Adversary Infrastructure Report 2020: A Defender’s View

Adversary Infrastructure Report 2020: A Defender’s View

insikt-group-logo-updated-3.png
ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

Recorded FutureのInsikt Group®は、2020年を通じてプロアクティブなスキャン方法を使用して特定された悪意のあるコマンド&コントロール(C2)インフラストラクチャの調査を実施しました。すべてのデータは、Recorded Future®プラットフォームから取得されました。本レポートのデータは2020年11月15日現在のものです。

Executive Summary

Recorded Futureは、多数のエクスプロイト後のツールキット、カスタムマルウェアフレームワーク、オープンソースのリモートアクセストロイの木馬のための新しい悪意のあるインフラストラクチャの作成と変更を追跡します。 この取り組みは、Insikt Groupがオープンソースのリモートアクセス型トロイの木馬(RAT)の展開を特定するための方法論を作成した 2017年から続いています。 Recorded Futureは、2020年に80以上の家族で10,000を超える独自のコマンドアンドコントロールサーバーを収集しました。

主な調査結果

背景

悪意のあるサーバーを特定するためのリードタイムは、脅威を中和するための積極的な手段になる可能性があります。 脅威アクターがサーバーを使用する前に、侵害または正当な購入によってサーバーを取得する必要があります。 次に、ソフトウェアをインストールし、構成を調整し、ファイルをサーバーに追加する必要があります。 攻撃者は、パネルログイン、SSH、またはRDPプロトコルを介してアクセスし、マルウェアコントローラをポートに公開して、被害者からデータを転送し、感染に対するコマンドを管理する必要があります。 そうして初めて、サーバーを悪意のある目的に使用することができます。

ただし、サーバーの公開、構成、およびアクセスでは、敵は指紋を残します。サーバーに展開されたソフトウェアで、ログインパネルを介して、SSL登録パターンを介して行われることもあります。 これにより、フィッシングメールが送信されたり、インプラントがコンパイルされたりする前に、検出の機会が生まれます。

同様に、このようなコレクションは、敵対者について多くのことを明らかにすることができます。 作成されたコマンド&コントロール(C2)サーバーの数を確認することで、アクターのキャンペーンの幅を定量化するのに役立ちます。 このようなデータを、これらのファミリーに関連する侵入の報告と比較することで、捕捉された侵入の数と、パブリックドメインで不明なままのイベントの数を特定できます。 最後に、パブリックドメインでは利用できない新しい指標とインテリジェンスを提供できます。

脅威分析

最も一般的に観察されたファミリーは、オープン情報源または市販のツールによって支配されていました。 変更 されていない Cobalt Strike デプロイ (事前設定された TLS 証明書、Team Server 管理 ポート、または Telltale HTTP ヘッダー) の検知は、特定された C2 サーバー全体の 13.5% を占めました。 Metasploit と PupyRAT は、 Recorded Futureによって特定された他のトップのオープン情報源コマンドおよびコントロール サーバーを表しています。

2020-adversary-infrastructure-report-1-1.jpg

_**図 1**: コマンド&コントロール インフラストラクチャ別の上位検出されたマルウェア ファミリ (これらの数値には、分析時点でまだ稼働していた既存のサーバーが含まれ、2020 年に新しく作成されたサーバーを表していません)。

観察されたC2サーバーの数に基づく最も一般的な攻撃型セキュリティツール(OST)のトップ10には、新旧のファミリーが含まれていました。特に、 Recorded Future は 、一般的な検知 メカニズムの外にある393台のCobalt Strikeサーバーを観察しました。これらの検知は、コバルトストライクの総使用量の一部にすぎないと評価しています。 PWCBlackberry は、ペイロードが観察されたCobalt Strikeの展開の大部分が、市販のツールの クラックバージョンまたは試用版 を使用していたことを発見しました。

2020-adversary-infrastructure-report-2-1.jpg

_**図2**:Recorded Futureが追跡したオープンソースのマルウェアファミリーの例(これらの数値には、分析時点でまだ稼働していた既存のサーバーが含まれ、2020年に新しく作成されたサーバーを表していません)。

Recorded Futureが検出したOSTのほぼすべてが、APTまたはハイエンドの金融関係者と関連しています。 これらのツールへのアクセスと使用の容易さは、潜在的な帰属の曖昧さと相まって、不正な侵入者やレッドチームにとって魅力的です。 これは、ランサムウェアの攻撃者によるこれらのフレームワークの採用に加えて、それらの検出を優先事項にしています。

最も多いホスト(C2)

Recorded Future C2 データにより、C2 サーバーで最も人気のあるホスティング プロバイダーを特定することができました。 私たちは、576のホスティングプロバイダーでC2インフラストラクチャを構築していることを観察 しましたが、これは60,000を超えるASオペレーター全体のごく一部にすぎません。

最も使用されているASNは、間違いなくプロバイダーの規模に関連していますが、必ずしもそれらが万全のホスティングプロバイダーであるか、敵対者の行動に加担していることを意味するわけではありません。 最も使用されているツールはデュアルユースと見なすことができ、より評判の良いAS範囲でこれらのサーバーのボリュームを増やします。

米国外で事業を展開している Amazon.com, Inc.は、Recorded Futureが観測したASNの中で最も多くのC2をホストしました。 これらのサーバーは、471台の個別のコマンド&コントロールサーバー(約3.8%)を占めています。 Amazon.com で最も一般的に観察される家族、 Inc.はCobalt Strikeであり、167のサーバーが確認されていました。 次に大きいのはデジタルオーシャンで、これも米国外で事業を展開していました。

他のトップホスティングプロバイダーを占めている米国のサーバーは、以下で見ることができます。 これらのプロバイダーにCobalt StrikeおよびMetasploitコントローラーがデプロイされたことは、不正行為や過失によるホスティングを示すものではなく、クラウドインフラストラクチャでこれらのツールを使用する認定レッドチームによるものである可能性が高くなります。

2020-adversary-infrastructure-report-3-1.jpg

_**図3**:2020年に最も多くのコマンド&コントロールサーバーをホストしたホスティングプロバイダー。

OST全体で使用される最も一般的なASNは、レッドチームの演習や不正な侵入に容易に利用できるため、予測可能性が低くなります。

2020-adversary-infrastructure-report-4-1.jpg

_**図4**:各OST._の上位ホスティングプロバイダー リモートアクセストロイの木馬(RAT)として公開されている公開されているツールも、好まれるホスティングプロバイダーの予測可能性が限られていました。

2020-adversary-infrastructure-report-5-1.jpg

_**図5**:各RAT._の上位ホスティングプロバイダー

推奨 事項

今後の展望

来年、 Recorded Future は、最近人気が高まっているオープン 情報源 ツール、特に Covenant、Octopus C2、Sliver、Mythic。 これらのツールのうち 3 つはグラフィカル ユーザー インターフェイスを備えており、経験の浅いオペレーターでも使いやすく4 つすべてにその使用法に関する詳細なドキュメントがあります。これらのツールはリリース後急速に採用され、レッドチームと無許可の攻撃者の両方によって使用されました。これらのオープンな情報源フレームワークによって期待される利益にもかかわらず、Cobalt Strikeは、その遍在性と実用性により、私たちのトップでトップを維持する可能性が非常に高いです 検知。 情報源フレームワークのコードが リークされたため、脅威アクターのあらゆる側面でさらにCobalt Strikeが採用されることが予想されます。

また、検出手法を詳述したさまざまな出版物にもかかわらず、スパイ活動指向の攻撃者は、サーバー側のコンポーネントを変更する可能性が低いと予想しています。 国家が支援するスパイ活動に従事する脅威アクターは、目標を達成するために必要なあらゆるツールを使用します。 標的となった組織が開示されたツールからネットワークを防御できなければ、脅威アクターは新しい機能を追求する動機がほとんどなくなります。 しかし、カスタムツールを使用する金銭的な動機を持つ攻撃者は、BazarBackdoorやTrickBotの攻撃者のようにコンポーネントを再構築するか、まったく新しいツールを導入する(FIN7がそうすることが知られている)ことで検出に対応する可能性が非常に高いです。

これらの要因により、これらのマルウェアファミリに対するセキュリティ制御と緩和策を実装することが重要です。 コマンド アンド コントロール サーバーをプロアクティブに検出することはインシデントの防止に役立ちますが、被害者のホスト、境界、およびネットワーク上の侵入アクティビティを検出するには、多層防御アプローチが推奨されます。