検索:
ホーム   »   Managed XDR

複数レイヤーにおける正規リモートアクセス手段の悪用で検出回避を試みる攻撃手法の解説

  • 投稿日:2022年4月27日
  • 脅威カテゴリ:脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロのManaged XDR(eXtended Detection and Response)を担当するチーム(以下、MDRチーム)は最近、ある顧客を標的とした攻撃事例に対処しました。この事例は、攻撃者による巧妙な検出回避と、複数レイヤーに跨る攻撃を示すものでした。まず、エンドポイントの脆弱性を攻撃し、そこから水平移動・内部活動へと繋げる様子が確認されました。一連の攻撃は、脆弱性「ProxyShell」を突いたクラウドサーバへのWebシェルのインストールから始まり、最終的な侵入手段としてリモートデスクトッププロトコル(Remote Desktop Protocol:RDP)を含む正規リモートアクセス手段を用いた持続的な攻撃に発展しました。

(さらに…)

続きを読む
Tags: eXtended Detection and ResponseManaged XDRPossible_SMWEBSHELLYXBH5AProxyShellWebシェル

Trend Micro Vision One™による「Cobalt Strike」の調査を解説

  • 投稿日:2021年8月2日
  • 脅威カテゴリ:対策技術, ランサムウェア, サイバー犯罪
  • 執筆:Trend Micro
0

2021年5月下旬、トレンドマイクロの「Managed XDR」は、お客様のエンドポイントにおいて注目すべき「Trend Micro Vision One™(以下、Vison One)」のアラートを通知しました。その後、他の類似した感染端末でもCobalt Strikeの検出が確認されたため、詳細な調査を実施しました。

この記事では、今回の調査で実施した戦術および手順を説明します。今回の事例では、あるエンドポイントからのアラートをきっかけにして、さらに他の感染端末のエンドポイントを示す証拠や手がかりを収集することで、最終的に攻撃元を明らかにしました。

Cobalt Strikeは商用のペネトレーションテストツールですが、近年の標的型攻撃においてそのRAT機能が悪用される事例が目立っており、「Ryuk」、「DoppelPaymer」、「Povlsomware」などのランサムウェア攻撃でも悪用事例が確認されています。この記事では今回の調査事例を元に、Cobalt Strikeを悪用するこれらのランサムウェア攻撃の被害を阻止および除去するために必要な痕跡解明の手順を解説します。

図1:被害を受けた環境でのCobalt Strikeによる活動のマッピング

(さらに…)

続きを読む
Tags: ADfind.exeBloodhoundCobalt StrikeManaged XDR


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.