- 2019/11/26
- EDR
なかなか対処できなかったAPT攻撃の全容をわずか5日間で解明
Post by : Yukimi Sohta
何度も同じAPT攻撃を受けながらその現状を把握できない
今回は、サイバーリーズンのEDR製品を使って最新のAPT攻撃への対処に成功したとある企業の事例を紹介したいと思います。この企業の社名を、仮にA社としましょう。A社は海外の大手金融サービス会社で、12万人もの従業員と最先端のインシデントレスポンスチームを擁しています。
A社である日、流出先は特定できないものの、社内情報の窃取が検知されました。早速、インシデントレスポンスチームが調査に当たり、情報窃取が検知された数台のPCのフォレンジック調査を行いました。その結果、それぞれから異なるIPアドレスやドメイン名のC&Cサーバに接続している痕跡が見付かりました。また、攻撃者はIPアドレスとハッシュを標的の各PCごとに使い分け、頻繁にIPアドレスを変更して検知を回避していたことも分かりました。
しかし残念ながら、これだけの情報が判明しながら、攻撃元の特定はおろか、攻撃による影響範囲すら正確に把握することができませんでした。A社のインシデントレスポンスチームでは、今回受けた攻撃に関する「IOC(Indicator of Compromise:脅威の存在の痕跡)」情報を収集し、社内で同じIOCが使われて被害を受けているエンドポイントがほかにもないか探索しましたが、既に侵害が確認されているエンドポイント以外には1台も発見できませんでした。しかも発見直後に、これら確認済みのエンドポイントからもIOCは消失してしまいました。
こうして、攻撃元も影響範囲も特定できないまま第一波の攻撃は過ぎ去っていきましたが、やがて第二波の攻撃がやってきました。このときも同じく、複数のエンドポイントで不明な場所への情報窃取が検知され、ほかに被害に遭ったマシンがないか調べるためにIOC情報が収集されましたが、やはりIOCが見付かったのは既に攻撃が確認されたマシンのみで、そのIOCもやがて消失してしまいました。
その後、同じパターンの攻撃が半年間の間に何度も繰り返され、その間に合計数十台のエンドポイントで情報窃取が検知されました。しかしそのたびに、IOC情報をベースにした調査は功を奏することなく、一度たりとも攻撃元や影響範囲が特定されることはありませんでした。ここに至りA社は、今回の一連の攻撃に対処するには、これまでとは根本的に異なる新たな対策の導入が必要との判断に至りました。
Cybereason EDRを5日間利用しただけでAPT攻撃の全容を解明
そこでA社は、サイバーリーズンのEDR製品「Cybereason EDR」を導入して、これまで受けた攻撃の痕跡と、現在社内に存在する脅威の可視化を試みることにしました。
それまで脅威を特定するために利用していたIOC情報は、「ウイルスのシグネチャ」「IPアドレス」「マルウェアファイルのMD5ハッシュ」「ボットネットのC&CサーバのURLまたはドメイン名」などによって構成されていました。一方、Cybereason EDRは攻撃者の「TPP(Tactics, Techniques, Procedures:戦術、手法、手順)」と、エンドポイント上で進行している「不審な挙動」に関する情報に基づいて脅威を検知します。
この手法を使えば、IPアドレスを頻繁に変更するなどしてIOC情報に基づく検知を巧みにくぐり抜けてきた今回の攻撃も、効果的に可視化できるのではないかと考えたのです。
早速A社は、Cybereason EDRのクライアントモジュールを、社内に5000台あるPCとサーバへインストールしました。これだけ多くのエンドポイントへ導入したにもかかわらず、クライアントモジュールのインストール作業はわずか数時間で完了し、かつその間に通常業務を妨げることは一切ありませんでした。
その後、5日間に渡ってCybereason EDRを使って社内のエンドポイントに存在する脅威の可視化を行ったところ、何と5000台中3000台にも及ぶエンドポイントから侵害の痕跡が見付かりました。これらのエンドポイントからIOCを収集したところ、検知や探索を免れるために巧みに内容が変更されており、数万種類ものIOCの組合せが利用されていることが分かりました。攻撃側のこの攪乱戦術により、当初の「IOC情報をベースにした調査」は効果を封じられてしまっていたわけです。
一方、Cybereason EDRを使って行った「TPPベースの調査」では、攻撃側の手法は「3つの固有のラテラルムーブメント手法」「C&C通信とDLLインジェクションのためのDGA(Domain Generator Algorithms)」などを含む7つに絞り込むことができました。これによってA社は、今回受けているAPT攻撃の全容を把握するとともに、現時点で発生している被害や脅威を可視化し、的確な対処を行えるようになりました。
このように、Cybereason EDRを使うことで従来の手法では決して検知できなかった高度なAPT攻撃へ的確に対処できるようになります。また同製品は、PCやサーバなどの動作に影響を与えることなく、手軽かつ安全に導入できる点がほかのEDR製品とは明らかに一線を画しています。海外はもちろん、日本においても既に多くの企業や組織で導入されており、その一部は導入事例として製品ページで紹介されていますので、興味をお持ちの方はぜひ参照してみてください。
ケーススタディ「大手金融サービス会社、振る舞い検知戦略により進化するAPT攻撃に対処」
12万人の従業員と最先端のインシデント レスポンス チームを擁す大手金融サービス会社が、流出先は特定できないものの社内データの漏えいを検知しました。
データ侵害の被害にあったエンドポイントをフォレンジック分析にかけたところ、コマンド&コントロール(C&C)サーバーで使用されたドメイン名とIPアドレス、および永続化を維持するためのスケジュールされたタスクが明らかになりました。
フォレンジック調査では、各エンドポイントがそれぞれ異なるIPアドレスと固有のドメイン名に接続されていることが判明しました。
この企業がどのようにこの課題に取り組んだのか、本書を通じて学ぶことができます。
https://www.cybereason.co.jp/product-documents/case-study/2235/