セキュリティアナリストの技術:インシデントの調査

今回は、Microsoft Exchange の脆弱性を例にとり、インシデント調査について紹介していきます。
作成者
2021、 11月 1
SOPHOS SecOps Sophos SecOps MDR MTR アナリストインサイト インシデント応答 セキュリティオペレーション マネージド脅威検出 人間主導の脅威ハンティング

この記事では、経験豊富なセキュリティアナリストが語る、インシデントの調査に役立つヒントを紹介します。

この記事は、ソフォスのセキュリティ担当者の技術を紹介するシリーズの第 2 回目です。今回は、Microsoft Exchange の脆弱性を例にとり、インシデント調査について紹介していきます。

ここ数ヶ月間で、 多くの重大な Microsoft Exchange の脆弱性や攻撃手法がセキュリティ研究者によって明らかにされました。例えば、Hafnium による攻撃や、ProxyLogonProxyShell、ProxyOracle、ProxyToken などの悪用が挙げられます。 これらのいずれの脆弱性によっても攻撃者にシステムレベルのアクセス権限が付与され Microsoft Exchange Server に不正にアクセスされる可能性があります。攻撃者にとって、Exchange Server のシステムレベルのアクセスから、さらに権限を昇格し、ネットワーク全体に対する持続的な攻撃へと移行するのはさほど難しいことではなく、組織にとっては大きなリスクとなります。

残念ながら、これらの脆弱性を修正するパッチが十分に適用されていない Microsoft Exchange Server が膨大に存在しています (在宅勤務の方は、この種の脅威を避けるために、すべてのサーバーとビジネスアプリケーションに完全なパッチを適用し、最新の状態にしておく必要があります)。そこで、 MTR チームは、脆弱性を持つサーバーを使用していたり、潜在的に攻撃を受けている顧客がいるかどうかを検証しました。

まず、ソフォスの Managed Threat Response (MTR) のセキュリティアナリストのチームは、より精細な調査を必要としているか顧客を特定する必要がありました。そのため、特定に使用したのは以下のような条件です。

  • 脆弱性のあるバージョンの Microsoft Exchange を使用している。
  • パッチが適用されていない脆弱性のあるバージョンの Microsoft Exchange を使用している。
  • ポート 443 がインターネットに接続されている。

これらの条件をもとにして、攻撃者の標的にされる可能性がある顧客を特定してから、実際に攻撃の被害を受けた方がいないかどうかを調査しました。 調査の手法は、対象の Exchange の脆弱性によってそれぞれ異なります。 ProxyShell を例にとると、システム上に未知または悪意のある Web シェルが存在するか、拡張子が .aspx であるメールボックスがリネームされていることが手がかりとなりました。

ソフォスの MTR チームは、遭遇した脅威や固有の攻撃者ごとに手順書を作成しています。この利点は、攻撃時に広範な調査を行う必要がなく、すぐに行動に移すことができることです。先に述べた OODA ループの一環として、チームは調査のたびに攻撃を観察し、手順書を強固なものに進化させていきます。手順書には以下のような情報が含まれます。

  • 特定の攻撃や攻撃者に共通または固有の 戦術、技術、手順 (TTP)。
  • 関連するセキュリティ侵害の兆候 (IOC)。
  • 公開されている脆弱性に関連するエクスプロイトの既知の概念実証。
  • 同種の攻撃に対処する際に有用な脅威探索クエリ。

ProxyShell の場合、TTP は MITRE ATT&CK フレームワークにマッピングして以下のように示されます。

戦術 技術 ID 技術名
偵察 T1595.002

T1591

T1593
  • アクティブスキャン
  • 被害者の組織情報の収集
  • オープン Web サイト/ドメインの検索
初期アクセス T1190
  • 外部に公開されているアプリケーションの攻撃
実行 T1059.001
  • コマンドおよびスクリプティングインタプリタ: PowerShell
常駐化 T1136

T1078
  • アカウントの作成
  • 有効なアカウント
防御の回避 T1574.001
  • ハイジャック実行フロー:DLL 検索順序のハイジャック
認証情報へのアクセス T1003

T1552
  • OS の認証情報のダンプ
  • 保護されていない認証情報
ラテラルムーブメント T1210
  • リモートサービスの悪用
影響 T1486
  • 影響を行使するためのデータの暗号化

 

これらの情報はすべて、ソフォスのエンドポイントプロテクションと MTR センサーを使って検索できます。これを利用すれば、マシン上の証拠の痕跡や履歴を追跡して完全な脅威の調査をすることができます。Sophos Intercept X エンドポイントエージェントは、マシン上での滞在期間中に多くの情報を記録します。これを利用することで、悪意のある Web シェルの作成よりも重大な被害が、滞在期間中、あるいはそれ以前に発生したかどうかを特定することができます。 MITRE ATT&CK やサイバーキルチェーンなどのさまざまな方法論を見ると、攻撃者は一連の攻撃の際に、調査の手がかりとなり得る痕跡を残すことがわかっています。

チームはこの痕跡を調査し、ネットワーク上に攻撃者が使用した他のツールがあるかどうか、また新たな侵害や攻撃があったかどうかを確認します。その後、ソフォスのエンドポイントプロテクションを介して直接、または顧客のネットワーク上で直接設定が必要なものについては顧客を介して、修復項目を実行することができます。

チームは脅威の検出と対応を 24 時間無休の体制で行っており、ソフォス MTR をご利用のお客様はいつでもサービスを受けることができます。脅威が確認された場合、チームは MTR の脅威対応優先順位に基づいた積極的な攻撃の封じ込めと無力化を行い、攻撃者をネットワークから排除します。また、解決までの時間が長引けば長引くほど金銭的損失が大きくなることを最大限に考慮し、一刻も早くネットワークの制御と秩序を回復できるように最大限の取り組みを行います。

現在、攻撃者の攻撃能力は過去最高に達しており、防御側は自社を守るためのツール、人材、リソースを確保することが求められています。防御の一環として、自社作成もしくは Sophos MTR のような第三者インシデント対応プロバイダー作成のインシデント対応戦略は必須です

Sophos MTR サービスについての詳細は、ソフォスの Web サイトか、 ケーススタディや調査結果からご覧になれます。

著者について

Bradley is a Global Solutions Engineer in the Managed Threat Response team. He works with customers and partners to not only help them navigate the complex world of Managed Detection and Response but also provides first-hand assistance to organisations in the midst of cyber incidents as part of the Sophos Rapid Response service.

関連記事を読む