トレンドマイクロの「2013年のセキュリティ予測」では、「不正プログラムは、大きな変化をすることなく、徐々に進化していく」のみであることを予測しました。このことは、持続的標的型攻撃で利用される攻撃ツール(もしくは正規のツールを悪用する場合)において確認することができます。
ここでの問題は、攻撃ツールが、セキュリティソフトによって常に検出されるわけではないこと、また少なくとも論理的な問題や法的な問題により、検出されないグレイウェアとして存在する場合があることです。残念ながらこのことは、持続的標的型攻撃のフォレンジック調査における検知の可能性が低くなることを意味します。さらに攻撃者が、独自のツールを作成する手間を省くこともできます。
ここにいくつかの一般的な攻撃ツールを紹介します。
パスワード・リカバリ・ツール – ローカルドライブやレジストリ値内に存在するアプリケーションまたはオペレーティングシステム(OS)のパスワードまたはパスワードのハッシュを抽出するツールです。このツールは、一般的にユーザアカウントを複製したり、偽装することで管理者権限を得るために利用されます。「Pass the Hash」技法は、収集したパスワードのハッシュを介して管理者権限を得る手法として攻撃者がよく利用します。
ユーザアカウント複製ツール – 攻撃者がパスワードを入手した後、ユーザアカウントを複製するために利用されます。特権を得ることができれば攻撃者は、システムに施されたセキュリティ制御を回避して、不正な活動を行うことが可能になります。
ファイル操作ツール – ファイルのコピー、削除、変更、タイムスタンプの更新、および特定ファイルの検索といったファイル操作を行うツールです。これは、アクセスしたファイルのタイムスタンプを変更したり、コンポーネントを削除したりすることで攻撃の証拠を隠すために利用されます。また、窃取対象の重要文書を検索するためにも利用され、攻撃者が特定のファイル拡張子を持つファイルを検索することが可能になります。
ジョブスケジューラ – スケジュールされたタスクの無効化や作成を行うソフトウェアです。攻撃者は、このツールを利用してソフトウェアの更新を行うためにスケジュールされたタスクを無効にすることで、感染コンピュータのセキュリティを下げることができます。また、不正活動にも利用されます。例えば、攻撃者は、定期的にファイルを自動収集するスケジュールされたタスクを作成することができます。
FTPツール – 特定の FTPサイトにファイルをアップロードするような FTP通信を支援するツールです。FTP通信は、ネットワーク内ではそれほど不審ではないため、持続的標的型攻撃の脅威の中には、実際にコマンド&コントロール(C&C)サーバに収集した情報をアップロードするのではなく、リモートFTPサイトにアップロードするものもあります。サイバー犯罪にいくつかの正規の FTPアプリケーションが使われている事実にも注目すべきです。
データ圧縮ツール – これらのツールは、悪質であるとも、攻撃ツールであるともいえません。ほとんどの場合、これらのツールは、”WinRAR” といった正規のデータ圧縮ツールで、攻撃者が収集した複数のファイルをアーカイブして圧縮するために利用されます。攻撃における「情報送出」段階で、収集した複数のファイルを1つのファイルとしてアップロードするのが目的です。少ない事例ではありますが、これらのアプリケーションがパッケージ化され、事前に定義された複数のファイルを圧縮するように構成されていた事例も確認しています。
■どうすれば持続的標的型攻撃でこれらのツールが使われていることを識別できるのでしょうか?
「TrendLabs(トレンドラボ)」では、管理者権限の取得や重要文書の収集のために、これらのツールが持続的標的型攻撃において利用されるのを確認しています。では、IT管理者や権限を持ったユーザは、これらのツールを利用する持続的標的型攻撃を識別するために、この情報をどう活用することができるでしょうか。
不審なコマンドシェルプロセスのインスタンスから、攻撃の可能性を知り得るかもしれません。上述したツールは、コマンドラインツールであるか、またはコマンドラインと「Graphical User Interface(GUI)」の両方で実行されるかのいずれかです。攻撃者は、隠ぺいされたコマンドプロンプトのインスタンスを介してこれらのツールを利用します。そのため、定期的に不明なコマンドシェルのプロセスがコンピュータに存在するかを確認することが、感染の可能性を見極めるのに役立ちます。さらに、”Process Explorer” のようなプロセスチェックツールを使用することでコマンドプロセス上でパラメータが確認できるようになります。これらのツールは、持続的標的型攻撃のコンポーネントかどうかを証明する際に役立ちます。
ツールの存在は、正規のものかどうかにかかわらず、攻撃の証である可能性があります。攻撃者は、正規のソフトウェアを長期にわたって悪用しています。このため、ユーザは、コンピュータ内に存在するソフトウェアに注意し、何がインストールされているかを把握しておく必要があります。面倒に感じることもあるかもしれませんが、コンピュータに存在するファイルに注意しておくことは、自組織における大規模な機密文書の漏えい被害や持続的標的型攻撃の被害の緩和につながります。
トレンドラボは、攻撃者が不自然なファイル名や偽の拡張子を用いてこれらのツールを保存しているのを確認しています。コンピュータに追加されたファイルを特定することができれば、攻撃の可能性を確認する際の重要な手がかりとなります。
FTP接続におけるネットワークログに注意を払うことをお勧めします。不正な C&Cサーバへの接続を確認することは一般的ですが、FTP接続を確認することも、ネットワーク内の不正を発見するためのもう一つの手法となります。一般的な企業設定では、通常 FTPサイトは、イントラ上のサイトであるため、不正なものから正規FTPサイトを区別しやすくなります。FTPの通信は、ネットワーク内の他の通信よりも非常に小さいため、ユーザはより早く不正を発見することが可能です。また、リモートサイトにアップロードされた不自然な名前のアーカイブファイルまたはファイルを確認することも、攻撃を知る方法です。
スケジュールされたジョブを確認しましょう。スケジュールされたジョブは、持続的標的型攻撃だけでなく、通常の不正プログラムにおいてもよく利用される自動実行方法です。スケジュールされたジョブのプロパティを調べると、感染が確認できるだけでなく、スケジュールされたジョブが実行するファイルから、攻撃のコンポーネントを明らかにするのにも役立ちます。持続的標的型攻撃のキャンペーン(繰り返される作戦活動)数が増加している現状を踏まえると、組織内のネットワークが、過去に持続的標的型攻撃のを受けていることに気づくのは、持続的標的型攻撃の最初の感染を防ぐことと同じくらい重要です。
セキュリティ研究者と同様に、ユーザやセキュリティ管理者は、異なる視点から標的型攻撃について理解することによって、これらの脅威により対抗するための力をつけることになります。今回の事例では、持続的標的型攻撃のコンポーネントに注目し、「どこ」で「何」を探すべきかを知ることで既知の攻撃を調査する際の視野を広げることができます。
トレンドラボは、諜報活動目的より、破壊活動を目的とする攻撃の増加を予測していると報告しています。また、言語や地理的条件など、特定の状況に特化した攻撃の増加も予測しています。
参考記事:
「Throwing Some Light on APT Hacktools」
by Roland Dela Paz (Threat Researcher)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)
