F-Secure Elements Endpoint Detection and Response (Elements EDR:) では、インシデント対応を大幅に簡素化する新機能「Advanced Response Actions(高度な対応アクション)」が搭載されました(日本では2022年4月以降に利用可能予定でしたが、3月14日よりご利用いただけるようになりました)。この機能は、インシデントの調査や封じ込めを支援するもので、攻撃が検出されたときに、インシデント対応者が攻撃結果に対して直接アクションを実行できるようにします。
この機能の詳しい説明は、 EDRのユーザーガイドに記載されています。それでは早速、前述の機能を活用した場合のインシデントの対応プロセスをご覧ください。
インシデントの検出
攻撃を受けた後、以下が検出されました。
ご覧の通り、この攻撃は3つのことに焦点を当てています。PowerShellの使用、explorer.exeに対するインジェクション、サービスベースの永続化(疑わしいサービス)です。この情報を元に、「高度な対応アクション」を同時に使いながら解析していきます。
分析
攻撃の概要
前述した示した検出結果は、ペイロードの実行にPowerShellが使用されたことを示唆しています。また、ペイロードが外部ホストからダウンロードされ、管理者よって対話形式で評価されたことも確認できます。したがって、少なくとも最初の指針として、このコマンドは実際に対話型セッション内で実行されたと仮定することができます。PowerShellの実行時間は、ユーザーのログオン時間とある程度一致する可能性があるため、注意する価値があります。
先に進める前に、「高度な対応アクション」を実行してみましょう。
追加情報を得るために、以下の「高度な対応アクション」が使われました。
- プロセスの列挙(悪意のあるバイナリがバックグラウンドで実行されている場合、システム上で実行されているすべてのプロセスをリストアップします。)
- サービスの列挙(潜在的な永続化の試みを含むすべてのサービスをリストアップします。)
- netstat (攻撃者が確立したものを含むすべてのネットワーク接続をリストアップします。)
- PowerShell履歴の取得(攻撃者が使用したペイロードや探索活動、ラテラルムーブメントなどのコマンドを取得するため)
- イベントログファイルの取得(システムで登録されたイベントを調査するため)
初回アクセス
リモートデスクトップは、インタラクティブなアクセスを得るための方法の1つである可能性があるため、セキュリティカテゴリなどのイベントログの分析に焦点を当てることができます。「イベントログファイルの取得」アクションを使用してターゲットシステムからイベントログを取得したため、イベントビューアで分析を進めることができます。
さらに調査すると、複数のID4625(ログイン失敗)イベントと2つのログオンイベント(それぞれID4624とID4648)を確認することができます。イベントの詳細は、ターミナルサービスのローカルセッションマネージャ(運用)イベントとともに、IPアドレス192.168.22.10の端末からの管理ユーザーに対するブルートフォースログイン攻撃が成功したことを確認する証拠となるものです。
同時に、IPアドレス192.168.22.10の端末が本当に攻撃者の管理する端末であることを示唆する他の証拠を得ることもできました。
ポストエクスプロイテーション
冒頭でMetasploitを使ってexplorer.exeがインジェクションされたことを確認できました。それを確認するために、netstatアクションの出力を分析し、疑わしい接続をピンポイントで特定することができます。その過程で、このプロセスが192.168.22.10:8443とのネットワーク接続を確立していることがわかります。
{
"localAddress": "192.168.22.13",
"localPort": 61197,
"protocol": "TCP",
"remoteAddress": "192.168.22.10",
"remotePort": 8443,
"state": "SYN_SENT",
"process": {
"pid": 316,
"path": "C:\\Windows\\Explorer.EXE",
"name": "explorer"
},
"executable": {
"normalisedPath": "C:\\Windows\\Explorer.EXE",
"fullPath": "C:\\Windows\\Explorer.EXE",
"sha1Hash": "7CAF46864357E582C8A8ACCA3D62791F456E12A7",
"owner": "NT SERVICE\\TrustedInstaller",
"publisher": "Microsoft Corporation",
"md5Hash": "368AAD73C5BD09498ED2928125FBDCA8"
},
"error": ""
}
さらに進むと、永続性検出により、疑わしいサービス – qlllgq – が作成されたことが示唆されました。検出関連のプロセスツリーを見てみましょう。
qlllgqとqwYEjkwICの2つのサービスが作成されていることが確認できます。「高度な対応アクション」で作成されたサービスリストをダウンロードすることができます。そして、そのリストを検索することで、攻撃後にこれらのサービスの残骸が残っているかどうかを確認することができます。
$ grep -e 'qlllgq' log.txt $ grep -e 'qwYEjkwIC' log.txt 1/13/2022 5:40:56 PM [I]: "qwYEjkwIC","YaVOprkJ","Win32OwnProcess"
サービスリストには、確かに不審なサービスの1つが含まれています。レジストリハイブを使用して、そのサービスに関連する情報(どのバイナリがそのサービスと共に起動されているかなど)を取得することができますが、これは読者への練習として残しておくことにします。以下の検出では、バイナリが存在するパスが表示されています。
対象となる機器でウイルス対策ソフトが起動しなかったり、インストールされていなかったりすることがあるため、ファイルをダウンロードし、当社のウイルス対策ソフトでスキャンしました。(当社の推奨)
ダウンロードしたファイルは、簡単に解凍したり、Detonate(爆発)させたり、もしくは、例えばVirusTotalなどを使ってスキャンすることができます。
$ unzip '[JENKINS][files][2022-01-13 18-32-14].zip' Archive: [JENKINS][files][2022-01-13 18-32-14].zip replace metadata.md? [y]es, [n]o, [A]ll, [N]one, [r]ename: A inflating: metadata.md inflating: metadata.json inflating: contents/c/windows/temp/dolphin.exe.zip.inactive $ mv contents/c/windows/temp/dolphin.exe.zip.inactive . $ unzip dolphin.exe.zip.inactive Archive: dolphin.exe.zip.inactive [dolphin.exe.zip.inactive] dolphin.exe password: inflating: dolphin.exe $
その結果、ダウンロードしたバイナリが疑わしいものであることが確認されました。
複数のアクションを行うことで、攻撃の展開をより深く理解することも可能ですが、この段階ではデモに含めません。
要約すると、攻撃者は、管理者アカウントに対するブルートフォース攻撃を示唆する複数の試行錯誤の後、RDP でログインしていました。ログイン後、PowerShellを起動し、Meterpreter(Metasploitフレームワークの一部)を起動するペイロードを実行し、その後のアクションを実行するために使用されました。これらのアクションには、explorer.exeへのインジェクションが含まれ、隠れて安定したセッションを維持するために、SYSTEM権限を獲得し、実行ファイル、C:\Windows\Temp\dolphin.exeに接続された悪意のあるサービスを作成することによって永続化を達成しました。
攻撃実行動画
しかし、我々は、上記の検出が攻撃をどの程度カバーしているか、また、「高度な対応アクション」で得られた証拠を使用して追加のカバレッジを得ることがいかに簡単であるかを確認するために、攻撃の展開を確認することをお勧めします。
追加アクション
完全な調査を行い、証拠を確保した上で、完全なインシデントレスポンスプロセスを行うために、以下のことを行います。
- フルメモリダンプの実行(フルメモリダンプ対応アクション)
- 問題のホストを隔離することでインシデントを抑制 (上記管理コンソールメニューのスクリーンショットに示すように、検出の詳細ページで実行できます。)
- 仮想マシンの場合、マシンの状態を保存する/スナップショットを作成
ネットワーク接続(netstat)、サービスリスト、プロセスリストなどの情報は、追加の指針としてインシデントレスポンスチームに提供することができます。
修復
修復の問題には、私たちが自由に使えるツールによって、異なる方法で取り組むことができます。複数の手段が利用可能であると仮定すると、次のようなことが考えられます。
- 攻撃者が操作しているマシン(192.168.22.10)との通信を遮断する。
- 一時的な措置として、ターゲット(192.168.22.13)のリモートデスクトップ経由でローカルアカウントのログインを無効にし、すべてのマシン(特にインターネットに接続可能なマシン)でそのようなログインを許可しないようにする。
- 上記IPアドレスへの通信を追跡する。
- ターゲットからの通信を追跡し、ラテラルムーブメントの兆候を見つける
まとめ
このように、「高度な対応アクション」は、エフセキュアEDRをインストールし使用する際に、証拠取得を大幅に簡略化することができます。アラートに頼ることもできますが、インシデントに対処するためには、さらに自由に使えるツールを持つことが重要です。迅速な対応が求められる場面では、このような手段があるのとないのとでは大違いであるため、この機能を提供しています。
また、同様のテーマについてより深く理解したい場合は、当社のトレーニングに登録することをお勧めします。敵に対する防御を強化するためには、敵を理解することが重要なのです。
エフセキュアの認定パートナーの方であれば、当社の専門家が行うトレーニング(アドバンスド・プラスコース)を無料で受講することができます。
開催のスケジュールはこちらよりご確認ください。
関連リンク
カテゴリ