システムを防御するためにセキュリティリサーチャーや法執行機関が講じる手段の一つに、脅威となるサイバー犯罪者グループの監視があります。これにより注目されてきたサイバー犯罪者グループの中に、金銭的利益を目的とする「Carbanak」と「FIN7」というグループがあります。CarbanakとFIN7は同じグループと見なされることもありますが、米国政府の支援を受ける非営利団体「MITRE」などは、バックドア型マルウェアである「Carbanak」を攻撃に使用する特徴を持つ、異なる2つのグループとして認識しています。とはいえ、両グループが使用するマルウェアは「Carbanak」だけでなく、POSマルウェア「Pillowmint」や、マルウェア「Carbanak」に代わるものとされる「Tirion」など、他の種類のマルウェアも含まれています。また、MITREは、2つのグループの主要な攻撃対象が異なることも明示しています。Carbanakが金融機関を標的とするのに対し、FIN7は飲食業、接客業、小売店を標的とします。
2021年4月20日、「MITRE Engenuity」による第3回目のATT&CK評価結果が発表されました。この評価ではCarbanakおよびFIN7の攻撃手法に対する防御に焦点が当てられています。本記事では、今回のATT&CK評価を測る基準となったCarbanakおよびFIN7による攻撃手法を解説します。CarbanakとFIN7による攻撃を解説するにあたり、トレンドマイクロの調査から得られた両グループに関する情報と、攻撃に利用される11の「ATT&CK Tactics」(戦術)にまたがる合計65の「ATT&CK Techniques」(手法)としてMITREが公開している情報を結合しています。
■CarbanakおよびFIN7の攻撃手法
図1:CarbanakとFIN7による攻撃で共通するATT&CK Tactics(戦術)
関連する過去の攻撃キャンペーンの調査から、攻撃者はスピアフィッシングによって標的のシステムに侵入することが確認されています。システムに侵入すると、マルウェアを配信したりコマンド&コントロール(C&C)通信を確立したりするために、WindowsのDDE(dynamic data exchange)機能や正規のクラウドベースのサービスを悪用します。
その後、マルウェア「Carbanak」を使用して、キー入力操作の記録やスクリーンショットのキャプチャ、Cookieの窃取や削除、Webサイトへの不正なコードの注入、各種トラフィックの監視などが実行されます。また、このマルウェアはラテラルムーブメント(水平移動、攻撃基盤拡大)のために、遠隔操作ツールやシステム管理ツールを悪用します。
ATT&CK Techniques(手法)の観点からさらに解説すると、CarbanakとFIN7には注目すべき類似点があります。しかし、後述しますが、どちらか一方のグループにのみ使用されている手法も複数確認できます。
以下はMITREが公開している、CarbanakとFIN7が採用している「戦術(Tactics)」および「手法(Techniques)」です。
Initial Access(初期潜入)
両グループともスピアフィッシングメールを利用して、エクスプロイトが埋め込まれた添付ファイルを標的のシステムへの侵入口として使用します。
Execution(実行)
システムへの侵入に成功すると、次の段階である攻撃を開始します。コードや不正活動を実行するため、以下のようなさまざまな手法が用いられます。
- Native API
- PowerShell
- Service Execution
- User Execution
- Windows Component Object Model (COM) and Distributed COM (DCOM)
- Windows Management Instrumentation (WMI)
Carbanakは他に、コマンドラインインターフェイス(Command and Scripting Interpreter)、およびクライアントサーバ間プロトコルDDE(Dynamic Data Exchange)を悪用します。
一方FIN7は、VBScriptを実行可能なユーティリティ「Mshta」や、スケジュールされたタスク(Scheduled Task/Job)を利用して、ターゲットのシステム上で不正コードを実行します。
Persistence(活動持続化)
標的システム内で不正な活動が実行されると、次にその活動を持続させようとします。攻撃者は、持続性を維持するための新しいサービスを作成します(Windows Service)。また、プログラムをスタートアップフォルダに追加し、レジストリ実行キーで参照できるようにします。トレンドマイクロでは、自動実行の手法としてレジストリのエントリやキーを追加するCarbanakマルウェアの亜種を確認しています。また、既存の有効なアカウント認証情報を悪用します(Valid Accounts)。
FIN7の場合、アプリケーションShimのデータベースを利用する(これによって開発者がコードを書き換えずにアプリケーションに修正を加えることができる)手法(Application Shimming)か、あるいはプログラムの動作を変更できるフッキングの手法を採用しています。Application Shimmingの手法は、Pillowmintを利用した攻撃キャンペーンで活用されていました。
Privilege Escalation(特権昇格)
攻撃のために必要な機能には、管理者権限が必要な場合があります。両グループはプロセスの特権昇格のためにWindowsのユーザアカウント制御(UAC)の仕組みのバイパス(Bypass User Account Control)、新しいサービスの作成(Create or Modify System Process)および既存のアカウント悪用(Valid Accounts)の手法を利用します。
Linux環境において同様の特権昇格を目的とする場合、Carbanakは「superuser」のプログラムの実行をユーザに許可するプログラム「sudo」を使用することがあります(Sudo and Sudo Caching)。
FIN7の攻撃では、プロセスにコードを注入したり(Process Injection)、DLLファイルを読み込む際の検索順序をハイジャックすることがあります(DLL Search Order Hijacking)。
Defense Evasion(セキュリティ回避)
一連の不正活動を実行後、システムを脅威から保護するセキュリティソリューションによる検出を回避し、ステルス性を維持する必要があります。どちらのグループも検出回避のために、マルウェアのコード署名のためのツールを作成または入手する(Code Signing)、マルウェアの機能やシステムに備わるユーティリティを利用しファイルや情報を難読化およびデコードする(Deobfuscate/Decode Files or Information)といった手法を利用します。また、セキュリティソリューションにとって無害な正規機能であるように見せるマスカレード(Masquerading)や、発見を困難にさせるためのファイルおよび情報の難読化(Obfuscated Files or Information)、コードを隠蔽するためのパッキング(Software Packing)、プロセスベースの検出を回避するためのプロセスインジェクション(Process Injection)の手法を利用します。
Carbanakはこの他、セキュリティツールの無効化(Disable or Modify Tools)、不正活動によって残存するファイルの削除(File Deletion)、レジストリを変更して設定情報を隠蔽する(Modify Registry)手法を実行します。
FIN7は、ガードレール(Execution Guardrails)の手法を利用して実行を制限し、セキュリティの制限を回避して間接的にコマンドを実行できるユーティリティを悪用します(Indirect Command Execution)。また、仮想環境やサンドボックスの回避(Virtualization/Sandbox Evasion)、正規プロセスの一部をくり抜いて不正コードに入れ替える(Process Hollowing)手法を用いプロセスベースの防御を回避しています。
Credential Access(認証情報探索)
システムにはパスワードで保護された部分があります。両グループは認証情報を窃取するため、クレデンシャルダンピング(OS Credential Dumping)とインプットキャプチャ(Input Capture)を利用していました。クレデンシャルダンピングは、通常ハッシュまたはクリアテキスト形式のログイン認証情報を窃取し、インプットキャプチャではAPIまたはWebポータルを使用して認証情報を窃取します。
Carbanakはこの他、総当たり攻撃(Brute Force)を実行したり、あるいはWebブラウザに保存されている認証情報を窃取したりします(Credentials from Web Browsers)。
一方、FIN7はフッキング(Credential API Hooking)を実行します。
Discovery(情報発見)
この段階で、両グループは標的システムについてさらに調査するため、開いているアプリケーションウィンドウの一覧(Application Window Discovery)、実行中のプロセス一覧(Process Discovery)、リモートシステムのIPアドレスおよびその他のネットワーク識別子一覧(Remote System Discovery)、詳細なハードウェアおよびシステム情報(System Information Discovery)、システムのネットワーク構成および設定情報(System Network Configuration Discovery)、システムの所有者およびユーザ情報(System Owner/User Discovery)などのさまざまな情報を収集します。
Carbanakは、アカウント一覧(Account Discovery)、ファイルやディレクトリの一覧(File and Directory Discovery)、グループおよび権限の設定(Permission Groups Discovery)、レジストリ情報(Query Registry)を収集します。
一方FIN7は、ネットワーク共有に関する情報(Network Share Discovery)を収集します。
収集した情報は、次の段階の「ラテラルムーブメント」で役立てられます。
Lateral Movement(ラテラルムーブメント)
両グループともRDP( Remote Desktop Protocol)でシステムにログインし、遠隔からファイルをコピーする(Remote File Copy)手法によって攻撃ツールをアップロードしたり、Window管理者のネットワーク共有を悪用(SMB/Windows Admin Shares)したりしてネットワーク内を移動し、機密情報や重要データを特定します。
Carbanakの攻撃では、Pass the Hashの手法で窃取したパスワードハッシュを利用し、リモート接続(Remote Services)が可能なサービスにログインすることがあります。
Collection(情報収集)
ネットワーク内を移動しターゲットが保持する情報を特定したら、次は重要データを抽出する段階となります。この段階で両グループは、入力(Input Capture)や画面(Screen Capture)のキャプチャによってローカルシステムからデータを収集します(Data from Local System)。この手法は、マルウェア「Tirion」を使用した攻撃キャンペーンで確認されています。
FIN7では、収集したデータを特定の場所にステージングして送出の準備をします(Data Staged)。
Command and Control(コマンド&コントロール、C&C)
CarbanakおよびFIN7いずれにおいても、感染システムと通信するためには、一般的に使用されるポートを利用して通常のネットワークトラフィックに紛れ込みファイアウォールやネットワーク検知システムをバイパスする(Commonly Used Port)、プロキシ接続で攻撃者グループのインフラへの直接接続を回避する(Proxy)、リモートで外部からコピーしたファイルでC&C通信経路を設置する(Remote File Copy)、標準的なアプリケーション層のプロトコルを使用することによって既存のネットワークトラフィックに紛れ込む(Application Layer Protocol)、標準的な暗号プロトコルを利用してC&Cのトラフィックを隠蔽する(Standard Cryptographic Protocol)などの手法が使用されています。
Carbanakは他に、C&Cに正規のプログラムや遠隔操作のためのソフトウェアを利用することがあります(Remote Access Software)。また、通信にはアプリケーション層以外の標準プロトコルも使用します(Non-Application Layer Protocol)。
Exfiltration(情報送出)
最終段階で両攻撃グループは、収集した情報をC&C通信経路から通常の通信経路へと送出します(Exfiltration Over C2 Channel)。
FIN7の攻撃では、データを圧縮または暗号化してから送出する場合があります(Data Encrypted)。
Linux を対象とするATT&CK Tactics and Techniques(戦術および手法)も MITRE によって公開されています。
■トレンドマイクロの対策
「Trend Micro XDR」は高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。
参考記事:
- 「Carbanak and FIN7 Attack Techniques」
By Trend Micro
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)
