Trickbot は、2016 年の発見以来大幅に進化した洗練されたトロイの木馬であり、その機能を継続的に拡張しており、破壊的な取り組みやインフラストラクチャがオフラインになったというニュースにもかかわらず、近年最も持続的な脅威の 1 つにとどまっています。このマルウェアのモジュール性により、さまざまなネットワーク、環境、およびデバイスにますます適応できるようになりました。さらに、多数のプラグイン、Ryuk ランサムウェアなどの他のマルウェア用のサービスとしてのアクセス バックドア、およびマイニング機能を含むように成長しました。その進化の重要な部分には、持続性機能の継続的な改善、 研究者やリバース エンジニアリングの回避、コマンド アンド コントロール (C2) フレームワークの安定性を維持するための新しい方法の発見など、攻撃とインフラストラクチャの検出に対する耐久性を高めることも含まれます。 .
この継続的な進化により、Trickbot はその範囲をコンピューターからルーターなどのモノのインターネット (IoT) デバイスに拡大し、マルウェアはその C2 インフラストラクチャを更新してMikroTik デバイスとモジュールを利用します。 MikroTikルーターは、世界中のさまざまな業界で広く使用されています。 MikroTik ルーターを C2 サーバーのプロキシ サーバーとして使用し、非標準ポートを介してトラフィックをリダイレクトすることにより、Trickbot は、悪意のある IP が標準セキュリティ システムによる検出を回避するのに役立つ別の永続レイヤーを追加します。
Microsoft Defender for IoT 研究チームは最近、MikroTik デバイスが Trickbot の C2 インフラストラクチャで使用される正確な方法を発見しました。このブログでは、前述の方法の分析を共有し、攻撃者がどのようにして MikroTik デバイスにアクセスし、侵害された IoT デバイスを Trickbot 攻撃で使用するかについての洞察を提供します。
この分析により、MikroTik デバイス上の Trickbot 関連の侵害やその他の疑わしい兆候を特定するフォレンジック ツールを開発することができました。このツールを公開して、お客様がこれらの IoT デバイスがこれらの攻撃の影響を受けないようにするのに役立てることができます。また、セキュリティ侵害を検出して修復するための推奨手順、および将来の攻撃から保護するための一般的な防止手順も共有しています。
攻撃者が Trickbot C2 のために MikroTik デバイスを侵害する方法
MikroTik デバイスを使用する Trickbot の目的は、Trickbot の影響を受けるデバイスと C2 サーバーの間に、ネットワーク内の標準的な防御システムでは検出できない通信回線を作成することです。攻撃者はまず、MikroTik ルーターをハッキングします。これは、次のセクションで詳しく説明するいくつかの方法を使用して資格情報を取得することによって行われます。
次に攻撃者は、ルーターの 2 つのポート間でトラフィックをリダイレクトする独自のコマンドを発行し、Trickbot の影響を受けたデバイスと C2 間の通信回線を確立します。 MikroTik デバイスには、独自のハードウェアとソフトウェア、RouterBOARD と RouterOS があります。これは、このようなコマンドを実行するには、攻撃者が RouterOS SSH シェル コマンドの専門知識を必要とすることを意味します。これらの SSH シェル コマンドを含むトラフィックを追跡することで、この攻撃者の方法を明らかにしました。
MikroTik デバイスへのアクセスとアクセスの維持
攻撃者はまず、MikroTik シェルにアクセスしてルーティング コマンドを実行する必要があります。そのためには、資格情報を取得する必要があります。前述のように、当社の分析に基づくと、攻撃者がターゲット ルーターにアクセスするために使用するいくつかの方法があります。
- デフォルトの MikroTik パスワードを使用します。
- ブルート フォース攻撃を開始します。攻撃者が、他の MikroTik デバイスから収集したと思われる固有のパスワードを使用していることが確認されています。
- RouterOS バージョンが 6.42 より古いデバイスで CVE-2018-14847 を悪用する。この脆弱性により、攻撃者はパスワードを含むuser.datなどの任意のファイルを読み取ることができます。
アクセスを維持するために、攻撃者は影響を受けるルーターのパスワードを変更します。
トラフィックのリダイレクト
MikroTik デバイスには、限定された一連のコマンドを使用して SSH プロトコル経由でアクセスできる独自の SSH シェルを備えた、RouterOS と呼ばれる独自の Linux ベースの OS があります。これらのコマンドは、プレフィックス「/」で簡単に識別できます。例えば:
/ip
/システム
/道具
これらのコマンドは通常、通常の Linux ベースのシェルでは意味がなく、MikroTik デバイスのみを対象としています。 Microsoft の脅威データを通じて、これらの種類のコマンドの使用を観察しました。これらが MikroTik 固有のコマンドであることがわかったため、ソースと意図を追跡することができました。たとえば、次のコマンドを発行する攻撃者を観察しました。
/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses=<感染したデバイス> dst-address=<実際の C2 アドレス>
コマンドから、次のことがわかります。
- iptables に似た新しいルールが作成されます
- ルールは、トラフィックをデバイスからサーバーにリダイレクトします
- リダイレクトされたトラフィックはポート 449 から受信され、ポート 80 にリダイレクトされます。
上記のコマンドは、NAT ルーターが IP アドレスの書き換えを実行できるようにする正規のネットワーク アドレス変換 (NAT) コマンドです。この場合、悪意のある活動に使用されています。 Trickbot はポート 443 と 449 を使用することで知られており、過去に一部の標的サーバーが TrickBot C2 サーバーとして識別されたことを確認できました。
この分析は、今日の進化し続ける脅威環境で IoT デバイスを安全に保つことの重要性を強調しています。 Microsoft の脅威データを使用して、Microsoft の IoT および運用テクノロジ (OT) セキュリティの専門家は、侵害された IoT デバイスを悪用するために攻撃者が使用する正確な方法を確立し、顧客を脅威からより適切に保護するのに役立つ知識を得ました。
Trickbot 攻撃に対する IoT デバイスの防御
従来のコンピューティング デバイスのセキュリティ ソリューションが進化と改善を続けるにつれて、攻撃者は標的のネットワークを侵害する別の方法を模索するようになります。ルーターやその他の IoT デバイスに対する攻撃の試みは新しいものではなく、管理されていないため、ネットワーク内の最も弱いリンクになりがちです。したがって、組織は、セキュリティ ポリシーとベスト プラクティスを実装する際に、これらのデバイスも考慮する必要があります。
MikroTik フォレンジック用のオープンソース ツール
MikroTik と実際の攻撃を調査しているときに、このブログで説明した方法に加えて、これらのデバイスを攻撃するいくつかの方法を観察しました。これらの方法と既知の CVE に関する知識を、これらの攻撃に関連するフォレンジック アーティファクトを抽出できるオープンソース ツールに集約しました。
このツールの機能には次のようなものがあります。
- デバイスのバージョンを取得して CVE にマップする
- スケジュールされたタスクを確認する
- トラフィック リダイレクト ルール (NAT およびその他のルール) を探す
- DNS キャッシュ ポイズニングを探す
- デフォルトのポートの変更を探す
- デフォルト以外のユーザーを探す
このツールを GitHub で公開し、このツールをより広範なコミュニティと共有して、IoT セキュリティの分野でのインテリジェンス共有を促進し、IoT デバイスを悪用する脅威アクターに対するより優れた保護の構築を支援しています。
感染を検出、修復、および防止する方法
危険にさらされている可能性のある MikroTik デバイスを使用している組織は、次の検出と修復の手順を実行できます。
- 次のコマンドを実行して、NAT ルールがデバイスに適用されたかどうかを検出します (ツールによっても完了します)。
/ip ファイアウォール nat 印刷
次のデータが存在する場合、感染を示している可能性があります。
chain=dstnat action=dst-nat to-addresses=<パブリック IP アドレス>
to-ports=80 protocol=tcp dst-address=<あなたの MikroTik IP> dst-port=449
chain=srcnat action=masquerade src-address=<あなたの MikroTik IP>
- 次のコマンドを実行して、潜在的に悪意のある NAT ルールを削除します。
/ip firewall nat remove numbers=<削除するルール番号>
今後の感染を防ぐには、次の手順を実行します。
- デフォルトのパスワードを強力なものに変更する
- ポート 8291 を外部アクセスからブロックする
- SSH ポートをデフォルト (22) 以外に変更します
- ルーターが最新のファームウェアとパッチで最新であることを確認してください
- リモート アクセスに安全な仮想プライベート ネットワーク (VPN) サービスを使用し、ルーターへのリモート アクセスを制限する
Microsoft Defender で IoT デバイスと IT ネットワークを保護する
Trickbot のような脅威に対して IoT デバイスと IT ネットワークを強化するために、組織は、デバイスへの悪意のあるアクセスの試みを検出し、異常なネットワーク動作に関するアラートを生成するソリューションを実装する必要があります。 Microsoft Defender for IoTは、組織が IoT、OT デバイス、および産業用制御システム (ICS) の継続的な資産検出、脆弱性管理、および脅威検出をオンプレミスまたは Azure に接続された環境に展開できるようにする、エージェントレスのネットワーク層セキュリティを提供します。これは、このブログで説明されているような脅威研究からの侵害の痕跡 (IoC) と、悪意のあるアクティビティを検出するためのルールで定期的に更新されます。
一方、 Microsoft 365 Defenderは、ID、エンドポイント、クラウド アプリ、電子メール、およびドキュメント全体で脅威データを調整することにより、Trickbot のような高度にモジュール化された多段階のマルウェアに関連する攻撃から保護します。このようなクロスドメインの可視性により、Microsoft 365 Defender は、メール経由で送信される悪意のある添付ファイルやリンクから、エンドポイントでの後続のアクティビティに至るまで、Trickbot のエンド ツー エンドの攻撃チェーンを包括的に検出して修復できます。 高度なハンティングなどの豊富なツール セットにより、防御側は脅威を表面化し、侵害からネットワークを強化するための洞察を得ることができます。
さらに、Microsoft Defender for IoT Research Team と協力して、RiskIQ は、Trickbot C2 の通信チャネルとして機能している侵害された MikroTik ルーターを特定し、脅威アクターの制御下にあるデバイスにフラグを付ける検出ロジックを作成しました。 RiskIQ の記事を参照してください。
IoT および OT デバイスのセキュリティ保護の詳細については、 Microsoft Defender for IoT を参照してください。
David Atch 、Microsoft Defender for IoT のセクション 52
Noa Frumovich 、Microsoft Defender for IoT のセクション 52
Ross Bevington 、Microsoft Threat Intelligence Center (MSTIC)
Comments