Insiktレポート

Adversary Infrastructure Report 2020: A Defender’s View

投稿: 2021年1月7日
作成者 : Insikt Group®

insikt-group-logo-updated-3.png

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

_Recorded FutureのInsikt Group®は、2020年を通じて、プロアクティブなスキャン手法を使用して特定された悪意のあるコマンド&コントロール(C2)インフラストラクチャの調査を実施しました。 すべてのデータは、Recorded Future® Platformから提供されました。 本レポートのデータは2020年11月15日時点のものです。 _

Executive Summary

Recorded Futureは、多数のエクスプロイト後のツールキット、カスタムマルウェアフレームワーク、オープンソースのリモートアクセストロイの木馬のための新しい悪意のあるインフラストラクチャの作成と変更を追跡します。 この取り組みは、Insikt Groupがオープンソースのリモートアクセス型トロイの木馬(RAT)の展開を特定するための方法論を作成した 2017年から続いています。 Recorded Futureは、2020年に80以上の家族で10,000を超える独自のコマンドアンドコントロールサーバーを収集しました。

主な調査結果

  • 検出されたサーバーの55%以上(5,740台のサーバー)は、オープンソースではまったく参照されていませんでした。彼らは、独自のRecorded Futureコマンド&コントロールサーバーのリストでのみ特定されました。
  • 平均して、コマンド&コントロールサーバーの寿命(つまり、サーバーが悪意のあるインフラストラクチャをホストした時間)は54.8日でした。
  • 可能な場合、検出が 2020 年に IP アドレスの最初のイベントであった場合、リード タイムは計算されました。 リードタイムは、C2サーバーが作成されてから、他のソースで報告または検出されるまでの時間(日数)です。 これにより、Recorded Future コマンド&コントロールリストでの最初の目撃とその後の別のソースでの目撃を比較することにより、リードタイムが生成された924台のサーバーが特定されました。 私たちの検出では、オープンソースでIPアドレスが見つかるまでに平均61日のリードタイムがありました。
  • Recorded Futureが観測したC2の33%は米国でホストされており、その多くは評判の良いプロバイダーでホストされているため、「疑わしい」ホスティングプロバイダーのみを監視することは盲点を残すことができます。
  • インフラストラクチャ上に最も多くのコマンドアンドコントロールサーバーを備えたホスティングプロバイダーは、Amazon、Digital Ocean、Choopaなど、すべて米国に拠点を置いていました。
  • 攻撃的なセキュリティツールの検出は、カスタムインプラントの検出と同じくらい重要であり、APTグループのエリートオペレーター、人間が操作するランサムウェアアクター、および一般的な犯罪者は、これらのツールを使用して、レッドチームと同じくらいコストを削減します。 検出の40%以上はオープンソースのツールでした。

背景

悪意のあるサーバーを特定するためのリードタイムは、脅威を中和するための積極的な手段になる可能性があります。 脅威アクターがサーバーを使用する前に、侵害または正当な購入によってサーバーを取得する必要があります。 次に、ソフトウェアをインストールし、構成を調整し、ファイルをサーバーに追加する必要があります。 攻撃者は、パネルログイン、SSH、またはRDPプロトコルを介してアクセスし、マルウェアコントローラをポートに公開して、被害者からデータを転送し、感染に対するコマンドを管理する必要があります。 そうして初めて、サーバーを悪意のある目的に使用することができます。

ただし、サーバーの公開、構成、およびアクセスでは、敵は指紋を残します。サーバーに展開されたソフトウェアで、ログインパネルを介して、SSL登録パターンを介して行われることもあります。 これにより、フィッシングメールが送信されたり、インプラントがコンパイルされたりする前に、検出の機会が生まれます。

同様に、このようなコレクションは、敵対者について多くのことを明らかにすることができます。 作成されたコマンド&コントロール(C2)サーバーの数を確認することで、アクターのキャンペーンの幅を定量化するのに役立ちます。 このようなデータを、これらのファミリーに関連する侵入の報告と比較することで、捕捉された侵入の数と、パブリックドメインで不明なままのイベントの数を特定できます。 最後に、パブリックドメインでは利用できない新しい指標とインテリジェンスを提供できます。

脅威分析

最も一般的に観察されたファミリーは、オープンソースまたは市販のツールによって支配されていました。 変更されていないCobalt Strikeデプロイメント(事前設定されたTLS証明書、Team Server管理ポートまたは明らかなHTTPヘッダー)の検出は、特定されたC2サーバー全体の13.5%を占めていました。MetasploitとPupyRATは、Recorded Futureによって特定された他のトップオープンソースのコマンドアンドコントロールサーバーを代表しています。

2020-adversary-infrastructure-report-1-1.jpg

_**図 1**: コマンド&コントロール インフラストラクチャ別の上位検出されたマルウェア ファミリ (これらの数値には、分析時点でまだ稼働していた既存のサーバーが含まれ、2020 年に新しく作成されたサーバーを表していません)。

観測されたC2サーバーの数に基づく最も一般的な攻撃的セキュリティツール(OST)のトップ10には、新旧のファミリーが含まれていました。 特に、Recorded Futureは、 一般的な検出 メカニズムの外部にある393台のCobalt Strikeサーバーを観測しました。これらの検出は、Cobalt Strikeの総使用量の一部に過ぎないと評価しています。 PWCBlackberry は、ペイロードが観測されたCobalt Strikeの展開の大部分が、市販のツールの クラック版または試用版 を使用していたことを発見しました。

2020-adversary-infrastructure-report-2-1.jpg

_**図2**:Recorded Futureが追跡したオープンソースのマルウェアファミリーの例(これらの数値には、分析時点でまだ稼働していた既存のサーバーが含まれ、2020年に新しく作成されたサーバーを表していません)。

Recorded Futureが検出したOSTのほぼすべてが、APTまたはハイエンドの金融関係者と関連しています。 これらのツールへのアクセスと使用の容易さは、潜在的な帰属の曖昧さと相まって、不正な侵入者やレッドチームにとって魅力的です。 これは、ランサムウェアの攻撃者によるこれらのフレームワークの採用に加えて、それらの検出を優先事項にしています。

最も多いホスト(C2)

Recorded Future C2 data allowed us to identify the most popular hosting providers for C2 servers. We observed the creation of C2 infrastructure on 576 hosting providers, representing only a small percentage of the total AS operators, which exceeds 60,000 providers.

最も使用されているASNは、間違いなくプロバイダーの規模に関連していますが、必ずしもそれらが万全のホスティングプロバイダーであるか、敵対者の行動に加担していることを意味するわけではありません。 最も使用されているツールはデュアルユースと見なすことができ、より評判の良いAS範囲でこれらのサーバーのボリュームを増やします。

米国外で事業を展開している Amazon.com, Inc.は、Recorded Futureが観測したASNの中で最も多くのC2をホストしました。 これらのサーバーは、471台の個別のコマンド&コントロールサーバー(約3.8%)を占めています。 Amazon.com で最も一般的に観察される家族、 Inc.はCobalt Strikeであり、167のサーバーが確認されていました。 次に大きいのはデジタルオーシャンで、これも米国外で事業を展開していました。

他のトップホスティングプロバイダーを占めている米国のサーバーは、以下で見ることができます。 これらのプロバイダーにCobalt StrikeおよびMetasploitコントローラーがデプロイされたことは、不正行為や過失によるホスティングを示すものではなく、クラウドインフラストラクチャでこれらのツールを使用する認定レッドチームによるものである可能性が高くなります。

2020-adversary-infrastructure-report-3-1.jpg

_**図3**:2020年に最も多くのコマンド&コントロールサーバーをホストしたホスティングプロバイダー。

OST全体で使用される最も一般的なASNは、レッドチームの演習や不正な侵入に容易に利用できるため、予測可能性が低くなります。

2020-adversary-infrastructure-report-4-1.jpg

_**Figure 4**: Top hosting providers for each OST._ Publicly available tooling published as remote access trojans (RATs) also had limited predictability of its favored hosting providers.

2020-adversary-infrastructure-report-5-1.jpg

_**図5**:各RAT._の上位ホスティングプロバイダー

推奨 事項

  • プロアクティブな検出は、防御側に利点をもたらし、追加のファイルベースおよびネットワークベースの検出を確実に実施するための準備時間を与えます。
  • Recorded Future クライアントは、Recorded Future Command and Control List にある IP アドレスを検出することで、感染を迅速に特定できます。
  • Recorded Futureのユーザーは、ソースのRecorded Future Command and Control Listを使用して、任意のマルウェアエンティティにクエリを実行し、同様の調査を自分で行うことができます。
  • 一般的なオープンソースツールでは、SIEMの疑わしい動作の相関検索、疑わしいファイルコンテンツのYARA、疑わしいネットワークトラフィックや悪意のあるネットワークトラフィックのSNORTなど、詳細な検出を実現します。
  • 各ファミリーの検出は、大きく宣伝されるファミリーだけでなく、オープンソースツールの使用が増加していることを示しています。 これらの他のファミリは、エンタープライズ環境でのネットワークおよびホストベースの検出に優先する必要があります。
  • OctopusC2、Mythic、Covenant など、あまり知られていないオープンソース ツールが APT や犯罪者によって採用されていることは、脅威インテリジェンスの実践者がこれらのツールの使用を追跡し評価する必要性を浮き彫りにしています。

今後の展望

来年にかけて、Recorded Futureは、最近人気を博しているオープンソースツール、特にCovenant、Octopus C2、Sliver、Mythicのさらなる採用を期待しています。 これらのツールのうち3つはグラフィカルユーザーインターフェイスを備えているため、経験の浅いオペレーターでも使いやすく、4つすべてにその使用法に関する詳細なドキュメントがあります。これらのツールは、リリース後すぐに採用され、レッドチームと権限のないアクターの両方によって使用されました。 これらのオープンソースフレームワークによる利益が期待されているにもかかわらず、Cobalt Strikeは、そのユビキタス性と有用性により、私たちの検出のトップを維持する可能性が非常に高いです。 フレームワークのソースコードが リークされたため、脅威アクターのあらゆる側面でCobalt Strikeがさらに採用されることが予想されます。

また、検出手法を詳述したさまざまな出版物にもかかわらず、スパイ活動指向の攻撃者は、サーバー側のコンポーネントを変更する可能性が低いと予想しています。 国家が支援するスパイ活動に従事する脅威アクターは、目標を達成するために必要なあらゆるツールを使用します。 標的となった組織が開示されたツールからネットワークを防御できなければ、脅威アクターは新しい機能を追求する動機がほとんどなくなります。 しかし、カスタムツールを使用する金銭的な動機を持つ攻撃者は、BazarBackdoorやTrickBotの攻撃者のようにコンポーネントを再構築するか、まったく新しいツールを導入する(FIN7がそうすることが知られている)ことで検出に対応する可能性が非常に高いです。

これらの要因により、これらのマルウェアファミリに対するセキュリティ制御と緩和策を実装することが重要です。 コマンド アンド コントロール サーバーをプロアクティブに検出することはインシデントの防止に役立ちますが、被害者のホスト、境界、およびネットワーク上の侵入アクティビティを検出するには、多層防御アプローチが推奨されます。

関連ニュース&研究