Microsoft インシデント対応ランサムウェアのケース スタディ

人間が操作するランサムウェアは、世界中で最も影響力のあるサイバー攻撃の傾向の 1 つとして位置を維持し続け、近年多くの組織が直面している重大な脅威です。 これらの攻撃は、ネットワークの構成ミスを利用し、組織の脆弱な内部セキュリティで成功します。 これらの攻撃は、組織とその IT インフラストラクチャとデータに明確で現在の危険をもたらしますが、 予防可能な災害です。

Microsoft インシデント対応チーム (旧称 DART/CRSP) は、セキュリティ侵害に対応して、お客様がサイバー回復力を持つよう支援します。 Microsoft インシデント対応は、オンサイトの事後対応型インシデント対応とリモートプロアクティブ調査を提供します。 Microsoft インシデント対応は、世界中のセキュリティ組織や Microsoft 製品グループとの Microsoft の戦略的パートナーシップを活用して、可能な限り完全かつ徹底的な調査を提供します。

この記事では、Microsoft Incident Response が最近のランサムウェア インシデントを調査した方法と、攻撃戦術と検出メカニズムの詳細について説明します。

詳細については、Microsoft インシデント対応ガイドの パート 1 と パート 2 を参照してください。

攻撃

Microsoft Incident Response では、インシデント対応ツールと戦術を活用して、人間が操作するランサムウェアの脅威アクターの動作を特定します。 ランサムウェア イベントに関する公開情報は、最終的な影響に焦点を当てていますが、操作の詳細と、脅威アクターが検出されずにアクセスをエスカレートして検出、収益化、および強要を行った方法を強調することはほとんどありません。

MITRE ATT&CK 戦術に基づくランサムウェア攻撃に攻撃者が使用する一般的な手法を次に示します。

Microsoft Incident Response では、Microsoft Defender for Endpoint を使用して、環境を通じて攻撃者を追跡し、インシデントを示すストーリーを作成した後、脅威を根絶して修復しました。 展開されると、Defender for Endpoint はブルート フォース攻撃からの成功したログオンの検出を開始しました。 Microsoft インシデント対応でこれを検出すると、セキュリティ データが確認され、リモート デスクトップ プロトコル (RDP) を使用して、インターネットに接続する脆弱なデバイスがいくつか見つかりました。

最初のアクセスが取得された後、脅威アクターは Mimikatz 資格情報収集ツールを使用してパスワード ハッシュをダンプし、プレーンテキストで格納されている資格情報をスキャンし、スティッキー操作でバックドアを作成し、リモート デスクトップ セッションを使用してネットワーク全体を横方向に移動しました。

このケース スタディでは、攻撃者が行った重要なパスを次に示します。

次のセクションでは、MITRE ATT&CK の戦術に基づく追加の詳細について説明し、Microsoft Defender ポータルで脅威アクターアクティビティがどのように検出されたかの例を示します。

初期アクセス

ランサムウェア キャンペーンでは、初期エントリに既知の脆弱性が使用されます。通常は、フィッシングメールや、インターネット上で公開されているリモート デスクトップ サービスが有効になっているデバイスなどの境界防御の弱点を使用します。

このインシデントの場合、Microsoft Incident Response は、インターネットに公開されている RDP 用の TCP ポート 3389 を持つデバイスを特定するために管理しました。 これにより、脅威アクターはブルート フォース認証攻撃を実行し、最初の足がかりを得ることができました。

Defender for Endpoint では、脅威インテリジェンスを使用して、既知のブルート フォース ソースからのサインインが多数存在することを確認し、Microsoft Defender ポータルに表示しました。 次に例を示します。

偵察

最初のアクセスが成功すると、環境の列挙とデバイスの検出が開始されます。 これらのアクティビティにより、脅威アクターは組織の内部ネットワークに関する情報を特定し、ドメイン コントローラー、バックアップ サーバー、データベース、クラウド リソースなどの重要なシステムを対象とすることができました。 列挙とデバイス検出の後、脅威アクターは同様のアクティビティを実行して、脆弱なユーザー アカウント、グループ、アクセス許可、ソフトウェアを特定しました。

脅威アクターは、環境で使用される IP アドレスを列挙し、以降のポート スキャンを実行するために、IP アドレス スキャン ツールである Advanced IP Scanner を利用しました。 脅威アクターは、最初に侵害されたデバイスからアクセスできるデバイスを検出するために、開いているポートをスキャンしました。

このアクティビティは Defender for Endpoint で検出され、さらなる調査のために侵害の兆候 (IoC) として使用されました。 次に例を示します。

資格情報の盗難

脅威アクターが初期アクセスを取得した後、Mimikatz パスワード取得ツールを使用して資格情報の収集を実行し、最初に侵害されたシステムで "password" を含むファイルを検索しました。 これらのアクションにより、脅威アクターは正当な資格情報を使用して追加のシステムにアクセスできました。 多くの場合、脅威アクターはこれらのアカウントを使用して追加のアカウントを作成し、侵害された最初のアカウントが特定されて修復された後も永続化を維持します。

Microsoft Defender ポータルで Mimikatz の使用が検出された例を次に示します。

横移動

エンドポイント間の移動は組織によって異なる場合がありますが、脅威アクターは通常、デバイスに既に存在するさまざまなリモート管理ソフトウェアを使用します。 IT 部門が日常的なアクティビティで一般的に使用するリモート アクセスの方法を利用することで、脅威アクターはレーダーの下を長時間飛行できます。

Microsoft Incident Response では、Microsoft Defender for Identity を使用して、脅威アクターがデバイス間で取得したパスをマップし、使用およびアクセスされたアカウントを表示しました。 次に例を示します。

防御回避

検出を回避するために、脅威アクターは防御回避手法を使用して識別を回避し、攻撃サイクル全体にわたって目標を達成しました。 これらの手法には、ウイルス対策製品の無効化または改ざん、セキュリティ製品または機能のアンインストールまたは無効化、ファイアウォール規則の変更、難読化手法を使用してセキュリティ製品やサービスからの侵入のアーティファクトを非表示にする方法が含まれます。

このインシデントの脅威アクターは、PowerShell を使用して、Windows 11 および Windows 10 デバイスおよびローカル ネットワーク ツールで Microsoft Defender のリアルタイム保護を無効にして、TCP ポート 3389 を開き、RDP 接続を許可しました。 これらの変更により、悪意のあるアクティビティを検出してアラートを生成するシステム サービスが変更されたため、環境内での検出の可能性が低下しました。

ただし、Defender for Endpoint はローカル デバイスから無効にできず、このアクティビティを検出できました。 次に例を示します。

固執

永続化手法には、セキュリティ スタッフが侵害されたシステムの制御を取り戻す作業を行った後も、システムへの一貫したアクセスを維持するための脅威アクターによるアクションが含まれます。

このインシデントの脅威アクターは、認証なしで Windows オペレーティング システム内のバイナリをリモートで実行できるため、スティッキー ハックを使用しました。 その後、この機能を使用してコマンド プロンプトを起動し、さらに攻撃を実行しました。

Microsoft Defender ポータルでのスティッキー のハッキングの検出例を次に示します。

Impact

脅威アクターは、通常、環境内に既に存在するアプリケーションまたは機能を使用してファイルを暗号化します。 PsExec、グループ ポリシー、および Microsoft エンドポイント構成管理の使用は、アクターが通常の操作を中断することなく、エンドポイントとシステムにすばやく到達できるようにする展開方法です。

このインシデントの脅威アクターは PsExec を利用して、さまざまなリモート共有から対話型 PowerShell スクリプトをリモートで起動しました。 この攻撃方法では、配布ポイントがランダム化され、ランサムウェア攻撃の最終段階で修復がより困難になります。

ランサムウェアの実行

ランサムウェアの実行は、脅威アクターが攻撃を収益化するために使用する主要な方法の 1 つです。 実行手法に関係なく、個別のランサムウェア フレームワークは、デプロイ後に一般的な動作パターンを持つ傾向があります。

• 脅威アクターアクションを難読化する
• 永続化を確立する
• Windows エラーの回復と自動修復を無効にする
• サービスの一覧を停止する
• プロセスの一覧を終了する
• シャドウ コピーとバックアップを削除する
• ファイルを暗号化し、カスタム除外を指定する可能性がある
• ランサムウェアのメモを作成する

ランサムウェアに関するメモの例を次に示します。

その他のランサムウェア リソース

Microsoft の主な情報:

• ランサムウェアの脅威の増大,Microsoft On the Issues ブログ投稿(2021年7月20日)
• 人間が操作するランサムウェア
• ランサムウェアや恐喝から迅速に保護する
• 2021 Microsoft Digital Defense レポート (10-19 ページを参照)
• ランサムウェア: Microsoft Defender ポータルの広範かつ継続的な脅威の脅威分析レポート
• Microsoft インシデント対応ランサムウェアのアプローチとベスト プラクティス

Microsoft 365:

• Microsoft 365 テナントのランサムウェア保護を展開する
• Azure と Microsoft 365 を使用してランサムウェアの回復性を最大化する
• ランサムウェア攻撃から回復する
• マルウェアとランサムウェアの保護
• ランサムウェアから Windows 10 PC を保護する
• SharePoint Online でのランサムウェアの処理
• Microsoft Defender ポータルでのランサムウェアの脅威分析レポート

Microsoft Defender XDR:

• 高度なハンティングを使用してランサムウェアを検索する

Microsoft Defender for Cloud Apps:

• Defender for Cloud Apps で異常検出ポリシーを作成する

Microsoft Azure:

• ランサムウェア攻撃に対する Azure 防御
• Azure と Microsoft 365 を使用してランサムウェアの回復性を最大化する
• ランサムウェアから保護するためのバックアップと復元の計画
• Microsoft Azure Backup を使用したランサムウェアからの保護に関するヘルプ (26 分のビデオ)
• 全身 ID 侵害からの復旧
• Microsoft Sentinel での高度なマルチステージ攻撃検出
• Microsoft Sentinel でのランサムウェアの Fusion 検出

Microsoft セキュリティ チームのブログ投稿:

• ランサムウェアを防ぎ、ランサムウェアから回復するための 3 つの手順 (2021 年 9 月)

• 人が操作するランサムウェアと戦うためのガイド: パート 1 (2021 年 9 月)

  Microsoft インシデント対応がランサムウェア インシデント調査を実施する方法に関する主要な手順。

• 人が操作するランサムウェアと戦うためのガイド: パート 2 (2021 年 9 月)

  推奨事項とベスト プラクティス。

• サイバーセキュリティリスクを理解して回復力を高める:パート 4 - 現在の脅威をナビゲートする (2021 年 5 月)

  ランサムウェア のセクション を参照してください。

• 人が操作するランサムウェア攻撃:予防可能な災害 (2020 年 3 月)

  実際の攻撃の攻撃チェーン分析が含まれます。

• ランサムウェアへの対応 - 支払うか支払わないか。 (2019 年 12 月)

• Norsk Hydro がランサムウェア攻撃に透明性を持って対応 (2019 年 12 月)