サイバー活動家によるブルートフォース攻撃

アラート(TA18-086A)

サイバー活動家によるブルートフォース攻撃

 

影響を受けるシステム

ネットワークシステム

概要

FBI調査の情報によると、悪意のあるサイバー犯罪者は、米国内外の組織に対してパスワードスプレーと呼ばれるブルートフォース攻撃をますます利用しています。
2018年2月、ニューヨーク南部の司法省は、この報告書に記載されている活動に関連するコンピューター侵入犯罪について、マブナ研究所に関連していたイラン国民9人を起訴しました。マブナの活動家の特徴であるが、本書で説明するテクニックとアクティビティは、このグループのみが使用することに限定されません。
国土安全保障省(DHS)と連邦捜査局(FBI)は、この活動に関する詳細情報を提供するためにこのアラートを公開しています。

説明

従来のブルートフォース攻撃では、悪意のある活動家が、パスワードを推測することによって、単一のアカウントへの不正アクセスを試みます。これにより、一般的に使用されるアカウントロックアウトポリシーでは、設定された期間に3〜5回の不正な試行が可能になるため、ターゲットアカウントがロックアウトされることがあります。パスワードスプレー攻撃(「低速および低速」方法とも呼ばれます)では、悪意のある活動家は複数のアカウントに対して1つのパスワードを試行してから2番目のパスワードを試みます。この手法では、アカウントのロックアウトが頻繁に起こらないようにすることで、アクターが検出されないままになります。
パスワードスプレーキャンペーンは、通常、フェデレーション認証プロトコルを使用したシングルサインオン(SSO)およびクラウドベースのアプリケーションを対象としています。アクターは、フェデレーテッド認証が悪意のあるトラフィックを隠すのに役立つため、この特定のプロトコルをターゲットにすることができます。さらに、SSOアプリケーションを対象とすることで、悪意のあるアクターは、成功した妥協の間に知的財産へのアクセスを最大限にしようとします。 
電子メールアプリケーションも対象となります。その場合、悪意のある活動家は、(1)クラウドから直接組織の電子メールへの不正アクセスを取得し、(2)その後、ローカルに保存された電子メールファイルにユーザーメールをダウンロードし、電子メールアドレスリスト、および/または(4)送信されたメッセージおよび受信されたメッセージの転送のための受信箱規則を秘密に実装する。

技術的な詳細

パスワードスプレー攻撃を実行するための従来の手法、テクニック、および手順(TTP)は、次のとおりです。
  • ソーシャルエンジニアリング戦略を使用して、オンライン検索(例:Google検索、LinkedInなど)を実行して、ターゲット組織と特定のユーザーアカウントを識別し、初期パスワードスプレー
  • 推測しやすいパスワード(「Winter2018」、「Password123!」など)と一般に公開されているツールを使用して、特定されたSSOまたはWebベースのアプリケーションと連合認証方法を利用して、ターゲットアカウントに対してパスワードスプレー攻撃を実行します
  • 脆弱なアカウントの初期グループを活用し、ターゲットの電子メールクライアントからグローバルアドレス一覧(GAL)をダウンロードし、正当なアカウントに対してより大きなパスワードスプレーを実行する
  • 侵入したアクセスを使用して、ネットワーク内で横方向に(例えば、リモートデスクトッププロトコル経由で)展開し、FileZillaなどのファイル転送プロトコルツールを使用して大量データの抽出を実行する
パスワードスプレー攻撃の指標には次のものがあります。
  • エンタープライズSSOポータルまたはWebベースのアプリケーションに対するログオン試行の大規模な急増。
    • 自動化されたツールを使用することで、悪意のあるアクターは、犠牲者企業の複数のユーザーアカウントに対して、1つのIPアドレスとコンピューター(一般的なユーザーエージェント文字列など)から数千回のログオンを迅速に続けます。
    • 攻撃は2時間以上実行されています。
  • IPアドレスからの従業員ログオンは、通常の場所と矛盾する場所に解決されます。

典型的な犠牲者環境

既知のパスワードスプレー犠牲者の大多数は、以下の特徴のいくつかを共有している[1] [2]
  • フェデレーション認証方式でSSOまたはWebベースのアプリケーションを使用する
  • マルチファクタ認証(MFA)が不十分
  • 推測しやすいパスワードを許可する(例: "Winter2018"、 "Password123!")
  • インボックス同期を使用すると、電子メールをクラウド環境からリモートデバイスに引き込むことができます
  • ユーザレベルで電子メール転送を設定できるようにする
  • イベント後の調査中に困難を引き起こす制限されたログ設定

影響

ネットワークの侵入が成功すると、特に侵害が公開され、機密情報が公開された場合、深刻な影響を受ける可能性があります。考えられる影響には、
  • 機密情報または専有情報の一時的または永久的な損失。
  • 通常の業務を中断する。
  • システムとファイルを復元するために発生した財務的損失 そして
  • 組織の評判への潜在的な害。

溶液

推奨される軽減策

この攻撃スタイルを抑止するには、次の手順を実行する必要があります。
  • MFAを有効にし、MFA設定を確認して、アクティブなインターネット対応プロトコルすべてのカバレッジを確保します。
  • NISTの最新のガイドライン[3]に準拠していることを確認し、推測しやすいパスワードの使用を抑止するために、パスワードポリシーを確認してください
  • 初期パスワード、ユーザーロックアウトのパスワードリセット、および共有アカウントに関連するITヘルプデスクのパスワード管理を確認します。ITヘルプデスクのパスワード手順は、企業ポリシーに合わない可能性があり、悪用可能なセキュリティギャップが生じます。
  • 多くの企業では、2018年3月5日にリリースされたMicrosoftのブログなど、パスワードスプレー攻撃の検出と防止に役立つ追加の支援とツールを提供しています。[4](リンクは外部)

通知通知

FBIは、この文書の受領者に、疑わしいまたは犯罪的な活動に関する情報を、地方のFBIフィールドオフィスまたはFBIの24/7 Cyber​​ Watch(CyWatch)に報告することを推奨します。フィールドオフィスの連絡先は、www.fbi.gov/contact-us/fieldで確認できます。CyWatchは電話で(855)292-3937または電子メールでCyWatch@ic.fbi.govに連絡することができます。利用可能な場合、提出された各報告書には、日付、時間、場所、活動の種類、人数、活動に使用される設備の種類、提出する会社または団体の名前、指定された連絡先が含まれていなければなりません。プレスのお問い合わせは、FBIの全国報道室(npo@ic.fbi.govまたは(202)324-3691)を参照してください。

参考文献

リビジョン

  • 2018年3月27日:初期バージョン

コメント

コメントを投稿

このブログの人気の投稿

スフィロミニをスクラッチでうごかす Manipulate Sphero mini on Scratch

2018年11月20日に「Scratch Helper Apps」のバージョン0.8.6が公開されました。 PICAXE has released "Scratch Helper Apps" Version 0.8.6 on November 20, 2018. これを使うとScratch(スクラッチ)からSphero mini(スフィロミニ)を遠隔操作することができます。早速やってみましょう。 This application will assist communication between Scratch and Sphero mini. And you can remotely control Sphero mini. Let's do it. 準備する物 (Preparation) Windows10のパソコン (Windows 10 PC) Sphero mini(スフィロミニ) ★ ヨドバシカメラ などで購入できます。七千円弱? BLED112-V(Silicon Labs / Bluegiga) ★ マルツ などで購入できます。二千円弱? Scratch(スクラッチ) Scratch Helper Apps ミニ知識 スフィロミニはBluetooth(ブルートゥース) Low Enegy(ローエナジー)という規格の無線で通信します。通常のブルートゥースとちがって、省電力用に設計された規格です。パソコンからブルートゥース・ローエナジーに対応したアダプターを使用して通信する必要があります。また、これから使用するS2Bot App for Windowsは、Silicon Labs(シリコンラボ)社のBLED112-V1というアダプタが必要です。 遠隔操作する環境を準備する Windows10パソコン Windows10パソコンを起動します。管理者権限を持つユーザーとしてログインできるとことまでは頑張って準備してください。 スフィロミニも開封してUSBケーブルを挿して充電しておきます。スフィロミニは1時間充電すると、操作方法にもよりますが約1時間操作することができます。 ブルートゥース・ローエナジーアダプター シリコンラボ社製BLED112-V1というブルートゥース・ローエ...
続きを読む

Cent OS 7.5 でタッチパッドが使えなかったのでその対応メモ

Cent OS 7.5 に GNOME デスクトップ環境を構築すると、タッチパッドが使えなかった。 デバイスがロードされていないので、以下の手順でロードした。 ターミナルを起動して、続けて以下の操作を実行する。 [user@host ~]$ sudo vi /etc/default/grub ... GRUB_CMDLINE_LINUX_DEFAULT="... quiet splash i8042.nopnp " ... :wq 赤字のコード「 i8042.nopnp 」を「GRUB_CMDLINE_LINUX_DEFAULT」の項目の最後に追加で書き込んで閉じる。 [user@host ~]$ sudo grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg uEFIのgrub設定を更新する。 [user@host ~]$ sudo echo "blacklist i2c_hid" > /etc/modprobe.d/i2c-hid.conf i2c_hid モジュールが誤ってロードされないようにブラックリストに登録する。 [user@host ~]$ sudo cp -v /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).img.bak initramfs を更新する。 [user@host ~]$ sudo dracut -f && reboot dracut で初期RAMイメージを作成して再起動する。レガシーデバイス(PS/2)として認識されるタッチパッドは、この手順でロードできる。以下のコマンドでロードされた状態を確認できる。 [user@host ~]$ xinit Virtual core pointer ...  ETPS/2 Elantech Touchpad id=13 [slave pointer(2)] ...
続きを読む

新しいWebベースのマルウェア配布チャネル「BlackTDS」サーフェス

新しいWebベースのマルウェア配布チャネル「BlackTDS」サーフェス リンジー・オドネル ダークウェブ上でマルウェアの新しいトラフィック配信システムがサービスとして提供されており、エクスプロイトキットやマルウェアを導入する手頃な方法として宣伝されています。 トラフィック配信システム(TDS)は、それを見つけたProofpointの研究者によってBlackTDSと呼ばれています。 トラフィック配信システムは、1つのサイトから別のサイトへトラフィックを売買するブローカーとして機能します。 これらは、ユーザーのブラウザ、IPアドレス、地理、ユーザーエージェントのデータに基づいてトラフィックをフィルタリングすることによって価値を付加します。 ユーザーがTDSチェーンの一部であるリンクをクリックすると、プロファイルに基づいて悪意のあるWebページに自動的にリダイレクトされます。 TDSシステムは、エクスプロイトキットや偽のダウンロードを介してWebベースのマルウェアを配布する際に犯罪者を助けることで有名です。 Proofpointが見つけたのは、ダークウェブ上のクラウドTDSという名前のサービスとしてのTDSでした。 このサービスは、他のTDS製品と同じくらい完全には機能していません。 脅威の俳優はBlackTDSに自分のトラフィックを送る必要があります。 そこから、BlackTDSは犠牲者のプロファイルデータを使用して、ユーザーに公開する悪用可能なキットやマルウェアを最適化することを約束しました。 「通信事業者は、クラウドTDSがボット、つまり研究者やサンドボックスによる検出を防ぎながら、ソーシャルエンジニアリングとリダイレクトを利用してキット(EK)を利用できると主張しています。 必要に応じてクラウドTDSものProofpointによると、」HTTPS経由のきれいな評判と新鮮なドメインへのアクセスを含んで 水曜日に公開レポート 。 Proofpointは、ツールが2017年12月末から地下市場に広告されていると述べた。 Proofpoint氏は、「BlackTDSの感染チェーンは数回にわたり野生で観察され、偽のソフトウェアアップデートやその他の社会工学的手法によってマルウェアを配布しています。 Proofpointによれば、Bl...
続きを読む