2021年5月下旬、トレンドマイクロの「Managed XDR」は、お客様のエンドポイントにおいて注目すべき「Trend Micro Vision One™(以下、Vison One)」のアラートを通知しました。その後、他の類似した感染端末でもCobalt Strikeの検出が確認されたため、詳細な調査を実施しました。
この記事では、今回の調査で実施した戦術および手順を説明します。今回の事例では、あるエンドポイントからのアラートをきっかけにして、さらに他の感染端末のエンドポイントを示す証拠や手がかりを収集することで、最終的に攻撃元を明らかにしました。
Cobalt Strikeは商用のペネトレーションテストツールですが、近年の標的型攻撃においてそのRAT機能が悪用される事例が目立っており、「Ryuk」、「DoppelPaymer」、「Povlsomware」などのランサムウェア攻撃でも悪用事例が確認されています。この記事では今回の調査事例を元に、Cobalt Strikeを悪用するこれらのランサムウェア攻撃の被害を阻止および除去するために必要な痕跡解明の手順を解説します。
図1:被害を受けた環境でのCobalt Strikeによる活動のマッピング
続きを読む