正規のツールを複数組み合わせた巧妙な攻撃手法

近年のサイバー攻撃は手口が極めて高度化・巧妙化しており、アンチウイルスをはじめとする古典的な手法ではますます検知が困難になっています。特に最近目立つのが、セキュリティ対策ソフトウェアによる検知をかいくぐるために、正規のソフトウェアを悪用して感染を図る手法です。Windows OSに標準で付属しているコマンドラインツール「PowerShell」を悪用する手口はその代表例であり、今やすっかり定番の攻撃手法となりました。

加えて最近では、サードパーティ製品を悪用したさまざまな攻撃手法が編み出されるようになりました。「被害が拡大しつつあるマルウェア『Qakbot』の傾向と対策を知る」ではその一例として、ペネトレーションテストやインシデント対応訓練のために用いられる商用ツール「Cobalt Strike」を悪用した攻撃について紹介しました。

その後も弊社のグローバルSOC（GSOC）では、Cobalt Strikeを悪用した攻撃を観測していますが、中にはさらにほかのサードパーティ製品も組み合わせたより巧妙な手口も確認されています。具体的には、フィッシングメールに添付されたファイルをユーザーが開くと、PowerShellによって不正なスクリプトが実行され、ペイロードがダウンロードされます。その後、同じくPowerShellによって不正なプロセスが起動し、追加のペイロードがダウンロードされた後に、リモートアクセスツール「NetSupport Manager」が実行されます。

NetSupport Manager自体は正規のソフトウェア製品であり、既に世界中で120カ国・1800万人によって利用されている比較的よく知られた製品です。攻撃者はこのNetSupport Managerを悪用してターゲット端末を不正に操り、Cobalt StrikeのC＆Cサーバにアクセスします。この攻撃が成功し、最終的にCobalt Strikeに感染するとユーザー情報やネットワーク情報などが窃取され、さらに他端末へと感染が広がっていく恐れもあります。

これら一連の攻撃で用いられるペイロードの中には、PowerShellプロセスのメモリスペース上で「フローティングコード」として実行されるものが含まれています。いわゆる「ファイルレス攻撃」と呼ばれる手法で、ディスク上でファイルとしての実体を持たないために、一般的なセキュリティソフトウェアによる検出が困難だと言われています。

また本攻撃を実行するプロセスは「PowerShell」「NetSupport Manager」「Cobalt Strike」と、どれも正規のツールを悪用したものであり、このこともまたこの攻撃の検知をより一層困難なものにしています。

▲NetSupportManagerの主な機能 (公式ウェブサイト)

ファイルレス攻撃も効果的にブロックできる「Cybereason NGAV」

このように、既存のマルウェア対策を巧みに潜り抜けようとする攻撃を防ぐには、一体どのような対策を講じておけばいいのでしょうか。まず第一に、攻撃の第一段階であるフィッシングメールによる感染を防ぐために、不審な添付ファイルを不用意に開かないよう組織内で周知徹底することが大切です。フィッシングメールのリスクに対する従業員の意識を常に高く保てるよう教育や情報提供を行うとともに、定期的に訓練を実施するとなお効果的でしょう。

ただし、近年のフィッシングメールは新型コロナウイルス関連のトピックを扱うなど、受信者の心理的な隙を巧みに突くソーシャルエンジニアリング手法を用いるようになっており、添付ファイルの開封を100％防ぐのは実質的に困難になっています。そのため、万が一不正な添付ファイルが開封されてしまったとしても、その中に含まれている不正スクリプトが実行されないよう、管理者権限を持たないユーザーのWindows Script HostおよびPowerShellの実行権限に制限を掛けておくことをお勧めします。

それでもなお、今回紹介したような近年のサイバー攻撃はあの手この手を駆使して感染を試みます。そのため、どれだけ手を尽くしたとしても感染を100％防ぐのはもはや不可能だと心得るべきでしょう。そこで必要になってくるのが、万が一感染してしまった場合に備えた事後対策です。近年ではセキュリティ製品も大幅に進化を遂げ、今回紹介したような巧妙な攻撃手法もしっかり検知・ブロックしてくれるものも出てきています。

例えば、弊社が提供するNGAV（次世代アンチウイルス）製品「Cybereason NGAV」を使えば、一般的なセキュリティ製品では検知が困難なファイルレス攻撃も効果的に検知するため、今回紹介したような巧妙な攻撃も確実に検知・除去できます。ほかにもシグネチャベース検知や振る舞い検知、静的バイナリ解析などさまざまな防御技術を6層に渡って積み重ねることで、あらゆる種類の攻撃をブロックできるようになっています。今回紹介したような最新の脅威に対抗するためには、やはり防御側の仕組みにもこうした最新の技術を導入しておきたいところです。また弊社ではEDR製品「Cybereason EDR」も提供しています。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606