【3月18日】ロシア国家が支援するサイバー犯罪者ネットワーク侵害について

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

本日もCISAから警告がされている、

ロシア国家が支援するサイバー犯罪者によるでデフォルト多要素認証プロトコルとPrintNightmare脆弱性を利用したネットワーク侵害について

紹介していきたいとおもいます。

概要

CISA:ジョイントサイバーセキュリティアドバイザリーはロシアの国営サイバー犯罪者によるでデフォルト多要素認証プロトコルとPrintNightmare脆弱性を利用したネットワーク侵害についての警告を報告しました。
引用:https://www.cisa.gov/uscert/ncas/alerts/aa22-074a

2021年5月、ロシア国家が支援するサイバー攻撃者はNGO(非政府組織)のデフォルトの多要素認証プロトコルに設定されたアカウントを利用して多要素認証用のあtらしいデバイスを登録し、被害者ネットワークにアクセスが可能なように変更を実施しました。次に攻撃者はWindows Print Sppolerの重大な脆弱性”PrintNightmare”(CVE-2021-34527)を悪用して、システム権限で任意のコードを実行しました。この攻撃者はCiscoのDuo 多要素認証を使用してNGOを標的にしながら、この脆弱性を悪用し、侵害に成功しています。
このアドバイザリーでは観察された戦術、技術、手順、IOC(侵入の痕跡)この攻撃者のサイバー活動から保護するための推奨事項を各組織が適用することを強く推奨しています。
ダウンロード可能なIOCについてはAA22-074A.stixを参照下さい。

技術詳細

脅威犯罪者の活動

2021年5月にロシア国家が支援するサイバー攻撃者が侵害されたクレデンシャル情報を介して、被害者の組織に最初にアクセスし、組織の多要素認証で利用しているCiscoのDuoに新しいデバイスを登録しました。攻撃者はブルートフォースパスワード攻撃を介してクレデンシャル情報を取得しました。単純で予測可能なパスワードを使用して被害者のアカウントにアクセスできるようにしました。被害者のアカウントは長期間使用されていなかったため、Duoから登録解除されていましたが、Active Directory上では無効になっていなかったため、Duoのデフォルト構成設定では休止中のアカウントに新しいデバイスが再登録可能であったため、攻撃者がこのアカウントに新しいデバイスを登録し、認証要件を完了することで被害者ネットワークへのアクセスが可能となりました。
この攻撃者は侵害されたアカウントを利用し、”PrintNightmare”脆弱性(CVE-2021-34527)を悪用して管理者特権を取得し、特権昇格を実行しました。

攻撃者はドメインコントローラーファイルも変更し、Cisco Duo多要素認証をコールし、Duoサーバーの代わりにリダイレクトしました。この変更で多要素認証での認証が実施できなくなり、実際のドメインアカウントでの多要素認証が無効となり、多要素に認証のデフォルトポリシーが”フェールオープン*”であるため、多要素認証が事実上無効化され、多要素認証なしで接続可能となりました。*フェールオープン:障害発生時に何もせず、通信を許可するモードのこと。その場合、悪意ある攻撃を遮断することなく、通信を許可する状態となります。

多要素認証を無効にした後、攻撃者は被害者のVPN(仮想プライベートネットワーク)に対して、非管理者ユーザとして正常に認証し、WindowsのドメインコントローラーへのRDP(リモートデスクトッププロトコル)接続を確立することが可能なりました。攻撃者はコマンドを実行し、追加のドメインアカウントのクレデンシャル情報を取得しました。その後、多要素認証を必要とせず、これらの侵害され多アカウントを使用することで被害者のクラウドストレージと電子メールアカウントを横方向に移動し、目的のコンテンツにアクセスすることができるようになりました。

IOC:侵入の痕跡

  1. ロシア国家が支援するサイバー攻撃者は次のプロセスを実行しています。1.ping.exe-伝送制御プロトコル(TCP)/IPPingコマンドを実行するために使用されるコアWindows OSプロセス。リモートホストへのネットワーク接続をテストするために使用され[ T1018 ] 、ネットワーク検出のためにアクターによって頻繁に使用[ TA0007]
  2. regedit.exe-組み込みのレジストリエディタ[ T1112 ]を開く標準のWindows実行可能ファイルを実行
  3. rar.exe-データ圧縮、暗号化、およびアーカイブツール[ T1560.001 ]。悪意のあるサイバー攻撃者は、アカウントや関心のある情報へのアクセスを提供するため、従来からMFAセキュリティプロトコルを侵害
  4. ntdsutil.exe-ActiveDirectoryドメインサービスの管理機能を提供するコマンドラインツール。このツールを使用してActiveDirectoryユーザーアカウントを列挙した可能性あり[ T1003.003 ]

攻撃者は、Cisco Duo 多要素認証サーバーとの通信を防ぐためにc:\ windows \ system32 \ drivers \ etc\hostsファイルの変更を実施。

これまでに、以下のIPアドレスが攻撃者が使用するものとして特定されています。
45.32.137[.]94
191.96.121[.]162
173.239.198[.]46
157.230.81[.]39 

緩和策

FBIとCISAはロシア国家が支援する犯罪者がデフォルトの組織の多要素認証プロトコルを悪用し、機密情報を盗み出すという脅威があることを認識することを推奨し、以下のことをすべきだと警告を発しています。

  • 例外なくすべてのユーザに多要素認証を適用し、構成ポリシーを確認し、”フェールオープン”を避けるように変更する
  • ログイン試行の失敗回数に応じてタイムアウト、ロックアウト機能を実装する
  • Active Directory、多要素認証システムで非アクティブなアカウントが無効になっていることを確認する
  • ITネットワーク資産のOS、アプリケーション、ファームウェアをタイムリーに更新する。得に既知の悪用された脆弱性、インターネットに接続された機器でのリモートコード実行、サービス拒否を可能にする重大な脆弱性パッチを適用することを優先する
  • パスワードログインのあるすべてのアカウント(サービスアカウント、管理者アカウント、ドメイン管理者用アカウント)には強力で一意のパスワードが必要となります。パスワードは複数のアカウントで再利用したり、攻撃者がアクセスできるシステムに保存したりしないでください。
  • 疑わしいアクティビティや不正/異常なログイン試行がないかのログを継続的に監視する
  • セキュリティが有効なアカウント/グループすべての変更に対してセキュリティアラートポリシーを実装し、疑わしいプロセス作成イベントについてアラートを発行します。

セキュリティベストプラクティス

  • ローカル管理者パスワードソリューションを展開し、SMB(Server Message Block)署名を適用し、管理者権限を制限し、ドメインコントローラーのSYSVOL共有上の機密資料を確認します。
  • 増加したログポリシーを有効にし、Powershellログを適用し、ウイルス対策、EDR(Endopoint detection and response)ツールがすべてのエンドポイントに展開されて有効になっていることを確認します。
  • アカウント、SSHの追加などの認証されないシステム変更を定期的に確認し、侵害の発生を検出します。これらの変更を検出するために管理者はシステム上の不正な変更をブロックするファイル整合性監視ソフトウェアの導入を推奨します。

ネットワークベストプラクティス

  • リモートアクセス・RDPログを監視し、未使用のリモートアクセス/RDPポートを無効にする。
  • 商用VPNサービス、TOR(匿名通信ルータ)を含む既知の匿名サービスからの非定型インバウンドアクティビティを拒否しする。
  • 確立されたセキュリティポリシー下で、システムが既知の許可されたプログラムのみを実行できるようにするアプリケーションとリモートアクセス用のポリシーを実装する。
  • 管理ユーザアカウントを定期的に監査し、最小特権の概念でアクセス制御を構成する。
  • ログを定期的に監査し、新しいアカウントが正当なユーザだることを確認する。
  • ネットワークをスキャンして、空いているポートとリッスンしているポートを探し、不要なポートを無効化する。
  • 侵害が疑われる場合に備えて、過去のネットワークアクセスログを最低でも180日間保持する。
  • 重要な資産のオフラインバックアップを特定して実施する。
  • ネットワークのセグメンテーションを実装する。
  • ウイルス対策、マルウェア対策ソリューションを自動更新し、スキャンを定期的に実行する。

リモートワーク環境ベストプラクティス

リモートワーク環境の増加とVPNサービスの使用に伴い、FBIとCISAは組織がネットワークセキュリティを向上させるためのベストプラクティスを実装することを推奨しています。

  • VPN、ネットワーク機器、リモートワーク用機器を最新のソフトウェアパッチとセキュリティ構成で定期的に更新する
  • 可能であれば、全てのVPN接続に多要素認証を実装する。物理トークンは多要素認証の最も安全な形式であり、認証用アプリケーションがそれに続きます。多要素認証が利用できない場合、リモートワークに従事する従業員に強固なパスワード使用を要求してください。
  • 未承認の予期しないプロトコルがないかネットワークトラフィック音監視をする。
  • 攻撃者の侵入ポイントといて使用される可能性のある未使用のVPNサーバーを廃止し、潜在的な攻撃対象範囲を削減する。

エンドユーザへ認識向上ベストプラクティス

サイバー攻撃者は多くの場合、洗練されていない方法で初期アクセスを取得します。これは悪意のある行動に対し、従業員の意識を向上することで軽減できます。FBIとCISAは従業員の運用セキュリティを向上させるために、以下のベストプラクティスの実装を推奨しています。

  • エンドユーザへのセキュリティ認識向上トレーニングを提供する。標的型ソーシャルエンジニアリング、スピアフィッシング詐欺を防ぐために、従業員と利害関係者が潜在的なサイバー脅威と配信方法があることを確認する。また、情報セキュリティの原則に関するトレーニングを提供する。
  • SNSサイトに詳細なキャリア情報を投稿することに関連するリスクを従業員に通知する。
  • 従業員が疑わしい行動を見つけたとき、サイバー攻撃の疑いがあるときに何をすべきか、誰に連絡するかを知っていることを確認し、脅威を迅速かつ効率的に特定する。

おわりに

Qちゃん
Qちゃん

いかがでしたでしょうか、ロシアのサイバー攻撃は日に日に多くなってるみたいですね。皆様もCISAの推奨するセキュリティ対策の実施を確認し、攻撃に備えてください。

コメント

タイトルとURLをコピーしました