに請求を転記するために使用されます。 2 番目のメッセージ構造には、「金額」と呼ばれるフィールドが含まれます。 「金額」の値は、2000 から 3000 の間でランダムに生成された数値を返す内部関数を使用して計算され、2 番目のメッセージで送信されたトランザクションの金額として使用されます。送信された情報に基づいて、指定されたリモート サーバーが、不正なトランザクション用の ISO 8583 メッセージのフォーマットと送信を担当している可能性があります。
GASCAN のサンプルは、被害者の環境と、組織が使用する POS システムから期待されるデータに合わせて調整されています。同じ被害者が、短期間に 1,000 件を超える不正取引を警告され、合計で数百万ペソまたは数十万米ドルに上ります。
パノラマ
サイバー犯罪活動の複雑なネットワーク、仮想通貨に転向する伝統的な組織犯罪、北朝鮮からの攻撃的な攻撃、 中国のスパイ活動、ランサムウェアのパンデミックなど、ラテンアメリカのサイバースペースは、今後数年間、さらなる調査の対象となるでしょう。今年初めにProofpointとESETによって指摘されました。
特に、ランサムウェアはサイバー犯罪者の時代精神を捉えていますが、Mandiant は、このブログの時点で、FIN13 が侵入にランサムウェアを展開していることを確認していません。 FIN13 は、より伝統的で金銭目的のサイバー犯罪を標的にしており、その運用全体で Linux および Windows システムを標的にしています。ラテンアメリカの犯罪者も、主にランサムウェアの実行に移行するのか、それとも詐欺を追求し続けるのかはまだわかりません.
ラテンアメリカのセキュリティ チームとエグゼクティブは、これらの脅威を認識し、現在の体制を評価し、それに応じて適応する必要があります。 Mandiant は、これらの組織がより広範な業界と協力してこれらの脅威を軽減し続けることを奨励しています。 Mandiant のメキシコおよび世界中のインシデント対応、戦略的準備、および技術保証コンサルタントのチームは、これらの取り組みを支援する準備ができています。
詳しくは
すでに登録? FIN13 レポート、 SWEARJARマルウェア プロファイル、その他のバックドア レポートをお読みください。
侵害の兆候
ファミリア・デ・マルウェア |
MD5 |
SHA1 |
SHA256 |
クローズウォッチ |
1c871dba90faeef9cb637046be04f291 |
ea71757fcd45425353d4c432f8fcef4451cd9b22 |
e9e25584475ebf08957886725ebc99a2b85af7a992b6c6ae352c94e8d9c79101 |
巾着 |
f774a1159ec25324c3686431aeb9a038 |
1f53342aaa71be3d25e6c28dd36f949b7b504a28 |
2d2a67fcce58c73e96358161e48e8b09fa2b171c837d7539c22461e46c47656c |
巾着 |
9a6993ee1af31dc386be4583dd866bfc |
67c7469aaaf352705ec66c3bb73366c77cf3577c |
77b4da7f513b7bf555e34fd6450a43e869ec9aa037c0e274ace81ae3d9cda94f |
呼び出し-SMBExec |
9e484e32505758a6d991c33652ad1b14 |
16a71f2ffc1bb24b2862295072831b698ae38f3a |
674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd |
呼び出し-WMIExec |
081beadd4dc5f070c087df82df22179c |
ca0cc3d624be7a2933413e8d7440374b25eae1bd |
b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7 |
GOBOT2 |
384fea272567d924c2a256ce9e91d949 |
0ae8dd21ce229884519cb8e5ed6b2753a18a7ead |
d961148e97857562b9cf06a0e2d154352338d60d375f9b48f61e9f26480e443b |
ホットレーン |
b451fe96ab76cf676cf22a258fdb38ce |
8c8ad56ec08a4b23e0593c3d578fd7e23dc45211 |
4b1b1fd688a5bf4e27a4e62a56b67e1c45536603c8ecdefe88a3b0ff37cec798 |
ホットレーン |
94642e317bdbcc5d216aa730ae851a05 |
adca9b2d2e9e1c2cfbeb2f730894bf5ba54acad8 |
906b0e99850448a45ab3de4115954d5ff02b6edd4c2b0f5d59f40045f668246c |
JSPRAT |
ab2dbe55a54368e0ba4c9a4abe71b47b |
7439a49cd10616a7c9d649120dfba7eca7f224b8 |
c7740484dba2eaac5f3455596df3b8f9c127a9d6f50268bc3375afbff3c6020e |
JSPRAT |
a4cff691eda32dc11a621d9731fcea73 |
75b58a5fef77886d697041cfab5c3d6beda21661 |
efce809b03fe30765837e99bdfa6766d4506f9ba8351ec611979ce16f841e1ac |
JSPRAT |
8a8597d1bfa42229224c46e38ebed07b |
5fc73458f617a7fb12d3c769ea07f5ec61e12153 |
ba5f9281ac9a9bc7c4684dd96603e033f133c26482734b27be4b6f4b5f74f5ad |
JSPRAT |
34a8ac7dfc5ce7b4a1992abdb5e0fa15 |
12f6c27f400e85fb8f075ff7b17f475a383b4499 |
db3bda73338c164d523c0ab27e774f81921d5ab6518ef667fffd10edf169bfbd |
ラッチキー |
0b26021f37f01f00cc6cf880bd3d7f68 |
4ab56883ddcb3d3e9af22aa73898d5ca7d2250a6 |
b23621caf5323e2207d8fbf5bee0a9bd9ce110af64b8f5579a80f2767564f917 |
メールスロット |
5fe987a61b88e34102002a1f13cfee3d |
28333822aab1eeebfb299c845b32a2fa17e7747d |
5e59b103bccf5cad21dde116c71e4261f26c2f02ed1af35c0a17218b4423a638 |
ミミカッツ |
d7af79c4533e3050c47044e41c90e829 |
463a36c5fb8c8dffc659f9d1eb4509d8f62816e7 |
c1fb986e7f6fde354382d7b46460fb9af799a0abbac4c179ca9b3f56aadc7f98 |
ナイトジャー |
b130215dd140fa47d06f6e1d5ad8e941 |
28427a2778731b3b247edf6a576b8149e9784d28 |
fa6f93ef0bb35a9dad1a5e60105c7110da3a2f8bd37a4ae3bff7f1a1c61b2720 |
ナイトジャー |
86327a5429ca8c58685a310b98d1be95 |
e92c1a2f03f5895889313c8e8f4fea1aa6f24652 |
5ece301c0e0295b511f4def643bf6c01129803bac52b032bb19d1e91c679cacb |
舷窓 |
f4b56e8b6c0710f1e8a18dc4f11a4edc |
2e309fa21194a069feb02ff0cd9cafe06d84f94d |
84ac021af9675763af11c955f294db98aeeb08afeacd17e71fb33d8d185feed5 |
舷窓 |
33c22962e43cef8627cbc63535f33fce |
72906cec6bc424f8a9db5ca28ece2d2d2200dba2 |
61257b4ef15e20aa9407592e25a513ffde7aba2f323c2a47afbc3e588fc5fcaf |
PROCDUMP |
42539491f0e4fe145b9ed7d002bcb9ae |
ddebbf15665986402e662947c071979329dd1a71 |
2f1520301536958bcf5c65516ca85a343133b443db9835a58049cd1694460424 |
PROCDUMP |
a92669ec8852230a10256ac23bbf4489 |
4bed038c66e7fdbbfb0365669923a73fbc9bb8f4 |
16f413862efda3aba631d8a7ae2bfff6d84acd9f454a7adaa518c7a8a6f375a5 |
6パック |
863ead7a592b47d7547ab7931c935633 |
f7cc106b208a9c3e4d630627954489dd2b0d5bda |
a3676562571f48c269027a069ecb08ee08973b7017f4965fa36a8fa34a18134e |
振り落とす |
9e0563caa00582c3aa4bf6c41d9f9c46 |
4716aeb3076a6b0fd00ec9f5144747270407dcc1 |
4029788b2cb65282f4264283a359710988380bce22ed67788c8d978b28e0aea9 |
スウェアジャー |
f50efee758de4aa18f0ce9459d5722f4 |
13dfe71b95d3932ca4e39b84e6ded5086abe2b60 |
1e675e32ebb61b6259b0df978e3ffa02695ef120f8a2a5639f2ae18e14fd1a4d |
スウェアジャー |
9340e6fc1d6d6b0379ab1583ccc2a0b1 |
b0caaf26e52168cb839f12ba499ff1602ce8191b |
0463fa109106363b4c87c8909bfcc4bf3ce238566173359108b0a5ae5d749be2 |
スウェアジャー |
6488086b07a36a2842df5b5451b3640b |
dda98668eda22cf20897960fc8ffc964ae415582 |
2f23224937ac723f58e4036eaf1ee766b95ebcbe5b6a27633b5c0efcd314ce36 |
スウェアジャー |
2e9ae2864d368ed1e6747ba28440ba5c |
8bfd968026b4268ba7d205871e329717aec2def8 |
e76e0a692be03fdc5b12483b7e1bd6abd46ad88167cd6b6a88f6185ed58c8841 |
タイニーシェル |
428b47caf74ce986bc3688262355d5b7 |
dadb1cc49fa8fa577bb6d09e15639ab54dd46c18 |
0dd4d924c9069992dd7b3e007c0f3ca149b7fb1ce0dfb74b37c7efc6e1aebb46 |
WMIEXEC |
dc78c63a267ef5f894e99aa1e6bfe888 |
75c728ec83c65348e51ef1e63915a2415886bc9f |
0e141b51aa20f518a79185f835491eba65998301eff03133a2969510798bc674 |
MITRE ATT&CK の技術
Mandiant のセキュリティ検証アクション
組織は、Mandiant Security Validationを使用して次のことを行うことで、セキュリティ コントロールを検証できます。
ぶどうの木 |
名前 |
A102-144 |
コマンドアンドコントロール – FIN13、DRAWSTRING、C2通信 |
A104-905 |
ホスト CLI – FIN13、DRAWSTRING、スキャンから除外 |
A104-906 |
ホスト CLI – FIN13、DRAWSTRING、netsh を使用して通信を許可する |
A104-907 |
ホスト CLI – FIN13、レジストリ キーを使用した永続性 |
A104-908 |
ホスト CLI – FIN13、スケジュール タスクを使用した持続性 |
A102-119 |
悪意のあるファイル転送 – FIN13、CLOSEWATCH、ダウンロード、亜種 #1 |
A102-120 |
悪意のあるファイル転送 – FIN13、DRAWSTRING、ダウンロード、亜種 #1 |
A102-121 |
悪意のあるファイル転送 – FIN13、DRAWSTRING、ダウンロード、亜種 #2 |
A102-122 |
悪意のあるファイル転送 – FIN13、GOBOT2、ダウンロード |
A102-123 |
悪意のあるファイル転送 – FIN13、JSPRAT、ダウンロード、亜種 #1 |
A102-124 |
悪意のあるファイル転送 – FIN13、JSPRAT、ダウンロード、亜種 #2 |
A102-125 |
悪意のあるファイル転送 – FIN13、JSPRAT、ダウンロード、亜種 #3 |
A102-126 |
悪意のあるファイル転送 – FIN13、JSPRAT、ダウンロード、亜種 #4 |
A102-127 |
悪意のあるファイル転送 – FIN13、LATCHKEY、ダウンロード |
A102-128 |
悪意のあるファイル転送 – FIN13、MAILSLOT、ダウンロード |
A102-129 |
悪意のあるファイル転送 – FIN13、MIMIKATZ、ダウンロード |
A102-130 |
悪意のあるファイル転送 – FIN13、NIGHTJAR、ダウンロード、亜種 #1 |
A102-131 |
悪意のあるファイル転送 – FIN13、NIGHTJAR、ダウンロード、亜種 #2 |
A102-132 |
悪意のあるファイル転送 – FIN13、PORTHOLE、ダウンロード、亜種 #1 |
A102-133 |
悪意のあるファイル転送 – FIN13、PORTHOLE、ダウンロード、亜種 #2 |
A102-134 |
悪意のあるファイル転送 – FIN13、SIXPACK、ダウンロード |
A102-135 |
悪意のあるファイル転送 – FIN13、SPINOFF、ダウンロード |
A102-136 |
悪意のあるファイル転送 – FIN13、SWEARJAR、ダウンロード、亜種 #1 |
A102-137 |
悪意のあるファイル転送 – FIN13、SWEARJAR、ダウンロード、亜種 #2 |
A102-138 |
悪意のあるファイル転送 – FIN13、SWEARJAR、ダウンロード、亜種 #3 |
A102-139 |
悪意のあるファイル転送 – FIN13、SWEARJAR、ダウンロード、亜種 #4 |
A102-140 |
悪意のあるファイル転送 – FIN13、TINYSHELL、ダウンロード |
A102-141 |
悪意のあるファイル転送 – FIN13、WMIEXEC、ダウンロード |
A102-142 |
悪意のあるファイル転送 – HOTLANE (UPX unpacked)、ダウンロード |
A102-143 |
悪意のあるファイル転送 – HOTLANE、ダウンロード、UPX パック |
A104-909 |
保護された劇場 – FIN13、GOBOT2、処刑 |
ありがとう
このブログは、Mandiant Consulting のインシデント対応チーム、マネージド ディフェンス アナリスト、FLARE の優れたリバース エンジニアリング研究者、検出ウィザードの Evan Reese、専門知識を持つ Jeremy Kennelly、Mandiant の脅威インテリジェンス コレクション チーム、そして Mandiant の縁の下の力持ちの皆様の並々ならぬ努力なしでは実現できなかったでしょう。ギアにグリースを塗って回転させ続けるエンジニア。
付録 A: 直接攻撃のライフサイクル
初期偵察:攻撃者は標的のシステムと従業員を調査し、侵入の方法論を説明します。攻撃者は、環境へのリモート アクセスを提供するインフラストラクチャを検索したり、従業員を調査してソーシャル エンジニアリング攻撃を行ったりすることができます。
初期侵害:攻撃者は、1 つ以上のシステムで悪意のあるコードの実行に成功します。これは通常、ソーシャル エンジニアリング攻撃またはインターネットに接続されたシステムの脆弱性の悪用の結果として発生します。
プレゼンスの確立:最初の侵害の直後に、攻撃者は新たに侵害されたシステムを引き続き制御します。攻撃者は通常、永続的なバックドアをインストールするか、侵害されたシステムに追加のユーティリティをダウンロードすることによって、存在を確立します。
権限昇格:攻撃者は、環境内のシステムやデータへのアクセスを増やします。攻撃者は、多くの場合、資格情報を取得したり、キーストロークを記録したり、認証システムを破壊したりして、権限を昇格させます。
内部偵察:攻撃者は組織の環境をスキャンして、インフラストラクチャ、関心のある情報のストレージ、重要な個人の役割と責任をよりよく理解します。
横方向の移動:攻撃者は、「特権のエスカレーション」フェーズで取得したアカウントを使用して、侵害された環境内の別のシステムに横方向に移動します。一般的なラテラル ムーブメント手法には、ネットワーク ファイル共有へのアクセス、リモート コマンドの実行、またはリモート デスクトップ サービス (RDS) やセキュア シェル (SSH) などのリモート ログイン プロトコルを介したシステムへのアクセスが含まれます。
存在を維持する:攻撃者は、バックドアの複数のバリアントをインストールするか、企業の仮想プライベート ネットワーク (VPN) などのリモート アクセス サービスにアクセスすることにより、環境への継続的なアクセスを確保します。
ミッションの完了:攻撃者は、知的財産、財務データ、合併や買収に関する情報、または個人を特定できる情報 (PII) の盗難など、侵入の目的を達成します。また、ミッションの目的がシステムやサービスの停止、または環境内のデータの破壊である場合もあります。
参考: https ://www.mandiant.com/node/4706
Comments