ハッキングのトレンド: 日差しを浴びる公開ハッキングツール

By Cylance Research and Intelligence Team

本ブログ記事は、2018年10月31日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

はじめに

昔から言われているように、「仕事には道具(ツール)ありき」です。標的型のサイバー作戦で使用するツールのほとんどは、実行する特定の任務に合わせてカスタム設計されています。例えば、Stuxnetは、特定の期間中に特定の国で使用されることを目的に特定の製造業者によって製造された特定の製品に照準を合わせたものでした。

このようなツールは、正確に狙いを定めた標的に合わせて調整されており、標的を無力化するために標的の防御体制をじっくり考慮にいれていることが多いため、多くの場合、壊滅的なダメージを与えます。しかし、英国の国家サイバーセキュリティセンター(NCSC)の新しい レポートでは、正反対と言える問題、つまり公開されている一般的なハッキングツールの拡散が引き起こす危険に注目しています。このようなハッキングツールは、どんなレベルの脅威アクターも使用でき、また実際に使用されており、その頻度と成功率は上昇しています。

いわゆるファイブアイズの政府(オーストラリア、カナダ、ニュージーランド、英国、米国)の共同努力で作成されたNCSCの10月11日のレポートでは、よく見られる一般に公開されている5つのツールを紹介しています。これらのツールはすべて、初期侵害後に使用されています。レポートでは、ツールの有効性を制限する方法についてアドバイスしています。

公開されているツールの利用増加傾向はサイランスも確認しており、監視を続けています。このブログ記事では、ファイブアイズが特定している5つのツールと、NCSCレポートに含まれる解説の一部を紹介します。

RAT(リモートアクセス型トロイの木馬)

RATは、キャンペーンの初期段階で使用されることが多く、脅威アクターはRATを使用して、標的システムを遠隔操作できます。RATは、認証情報の盗難、バックドアの設置などを可能にする、多種多様な機能を備えています。

NCSCは、Frutasから派生したAdwindの亜種であるJBiFrostを紹介しています。NCSCによると、RATを最もよく使用しているのは低レベルの脅威アクターですが、国家アクターもRATを採用する可能性があります。また、有名なAPTグループのいくつかは、他のRATを使用していることがわかっています(NCSCが挙げたものは、パブリックなセキュリティ調査の中で中国の攻撃グループに関係していると言われています)。

NCSCは、「2018年初頭以降、重要な国家インフラ事業者とそのサプライチェーンオペレーターに対する標的型攻撃で、JBiFrostの使用が増加していることを確認しました」と締めくくっています。

Web Shell

これもリモートアクセスを可能にするスクリプトで、水平展開する前にプレゼンスを確保するために、多くの場合、攻撃またはキャンペーンの初期段階で使用されます。Web Shellは、しばしばWebサーバーを攻撃します。

NCSCは、例としてChina Chopperを挙げ、China Chopperが2012年から広く普及していること、そして軽量で簡単に修正可能であることを指摘しています。NCSCは次のように述べています。「2018年の夏に、CVE-2017-3066に対して脆弱性を持つインターネットに接続されているWebサーバーを狙う脅威アクターが観察されました。このアクティビティは、Webアプリケーション開発プラットフォームAdobe ColdFusionに存在する脆弱性を狙い、リモートコード実行を可能にするものでした。China Chopperは、サーバーが侵害された後に配信される第2段階のペイロードとして作成され、攻撃者が被害ホストにリモートアクセスできるようにするものでした」。

Credential Stealer(認証情報盗難)

これらは、プレーンテキストまたはハッシュ値形式で認証情報を収集するために作成されたツールで、キーロガーなどがあります。

NCSCが紹介している例は、Mimikatzです。NCSCは、Mimikatzの仕組みを説明し、Mimikatzが侵入テストツールとして開発されたが、後に脅威アクターに採用されるようになったと述べています。NCSCは、「Mimikatzは、2017年の NotPetyaBadRabbitのランサムウェア攻撃で他のハッキングツールとともに使用され、何千ものコンピューターに格納された管理者認証情報を収集しました」と述べています。

Lateral Movement Framework(水平移動フレームワーク)

その名が示すように、このツールでは、初期侵害後に、脅威アクターがネットワーク内を動き回れるようになります。

NCSCは、このツールの例としてPowerShell Empireを挙げていますが、Cobalt StrikeとMetasploitについても特記しています。これらはすべて、ネットワーク防御のために侵入テスト担当者によって作成されましたが、Mimikatzと同様、悪意のあるアクターにも利用されています。

NCSCによると、PowerShell Empireは、イギリスのエネルギー会社で発生した2018年のセキュリティ侵害や、複数の韓国組織を狙った冬季オリンピックをテーマとした標的型フィッシングキャンペーンで使用されていたことがわかっています。またAPT攻撃グループによる法律事務所や学術機関への攻撃にも使用されています。

C2 Obfuscation Tool(C2難読化ツール)

C2難読化ツールは、攻撃で使用されるマルウェアの制御管理に使用されるインフラストラクチャを隠すためのツールです。

NCSCが一例として紹介しているのはHTranです。NCSCは、特定のインシデントでのHTranの用途について詳しく述べていませんが、何ヶ月も続けて標的型攻撃を防御者から隠しておくためにHTranが活用されていたことを、5ヶ国すべてのサイバーセキュリティ機関が知っていたという事実を認めています。

まとめ

サイランスでは、いくつかの脅威グループによる、公開されているRATの使用事例が著しく増加していることを確認しており、これに国家または国家が支援するグループも含まれると確信しています。

他の公開されているハッキングツールと同様に、RATの使用について興味深いのは、その使用の潜在的な動機や目的は何なのかという点です。これは、NCSC共同レポートでは言及されていません。

低レベルの脅威アクターの場合、ツールの選択には明確な経済的メリットがあります。公開されているツールは言うまでもなく無料であり、最初から開発する技術も、R&Dへの投資も、取得のための出費も必要ありません。

独自のカスタムツールを開発できる高度な技術を持つ脅威アクターでさえ、特にRATについては、開発することは減っています。国家または国家が支援するグループには、この種の5つのツールをすべて独自に開発または購入する技術、時間、リソース、手段があるにもかかわらず、サイランスでは、公開されているRATをこのようなグループが使用する事例の増加を目にしています。理由は2つありそうです。

  • RATは、オペレーション中に足掛かりを築くために頻繁に使用されます。最終的な目標が達成される前に捕捉され、駆除されたとしても失うものは大きくありません。これらのツールは、消耗品だからです。
  • 公開されているRATを使用すると、アトリビューションが困難になります。つまり、マルウェアをあらゆる人が利用できる場合、個人のフィンガープリントが採取されにくくなり、攻撃者は、とてつもなく大きな容疑者グループという森に身を隠すことができます。

NCSCレポートのその他の注目すべきポイントは、実際に発生している問題のいくつかの例に、非常に多くの侵入テストツールが含まれていることです。

水平移動と認証情報盗難ツールに関する議論のほとんどに、元は侵入テスト担当者が設計したプログラムが関与しています。これらのプログラムは、ネットワークセキュリティ担当者が使用するとツールと呼ばれ、脅威アクターが使用するとマルウェアと呼ばれます。

使用者が誰かを知らなければ、実行されているのが侵入テストなのか本当の攻撃なのかをネットワークセキュリティ担当者が見分けるのは困難です。サイランスの調査担当者は、 脅威情報レポートを作成中です。サイランスは、今まで以上に詳しく、この問題を調査し対処したいと考えています。

今のところは、公開されている侵入テストツールが攻撃者によって選ばれる頻度が高まっているのは、もし捕捉されてしまうと、新たな防御手段やアトリビューションの試みを失敗させるメカニズムのヒントを与えてしまうと考えていることが予想されます。

最後に、あらゆるレベルの攻撃者が公開ハッキングツールをより多く使用するようになっている重要な理由として、ハッキングツールが十分にテストされているということが考えられます。多くのオープンソース開発プロジェクトと同様に、これらのツールも公開されているという性質上、膨大な寄稿者によるテストと変更に耐えています。そのためオペレーターは、うまく機能すると確信してツールを使用できます。それにより、攻撃者のオペレーションの少なくとも一部を間違いなく遂行できます。

手短に言えば、読者の方々はNCSCレポートを確認し、公開されているこれら5つのハッキングツールのどれに遭遇した場合も、気を緩めないようにしてください。これらのツールは広く知られているため、表面上はつまらなく、ありきたりに見えるかもしれません。しかし、ネットワークにそれが存在した場合、国家が支援する攻撃者による犯行やもっと重大な脅威を意味するかもしれません。

Tags: