ブログ
/
ランサムウェアの封じ込め

サイバーインシデントで何をすべきか:技術的対応

マイケル・アジェイ
シニア・システム・エンジニア
November 23, 2020
23 最小読取り

最近、仕事、遊び、レジャーでのデジタルツールの使用が世界中で増加していることで、サイバーセキュリティの重要性がかつてないほど浮き彫りになりました。脅威アクターは、さまざまな戦術、ツール、手順を組み合わせて標的のシステムやネットワークに足場を固め、ラテラルムーブメントを活用して標的組織の至宝にたどり着きます。「というこの時代に違反を想定、'それは問題ではない もし 攻撃や事件は起こるけど いつ。個人またはグループに対する現実世界の攻撃の場合と同様に、専門家の助けが届くまで、応急処置は命を救うのに大いに役立ちます。

同じように、このシリーズでは、サイバーインシデントが発生した場合に有効化できる即時のアクションと緩和策について説明します。

主に次の 3 つの分野に焦点を当てます。

  1. テクニカルレスポンス
  2. 非技術的対応
  3. 学んだ教訓

第1部では、インシデント発生直後に必要な重要な技術的対策について説明します。次に、インシデント報告や影響評価など、サイバーイベントの非技術的側面について説明します。そして最後のパートでは、対応全体から学べる可能性のある教訓を見ていきます。

パート 1: テクニカル・レスポンス

この3部構成の第1部では、サイバーセキュリティインシデント直後の技術対応に焦点を当てます。組織のセキュリティチームがインシデントを迅速に封じ込め、ログ、マルウェアファイル、その他のオペレーティングシステムアーティファクトなど、根本原因分析に役立つ証拠をすべて保存して根本原因分析を行うことが重要です。

ここでは、主に Windows 環境に焦点を当て、一般的な攻撃タイプを例に挙げます。スピアフィッシングは、ラテラルムーブメントを利用してビジネスメール構成(BEC)を仕掛けるスピアフィッシングです。 データ侵害。このフローを視覚的に表現したものを以下に示します。

CyberIncident1

その後、感染や侵害につながるほとんどの攻撃では、攻撃者は通常次のことを行います。

  1. ユーザーやそのマシンなどのソフトターゲットを攻撃します。通常は フィッシング 攻撃
  2. アカウントとコンピュータを危険にさらす
  3. 侵害されたアカウントとコンピューターを利用してネットワークの他の部分を発見する
  4. 他のシステムを危険にさらすために、権限を昇格させてラテラルムーブメントを促進する
  5. 価値の高い資産、つまりクラウンジュエルシステムを見つけ、データを抽出します

その動機にもよりますが、攻撃者はできるだけ長く気づかれずに動き続けたいと思うかもしれません。または、に示すように、ネットワークに何らかの障害を起こしたい場合もあります。 ランサムウェア攻撃。ご存知のとおり、MITRE ATT&CKやサイバー・キル・チェーンは脅威アクターの戦術やテクニックを練ることはありますが、ルールには従いません。そのため、インシデント対応では何も想定しないでください。確証できる確固たる証拠のみを検討すべきです。また、すべてが見た目どおりではない場合もあるので、おとりに目を光らせておくことも重要です。これを念頭に置いて、この攻撃フローのさまざまな段階を調べてみるといいでしょう。

初回エントリー

攻撃の初期段階では通常、フィッシングやマルバタイジングなどのソーシャルエンジニアリングが、主に電子メールやウェブサイトなどのデジタル通信チャネルを通じて行われます。これにより、脅威アクターが最初に感染したマシン(別名「ペイシェントゼロ」)にたどり着く可能性もあります。

CyberIncident2

応急処置

インシデント後の検出のこの初期段階では、以下のいくつかの手順を実行できます。

  • 感染したユーザーアカウント (メール/コンピュータ) を特定します。
  • 影響を受けるメールアカウントを隔離します。
  • 影響を受けるメールアカウントによるメールの送信をブロックします。
  • 外部のメールアカウントにメールが転送されていないか確認してください。
  • まず、過去 7 日から 14 日間に送信されたすべてのアイテムを受信トレイから取得します。
  • 送信および削除されたメールを監査します。
  • アカウントプロファイルに読み込まれているカスタムフォーム (Outlook) を確認します。
  • 接続されているデバイスで、影響を受けるメールアカウントを確認してください。
  • レガシープロトコル (POP3 など) が使用されていないか確認してください。
  • 認証情報については、Azure AD ログを確認してください。
  • 一時的な場所に、ランダムに名前が付けられたスクリプトやその他の CLI ユーティリティがないかを確認します (特にファイルレス攻撃の場合)。
診断

このフェーズでは、攻撃者はソーシャルエンジニアリングを利用してシステムにアクセスしています。この例では、アカウント乗っ取り (ATO) 攻撃者からのフィッシングメールを使用して、Microsoft Word 文書で偽の引用メールを送信します。この文書には悪意のあるマクロが含まれており、開封すると次の段階の攻撃が開始されます。

多要素認証 (MFA) と強力なメールセキュリティ防御、そしてユーザー意識向上トレーニングを組み合わせることが、初期侵入攻撃に対する優れた防御策となるはずです。メールセキュリティソリューションには、最低でもフィッシング対策、AI、URL の解決と検出の機能が必要です。また、メール転送、リダイレクト、テンプレート作成などに関するアラート機能も非常に重要です。Office 365 のようなクラウドメールを利用しているユーザーは、Microsoft Office 365 セキュアスコアなどのサービスを実行して、メールポスチャの弱点を見つけることができます。

ピボットマシン

この時点で、攻撃者は攻撃に成功し、正当なユーザーアカウントやシステムにアクセスできるようになりました。ピボットマシンは、攻撃者がネットワークの他の部分を発見して動き回ろうとするポイントマシンになります。

CyberIncident3

応急処置
  • 感染したコンピューター/ラップトップをネットワークの他の部分からすぐに隔離します。
  • マシンをインターネットから切断します。
  • Active Directory で影響を受けるユーザーのドメインアカウントを無効にします。
  • VPN、OWA、その他のリモートログインなど、このアカウントのリモートアクセスをすべて無効にします。
  • レジストリ、スタートアップ、スケジュールされたタスクなど、悪意のあるパーシステンスの兆候がないか確認します。
  • そのホストからの最近の Web 接続を確認します。
  • 不審なユーザーアカウントがないか確認してください。
  • 最近のアプリケーションの使用状況(シムキャッシュ、アムキャッシュ、ジャンプリスト)を確認してください。
  • mimikatz、psexec、wce、残留ファイルなどのツールが存在するかどうかを確認します (メモリのみの攻撃の場合は、可能な限り、マシンを再起動しないでください)。
診断

通常、これには一部のユーザーがフィッシング攻撃に遭い、悪意のあるリンクや電子メールの添付ファイルを開き、powershell.exe などの正規のシステムツールを悪質な目的で使用することになります。疑わしいプロセス、ネットワーク共有へのアクセス、アカウントログ、ダウンロードされたファイルなどのチェックを実施する必要があります。Windows の場合、認証と権限昇格の可能性がある重要なプロセスの 1 つが lsass.exe (ローカルセキュリティ機関サブシステムサービス) です。異常なプロセス名、場所、またはアカウントアクセスがないか確認してください。

CyberIncident4

多くの場合、ピボットマシンは脅威アクターにネットワークの他の部分への足がかりを与えます。メインターゲットではないかもしれませんが、目的を達成するための手段です。そのため、以下の点に注意する必要があります。

  • 気を散らすように設計されたデコイ
  • ファイルレスまたはメモリのみのマルウェアは、元の証拠が失われる可能性がある
  • 証拠を削除するためのファイルの削除

IT部門は、元の患者ゼロマシンやピボットマシンの位置を必ずしも特定できるとは限りませんが、侵害されたシステムを最初に特定して適切に調査する必要があります。より詳細な分析を行うには、以下を実行してください。

  • メモリ分析
  • ファイルシステム分析
  • システムログフォレンジック
  • レジストリフォレンジック

いくつかのフォレンジックツール(ネイティブ、オープンソース、商用)が存在し、サイバーインシデント後にシステムやネットワークを分析する際に可能な限り多くの情報を取得するのに役立ちます。

発見とラテラルムーブメント

ほとんどの場合、最初のマシンが脅威アクターが望む場所に配置されることはほとんどありません。そのため、最終的なターゲットシステムに到達するまで動き回る必要があります。目的は、侵害されたピボットマシンを活用してネットワークの残りの部分を発見し、水平移動の効果的な方法を容易にするためのマップを作成することです。ネットワークは、実際のアプリケーションアクセスの最終目標の達成を促進します。例としては、パス・ザ・ハッシュによるNTLM認証情報の盗難、パス・ザ・チケット攻撃におけるKerberos認証情報の盗難、ラテラルムーブメントを実現するためのポート(ネットワークレベル)などがあります。

CyberIncident5

応急処置 — ディスカバリー
  • ポートスキャンの証拠を確認してください。
  • よく使うアプリケーションを確認してください。
  • パワーシェルや WMI コマンド履歴などのコマンド履歴を確認してください。
  • 悪質なスクリプトがないか確認してください。
応急処置 — 横方向の動き
  • RDP、VNC、psexec、mimikatzなど、リモートアクセスおよびデプロイメントツールの残骸がないか確認してください。
  • Shimcache、最近のファイル、ジャンプリストなど、最近のアプリケーションの使用状況を確認します。
  • サーバー、特にファイルサーバー、DNSサーバー、およびActive DirectoryサーバーでWindowsアカウントが使用されているかどうかを確認してください。
  • 確認しておくと便利な Windows イベントログがいくつかあります。
  • 一般的に使用されている移動方法(ブラウザ、Adobe、Microsoft Office、OS)のパッチレベルを確認します(ほとんどのエクスプロイトは脆弱性を利用します)。
CyberIncident6

診断

そもそも適切なツールがなければ、東西の動きを検出することも難しい作業かもしれません。また、ここでは、脅威アクターは通常、ネイティブツールと「ライブオフザランド」手法を使用して、アラートを防ぎ、検出を回避します。場合によっては、検出されずに横方向に移動できるように、他の手法を使用してアカウントレベルの権限を昇格させることもあります。検出フェーズでは、その後のラテラルムーブメントフェーズと同様に、脅威アクターは沈黙を守り、早期発見を避けたいと考えています。つまり、外部ツールやカスタムツールを導入するよりも、ネイティブツールを採用する可能性が高いということです。ほとんどのオペレーティングシステムには、Powershell や Windows の WMI など、この段階での操作を容易にするさまざまなネイティブツールがあります。脅威アクターに関する限り、ラテラルムーブメントは、セグメンテーションがほとんどまたはまったくない環境や、サブネット、VLAN、ゾーンなどの従来のセグメンテーション方法のみが使用されている環境では特に簡単です。これは、通常、可視性に欠け、セキュリティポリシーが複雑すぎて、サブネットやVLAN内ではホストベースの分離が行われないためです。

CyberIncident7

上の画像は、可視性と分析ツールの例を示しています(Illumioのアプリケーション依存関係マップ、 イルミネーション)これにより、発見と横方向の動きの試みを視覚化できます。上に示したようなビューでは、さまざまなアプリケーショングループとそこに含まれるワークロードが明確に表示され、ワークロード間のネットワーク通信マッピングも可能になります。このようなビューにより、同じまたは異なるアプリケーショングループのワークロード間の異常なネットワーク挙動を迅速かつ簡単に特定できます。

クラウンジュエル

特にランサムウェア以外の秘密攻撃の場合、脅威アクターが狙うのは至宝のシステムとデータです。主なデータ漏えい活動が起きやすいのはここです。

応急処置
  • データベースサーバー、AD サーバー、ファイルサーバーで管理者アカウントが使用されているかどうかを確認してください。
  • Web アクセス履歴をチェックして、疑わしい接続がないか調べます。
  • アンチチェックボットネット ボットネット関連通信の防御
  • DNSトンネリング、プロトコルの悪用、データエンコーディングなどのデータ流出をチェックしてください。
  • システムおよび対応する NIC に過剰なデータ転送速度がないかどうかを確認します。
  • 便利な Windows イベントログ:
  • 管理者アカウントログイン用のウィンドウズイベント 4672
  • ログオン成功時のウィンドウズイベント 4624
CyberIncident8

診断

重要なデータや機密データを保持するシステムを、ネットワークの他の部分から効果的にセグメント化することが不可欠です。最善の方法の 1 つは、以下を使用することです。 ホストベースのマイクロセグメンテーション これにより、ネットワーク通信の可視化と、ホストに直接ファイアウォールを適用する機能の両方が可能になります。クラウンジュエルシステムに出入りするトラフィックをネットワークの他の部分と比較して視覚化することで、タイムリーな視覚化および警告機能が得られ、異常な通信を迅速に検出、防止、隔離できます。

マルウェアは脆弱性、特にシステム固有の脆弱性を介して侵入して足場を固める可能性があるため、最新の脆弱性とパッチ管理ソリューションを導入することも重要です。攻撃者は通常、システムイベント、ファイル、およびレジストリデータを削除できるように、後からクリーンアップを試みます。そのため、SIEM (セキュリティ情報およびイベント管理) やセキュリティ分析ツールなど、システムやネットワークのログやイベントを一元管理するリポジトリを用意することが特に重要です。

結論として、サイバーインシデントの直後に適切なアクションを実行する必要があります。これは、インシデント全体の処理方法の他の重要な部分につながるためです。組織の規模や地位にかかわらず、ここに示されているように、技術的な準備と対応は全体的な戦略の重要な部分であるべきですが、インシデント報告や影響分析などの非技術的な対応も含める必要があります。これについては、このシリーズの次回でさらに詳しく説明します。

関連トピック

アイテムが見つかりません。

関連記事

サイバーインシデントで何をすべきか:技術的対応
ランサムウェアの封じ込め

サイバーインシデントで何をすべきか:技術的対応

もっと読む
イルミオでロックビットランサムウェアを封じ込める方法
ランサムウェアの封じ込め

イルミオでロックビットランサムウェアを封じ込める方法

イルミオゼロトラストセグメンテーションに含まれるLockBitランサムウェア攻撃の実際のユースケースに関する洞察。

もっと読む
ランサムウェアを阻止するための脆弱性の評価
ランサムウェアの封じ込め

ランサムウェアを阻止するための脆弱性の評価

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく