更新:マイクロソフトは、SolarWinds のサプライ チェーンを侵害し、他の複数の組織に影響を与えた国家レベルのサイバー攻撃の背後にある脅威アクターに関する知識を拡大するために、パートナーおよび顧客と協力し続けています。 Microsoft はこれまで攻撃者の主要な指定として「Solorigate」を使用していましたが、今後は、攻撃者が使用するマルウェアの例ではなく、巧妙な攻撃の背後にある攻撃者に適切な焦点を当てたいと考えています。 Microsoft Threat Intelligence Center (MSTIC) は、SolarWinds、SUNBURST バックドア、TEARDROP マルウェア、および関連コンポーネントに対する攻撃の背後にいる攻撃者をNOBELIUMと名付けました。新しいコンテンツと分析をリリースする際には、NOBELIUM を使用してアクターと攻撃キャンペーンを参照します。
Solorigate として知られる高度な攻撃の調査はまだ進行中ですが、攻撃者が使用するツール、パターン、および方法に関する詳細と洞察は、組織が同様の攻撃に対する防御を強化するために実行できる手順を示しています。 Solorigate はクロスドメインの侵害です。攻撃に対応するには、包括的な可視性と協調的な防御が不可欠です。同じように統合されたエンド ツー エンドの保護は、回復力を高め、そのような攻撃を防止するための鍵となります。
このブログは、Microsoft 365 Defender と Azure Defender を使用して、Solorigate の攻撃パターンに対してエンタープライズ環境を強化するセキュリティ構成と体制の改善を特定して実装するセキュリティ管理者向けのガイドです。
このブログでは、次の内容について説明します。
このブログの推奨事項は、Solorigate 攻撃に関する現在の分析に基づいています。この脅威は進化し続けており、調査によってさらに多くの情報が明らかになり続けていますが、お客様が今すぐ改善を適用できるように、これらの推奨事項を公開しています。 Microsoft から最新の情報とガイダンスを入手するには、 https://aka.ms/solorigateにアクセスしてください。セキュリティ オペレーション チームとインシデント対応チームは、検出範囲とハンティング ガイダンスを探している場合は、 https://aka.ms/detect_solorigateを参照できます。
ソロリゲート攻撃がサイバー攻撃の現状について教えてくれること
Solorigate は複雑な多段階攻撃で、複数の環境と複数のドメインにまたがる高度な攻撃者の手法を使用して、有名なターゲットを侵害します。この巧妙な攻撃を実行するために、攻撃者は以下の手順を実行しました。 これについては、このブログで詳しく説明しています。
- サプライ チェーン攻撃により、SolarWinds Orion プラットフォームに属する正規のバイナリを侵害する
- 侵害されたバイナリを使用してデバイスにバックドア マルウェアを展開し、攻撃者が影響を受けるデバイスをリモートで制御できるようにする
- 侵害されたデバイスでバックドア アクセスを使用して資格情報を盗み、権限をエスカレートし、オンプレミス環境間を横方向に移動して、SAML トークンを作成する機能を取得します
- クラウド リソースにアクセスして、関心のあるアカウントを検索し、電子メールを盗み出す
図 1. エンドツーエンドのソロリゲート攻撃チェーンの概要
その複雑な攻撃チェーンが示すように、Solorigate は、目標を達成するためにリソースを惜しまないことを実証した、非常に意欲的な攻撃者によって行われた最新のサイバー攻撃を表しています。この攻撃に関する集合知は、個々のセキュリティ ドメインを強化することが重要である一方で、今日の高度な攻撃を防御するには、これらのドメイン間の関係と、ある環境での侵害が別の環境への分岐点になる可能性があることを全体的に理解する必要があることを示しています。
Microsoft 365 セキュリティ センターで公開されている Microsoft Defender for Endpoint の脅威分析レポートを使用すると、重要な脅威のエンド ツー エンドの分析を提供することで、このようなクロス ドメインの脅威を追跡できます。 Solorigate の場合、Microsoft の研究者はこれまでに 2 つの脅威分析レポートを公開しており、追加情報が利用可能になるたびに更新され続けています。
- 巧妙な攻撃者が FireEye を攻撃し、FireEye の侵害と侵害されたレッドチーム ツールに関する情報を提供
- SolarWindsサプライ チェーン侵害の詳細な分析を提供するSolorigateサプライ チェーン攻撃
脅威分析レポートは、攻撃、TTP、侵害の痕跡 (IoC)、および組織に対する脅威の全体的な影響の詳細な説明を提供するだけでなく、セキュリティ管理者が攻撃に対する組織の回復力を確認し、推奨される緩和策を適用することを可能にします。 .これらの軽減策とその他の推奨されるベスト プラクティスについては、以降のセクションで説明します。脅威分析にアクセスできないお客様は、公開されているカスタマー ガイダンスを参照できます。
図 2. Solorigate 攻撃に関する Microsoft Defender for Endpoint 脅威分析レポート
デバイスとサーバーの保護
Solorigate の背後にいる攻撃者は、侵害された SolarWinds バイナリに挿入されたバックドア コードをアクティブにすることで、ターゲット ネットワークへの初期アクセスを取得します。攻撃のこの段階からデバイスを保護することで、後の段階のより有害な影響を防ぐことができます。
デバイス資産を Microsoft Defender for Endpoint にオンボードすることで、デバイス資産を完全に可視化します。
複雑な Solorigate 攻撃に関する現在進行中の包括的な調査では、1 つのことは確かです。それは、セキュリティ体制、リスク、および潜在的な攻撃活動に関する洞察を得るには、デバイスを完全に詳細に可視化することが鍵となることです。 すべてのデバイスが Microsoft Defender for Endpoint によって保護および監視されていることを確認してください。
図 3. Microsoft Defender for Endpoint の [デバイス構成管理] タブのステータス タイル。エンドポイント マネージャーで管理されているデバイスの総数と比較したオンボード デバイスが表示されます。
脆弱な SolarWinds Orion アプリケーションを特定してパッチを適用する
Solorigate 攻撃は脆弱なバージョンの SolarWinds Orion アプリケーションを使用するため、脆弱なバージョンのアプリケーションを実行しているデバイスを特定し、それらが最新バージョンに更新されていることを確認することをお勧めします。脅威分析レポートは、 脅威と脆弱性の管理からの洞察を使用して、そのようなデバイスを識別します。脅威分析の [緩和策] ページで、脆弱性 ID TVM-2020-0002 にさらされているデバイスの数を表示できます。これは、Solorigate の調査を支援するために特別に追加されたものです。
図 4. 脅威分析の緩和ページには、公開されたデバイスに関する情報が表示されます
新しい脆弱性 ID TVM-2020-0002 が Microsoft Defender for Endpoint の脅威と脆弱性の管理の弱点ページに追加されたため、脆弱な SolarWinds ソフトウェア コンポーネントがインストールされている露出したデバイスを簡単に見つけることができます。追加の詳細は、脆弱性の詳細ペインで利用できます。
図 5. TVM-2020-0002 の脅威と脆弱性の管理の脆弱性の詳細ペイン
お客様は、脅威と脆弱性の管理のソフトウェア インベントリ ページを使用して、環境内のエンドポイントに存在する SolarWinds Orion のバージョンと、脆弱なバージョンが存在するかどうかを確認することもできます。脅威分析レポートへのリンクは、[脅威] 列の下に表示されます。次に、組織内の特定のソフトウェアのフットプリントを評価し、影響を受けるデバイスを特定できます。インストール ベース全体でスキャンを実行する必要はありません。
図 6. インストールされている SolarWinds Orion ソフトウェアを表示する脅威および脆弱性管理ソフトウェア インベントリ ページ
脆弱なソフトウェア バージョンを実行しているデバイスを更新するためのセキュリティに関する推奨事項が提供されます。
図 7. 脅威と脆弱性の管理のセキュリティ推奨事項ページ
セキュリティ管理者は、高度な検索を使用して、データのクエリ、絞り込み、およびエクスポートを行うこともできます。次のクエリは、製品名で整理され、ソフトウェアがインストールされているデバイスの数でソートされた、組織内の SolarWinds Orion ソフトウェアのインベントリを取得します。
DeviceTvmSoftwareInventory脆弱性
| |ここで、SoftwareVendor == ‘solarwinds’
| |ここで、SoftwareName は「orion」で始まります
| | SoftwareName ごとに dcount(DeviceName) を要約する
| | dcount_DeviceName desc で並べ替え
次のクエリは、Solorigate の影響を受けることが知られている SolarWinds Orion ソフトウェアの脅威と脆弱性の管理データを検索します。
DeviceTvmSoftwareInventory脆弱性
| |ここで、CveId == ‘TVM-2020-0002’
| |プロジェクトの DeviceId、DeviceName、SoftwareVendor、SoftwareName、SoftwareVersion
セキュリティに関する推奨事項ごとに、IT 管理者に要求を送信して、 脆弱なデバイスを修復することができます。これを行うと、Microsoft エンドポイント マネージャー (以前の Intune) にセキュリティ タスクが作成され、脅威と脆弱性の管理の修復ページで継続的に追跡できます。この機能を使用するには、Microsoft Endpoint Manager 接続を有効にする必要があります。
図 8. 脅威と脆弱性の管理の「修復オプション」によるセキュリティの推奨事項と「修復活動」の追跡
推奨されるセキュリティ構成を実装する
Threat and Vulnerability Management は、脆弱性評価の提供に加えて、この攻撃の軽減に役立つセキュリティ推奨ガイダンスとデバイス ポスチャ評価も提供します。これらの推奨事項は、Solorigate 脅威分析レポートにも存在する脆弱性データを使用しています。
図 9. 脅威分析の緩和ページには、Solorigate にさらされているデバイスの安全な構成の推奨事項が表示されます
Solorigate に対応して、次のセキュリティの推奨事項が提供されます。
| 成分 | 安全な構成の推奨事項 | 攻撃ステージ |
| セキュリティ管理 (ウイルス対策) | リアルタイム保護を有効にする | ステージ1 |
| セキュリティ管理 (ウイルス対策) | Microsoft Defender ウイルス対策定義をバージョン 1.329.427.0 以降に更新する | ステージ1 |
| セキュリティ対策(攻撃面の縮小) | 難読化されている可能性のあるスクリプトの実行をブロックする | ステージ 2 |
| セキュリティ対策(攻撃面の縮小) | 普及率、年齢、または信頼できるリストの基準を満たさない限り、実行可能ファイルの実行をブロックします | ステージ 2 |
| セキュリティ コントロール (Microsoft Defender SmartScreen) | Microsoft Defender SmartScreen Microsoft Edge サイトとダウンロード チェックを設定して、ブロックまたは警告する | ステージ 2 |
これらのセキュリティ制御の適用は、Microsoft エンドポイント マネージャー (Intune および構成マネージャー) を使用して実行できます。エンドポイント マネージャーでポリシーを展開および管理するためのガイダンスについては、次のドキュメントを参照してください。
- Microsoft Intune でエンドポイント セキュリティ ポリシーを管理する
- Intune での Microsoft Defender ウイルス対策の Windows 10 ウイルス対策ポリシー設定
- Intune エンドポイント セキュリティ Attack surface reduction 設定
オンプレミスとクラウド インフラストラクチャの保護
攻撃者は、クライアント エンドポイントを侵害するだけでなく、クラウドまたはオンプレミス サーバーにインストールされた侵害された SolarWinds バイナリを介してバックドア コードをアクティブ化し、環境内でより強力な足場を築くこともできます。
オンプレミス サーバーとクラウド サーバーを保護する
多くのお客様のインフラストラクチャの大部分は仮想マシンです。 Azure Defenderは、セキュリティ プロフェッショナルが、仮想マシン、SQL、ストレージ、コンテナー、IoT、Azure ネットワーク レイヤー、Azure Key Vault などにまたがるクラウド ワークロードを保護するのに役立ちます。
前述のように、Solorigate や同様の攻撃を防ぐために実行する必要がある重要なアクションの 1 つは、Microsoft Defender for Endpoint によってすべてのデバイスが保護および監視されるようにすることです。 Azure Defender for Servers をデプロイすると、仮想マシンの Defender for Endpoint が、Solorigate 攻撃チェーン全体で包括的な検出範囲を提供できるようになります。Azure Defender の Azure およびハイブリッド マシン向けの統合された脆弱性評価ソリューションは、Azure Security Center で脆弱性評価の結果を可視化することにより、Solorigate 攻撃への対処にも役立ちます。
追加のインフラストラクチャ保護と監視を有効にする
Solorigate に対する追加の詳細な防御を提供するために、Azure Defender は最近、Azure リソース用の新しい保護モジュールを導入しました。これらの保護を有効にすると、悪意のあるアクティビティに対する可視性が向上し、Azure Defender によって保護される Azure リソースの数が増える可能性があります。
Azure Defender for Resource Managerを使用すると、すべての Azure リソース管理操作と幅広い保護を継続的に監視できます。これには、VM マルウェア対策拡張機能によって既知の悪意のあるファイルを除外しようとする試みや、Azure VM のマルウェア対策保護を制限する可能性のあるその他の疑わしいアクティビティを検出する機能が含まれます。
さらに、 Azure Defender for DNS は、Solorigate 攻撃で使用された悪意のあるドメインとの通信を含め、Azure DNS を使用する Azure リソースからのすべての DNS クエリが監視されるようにし、Azure クラウド リソース全体で Solorigate アクティビティを特定するのに役立ちます。これにより、悪意のある Solorigate DLL がリモート ネットワーク インフラストラクチャに接続して、第 2 段階のペイロードの可能性に備えることができなくなります。
Active Directory と AD FS インフラストラクチャを保護する
アクセスを取得した後、攻撃者は資格情報を盗み、権限を昇格させ、環境内を横方向に移動しようとする可能性があります。完全にオンプレミスであるか、IaaS マシンでホストされているかに関係なく、Active Directory を完全に可視化することは、これらの攻撃を検出し、セキュリティ体制を強化して攻撃を防ぐ機会を特定する上で重要です。
ハイブリッド環境では、Microsoft Defender for Identity センサー コンポーネントがすべてのドメイン コントローラーとActive Directory フェデレーション サービス(AD FS) サーバーに展開されていることを確認してください。 Microsoft Defender for Identity は、環境を侵害する悪意のある試みを検出するだけでなく、予防的な調査のためにオンプレミスの ID のプロファイルを構築し、組み込みのセキュリティ評価を提供します。 Microsoft Defender for Identity センサーの展開を優先し、”監視されていないドメイン コントローラー” セキュリティ評価を使用することをお勧めします。これは、監視されていない環境で検出されたドメイン コントローラーを一覧表示します。 (注: この機能は、ドメイン コントローラーに少なくとも 1 つのセンサーを展開した後でのみ、環境を監視できます。)
図 10. Microsoft Cloud App Security ポータルでの監視対象外のドメイン コントローラーのセキュリティ評価
Microsoft 365 クラウドをオンプレミス攻撃から保護する
Solorigate の背後にいる攻撃者の最終的な目標は、標的の組織のクラウド環境にアクセスし、関心のあるアカウントを検索し、電子メールを盗み出すことです。彼らは侵害されたデバイスからオンプレミス環境を横方向に移動し、資格情報を盗み、クラウド環境へのアクセスに使用する SAML トークンを作成できるようになるまで権限をエスカレートします。オンプレミスの攻撃からクラウド リソースを保護することで、攻撃者が長期戦を成功させることを防ぐことができます。
クラウド体制を強化するために推奨されるセキュリティ構成を実装する
攻撃対象領域を減らし、オンプレミスの侵害からクラウドを保護するためのその他のベスト プラクティスと推奨事項については、 Microsoft 365 クラウドをオンプレミス攻撃から保護するブログを参照してください。
条件付きアクセスとセッション制御を実装して、クラウド リソースへのアクセスを保護します
個々のサーフェスを強化して攻撃を妨害して防止することに加えて、ポリシーを拡張してゼロトラストとアクセス制御を実装することは、侵害されたデバイスや異常なデバイスが企業の資産にアクセスするのを防ぎ、準拠したデバイスからのクラウド アクセスを管理する上で重要です。
条件付きアクセス ポリシーを有効にする
条件付きアクセスは、安全なユーザーとデバイスのみがアクセスできるようにすることで、ユーザーと企業情報をより適切に保護するのに役立ちます。 Azure Active Directory (Azure AD) アプリケーション プロキシで公開されたオンプレミス アプリケーションを含む、Microsoft 365 クラウド サービスへのアクセスをセキュリティで保護するための一般的な推奨ポリシーを実装することをお勧めします。
さらに、 ユーザー リスクおよびデバイス リスクの条件付きアクセス ポリシーを構成して、ユーザーまたはデバイスのリスク レベルに基づいて企業情報へのアクセスを有効にし、信頼されたアプリケーションを使用して、信頼されたユーザーを信頼されたデバイスに留めておくことができます。
リアルタイム監視とセッション制御を有効にする
条件付きアクセスと直接統合された Microsoft Cloud App Security のセッション制御により、許可されたアプリでのユーザー アクションをリアルタイムで監視および制御して、アクセスの決定をセッションに拡張できます。危険な状況でのデータ流出を防止するためのポリシーを実装します。これには、 危険なデバイスや管理されていないデバイスへのダウンロードのブロックや保護、 パートナー ユーザーのダウンロードが含まれます。
その他の推奨事項とベスト プラクティス
Microsoft Secure Scoreを介して利用可能なすべての改善アクションを確認することで、セキュリティ体制をさらに強化します。 Secure Score は、セキュリティ体制の管理を運用化し、運用テナントの組織のセキュリティ衛生を改善するのに役立ちます。以下は、Solorigate 攻撃パターンに直接影響する Azure Active Directory のセキュリティ スコア改善アクションの一部です。
- ユーザーが管理対象外のアプリケーションに同意することを許可しない
- ハイブリッドの場合はパスワード ハッシュ同期を有効にする
- ポリシーを有効にして従来の認証をブロックする
- セルフサービス パスワード リセットを有効にする
- 安全なアクセスのために、すべてのユーザーが多要素認証を完了できるようにする
- 管理者の役割に MFA を要求する
- サインイン リスク ポリシーを有効にする
- ユーザー リスク ポリシーをオンにする
- 限定された管理者の役割を使用する
さらに、Microsoft Defender for Identity の ID セキュリティ体制評価機能を使用して、環境に存在する可能性がある一般的な保護のギャップを特定できます。次のような検出ギャップに対処することで、 Microsoft セキュア スコアが向上し、さまざまな資格情報の盗難攻撃に対する全体的な回復力が向上します。
- 機密としてタグ付けされたものを含め、クリアテキストで資格情報を公開しているエンティティを停止します。攻撃者は、ネットワーク経由で送信される平文の資格情報を傍受して、資格情報を収集し、権限を昇格させます。この手法が Solorigate で使用されたことを示す兆候はありませんが、これは組織が認識して防止する必要がある一般的な攻撃の傾向です。
図 11. Microsoft Cloud App Security ポータルのクリア テキスト セキュリティ評価で資格情報を公開しているエンティティ
- 環境で最初の足がかりが確立されると、攻撃者がそれらを侵害する可能性がある、安全でない属性を持つアカウントを修正します。
図 12. Microsoft Cloud App Security ポータルでのセキュリティで保護されていないアカウント属性のセキュリティ評価
- 敏感なユーザーへの危険な横方向の移動経路を減らします。 Solorigate 攻撃で目撃されたように、攻撃者はデバイス間を移動して、より特権的な役割に昇格し、組織の環境でより深く活動する可能性があります。
図 13. Microsoft Cloud App Security ポータルでの危険な横移動経路のセキュリティ評価
高度なクロスドメイン攻撃に対する複数層の調整された防御
Microsoft 365 DefenderとAzure Defenderは、ドメイン全体で統合されたインテリジェントで自動化されたセキュリティを提供し、組織がエンド ツー エンドの脅威の可視性を獲得できるようにします。これは、Solorigate 攻撃が示したように、すべての組織にとって重要なセキュリティ機能です。 Microsoft 365 Defender と Azure Defender は、包括的な可視性と豊富な調査ツールを提供するだけでなく、業界全体の調査からの洞察や、製品で直接作成できる構成による攻撃に対する独自の調査の直接的な結果として、セキュリティ体制を継続的に改善するのに役立ちます。または実装できる製品内の推奨事項。
Microsoft からの追加情報とガイダンスについては、以下を参照してください。
Comments