https://www.splunk.com
  • Splunkサイト
    • Splunk Answers
    • ブログ
    • Community
    • .conf
    • Developers
    • Documentation
    • Splunk.com
    • Splunkbase
    • サポート
    • トレーニング
    • User Groups
    • ビデオ
https://www.splunk.com
  • ブログ
  • カテゴリー
    カテゴリー
    • .conf & SplunkLive!
    • お客様 & コミュニティ
    • DevOps
    • 業種・業界
    • IT
    • 経営陣
    • Learn
    • パートナー
    • データプラットフォーム
    • セキュリティ
    • Splunk Life
    • Tips
    Category Spot Image
    電子書籍
    外形監視のベストプラクティス Synthetic Monitoringの紹介

    Webサイトのパフォーマンスが広告収入、ユーザーエンゲージメント、SEOランキングに与える影響、外形監視を使ったソリューションを紹介

    詳細はこちら
  • ライター
    ライター
    • Splunk
    • Guest
    • 江藤 愛
    • 大谷 和紀
    • 甲斐 逸郎
    • 加藤 教克
    • 塚本 政彦
    • 仲間 力
    • 野村 健
    • 村田 達宣
    • 矢崎 誠二
    • 山内 一洋
    • 山村 悟史
    • 横田 聡
    • Gary Steele
    • Spiros Xanthos
    • Garth Fort
    • Simon Davies
    • Ryan Kovar
    • Jane Wong
    • ライター一覧
    Author Spot Image
    電子書籍
    SIEM導入ガイド

    適切なSIEMソリューションがどのように役立つかを解説した最新版

    電子書籍を読む
  • メール配信
  • 無料トライアル
https://www.splunk.com 無料トライアル
ブログ
カテゴリー
  • .conf & SplunkLive!
  • お客様 & コミュニティ
  • DevOps
  • 業種・業界
  • IT
  • 経営陣
  • Learn
  • パートナー
  • データプラットフォーム
  • セキュリティ
  • Splunk Life
  • Tips
ライター
  • Splunk
  • Guest
  • 江藤 愛
  • 大谷 和紀
  • 甲斐 逸郎
  • 加藤 教克
  • 塚本 政彦
  • 仲間 力
  • 野村 健
  • 村田 達宣
  • 矢崎 誠二
  • 山内 一洋
  • 山村 悟史
  • 横田 聡
  • Gary Steele
  • Spiros Xanthos
  • Garth Fort
  • Simon Davies
  • Ryan Kovar
  • Jane Wong
  • ライター一覧
メール配信
Splunkサイト
  • Splunk Answers
  • ブログ
  • Community
  • .conf
  • Developers
  • Documentation
  • Splunk.com
  • Splunkbase
  • サポート
  • トレーニング
  • User Groups
  • ビデオ
SECURITY

KaseyaユーザーがREvillで暗号化される?

Share:

著者/寄稿者:Splunkのセキュリティはいつでもファミリービジネスです。

クレジットは著者がRyan Kovar、協力者がMick Baccio、Drew Church、Shannon Davis、Lily Lee、James Brodsky、John Stoner、Matt Krumholz、Eric Schouです。

Kaseya VSAに対するREvilランサムウェア攻撃の検出方法については、「SplunkでKaseya VSAに対するREvilランサムウェア攻撃を検出する」セクションを参照してください。この記事では、この攻撃の概要、検出方法、MITRE ATT&CKとのマッピングについて説明します。


はじめに

Splunkから今年の夏休みの課題はセキュリティ侵害がテーマだと言われたとき、まさかそれがこれほどうってつけのテーマになるとは思いませんでした。まずは、週末の休みを返上してKaseya (カセヤ) VSAに対するREvilランサムウェア攻撃への対応に当たった方々に敬意を表します。実は私たちも同じでした。私たちチームは常に、実用的な資料を揃えた上でブログに情報を投稿したいと考えており、その点は今回も例外ではありません。ただし今回は、普段とは少し異なるセクション構成でお届けします。まず、Kaseya VSAに対するREvilランサムウェア攻撃の概要と、その能動的な追跡/検出方法について説明します。次に、Splunkの脅威調査チームによるREvilの調査結果を紹介します。詳しい調査結果は後日公開する予定です。この調査は、あらゆる種類のランサムウェアを検出することを目的とした既存の重要なコンテンツを補完するものです。さらに、ランサムウェアに関する米国の大統領令や政府の覚書への対処法もブログに書いたので参考にしてください。 

最後に、Splunkが提供する、今後の対応に役立つ情報ソースを紹介します。同じような事態が再び起きたときに備えて、背景にあるソフトウェアサプライチェーンの考え方を含め、知識を蓄えておくことは重要です。というのも、毎朝6時に目覚まし時計が「I Got You, Babe」を大音量で奏でるあの映画のように、こうした状況はデ・ジャブのように繰り返されるからです。Splunkの最新の「セキュリティ調査レポート」によると、SolarWindsのような攻撃は他人事ではないと考えるセキュリティ/ITリーダーは78%にのぼります。その不安は今回の事件で的中しました。いつもどおり、この記事は速報であり、私たちはあらゆる努力を払いましたが、ここで推奨するサーチは私たちが望むほど正確ではなく、パフォーマンスも高くない可能性があることをご了承ください。

攻撃の概要

2021年7月2日金曜日の午後、インターネット投稿サイト「Reddit」でサプライチェーンランサムウェア攻撃が起きているという噂が流れ始めました。これはよくあることです。しかし今回は、システムが暗号化されたという報告が相次ぎ、噂が本当であることが裏付けられました。多くのマネージドサービスプロバイダー(MSP)が使用するリモート監視および管理(RMM)ソフトウェア「Kaseya VSA」がREvilの攻撃を受け、そのオンプレミス版を使用する顧客にランサムウェアを送り込むための踏み台として悪用されていたのです。VSAの実行には昇格された権限が必要であるため、攻撃者はそれを悪用してMicrosoft Defenderを無効化しました。これによってエンドポイントエージェントを介してランサムウェアを効率的に配布できます。この侵害が、MSPの顧客のシステムを暗号化する被害を連鎖的にもたらしました。そして最終的には、Kaseya VSAを使用していない組織もランサムウェアの感染被害にさらされました。このインシデントはまだ継続中であるため、Splunkはさらにデータを収集しながらアップデートとコンテンツを提供していく予定です。

心配の種は尽きない

今回のインシデントを分析すると、対処すべき重要なセキュリティ領域が3つあることがわかります。現在、それぞれの領域について対応コンテンツを準備中です。

  • ランサムウェアは今日、大半の組織にとって大きなセキュリティ脅威である:ランサムウェア攻撃の頻度と深刻さは増す一方です。それは、Splunkがセキュリティ体制に関するブログやガイダンスを提供する頻度と重要度が増している理由でもあります。
  • ビジネスに必要なサプライチェーンへの攻撃とその影響:組織が日常的に使用するサービスは相互につながり、多様性と複雑さが増しています。その技術やサービスの歯車が1つ動かなくなる(つまり暗号化される)だけで、大きなトラブルに発展します。
  • 組織が使用しているソフトウェアのサプライチェーン:Kaseya VSAのインシデントはPHP/SolarWindsの活動を彷彿とさせます。ソフトウェアパッケージに対する不正な変更がいかに破壊的な被害をもたらすかを証明しています。そこから明らかになったのは、ソフトウェアの開発者やユーザーは、自身が販売または使用するソフトウェアの更新プロセスや開発プロセスをよく理解する必要があるということです。 

Kaseya VSAのオンプレミス版を使用している場合は、「SplunkでKaseya VSAに対するREvilランサムウェア攻撃を検出する」セクションを参考に、Splunkでただちに環境評価を行ってください。また、「MITRE ATT&CK」セクションでは、MITRE ATT&CKの手法を通じてREvilのTTPに対応するSplunkセキュリティサーチを紹介しています。こちらもぜひ参考にしてください。

REvilランサムウェア攻撃SplunkでKaseya VSAに対するREvilランサムウェア攻撃を検出する

多くの方がご承知のとおり、ランサムウェア検出における大きな課題は、ランサムウェアがシステムに影響を与えるスピードです。迅速に対応すれば、それだけランサムウェアの拡散を抑えることができます。しかし残念ながら、ほとんどの場合は攻撃を検出した時点でファイルはすでに暗号化されています。そのためSplunkは、ランサムウェアの活動を早期に検出するための方法と、ランサムウェアの攻撃リスクを緩和するための対策に関する情報を提供しようと努めています。 

その点を念頭に、このセクションでは、環境内のKaseya VSAへの攻撃を検出するために役立つ侵害の痕跡とSplunkサーチをご紹介します。Enterprise Security (ES)などのSplunk製品を使用している場合は、「自身の状況を把握する」セクションで、自社のネットワークがこの攻撃の影響をどの程度受けやすいかを評価する方法を参照してください。 

侵害の痕跡(IOC)

Kaseya VSAへの攻撃のIOCについては、Sophos社とCado Security社がすでに情報を公開しています。そのIOC情報をルックアップテーブルまたはESの脅威インテリジェンスフレームワークに投入すれば準備完了です。ルックアップテーブルとして使用できるIOCのCSV形式のファイルは、こちらからダウンロードできます。

また、このIOCデータに含まれる一部のドメインへのSSL/TLS接続を検出するためのサンプルパケットキャプチャ(PCAP)ファイルをCado Security社がGitHubリポジトリで公開しています。

サーチ

Huntress社は、このランサムウェアのコードの活動を詳しく分析したすばらしい記事を投稿しています。その一部をSplunkの検出サーチに取り込みます。また、Splunkによる検出では、以下のデータセットを常に収集することをお勧めします。

  • Windows Security 4688イベントのプロセス実行ログ、Sysmonイベントコード1、すべての商用EDR:私たちがお気に入りの4688イベントを含むこれらのデータは、さまざまな活動の中でも特に意図的なラテラルムーブメント(横展開)に関するプロセスの検出に役立ちます。
  • PowerShellスクリプトのブロックログ:このデータも、特定のモジュールの予期しない使用やエンコードされたPowerShellの使用を検出するために重要です。

REvilランサムウェアがエンドポイントに侵入してまず行う活動の1つは、Microsoft Defender for Endpointの機能を大量に無効化することです。「大量」にと言いましたが、リアルタイム監視、IPS、クラウドルックアップ、スクリプトスキャン、制御されたフォルダーアクセス、ネットワーク保護を無効化し、クラウドへのサンプル送信を停止します。 

これらの機能をすべて無効にするためのPowerShellコマンドを発行するのです。そのため、PowerShellスクリプトの実行を監視し、これらの機能が同時に無効になったことを検知すれば、ランサムウェアをすばやく検出できます。 

以下に示す検出サーチを実行するには、Splunkユニバーサルフォワーダーがインストールされているクライアントのinputs.confファイルで、WinEventLog://Microsoft-Windows-PowerShell/Operationalを監視するように設定する必要があります。 

次のサーチでは、同じコマンドラインで2つのDefender機能が無効になったことを検出します。1つの機能が無効になっただけでは、正規ユーザーが実行した操作の誤検知である可能性がありますが、2つ同時に無効になった場合は、正常な操作である可能性はかなり低いでしょう。「Message」フィールドでは、2つの機能の順番が逆でも結果が返されるようにワイルドカードを使用しています。もう1つ覚えておいていただきたい点として、特定の値はスクリプト内で短縮できます。たとえば「-disablerealtimemonitoring」の代わりに「-drtm」と指定できます。サーチの柔軟性は重要です。

source="WinEventLog:Microsoft-Windows-PowerShell/Operational"
| search Message="*Set-MpPreference -Disable* $true* -Disable* $true*"
| table _time, host, Message

ランサムウェアで使われる特定のコマンドを指定したい場合は、代わりに次のサーチを使うこともできます。これは、完全一致でサーチできる点で優れていますが、機能の指定順序がランサムウェアのコマンドと異なると検出できないことが欠点です。

source="WinEventLog:Microsoft-Windows-PowerShell/Operational"
| search Message="*Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend*"
| table _time, host, Message 

REvilランサムウェア攻撃

「ちょっと待って!今はPowerShellのログ設定をしていないのですがこの動作を検出する別の方法はないですか?」と思ったみなさん、もちろんあります。プロセス作成を示すMicrosoft Sysmonイベントコード1と、新しいプロセスの作成を示すWindowsセキュリティイベントコード4688を使用できます。

Sysmonイベントコード1のサーチは次のようになります。設定によっては、ソースとソースタイプが多少異なる場合があります。これと同じロジックを任意のEDRプラットフォームに応用できます。 

source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 cmdline="*powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend*"
| table _time, host

同様に、Windowsイベントログでプロセス作成を検出する場合のサーチは次のようになります。設定によっては、ソースとソースタイプが多少異なる場合があります。 

source="WinEventLog:Security" EventCode=4688 Process_Command_Line="*powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend*"
| table _time, host

Windows Defenderのステータスは、Windowsイベントビューアーの「Application」フォルダーに記録されます。イベントコード15のサーチとサーチ内のメッセージは、このREvilランサムウェアによってDefenderのリアルタイム監視が無効化されたことを示します。これらのイベントが検出されたからと言って必ずしも感染しているとは限りませんが、Defenderのリアルタイム監視が無効になったことはわかります。上記のサーチオプションを利用できない場合は、このサーチを使用できます。

source="WinEventLog:Application" EventCode=15 Message="Updated Windows Defender status successfully to SECURITY_PRODUCT_STATE_SNOOZED."
| table _time host Message

Microsoft-Windows-Windows Defender/OperationalイベントをSplunkに送信していない場合は、次のサーチを使用すると、上記のDefender機能の設定が変更されたときにDefenderアプリケーションからのイベントが返され、イベントの詳細が表示されます。

source="WinEventLog:Microsoft-Windows-Windows Defender/Operational" EventCode IN (5001, 5004, 5007)
| table _time host Message

この攻撃では、Defenderが無効化される以外に、古いバージョン(2014年頃)のmsmpeng.exe (Defender)を使ってREvilがKaseyaエージェントソフトウェアにサイドロードされます。この古い実行可能ファイルのハッシュは、上記のGitHub IOCリポジトリに含まれています。

イメージが読み込まれたことを示すSysmonイベントコード7が記録された場合、次のサーチを使用すると、この悪質なDLLのサイドロードを検出できます。

source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=7 Image="*MsMpEng.exe" ImageLoaded="*mpsvc.dll" SHA256 IN (e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2, 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd)

このランサムウェアで実行されるその他のプロセスについては、GossiTheDog氏が具体的なプロセスコマンドラインを公開しています。そのSysmonイベントとWindowイベントのサーチは次のようになります。これらにも前述の注意点が適用されます。

source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 cmdline="c:\\kworking\\agent.exe*"
| table _time, host, cmdline

 

source="WinEventLog:Security" EventCode=4688 Process_Command_Line="c:\\kworking\\agent.exe*"
| table _time, host, Process_Command_Line

Splunk Enterprise Security、Splunk SOAR、Enterprise Security Content Updates (ESCU)

自身の状況を把握する

ここまでの説明で、この攻撃の概要と、サーチによる調査が必要であることがおわかりいただけたと思いますが、資産管理など、サイバーセキュリティの基本要素も相変わらず重要です。資産とアイデンティティをフレームワークに沿って適切に管理すれば、システム内の脆弱な場所をすばやく特定できます。Splunkに組み込まれている脆弱性スキャンを定期的に実行すると、脆弱性のあるシステムが検出されるため、パッチ適用のスケジュールや検出の優先順位を決めるのに役立ちます。ランサムウェア対策では、保護すべき資産や影響を受ける資産をできるだけすばやく特定することが重要です。

Kaseyaソフトウェアの脆弱性の詳細は現時点で公開されていませんが、CVE-2021-30116が利用されるようです。脆弱性評価ソリューションがアップデートされ、この脆弱性を検出できるようになれば、攻撃を受けるリスクをより正確に把握できるでしょう。

REvilランサムウェア攻撃

脅威インテリジェンスフレームワーク

Splunk Enterprise Securityを使用している場合、上記のIOCのルックアップを脅威インテリジェンスフレームワークに簡単に取り込むことができます。その方法がわからなくても心配ありません。IOCリストをEnterprise Securityの脅威インテリジェンスフレームワークに取り込むためのガイダンスと手順をブログで公開しています。

Enterprise Security Content Updates (ESCU)

ESCUを実行している場合は、それだけで広範囲に保護されています。Splunkのセキュリティ調査チームはすでにREvilの検出を含む新しい分析ストーリー「Splunk Analytic Story REvil Ransomware」をESCUユーザー向けにリリースしています。対象となるすべてのサーチを確認しておきたい場合は、「MITRE ATT&CK」セクションの表を参照してください。

Splunk SOAR

Splunk SOARSplunk SOARをご利用の皆様には、このランサムウェアに対応したカスタム・プレイブックはまだご提供できていませんが、以下私たちが沢山ご提供しているサンプルが役立つでしょう。

  • Automate Your Response to WannaCry Ransomware (WannaCryランサムウェアへの対応を自動化する)  
  • Playbook: Detect, Block, Contain, and Remediate Ransomware (プレイブック:ランサムウェアの検出、ブロック、封じ込め、修復)
  • Playbook: Ransomware Investigate and Contain (プレイブック:ランサムウェアの調査と封じ込め)

SplunkワークショップSplunkのサービスとワークショップ

ワークショップ

ここまでお読みになった時点で、「ランサムウェアの検出と対応についてそれほど詳しくないのに」と不安になった方もいらっしゃるかもしれません。ご安心ください。Splunkがサポートします。まずはhttps://bots.splunk.com/にアクセスして、Splunk.comアカウントを作成してください。アカウントをすでにお持ちの方は、そのアカウントでログインしてください。「Getting Started with Splunk for Security (Splunkでセキュリティ対策を始める)」というバーチャルワークショップにアクセスできます。
日本オフィス開催のワークショップのスケジュールはこちらでご確認ください。

プロフェッショナルサービス

Splunkプロフェッショナルサービスチームに所属するセキュリティの専門家が、このブログで説明したすべての対策の実装をお手伝いします。また、セキュリティ体制の強化に役立つ幅広い専門サービスも用意しています。 

Splunk情報漏えい対応・対策サービス

こちらのサービスでは、Splunkのエキスパートがお客様と協力して、Splunk製品を使った情報漏えい対策と対応を支援します。具体的な内容は以下のとおりです。

  • 迅速なデータソース特定とオンボーディング
  • 脅威インテリジェンスの組み込みと利用方法
  • 調査と修復を迅速に行うためのサーチとダッシュボードの事前構築
  • 戦術的な対応計画
  • お使いのSplunk製品による対応方法を検証するための卓上演習

MITRE ATT&CK

REvilについて何十ものブログを通読し、MITRE ATT&CKチームによるレビューを精査した上で、MITRE ATT&CKのTTPに対応するすべてのSplunkコンテンツを洗い出し、下の表に簡潔にまとめました。注意点として、これらのサーチは検出を迅速化する方法として提供するものです。これらはSplunk Security Essentials Appを使って設定することをお勧めします。対象となる環境によっては修正が必要な場合もあります。これらのサーチの多くはtstatsコマンドの使用を前提に最適化されています。いくつかはSplunkの脅威調査チームのリポジトリから直接取得した新しいサーチです。すべてのサーチがKaseyaやREvilと100%関連しているわけではありませんが、情報は多い方が助けになるでしょう。REvil検出の詳細については、今後公開されるSplunk脅威調査チームの関連ブログをチェックしてください。 

今後、詳細がさらに明らかになり、ATT&CKのTTPが追加されたときは、これらのサーチも更新される予定です。太字で「(NEW)」のマークが付いたSplunkサーチには特に注目してください。これらはSplunk脅威調査チームがREvil対応のために新たに作成したサーチです。このリストの作成にあたって参照した文書については、「参考文献」セクションをご覧ください。

ATT&CK技法

技法/サブ技法名

Splunkサーチ

T1562.001

ツールの無効化または変更

  • サインイン画面でのユーザーアカウントの非表示
  • Taskkillの過度な使用
  • レジストリツールの無効化
  • Windows SmartScreen保護の無効化
  • Windows動作監視の無効化
  • レジストリでのSystemRestoreの無効化
  • CMDアプリケーションの無効化
  • Sysmonフィルタードライバーのアンロード
  • Windows DisableAntiSpywareレジストリ
  • コントロールパネルの無効化
  • Netshによるファイアウォールの無効化
  • セキュリティサービス停止の試行
  • 過度な数のサービス制御の起動無効化
  • Windowsアプリケーションのホットキーの無効化
  • 隠しファイル表示の無効化
  • 実行不可Windowsアプリの無効化
  • タスクマネージャーの無効化
  • ファイルパスに基づくプロセス終了
  • Windowsフォルダーオプション機能の無効化

T1204

ユーザー実行

  • Clopの共通実行パラメーター
  • REvilの共通実行パラメーター
  • Contiの共通実行パラメーター
  • REvilの共通実行パラメーター(NEW)

T1007

システムサービスの検出

  • Mimikatzモジュールによるプロセスとサービスの偵察とアクセス
  • PowerSploitモジュールによるオペレーティングシステム要素の偵察とアクセス

T1012

レジストリへのクエリー

  • PowerSploitモジュールによるオペレーティングシステム要素の偵察とアクセス
  • REvilのレジストリエントリー(NEW)

T1485

データ破壊

  • 一般的なランサムウェア拡張機能
  • 一般的なランサムウェアノート
  • 頻繁なファイル削除

T1069.002

ドメイングループ

  • AzureHoundコマンドライン引数の検出
  • SharpHoundコマンドライン引数の検出
  • SharpHoundファイル変更の検出
  • AzureHoundファイル変更の検出
  • SharpHound使用状況の検出

T1489

サービス停止

  • サービス無効化の過度な試行
  • Windowsセキュリティアカウントマネージャーの停止
  • サービス停止の過度な試行

T1189

ドライブ-バイ攻撃

  • ダイナミック・ドメイン・プロバイダに接続しているホストの検出

T1059.003

Windowsコマンドシェル

  • RyukによるWake on LANコマンドの実行
  • 禁止アプリケーションによるcmd.exe生成の検出
  • Echoコマンドとパイプによる権限昇格
  • cmd.exeによるスクリプトインタープリター起動の検出

T1027

難読化されたファイルまたは情報

  • Wermgrプロセスによる実行可能ファイルの作成
  • 悪質なPowerShellプロセス - エンコードされたコマンド
  • PowershellのBase64エンコードコンテンツを含むファイルレススクリプト

T1083

ファイルとディレクトリの検出

  • PowerSploitモジュールによるオペレーティングシステム要素の偵察とアクセス

T1486

影響を与えるデータ暗号化

  • AWSでKMSキーを使ってS3を暗号化したユーザーの検出
  • AWSでMFAを使用しない暗号化ポリシーのキーを作成したユーザーの検出
  • 頻繁なプロセス終了
  • ランサムウェアノートの一括作成
  • SamSamのテストファイル書き込み
  • Ryukのテストファイル検知

T1082

システム情報の検出

  • システム情報検出の検知
  • Webサーバーによる不審なプロセスの実行
  • 脆弱なJBossサーバーをスキャンする攻撃者の検出

T1059.001

PowerShell

  • PowershellのGetProcAddressによるファイルレスプロセスインジェクション
  • 悪質なPowerShellプロセス - 非表示ウィンドウでのインターネット接続
  • NishangのPowershellTCPOneLine
  • PowershellのBase64エンコードコンテンツを含むファイルレススクリプト
  • デフォルトのPowerShell実行ポリシーを制限なしまたはバイパスへ設定
  • PowershellのDownloadString
  • 難読化技法を使用した悪質なPowerShellプロセス
  • PowershellのDownloadFile
  • 悪質なPowerShellプロセス - 実行ポリシーのバイパス
  • PowerShellのスクリプトブロックログによるEmpireの検出
  • PowerShellのドメイン列挙
  • Powershellのデータストリーム処理
  • PowerShellのシステムリフレクションアセンブリによるDotNETのメモリーへの読み込み

T1204.002

悪質なファイル

  • エンドポイントの1文字のプロセス
  • System32へのバッチファイル書き込み

T1071.001

Webプロトコル

  • TORトラフィック

T1140

ファイルまたは情報の難読化解除/デコード

  • メモリーをバッキングストアとして使用するPowerShell
  • デコード引数付きのCertUtil

T1112

レジストリの変更

  • FodHelperのUACバイパス
  • REvilのレジストリエントリー
  • 不審なreg.exeプロセス

T1055

プロセスインジェクション

  • Mimikatzモジュールによるプロセスまたはサービスハイジャック機会の偵察
  • コマンドライン引数のない不審なDLLHost
  • PowershellのGetProcAddressによるファイルレスプロセスインジェクション
  • PowerSploitモジュールによる不正なサービスおよびプロセス制御
  • コマンドライン引数がないDLLHostとネットワーク
  • Mimikatzモジュールによる不正なサービスおよびプロセス制御
  • Cobalt Strikeの名前付きパイプ
  • Trickbotの名前付きパイプ
  • コマンドライン引数のない不審なGPUpdate
  • コマンドライン引数のない不審なSearchProtocolHost
  • Mimikatzモジュールによる盗まれた資格情報の使用
  • コマンドラインがないSearchProtocolHostとネットワーク
  • 既知のWindowsプロセスに挿入されたPowershellリモートスレッド
  • PowerSploitモジュールによる盗まれた資格情報の使用
  • コマンドライン引数がないGPUpdateとネットワーク

T1106

ネイティブAPI

  • PowerSploitモジュールによる不正なサービスおよびプロセス制御
  • Mimikatzモジュールによる不正なサービスおよびプロセス制御

T1490

システム回復の阻害

  • PowerShellによるShadowCopyの削除
  • BCDEditによる障害回復の変更
  • ランサムウェアによる既知のサービスの終了
  • WBAdminによるシステムバックアップの削除
  • ShadowStorageボリュームのサイズ変更
  • シャドウコピーの削除
  • Bcdeditによる自動修復モードの回避
  • ランサムウェアによる既知のサービスの終了(NEW)

T1105

イングレスツールの転送

  • Telegramによるファイルのダウンロード
  • CertUtilによるURLCacheとSplit引数付きのダウンロード
  • CertUtilによるVerifyCtlとSplit引数付きのダウンロード
  • BITSAdminによるファイルのダウンロード
  • Curlの不審なネットワーク接続

T1041

C2チャネルを介したデータ流出

  • SNICatのSNIによるデータ流出の検出

T1070.004

ファイル削除

  • Cipherアプリによる未割り当てセクターの消去

T1547.001

レジストリRunキー/Stertupフォルダー

  • セーフモードブート中の起動
  • 持続的な設定に使用されるレジストリキー

T1566.001

スピアフィッシング添付ファイル

  • WinwordによるWindows Script Hostの生成
  • WinwordによるPowerShellの生成
  • Office文書によるダウンロード用子プロセスの生成
  • Office製品によるBITSAdminの生成
  • Officeアプリケーションによるrundll32プロセスの生成
  • Office製品によるMSHTAの生成
  • Office文書によるスケジュールタスクの生成
  • WinwordによるCmdの生成
  • Office製品によるWmicの生成
  • Office文書によるマクロコードの実行
  • Office製品によるCertUtilの生成
  • Office製品によるDLLなしRundll32の生成
  • 不審なメール添付ファイル拡張子
  • Outlook.exeによるzipファイルの書き込みの検出

T1218.003

CMSTP

  • WbemproxによるCOMオブジェクトの実行
  • CMLUAまたはCMSTPLUAのUACバイパス
  • WbemproxによるCOMオブジェクトの実行(NEW)

T1047

Windows Management Instrumentation

  • WMIによるスクリプト実行
  • WMIによるプロセス実行
  • リモートWMIコマンドの試行
  • WMIによるリモートプロセスのインスタンス化
  • PowerSploitモジュールによるオペレーティングシステム要素の偵察とアクセス
  • WMIによる永続的なイベントサブスクリプション
  • WMIによる一時的なイベントサブスクリプション

T1491

変造

  • 壁紙の変更(NEW)

今回の攻撃またはREvilランサムウェアに関連することがわかったMITRE ATT&CKの全TTPは次のとおりです。

T1134.001 T1134.002 T1071.001 T1059.001 T1059.003 T1059.005 T1485 T1486 T1140 T1189 T1573.002 T1041 T1083 T1562.001 T1070.004 T1105 T1490 T1036.005 T1112 T1106 T1027 T1491 T1069.002 T1566.001 T1055 T1012 T1489 T1082 T1007 T1204.002 T1047 T1204 T1218.003 T1547.001

おまけ:rcanary

私は上司の目を盗んで、同僚のJames Brodskyに「暗号化されたファイルを検出するTAを作った方がいい」と仕事を押し付けました。もちろん彼は私の話を真剣に受け止めて、さっそく作業に取り掛かり、完成したのが「TA-rcanary」です。このTAは、Splunk UFの廃止予定の(でもまだ動く)機能、fschangeを使って、Windowsファイルシステム上の隠しディレクトリで、ランダムに名前が付けられた1つの.docxファイルを監視します。初回の実行時にまずこのディレクトリに.docxファイルが作成されます。次に、inputs.confにfschangeエントリーが追加され、このファイルに変更がないかどうかが15秒間隔で監視されます。何らかの変更があった場合(コピー、削除、名前変更など)、Splunkで下の図のようなイベントが生成され、インデックスされます。このTAは作成されたばかりで、今後多少の変更が必要になるかもしれません。それでもこのTAが助けになり、みなさんに「Splunkspiration:Splunkスピレーション」つまり「Splunkでのインスピレーション」があり、暗号化されたファイルをいくつか検出できれば、十分に価値はあると思います。

REvilランサムウェア攻撃

まとめ

このブログを読んでくださっている方の多くは、Kaseyaソフトウェアへのランサムウェア攻撃を実際に受けたのではなく、将来影響を受けるかもしれないと心配して見に来られたのだと思います。ここで紹介したサーチが、みなさんの環境をさらに可視化し、ネットワークでのランサムウェア拡散を検出する(もっと言えば防止する)ために役立つことを願っています。もし完璧に機能しなかったとしても、「Splunkスピレーション」として大目に見ていただければ幸いです :-) 

来週にかけてこのブログを必要に応じて更新し、新しいコンテンツを追加する予定です。Splunk脅威調査チームが公開するREvil関連の情報もチェックしてください。さらにSplunkは、今月中にランサムウェアに関する大量のコンテンツを制作する予定です。ワークショップ、ウェビナー、Twitterスペースなど、さまざまなコンテンツを用意しています。ぜひご期待ください。 

最後に、このブログでは主にランサムウェアに焦点を当てていますが、さらに深刻に懸念しているのは、この攻撃がランサムウェア被害企業のソフトウェアサプライチェーンを介して拡大していると思われる点です。Splunkはこの問題の重大さを認識し、10月の.conf21でこの話題に関する専門セッションを開く考えです。サプライチェーン攻撃の詳細と、SolarWindsやKaseyaに行われたような攻撃から組織を守る方法を学びたい場合は、Marcus LaFerrerraと私の対談「Hunting the known unknown: Supply Chain Attacks (既知の未知のハンティング:サプライチェーン攻撃)」(SEC-1745)への参加をご検討ください。ソフトウェア開発企業にお勤めのセキュリティ担当者である場合は、Dave HerraldとChris Rileyによる「Securing the software factory with Splunk (Splunkでソフトウェア工場を守る)」(SEC-1108)への参加をお勧めします。何よりも、みなさんが今週末はランサムウェア対応から解放されて自分の時間を楽しめますようお祈りしています。これからも、はりきっていきましょう :-)

追記:前述のように、このブログ以外にもランサムウェアに対するアプローチを紹介したリソースがたくさんあります。ぜひご覧ください。

.confの講演とビデオ

  • Splunking the Endpoint 2016: Ransomware Edition!とビデオ
  • How Splunk Can Help You Prevent Ransomware From Holding Your Business Hostage (ビジネスを人質にするランサムウェアをSplunkで防止する方法)
  • Windows Ransomware Detection with Splunk (1 of 6) – Vulnerability Detection and Windows Patch Status (SplunkでのWindowsランサムウェア検出(1/6) – 脆弱性の検出とWindowsのパッチ状況)

検出に関するブログ

  • Clop Ransomware Detection: Threat Research Release, April 2021 (Clopランサムウェアの検出:2021年4月脅威調査リリース)
  • Ryuk and Splunk Detections (RyukとSplunkによる検出)
  • Detecting Ryuk Using Splunk Attack Range (Splunk Attack RangeによるRyukの検出)
  • Darkside of the ransomware pipeline (ランサムウェアパイプラインのダークサイド)

ホワイトペーパー

  • Splunk Security:未知のマルウェアとランサムウェアの検出

Splunk SOARでの対応

  • Automate Your Response to WannaCry Ransomware (WannaCryランサムウェアへの対応を自動化する)  
  • Playbook: Detect, Block, Contain, and Remediate Ransomware (プレイブック:ランサムウェアの検出、ブロック、封じ込め、修復)

機械学習の使用

  • Detect Ransomware in Your Data with the Machine Learning Cloud Service (機械学習クラウドサービスを利用してデータ内のランサムウェアを検出する)

検出の運用化

  • Operationalize Ransomware Detections Quickly and Easily with Splunk (Splunkでランサムウェア検出をすばやく簡単に運用化する)

参考文献

Beaumont, Kevin氏、GossiTheDog/ThreatHunting、2017、2021年7月3日、https://github.com/GossiTheDog/ThreatHunting/blob/9e3a20d7c046bd7aac765a1a7df762ac7e3acffe/AdvancedHuntingQueries/KaseyaRansomwarePayload.ahq

---. 「Kaseya Supply Chain Attack Delivers Mass Ransomware Event to US Companies」、Medium、2021年7月3日、https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b

Cado-Security/DFIR_Resources_REvil_Kaseya、2021、Cado Security社、2021年、GitHub、https://github.com/cado-security/DFIR_Resources_REvil_Kaseya

---.2021、2021年7月4日、https://github.com/cado-security/DFIR_Resources_REvil_Kaseya

cdoman1、「Resources for DFIR Professionals Responding to the REvil Ransomware Kaseya Supply Chain Attack」、Cado Security社、2021年7月3日、https://www.cadosecurity.com/post/resources-for-dfir-professionals-responding-to-the-revil-ransomware-kaseya-supply-chain-attack

E, Mehmet氏、Cyb3r-Monk/Threat-Hunting-and-Detection、2020、2021年7月3日、 https://github.com/Cyb3r-Monk/Threat-Hunting-and-Detection/blob/4217cfec566f7f3b30d6e227fd3870a47ca390f6/Command%20and%20Control/Suspicious%20Network%20Connections%20-%20Supply%20Chain%20Attack.md

Facebookなど、「Supply Chain Attack on Kaseya Infects Hundreds with Ransomware: What We Know」、VentureBeat、2021年7月3日、https://venturebeat.com/2021/07/03/supply-chain-attack-on-kaseya-infects-hundreds-of-victims-with-ransomware-what-we-know/

Gevers, Victor氏、「Kaseya Case Update 2」、DIVD CSIRT、2021年7月4日、https://csirt.divd.nl/2021/07/04/Kaseya-Case-Update-2/

Hammond, John氏、「Rapid Response: Mass MSP Ransomware Incident」、https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident、2021年7月4日アクセス

huntresslabs、「Crticial Ransomware Incident in Progress」、R/Msp、2021年7月2日、www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/

「Important Notice July 3rd, 2021」、Kaseya社、https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-3rd-2021、2021年7月3日アクセス

「Kaseya Ransomware Supply Chain Attack: What You Need To Know」、https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/kaseya-ransomware-supply-chain、2021年7月3日アクセス

「Kaseya Supply‑chain Attack: What We Know so Far」、WeLiveSecurity、2021年7月3日、https://www.welivesecurity.com/2021/07/03/kaseya-supply-chain-attack-what-we-know-so-far/

「Kaseya VSA Supply-Chain Ransomware Attack」、https://community.sophos.com/b/security-blog/posts/active-ransomware-attack-on-kaseya-customers、2021年7月3日アクセス

Mark Loman @氏、「We Are Monitoring a REvil ‘supply Chain’ Attack Outbreak, Which Seems to Stem from a Malicious Kaseya Update.REvil Binary C:\Windows\mpsvc.Dll Is Side-Loaded into a Legit Microsoft Defender Copy, Copied into C:\Windows\MsMpEng.Exe to Run the Encryption from a Legit Process」、@markloman、2021年7月2日、https://twitter.com/markloman/status/1411035534554808331

Mehmet Ergene氏、「How to Detect Software Supply Chain Attacks with #Sysmon, #MicrosoftDefender, or Any Other #EDR: 1. You Use Specific Software in Your Environment. 2.The Software Is Usually Installed on a Few Servers That Have Privileges across the Environment」、@Cyb3rMonk、2021年7月3日、https://twitter.com/Cyb3rMonk/status/1411404182054178826

「Shutdown Kaseya VSA Servers Now amidst Cascading REvil Attack against MSPs, Clients」、Malwarebytes社、https://blog.malwarebytes.com/cybercrime/2021/07/shutdown-kaseya-vsa-servers-now-amidst-cascading-revil-attack-against-msps-clients/amp/?__twitter_impression=true、2021年7月3日アクセス

Splunk Security Content Analytic Story、Splunkドキュメント、https://docs.splunk.com/Documentation/ESSOC/3.24.0/stories/UseCase#Revil_ransomware、2021年7月3日アクセス

Threat-Hunting-and-Detection/Suspicious Network Connections - Supply Chain Attack.Md (Main)、Cyb3r-Monk/Threat-Hunting-and-Detection、https://github.com/Cyb3r-Monk/Threat-Hunting-and-Detection/blob/main/Command%20and%20Control/Suspicious%20Network%20Connections%20-%20Supply%20Chain%20Attack.md、2021年7月3日アクセス

Will, Bushido氏、「My Current @MaltegoHQ Graph Researching the #REvil Supply-Chain Attack on #Kaseya: Https://T.Co/TOk1tiqr4S」、@BushidoToken、2021年7月3日、https://twitter.com/BushidoToken/status/1411469864653496321

このブログはこちらの英語ブログの翻訳、藤盛 秀憲によるレビューです。

August 03, 2021
Ryan Kovar
Posted by

Ryan Kovar

NY. AZ. Navy. SOCA. KBMG. DARPA. Splunk.

TAGS
Cybersecurity
Show All Tags
Show Less Tags

Related Posts

SPLUNK ON TWITTER
  • @Splunk
  • @splunkanswers
  • @SplunkforGood
  • @SplunkDocs
  • @splunkdev
  • @splunkgov
SPLUNK ON FACEBOOK
  • @Facebook
SPLUNK ON INSTAGRAM
  • Follow us on Instagram
SPLUNK ON LINKEDIN
  • Follow us on LinkedIn
SPLUNK ON YOUTUBE
  • Subscribe to our Channel
SPLUNK ON SLIDESHARE
  • Follow us on SlideShare
Splunk製品
  • Splunk Cloud Platform
  • Splunk Enterprise
  • Splunk IT Service Intelligence
  • Splunk On-Call
  • Splunk Enterprise Security
  • Splunk SOAR
  • Splunk Infrastructure Monitoring
  • Splunk APM
ソリューション
  • オブザーバビリティ
  • セキュリティ
  • プラットフォーム
お客様事例
リソース
  • 電子書籍
  • アナリストレポート
  • ホワイトペーパー
  • ウェビナー
  • ビデオ
お問い合わせ
  • サポート
  • 営業へのお問い合わせ
Splunk Sites
  • Splunk Answers
  • 日本語ブログ
  • Community
  • .conf
  • Developers
  • Documentation
  • Splunkbase
  • SplunkLive!
  • T-shirt Store
  • トレーニング
  • User Groups
Splunk
Sitemap | Privacy
© 2005-2023 Splunk Inc. All rights reserved.
Splunk、Splunk>およびTurn Data Into Doingは、米国およびその他の国におけるSplunk Inc.の商標または登録商標です。他のすべてのブランド名、製品名、または商標は、それぞれの所有者に帰属します。