Mandiant Red Team、金銭目的の攻撃グループFIN11の戦術をエミュレートしてOTサーバーを制御

Thibault Van Geluwe de Berlaere, Jay Christiansen, Daniel Kapellmann Zafra, Ken Proska, Keith Lunden
Aug 01, 2022
3 min read
|   Last update Aug 19, 2022

ここ数年、ランサムウェア攻撃によるインシデントが何千もの産業および重要インフラ組織に影響を及ぼしています。Mandiantは、これらのサイバー攻撃が、身代金の支払いを促す方法として、産業界の生産体制や業務ワークフローを混乱させるケースを観察してきました。多くの場合、被害はエンタープライズ・システムに限定されていますが、これはオペレーショナル・テクノロジー(OT)システムが危険にさらされていないことを意味するものではありません。

OT技術の性質とその防御の難しさから、多くのOTネットワークには、それほど高度なスキルを持っていない攻撃者でも活用できるセキュリティギャップが存在します。さらに、Mandiantは、一部の金銭的動機のあるグループが、注目を集めたサイバー物理インシデントにおいて、APTが使用するのと同じ、または類似のツールやテクニックを継続して使用していることを一貫して強調してきました。

このブログでは、Mandiantのレッドチームがヨーロッパのエンジニアリング組織をターゲットに、ランサムウェアの攻撃者がネットワークに及ぼす潜在的な影響力を理解するために行った取り組みについて説明します。このレッドチーム演習では、複数の業界にわたって長期的なランサムウェア攻撃活動を実施している、金銭的動機に基づく脅威グループであるFIN11が使用するテクニックを模倣しています。FIN11のテクニックを使って、一般社員の認証情報を持つ企業のエンドポイントから侵入し、ドメイン管理者権限を取得、重要データを盗み出し、OTサーバーにアクセスしました。

ランサムウェアの攻撃者は、OTにアクセスする能力を有していることが証明される

2020年、Mandiantは、金融犯罪に従事する攻撃者がいかにしてOTに手を広げているかを説明する内容の投稿を発表しました。この調査は、既知のランサムウェアと一緒に展開され、攻撃の影響を増幅させる2つのプロセスキル・リストに基づいています。これらのリストは、ソフトウェアプロセスを洗い出して終了させることを目的としており、そのうちのいくつかは偶然にもOTに関連するものでした。これらのプロセスリストの影響を判断するための文書化された情報は限られていますが、私たちの評価では、このようなプロセスを停止することによって、攻撃者は重要なOT機能を突然終了させ、暗号化して、被害者にさらなる損害を与えたかもしれないことが示されました。

2つのプロセスキル・リストのうち1つは、CLOPランサムウェアのサンプルとともに展開され、FIN11と呼ばれるサイバー犯罪者の仕業であると推定されました。 このグループは、POSマルウェア、CLOPランサムウェア、および従来型の恐喝を用いて事業を収益化しています。

FIN11 は、OT に関する専門知識を有していることを示す兆候はなく、彼らが展開したプロセス キル・リストが被害組織の OT 環境に重大な影響を及ぼしたことを示す証拠もありません。しかし、この攻撃者が一部の OT プロセスを含むプロセス キルリストを使用したことで、その能力の範囲と、将来的に OT にどのような影響を与える可能性があるかについて、さらなる疑問が生じました。

過去には、FIN11 のような金銭的動機のある攻撃者は、OT 標的型攻撃のライフサイクルの初期段階をサポートするために、国家的な支援を受けている攻撃者が使用しているのと同等のTTP(戦術、技術、手順)を使用していました。これには、一般に公開されているツール、実際に使われている技術、既知の悪用フレームワーク、および被害組織を侵害するためにカスタマイズされたマルウェアを使用することが含まれます。

1 は、TRITON および INDUSTROYER の事件で使用された手法と、FIN11 および別のサイバー犯罪グループである FIN6 がランサムウェアの展開と恐喝、クレジットカードの盗難のために使用した手法が一部重なり合っていることを示しています。

Figure 1: TTP overlaps among state-sponsored and financially motivated actors
図1:国家の支援を背景とする攻撃者と金銭目的の攻撃者でのTTPの重複

4つのケースでTTPが重複しているのは、ITOTの両方で標的のアセットに到達するためには、しばしば攻撃者が企業ネットワークや 本番ネットワーク上で水平展開と権限の昇格のプロセスを踏む必要があるためと思われます。ランサムウェアの攻撃者は、過去数年の間に大きく進化していますが、国家が支援する攻撃者の中には、物理的なプロセスを妨害するために、OTに特化したペイロードを開発するために多大なリソースを投じているものもあるという点が大きな違いとして残されています。

Mandiant Red TeamFIN11のテクニックを使ってターゲットの企業ネットワークを横断し、OTサーバに到達

Mandiantのレッドチームは、ヨーロッパのエンジニアリング企業に対し、金銭的な動機のある攻撃者がランサムウェアを展開した場合に起こりうる影響を可視化するためのサポートを行いました。このプロジェクトでは、3つの目標を掲げ、そのすべてを達成することができました。

  • IT環境におけるランサムウェア攻撃者のエミュレート
  • IT環境から個別のOTネットワークセグメントへの伝播
  • 機密情報にアクセスして盗み、再配布することで、多面的な恐喝をエミュレート

2は、MandiantOT対象に到達するために辿った2つの道筋を示しています。

Figure 2: Red Team attack path using FIN11 techniques
図2:FIN11の技術を用いたレッドチームの攻撃経路

このプロジェクトでは、Mandiantは「想定侵入」というアプローチを採用し、ターゲットの企業ドメインにある標準的な従業員アカウントとデバイスを起点としました。その後、Mandiantは、よく見られるFIN11のテクニックを利用して、異なるセキュリティゾーンにあるエンドポイントを移動しながら侵入を継続しました(Appendixを参照)。ITOTの目的を達成するために使用したテクニックをいくつか紹介します。

  • Webおよび社内アプリケーションの偵察
    • Mandiantは、社内共有や知識共有のためのWebアプリケーションやWikiにおいて、平文の認証情報、ITアーキテクチャに関する情報、ネットワーク情報、その他の機密データを含む複数のドキュメントを発見しました。
  • Active Directoryインフラストラクチャの偵察
    • Mandiantは、公開ツールBloodHoundのバリエーションを使用して、ユーザー、グループ、グループポリシーオブジェクト(GPO)、およびマシン情報を収集し、ターゲットのActive DirectoryADインフラを説明するデータ構造を構築しました。その後、Mandiantはこの情報を暗号化して流出させ、感染したユーザーを追跡し、攻撃の次のステップを戦略的に決定しました。
  • CVE-2021-36934 (通称 SeriousSAM")による特権の昇格
    • Mandiantは、CVE-2021-36934に対して脆弱なデバイスを多数発見しました。この脆弱性を悪用して、MandiantはこれらのデバイスのSecurity Account Manager (SAM) データベースをダウンロードし、Impacketライブラリを利用して、ローカルアカウントのパスワードハッシュ、コンピュータアカウントのパスワード、キャッシュされたドメイン認証情報などの機密情報を抽出しました。
  • シルバーチケットによる水平展開
    • Mandiantは、Impacketライブラリのticketer.pyスクリプトを使用して、ユーザー認証に必要なKerberos Ticket Granting ServiceTGSチケットであるSilverチケットを偽造しました。これにより、レッドチームは被害組織上のあらゆるユーザー(管理者アカウントを含む)になりすまし、ITネットワーク上の特定のエンドポイントで特権を昇格させることが可能になりました。
  • Active Directory 証明書サービスの不正使用による特権の昇格
    • Mandiant は、標的のAD 証明書サービス (CS) 構成において、証明書テンプレートに少なくとも 1 つの設定ミスがあることを発見し、要求側のエンティティが標的の AD ドメイン内の他のプリンシパルの証明書を要求することができるようにしました。Mandiantは、公開されたCertifyツールを使用して、AD CSの構成を確認しました。

OTへの多面的な攻撃

Mandiantは、企業ネットワークの侵害を通じて収集した情報と特権を使用して、ターゲットOTサーバに到達するための最適な経路を特定しました。Mandiantは、孤立したレガシーOTネットワークと、異なる地域間で接続されたグローバルOTネットワークという、2つの異なるターゲットに到達することに焦点を当てました。

OT の侵害 #1 - レガシー OT ネットワークにおける足場の確立と特権のエスカレーション

Figure 3: Red Team attack path for OT Compromise #1
図3:OTの侵害 #1におけるレッドチームの攻撃経路

Mandiantは、企業ネットワークでの初期段階で取得したのと同じ認証情報と文書を使用して、OTネットワークにアクセスできるホストにインストールされたリモート管理ソフトウェアにアクセスしました。ホストのネットワーク防御を確認したところ、SSL/TLSインスペクションを利用していなかったため、Mandiantレッドチームは、コマンド&コントロール(C&C)の手段としてドメインフロントティングを利用したインプラントを起動させることができました。

さらにネットワークを精査した結果、リモート管理ソフトウェア経由でアクセスしたアカウントは、OTネットワーク内の他のホストでも管理者権限を持っていることが判明しました。Mandiantは、リモートデスクトッププロトコル(RDP)を使用して複数のホストにアクセスし、その防御を評価し、Server Message BlockSMB)プロトコルおよびRDPを介してカスタムメイドのC&Cインプラントのペイロードをアップロードしました。その後、Mandiantは、リモートサービスの作成、Windows Management InstrumentationWMI)コマンドの実行、および手動実行により、これらのペイロードを実行しました。これらのプロトコルやサービスは正規のユーザーによって利用されていたため、このような活動によってアラートが発せられる可能性は低く、水平展開がバックグラウンドトラフィックに溶け込み、ネットワークセンサーによって発見される可能性は低くなります。

Mandiantは、OTネットワーク内の合計8台のサーバーにアクセスし、そのうちの1台はヒューマン・マシン・インターフェース(HMI)でした。このシステムにアクセスすることで、攻撃者はネイティブコマンドを使用して物理制御プロセスと悪意を持って対話することができます。Mandiantが足場を固め、管理者権限を獲得すると、その焦点は権限の拡大に移りました。

  • Mandiantは、あるホストのSAMデータベースをダンプして、ローカルアカウントのパスワードハッシュを取得し、それを辞書攻撃でクラックしました。この結果、ローカル管理者アカウントの1つの平文パスワードが判明しました。
  • Mandiantは、ローカル管理者の認証情報を利用して、別のOTホスト上のLocal Security Authority Subsystem ServiceLSASS)プロセスのメモリダンプを、タスクマネージャアプリケーションを使用して作成しました。
  • Mandiantは、メモリ・ダンプ・ファイルを流出させ、公開ツールMimikatzの特別にパックされたバージョンを使用して、含まれる認証情報を取得しました。復元された認証情報は、OTネットワーク・ドメイン上のドメイン管理者アカウントのNTLMハッシュを含んでいました。
  • その後、Mandiantは、ドメイン管理者アカウントのパスワードハッシュを利用し、リモートサービス作成を通じてOTドメインコントローラ上でカスタムペイロードを実行することで、目的を完了させました。

OTの侵害 #2ITからグローバルOTネットワークへの水平展開

Figure 4: Red Team attack path for OT Compromise #2
図4:OTの侵害 #2におけるレッドチームの攻撃経路

2つ目の攻撃経路として、Mandiantは、Impacketライブラリを使用した「AS-REP roast」攻撃により、ターゲットのエンタープライズドメイン内で特権を昇格させ、複数のユーザーアカウントのパスワードハッシュを回復させました。Mandiantは、辞書攻撃を使用してパスワードハッシュをクラックし、その結果、1つのアカウントの平文パスワードが判明しました。このユーザーアカウントと認証情報は、追加のホストへのRDP権限を持ち、Mandiantは企業環境内で水平方向に移動できるようになりました。

アクセスされたホストにはエンジニアリングソフトウェアが含まれており、jumphost またはエンジニア向けのアプリケーションサーバーである可能性が高いことがわかりました。さらに、このホストにインストールされたエンジニアリング・アプリケーションは、非特権ユーザーが書き込み可能なディレクトリにあるバッチ(BAT)ファイルを指すショートカットをデスクトップ上で使用していました。これにより、Mandiantは、ユーザーがデスクトップ上のショートカットをクリックすると、BATファイルの内容を変更して、未許可のアプリケーションを起動することができました。

複数のユーザーがこの攻撃の対象となりました。これらのユーザーの1人は、複数のADグループのメンバーであり、様々なOTジャンプホストへのRDP権限を持っていました。Mandiantは、Rubeusツールを使用して、侵害されたホスト上のアクティブなセッションから、このユーザーのKerberos Ticket Granting TicketTGT)を抽出しました。これにより、MandiantはすでにレッドチームがコントロールしているシステムでTGTをインポートし、リモート認証ガードまたは制限付き管理者モードを使用してターゲットホストにRDPで接続するために使用できる「TERMSRV/<HOST>」サービス用のTGSを要求することができたのです。最後に、Mandiant "mstsc /remoteGuard" コマンドでリモートデスクトップセッションを起動し、RDP で複数の OT jumphosts に接続しました。

この目的を達成するため、Mandiantは、偵察フェーズで取得した認証情報を再び使用して、OTジャンプホストの1つからOTサーバーに認証しました。この OT サーバは、クライアント/サーバ・ベースの SCADA ソフトウェア・ソリューションを実行しており、完全にアクセス可能で、マシン上で既にアクティブになっていましたが、運用上の影響の懸念から、レッドチームはこのアプリケーションと対話することを控えていました。この種のソフトウェアにアクセスすると、攻撃者は OT 環境の詳細な偵察、機密情報の流出、追加のペイロード(ランサムウェアなど)の展開、あるいは被害者のプロセス監視・制御能力の低下を引き起こす可能性があります。

ランサムウェア攻撃の再現により、防御能力に関する重要な知見を得る

OTシステムは、組織が生産プロセスを自動化するために不可欠です。これは、金銭的利益を得るため、あるいは物理的な損害を与えることを目的に生産活動を妨害しようとする攻撃者にとって、OTが魅力的なターゲットとなることを意味しています。ランサムウェアの攻撃者とOTに特化したAPTの間のTTPの重複は、ランサムウェアの操作に対する防御が、サイバー物理攻撃のような他の影響力のある事象に対する重要な防御にもなることを示唆しています。

2022年半ばの時点では、金銭的動機のある攻撃者が被害組織から身代金を搾取するためにOTネットワークを明確にターゲットにしていた事例は確認されていませんが、Mandiantは、攻撃者がOTプロセスに影響を与えるランサムウェア攻撃を遂行したことを明らかにしています。OT 資産にアクセスできる攻撃者は、いくつかの方法で被害組織のプロセスに対する制御または可視性を妨害する権限を与えられている可能性があります。OT資産の所有者と運用者は、ランサムウェア攻撃のエミュレーションを通して、最新の攻撃者のTTPに立ち向かい、自社環境の脆弱性を特定し、侵害の検出と対応能力を向上させることができるというメリットがあります。

OT向けの攻撃模擬演習およびレッドチームサービスの詳細については、OT向けのプロアクティブセキュリティサービス提供に関する以前の投稿をご覧ください。OT向けMandiantサービス、レッドチーム評価脅威インテリジェンスの詳細については、当社のWebサイトをご覧ください。

関連リソース

Webセミナー

●ブログ:

付録: FIN11レッドチーム演習で使用されたテクニック

表1: レッドチーム演習に使用したFIN11の技術一覧

TTP

Emulation

Initial Access

T1192: Spear-Phishing Link

Out of Scope

T1193: Spearphishing Attachment

Out of Scope

Execution

T1047: Windows Management Instrumentation

Yes

T1086: PowerShell

Yes

T1053: Scheduled Task

No

T1064: Scripting

Yes

T1059: Command-Line Interface

Yes

T1035: Service Execution

Yes

T1204: User Execution

Yes

Persistence

T1133: External Remote Services

Out of Scope

T1053: Scheduled Task

No

T1060: Registry Run Keys / Start Folder

No

T1015: Accessibility Features

No

T1138: Application Shimming

No

T1004: Winlogon Helper DLL

No

T1050: New Service

Yes

T1078: Valid Accounts

Yes

T1108: Redundant Access

Yes

Privilege Escalation

T1138: Application Shimming

No

T1055: Process Injection

Yes

T1015: Accessibility Features

No

T1050: New Service

Yes

T1053: Scheduled Task

No

T1078: Valid Accounts

Yes

T1086: Exploitation for Privilege Escalation

Yes

Defensive Evasion

T1055: Process Injection

Yes

T1045: Software Packing

Yes

T1107: File Deletion

Yes

T1064: Scripting

Yes

T1116: Code Signing

Yes

T1112: Modify Registry

No

T1070: Indicator Removal on Host

Yes

T1027: Obfuscated Files or Information

Yes

T1202: Indirect Command Execution

Yes

T1090: Connection Proxy

Yes

T1078: Valid Accounts

Yes

T1140: Deobfuscate/Decode Files or Information

Yes

T1108: Redundant Access

Yes

Credential Access

T1003: Credential Dumping

Yes

T1558: Kerberoasting

Yes

T1003.006: DCSync

No

Discovery

T1082: System Information Discovery

Yes

T1057: Process Discovery

Yes

T1063: Security Software Discovery

Yes

Lateral Movement

T1021: Remote Services

Yes

T1076: Remote Desktop Protocol

Yes

T1105: Remote File Copy

Yes

Collection

T1125: Video Capture

No

T1113: Screen Capture

No

T1119: Automated Collection

Yes

T1005: Data from Local System

Yes

Command and Control

T1090: Connection Proxy

Yes

T1071: Standard Application Layer Protocol

Yes

T1094: Custom C2 Protocol

No

T1105: Remote File Copy

Yes

T1032: Standard Cryptographic Protocol

Yes

T1043: Commonly Used Port

Yes

T1065: Uncommonly Used Port

No

T1219: Remote Access Tools

Yes

Exfiltration

T1002: Data Compressed

Out of Scope

T1022: Data Encrypted

Out of Scope

T1041: Exfiltration Over C2 Channel

Out of Scope

T1048: Exfiltration Over Alternative Protocol

Out of Scope

Impact

T1486: Data Encrypted for Impact

Out of Scope

T1529: System Shutdown/Reboot

Out of Scope

T1485: Data Destruction

Out of Scope

T1488: Disk Content Wipe

Out of Scope

T1489: Service Stop

Out of Scope

 

本ブログは、2022726日に公開されたブログ「Mandiant Red Team Emulates FIN11 Tactics To Control Operational Technology Servers」の日本語抄訳版です。