本ブログでは2020年11月19日の記事で、脆弱性攻撃ツール「PurpleFox Exploit Kit(PurpleFox EK)」を使用する攻撃者がCloudflare社の正規サービスを悪用してHTTPS経由でランディングページを拡散することで、セキュリティソリューションによる検知を回避していることをお伝えしました。PurpleFoxの背後にいる攻撃者は最新のセキュリティアップデートで一般公開された脆弱性を攻撃手口に取り入れてPurpleFoxの攻撃チェーンを高度化させてきましたが、今回トレンドマイクロでは、近年確認されたPurpleFoxが拡散手法を高めるために古い手法を追加していることを発見しました。本記事で解説するPurpleFox EKは、「wpad」ドメインを使ってWebプロキシの自動検出機能である「WPAD」(Web Proxy Auto-Discovery)を悪用する攻撃手法により、ユーザの利用端末を誘導します。このようなWPAD機能を悪用する手法は約14年前から確認されており、この攻撃を防ぐための取り組みも行われていますが、いまだに有効な攻撃手法である場合があります。WPAD機能ではWebプロキシの設定を任意の場所に設置された設定ファイルから取得します。今回の事例でPurpleFoxは「wpad.id」ドメインに不正な設定ファイルを設置し、取得させる手口を使っていました。「.id」はインドネシアの国別トップレベルドメインであることから、インドネシアの利用者が被害に遭う可能性が高かったものと言えます。トレンドマイクロは、この「wpad.id」ドメインにアクセスした被害者の検出状況を確認するために調査を開始しました。当該調査時点では、他の国のトップレベルドメインにおける影響被害は確認されませんでした。攻撃者はこの手法を用いることで、システム起動時にユーザによる入力情報がなくてもWPAD機能を悪用して設定したURLにアクセスさせることができるため、ゼロクリック攻撃の実装が可能になります。
2021年5月下旬、トレンドマイクロの「Managed XDR」は、お客様のエンドポイントにおいて注目すべき「Trend Micro Vision One™(以下、Vison One)」のアラートを通知しました。その後、他の類似した感染端末でもCobalt Strikeの検出が確認されたため、詳細な調査を実施しました。
この記事では、今回の調査で実施した戦術および手順を説明します。今回の事例では、あるエンドポイントからのアラートをきっかけにして、さらに他の感染端末のエンドポイントを示す証拠や手がかりを収集することで、最終的に攻撃元を明らかにしました。
Cobalt Strikeは商用のペネトレーションテストツールですが、近年の標的型攻撃においてそのRAT機能が悪用される事例が目立っており、「Ryuk」、「DoppelPaymer」、「Povlsomware」などのランサムウェア攻撃でも悪用事例が確認されています。この記事では今回の調査事例を元に、Cobalt Strikeを悪用するこれらのランサムウェア攻撃の被害を阻止および除去するために必要な痕跡解明の手順を解説します。
図1:被害を受けた環境でのCobalt Strikeによる活動のマッピング
続きを読むPage 2 of 21