トレンドマイクロでは、2019年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。ネットワークに侵入する攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。トレンドマイクロのネットワーク監視の中では、毎月約1割の監視対象に対してネットワーク侵入の危険性高として警告が行われています。
図:ネットワーク監視における脅威兆候の検出有無と侵入危険度高判定の割合(監視対象100組織中)
この割合は、あくまでもネットワーク監視を行った上で危険性が可視化できた事例のみ、ということになります。危険性可視化の対策を行っていない環境で、毎月1割の組織で侵入が発生しその後長期間にわたって侵害され続けているとすると、想像よりも多くの組織が気づけないまま侵害を受け続けている可能性が示唆されます。
このような状況の中でトレンドマイクロが2019年に確認した標的型攻撃の分析からは、法人組織のネットワークに侵入する脅威の手口として「環境寄生(英:Living Off The Land)」とも呼ばれる「正規」を隠れ蓑にする攻撃戦略が継続して見られています。これは侵入から内部活動までのすべての活動段階において、自身の存在を露見させることなく、目的を完遂するための基本戦略と言えます。具体的には、
- なるべく特別なマルウェアやツールを用いずに、商用やオープンソースなどの既製のツールや、Windowsの標準機能のような元々被害組織内に存在するツールを積極的に利用する
- ファイルレス活動など痕跡を残しにくく調査を困難化させる手法を選択する
といったものになります。中でもWindows標準機能であるPowerShellや商用/オープンソースのツールの利用は常套手段となっています。この攻撃手法は侵入時活動から内部活動のいずれの段階でも見られており、侵入時に攻撃と気づかせない、侵入後の遠隔操作や内部活動に気づかせない、活動の痕跡を可能な限り残さないようにする、といった活動の隠蔽と調査の困難化を達成する手法になっています。
2019年に確認した標的型攻撃において確認できた具体的な攻撃手法としては以下のようなものがあります:
- 標的型メールにおけるOffice文書ファイルの使用(マクロ機能や脆弱性の利用)
- VPNの脆弱性利用やRDPの不正ログインなど、遠隔攻撃による直接侵入
- 不正コードダウンロード時の隠蔽(暗号化、難読化、画像ファイル内に格納(ステガノグラフィ))
- 複数のPowerShellスクリプトやシェルコードの連携によるファイルレス活動
- オープンソースツールや商用ツールをRATとして悪用
- 正規サイトやクラウドサービスをC&Cサーバとして悪用
- ポートフォワーディングによるRDP通信の監視回避
- Mimikatzなどのツールを使用した権限奪取
- UAC、AMSIなどWindowsセキュリティ機能の回避
- セキュリティ対策製品の無効化
- 正規機能の侵害による攻撃基盤の拡大(ADサーバ、グループポリシー、正規ソフトの脆弱性)
このように正規を悪用して巧妙に自身の活動を隠蔽する標的型攻撃の被害を回避するためには、攻撃者の基本戦略と具体的な手口を理解し、対策に活かしていくことが必要になっています。特に、遠隔操作を含む内部活動の可視化には、攻撃者にとって最も偽装が難しいネットワーク通信の監視が重要です。また、不審に気づいたときに迅速な対応を行うためには攻撃者の痕跡消去に対抗するためのエンドポイントでの監視と記録が重要になっています。
この分析の詳細については、以下よりレポートをダウンロードしてご一読ください。