特集

最新のIT技術情報や旬な話題をお届けいたします

【レポート】
最新のサイバー攻撃 “破壊型攻撃”を徹底解剖

攻撃の被害が情報流出にとどまらず、データの消去やシステムダウンをともなう“破壊型攻撃”と呼ばれる最新のサイバー攻撃は、これまでのサイバー攻撃よりも悪質である。この破壊型攻撃の詳細を米国CrowdStrike(クラウドストライク)社が解析したライブデモンストレーション映像を交えてセキュリティエンジニア柳本が解説したセミナーの概要を紹介する。

いかにして攻撃者を特定するのか

「2014 年2 月に行われたRSAカンファレンスでは、CrowdStrike社のCEOジョージ・カーツ氏が今後、“破壊型攻撃”が増加すると指摘していました」セキュリティエンジニアの柳本はそう切り出した。“破壊型攻撃”にはデータの消去やMBRの上書きといったデータの破壊だけでなく、過剰なCPU負荷と冷却ファンの停止を同時にしかけ、熱暴走でシステムを物理的に破壊する攻撃もあるという。

CrowdStrike社では現在、国家がスポンサーとなるような高度な標的型攻撃を行う複数の攻撃組織をワールドワイドで把握しているという。 「CrowdStrike社は、過去多くの破壊型攻撃に関与したとみられる北朝鮮の攻撃組織を『Silent Chollima(沈黙の千里馬)』と名付けており、その活動を2006年頃から観測しています。この攻撃組織による国別のターゲットは韓国が54%、米国が13%で大部分を占めています。そのほかの国々への攻撃記録も確認されていますが、それらは、両国を攻撃するための『踏み台』として利用されたものと考えられています。米国と韓国への破壊型攻撃は2009年から観測されています」(柳本)

それでは、いかにして攻撃から攻撃組織を特定しているのだろうか。 このセミナーでは、CrowdStrikeの攻撃組織の特定方法の一端として、攻撃に利用されたマルウェアのリバースエンジニアリングを解説していた。マルウェアのリバースエンジニアリングの結果、得られたマルウェアのデータにハングル文字が見られることや、これらの文字や数字が軍事的意味合いの強いものであること、最後に2014年に使われた破壊型マルウェアが2013年に使われた破壊型マルウェアと同じコード構造かつ同じ箇所のタイプミスが見られるといった特徴を紹介した。

破壊型攻撃の攻撃手順とは

2014年に行われた破壊型攻撃のステップは、“Exploit Network”“Dump Admin Credentials”“Steal Data”“Deploy Wiper Malware”の大きく4つに分けられる。

攻撃のステップ

セミナーで柳本は、それぞれのステップについて、より具体的に解説した。
 
Exploit Networkは、企業システムに侵入して、攻撃組織が企業ネットワークやシステムをリモートで操作できるようにすること。手法としては、従業員に対して添付ファイルやメールの本文にURLリンクを付けたものを送付し、それを開くことでマルウェアに感染させる手法がよく知られている。また、公開サーバの脆弱性を突いて公開サーバ上にリモート操作可能なツールを設置するといった手法もある。侵入には様々な手法があり、本当に狙われた場合、侵入の時点で100%検知するといったことは不可能と言える。

Dump Admin Credentialsでは、侵入に成功したPCやサーバ上でその企業の別のPCやサーバに侵入するためのユーザアカウント情報を取得する。

Steal Dataは、前ステップで得られたユーザアカウント情報を使って企業内の別のPCやサーバに侵入してデータを盗む。
 
Deploy Wiper Malwareは、同様にユーザアカウント情報を使って企業内のすべてのPCに破壊マルウェアを配布して実行する。

続いて、2014年の破壊型攻撃で利用されたマルウェアのアーキテクチャを説明した。この破壊型マルウェアは、Steal Dataのステップまで完了した後に、1台のPCにドロッパ(taskhosts64.exe)として仕掛けられ、攻撃が発動している。このマルウェアには、下図のように、企業のドメインに属するすべてのPC名、ユーザ名、パスワードがハードコードされている。CrowdStrike社のライブデモンストレーション解説では、Dump Admin Credentialsのステップにより、ドメイン・コントローラへアクセス可能なAdministratorアカウントが盗まれ、その後ドメイン・コントローラのデータベースからすべてのPC名、ユーザアカウント、パスワード情報が盗られている。これにより、破壊行為に使われたワイパーマルウェアは、企業内の全PCに対して、SMBを使った配布、WMI※iによりリモート実行が可能となり、企業システム破壊の目的が達成されている。

破壊マルウェア(Wiper-Malware)のアーキテクチャ

CrowdStrike社のライブデモンストレーションでは、Windowsの公開WebサーバIISとそれが所属するドメイン・コントローラを用意し、Webサーバに対するSQL injection※iiによるWebshell※iiiの設置から企業への侵入を行っていた。このデモンストレーションのWebshellは70byteほどの小さなスクリプトファイルで、検知が難しいことが紹介されていた。また、2014年の破壊型攻撃では侵入経路は公開されていないことから、検知の難しい侵入をデモンストレーションに選んだと説明していた。 そして、Webサーバに設置したWebshellでリモート操作を行い、『Privilege Escalation(権限昇格)※iv』を行うためのツールがアップロードされ、権限昇格が行われた。管理者権限を取得した攻撃者は次にMimikatzというツールをアップロードし、このツールでAdministratorのクリデンシャル情報を取得していた。このステップは、前述のとおり、多くの標的型攻撃で見られるステップだという。
 
また、Mimikatzツールによるアカウント情報の取得では、アカウントのパスワードをクリアテキストで取得できるという特徴もある。そのため、パスワードの複雑化は標的型攻撃にはまったく無力である点を柳本は強調していた。

次に企業のシステム情報を持つドメイン・コントローラが標的になります。 デモンストレーションでは、Webサーバ上に設置したWebshellから盗んだアカウントを使ったWMIコマンドでドメイン・コントローラのレジストリキーを変更し、リモートデスクトップ接続でドメイン・コントローラに接続していた。ドメイン・コントローラのDBファイルNTDS.ditファイルをクラックしてドメインのすべてのPC、ユーザ名、パスワード情報を取得していた。 最後にこの情報がハードコードされた破壊型マルウェアを1台のPCで実行すると、全PCに破壊型マルウェアがSMBでコピーされ、WMIでリモート実行される。

破壊型攻撃を検知、防御するためには

「破壊型攻撃に至る前の1台への侵入を事前に検知することが理想ですが、本気で標的とされた場合、企業への侵入を完全に防ぐということは不可能です。一方、侵入後の攻撃者のアクティビティに着目すると、権限昇格やクリデンシャル情報の搾取、ドメイン・コントローラの侵害といった標的型攻撃特有のステップがあります。この時点で検知する、またはこの動作を封じこめることが、企業のシステム全体から情報を盗まれる、また全PCが破壊されるという攻撃組織の目的を阻害するのに極めて有効なポイントになるのです」と柳本氏はセミナーをまとめた。

【用語解説】

  • i) Windows標準のシステム管理コマンド
    Credential Theftで取得したユーザ、パスワードを引数に別端末のリモート操作で利用される
  • ii)SQL injection
    WebサイトのDB入力・クエリーが行える入力フィールドで、DBやWebサーバのコマンドが利用できてしまう脆弱性。この脆弱性を利用してDB情報の引き出しやWebサイトの改竄、リモート操作等を行うこと
  • iii )webshell
    Webサイト(サーバ)に設置するリモート操作ツール(多くはスクリプトやシェルのファイル)。20byte程度のスクリプトでリモート操作可能なことも知られており(China Chopper webshell)、IDS/WAF等でも検知が難しい。
  • iv )Privilege Escalation(権限昇格)
    プログラム(プロセス)の実行ユーザを管理者やシステムアカウントに昇格して実行すること。通常ユーザ権限では操作できないシステム操作までも可能にする。

いつか見た景色 from Staff's Albums