監視の裏をかく攻撃、ここまで――標的型攻撃、正規ツールを隠れみのにする傾向に

トレンドマイクロが公開した「国内標的型サイバー攻撃分析レポート 2018年版」によると、Windowsに搭載されている正規のツールや正規サービスを隠れみのにする標的型攻撃が顕著に増加している。

» 2018年06月27日 14時26分 公開
[高橋睦美ITmedia]

 トレンドマイクロは2018年6月25日、「国内標的型サイバー攻撃分析レポート 2018年版」を公開した。2017年1月から12月までの1年間に国内で行われた標的型攻撃について分析したものだ。

トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏 トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

 2017年というとWannaCryをはじめとするランサムウェアの印象が強く、「それ以前の2015年〜2016年に比べると標的型攻撃による行動は沈静化しているように思えるが、実際には依然として攻撃は続いている」と、トレンドマイクロのセキュリティエバンジェリスト、岡本勝之氏は述べた。事実、同社が監視サービスを提供している法人、100サンプルを無作為に抽出して集計したところ、うち71%で標的型攻撃の兆候である内部活動を確認した。さらに全体の26%で、標的型攻撃に用いられるRAT(遠隔監視ツール)の活動を確認したという。

 特に顕著なのは、これらの標的型攻撃が、「正規のツール」や「正規のサービス」を隠れみのに使っていることだ。調査によると、国内で確認された標的型攻撃に用いられたRATのうち94%が、自身の活動を隠蔽するのに正規ツールなどを利用しているという。

 「普段、皆が行っている活動の中に不正な活動が紛れ込んでおり、見つけ出すのが困難になっている」(岡本氏)

Photo

 例えば、攻撃者がRATを操るために行うC&C(C2)サーバは、「83.3%がIaaSをはじめとするクラウドサービスやホスティングサービス、VPSといった正規サービス上に設置されている上、遠隔操作通信もほぼ全てがHTTP/HTTPSで行われている。つまり、外部のサーバに対する単なるWeb接続に見える」(岡本氏)

 PC内でも、実行ファイルが直接動作するのではなく、PsExecを用いたり、PowerShellやJScript/VBScriptといったWindowsの標準スクリプト機能を利用し、実行中の正規プロセスに不正なコードを埋め込む「DLLインジェクション」といった手法が用いられることが多い。さらに難読化や痕跡の除去も組み合わせて、とにかく気付かれにくく行動するようになっているという。「攻撃者は監視されていることを前提に、その裏をかく活動をしている」(岡本氏)

 脆弱性を突いた標的型攻撃がないわけではないが、「脆弱性を悪用するには、ターゲットにその脆弱性が存在しないといけない。攻撃者は最初にターゲットを偵察して弱点を探し、アップデートされていないアプリケーションがあればその脆弱性を悪用するし、都合のいい脆弱性がなければ継続して利用できる正規のツールを利用する」と岡本氏は述べた。

 こうした攻撃者の行動1つ1つを単体で見るだけでは、管理者による正当な操作なのか、それとも不正な活動なのかの判別が難しい。ただでさえログの量が増加している中から本当の攻撃を見いだすには、例えばある一定の時間軸の中で、Aという行動の後にBがあり、さらにCが行われた……といった具合に、「複数の行動の相関を確認することで、1つのシナリオ、1つの線として標的型攻撃を特定できる」と岡本氏は述べ、外部とのネットワーク監視と同時にシステム内部の活動も監視・分析していくことが必要だとした。

Photo

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ