Recorded FutureのInsikt Group®は、2020年を通じてプロアクティブなスキャン方法を使用して特定された悪意のあるコマンド＆コントロール（C2）インフラストラクチャの調査を実施しました。すべてのデータは、Recorded Future®プラットフォームから取得されました。本レポートのデータは2020年11月15日現在のものです。

Executive Summary

Recorded Futureは、多数のエクスプロイト後のツールキット、カスタムマルウェアフレームワーク、オープンソースのリモートアクセストロイの木馬のための新しい悪意のあるインフラストラクチャの作成と変更を追跡します。 この取り組みは、Insikt Groupがオープンソースのリモートアクセス型トロイの木馬(RAT)の展開を特定するための方法論を作成した 2017年から続いています。 Recorded Futureは、2020年に80以上の家族で10,000を超える独自のコマンドアンドコントロールサーバーを収集しました。

主な調査結果

• 検出されたサーバーの55%以上(5,740台のサーバー)は、オープンソースではまったく参照されていませんでした。彼らは、独自のRecorded Futureコマンド&コントロールサーバーのリストでのみ特定されました。
• 平均して、コマンド&コントロールサーバーの寿命(つまり、サーバーが悪意のあるインフラストラクチャをホストした時間)は54.8日でした。
• 可能な場合、検出が 2020 年に IP アドレスの最初のイベントであった場合、リード タイムは計算されました。 リードタイムは、C2サーバーが作成されてから、他のソースで報告または検出されるまでの時間(日数)です。 これにより、Recorded Future コマンド&コントロールリストでの最初の目撃とその後の別のソースでの目撃を比較することにより、リードタイムが生成された924台のサーバーが特定されました。 私たちの検出では、オープンソースでIPアドレスが見つかるまでに平均61日のリードタイムがありました。
• Recorded Futureが観測したC2の33%は米国でホストされており、その多くは評判の良いプロバイダーでホストされているため、「疑わしい」ホスティングプロバイダーのみを監視することは盲点を残すことができます。
• インフラストラクチャ上に最も多くのコマンドアンドコントロールサーバーを備えたホスティングプロバイダーは、Amazon、Digital Ocean、Choopaなど、すべて米国に拠点を置いていました。
• 攻撃的なセキュリティツールの検出は、カスタムインプラントの検出と同じくらい重要であり、APTグループのエリートオペレーター、人間が操作するランサムウェアアクター、および一般的な犯罪者は、これらのツールを使用して、レッドチームと同じくらいコストを削減します。 検出の40%以上はオープンソースのツールでした。

背景

悪意のあるサーバーを特定するためのリードタイムは、脅威を中和するための積極的な手段になる可能性があります。 脅威アクターがサーバーを使用する前に、侵害または正当な購入によってサーバーを取得する必要があります。 次に、ソフトウェアをインストールし、構成を調整し、ファイルをサーバーに追加する必要があります。 攻撃者は、パネルログイン、SSH、またはRDPプロトコルを介してアクセスし、マルウェアコントローラをポートに公開して、被害者からデータを転送し、感染に対するコマンドを管理する必要があります。 そうして初めて、サーバーを悪意のある目的に使用することができます。

ただし、サーバーの公開、構成、およびアクセスでは、敵は指紋を残します。サーバーに展開されたソフトウェアで、ログインパネルを介して、SSL登録パターンを介して行われることもあります。 これにより、フィッシングメールが送信されたり、インプラントがコンパイルされたりする前に、検出の機会が生まれます。

同様に、このようなコレクションは、敵対者について多くのことを明らかにすることができます。 作成されたコマンド&コントロール(C2)サーバーの数を確認することで、アクターのキャンペーンの幅を定量化するのに役立ちます。 このようなデータを、これらのファミリーに関連する侵入の報告と比較することで、捕捉された侵入の数と、パブリックドメインで不明なままのイベントの数を特定できます。 最後に、パブリックドメインでは利用できない新しい指標とインテリジェンスを提供できます。

脅威分析

最も一般的に観察されたファミリーは、オープン情報源または市販のツールによって支配されていました。 変更 されていない Cobalt Strike デプロイ (事前設定された TLS 証明書、Team Server 管理 ポート、または Telltale HTTP ヘッダー) の検知は、特定された C2 サーバー全体の 13.5% を占めました。 Metasploit と PupyRAT は、 Recorded Futureによって特定された他のトップのオープン情報源コマンドおよびコントロール サーバーを表しています。

_**図 1**: コマンド&コントロール インフラストラクチャ別の上位検出されたマルウェア ファミリ (これらの数値には、分析時点でまだ稼働していた既存のサーバーが含まれ、2020 年に新しく作成されたサーバーを表していません)。

観察されたC2サーバーの数に基づく最も一般的な攻撃型セキュリティツール(OST)のトップ10には、新旧のファミリーが含まれていました。特に、 Recorded Future は 、一般的な検知 メカニズムの外にある393台のCobalt Strikeサーバーを観察しました。これらの検知は、コバルトストライクの総使用量の一部にすぎないと評価しています。 PWC と Blackberry は、ペイロードが観察されたCobalt Strikeの展開の大部分が、市販のツールの クラックバージョンまたは試用版 を使用していたことを発見しました。

_**図2**:Recorded Futureが追跡したオープンソースのマルウェアファミリーの例(これらの数値には、分析時点でまだ稼働していた既存のサーバーが含まれ、2020年に新しく作成されたサーバーを表していません)。

Recorded Futureが検出したOSTのほぼすべてが、APTまたはハイエンドの金融関係者と関連しています。 これらのツールへのアクセスと使用の容易さは、潜在的な帰属の曖昧さと相まって、不正な侵入者やレッドチームにとって魅力的です。 これは、ランサムウェアの攻撃者によるこれらのフレームワークの採用に加えて、それらの検出を優先事項にしています。

最も多いホスト(C2)

Recorded Future C2 データにより、C2 サーバーで最も人気のあるホスティング プロバイダーを特定することができました。 私たちは、576のホスティングプロバイダーでC2インフラストラクチャを構築していることを観察 しましたが、これは60,000を超えるASオペレーター全体のごく一部にすぎません。

最も使用されているASNは、間違いなくプロバイダーの規模に関連していますが、必ずしもそれらが万全のホスティングプロバイダーであるか、敵対者の行動に加担していることを意味するわけではありません。 最も使用されているツールはデュアルユースと見なすことができ、より評判の良いAS範囲でこれらのサーバーのボリュームを増やします。

米国外で事業を展開している Amazon.com, Inc.は、Recorded Futureが観測したASNの中で最も多くのC2をホストしました。 これらのサーバーは、471台の個別のコマンド&コントロールサーバー(約3.8%)を占めています。 Amazon.com で最も一般的に観察される家族、 Inc.はCobalt Strikeであり、167のサーバーが確認されていました。 次に大きいのはデジタルオーシャンで、これも米国外で事業を展開していました。

他のトップホスティングプロバイダーを占めている米国のサーバーは、以下で見ることができます。 これらのプロバイダーにCobalt StrikeおよびMetasploitコントローラーがデプロイされたことは、不正行為や過失によるホスティングを示すものではなく、クラウドインフラストラクチャでこれらのツールを使用する認定レッドチームによるものである可能性が高くなります。

_**図3**:2020年に最も多くのコマンド&コントロールサーバーをホストしたホスティングプロバイダー。

OST全体で使用される最も一般的なASNは、レッドチームの演習や不正な侵入に容易に利用できるため、予測可能性が低くなります。

_**図4**:各OST._の上位ホスティングプロバイダー リモートアクセストロイの木馬(RAT)として公開されている公開されているツールも、好まれるホスティングプロバイダーの予測可能性が限られていました。

_**図5**:各RAT._の上位ホスティングプロバイダー

推奨 事項

• プロアクティブな検出は、防御側に利点をもたらし、追加のファイルベースおよびネットワークベースの検出を確実に実施するための準備時間を与えます。
• Recorded Future クライアントは、Recorded Future Command and Control List にある IP アドレスを検出することで、感染を迅速に特定できます。
• Recorded Futureのユーザーは、ソースのRecorded Future Command and Control Listを使用して、任意のマルウェアエンティティにクエリを実行し、同様の調査を自分で行うことができます。
• 一般的なオープンソースツールでは、SIEMの疑わしい動作の相関検索、疑わしいファイルコンテンツのYARA、疑わしいネットワークトラフィックや悪意のあるネットワークトラフィックのSNORTなど、詳細な検出を実現します。
• 各ファミリーの検出は、大きく宣伝されるファミリーだけでなく、オープンソースツールの使用が増加していることを示しています。 これらの他のファミリは、エンタープライズ環境でのネットワークおよびホストベースの検出に優先する必要があります。
• OctopusC2、Mythic、Covenant など、あまり知られていないオープンソース ツールが APT や犯罪者によって採用されていることは、脅威インテリジェンスの実践者がこれらのツールの使用を追跡し評価する必要性を浮き彫りにしています。

今後の展望

来年、 Recorded Future は、最近人気が高まっているオープン 情報源 ツール、特に Covenant、Octopus C2、Sliver、Mythic。 これらのツールのうち 3 つはグラフィカル ユーザー インターフェイスを備えており、経験の浅いオペレーターでも使いやすく、4 つすべてにその使用法に関する詳細なドキュメントがあります。これらのツールはリリース後急速に採用され、レッドチームと無許可の攻撃者の両方によって使用されました。これらのオープンな情報源フレームワークによって期待される利益にもかかわらず、Cobalt Strikeは、その遍在性と実用性により、私たちのトップでトップを維持する可能性が非常に高いです 検知。 情報源フレームワークのコードが リークされたため、脅威アクターのあらゆる側面でさらにCobalt Strikeが採用されることが予想されます。

また、検出手法を詳述したさまざまな出版物にもかかわらず、スパイ活動指向の攻撃者は、サーバー側のコンポーネントを変更する可能性が低いと予想しています。 国家が支援するスパイ活動に従事する脅威アクターは、目標を達成するために必要なあらゆるツールを使用します。 標的となった組織が開示されたツールからネットワークを防御できなければ、脅威アクターは新しい機能を追求する動機がほとんどなくなります。 しかし、カスタムツールを使用する金銭的な動機を持つ攻撃者は、BazarBackdoorやTrickBotの攻撃者のようにコンポーネントを再構築するか、まったく新しいツールを導入する(FIN7がそうすることが知られている)ことで検出に対応する可能性が非常に高いです。

これらの要因により、これらのマルウェアファミリに対するセキュリティ制御と緩和策を実装することが重要です。 コマンド アンド コントロール サーバーをプロアクティブに検出することはインシデントの防止に役立ちますが、被害者のホスト、境界、およびネットワーク上の侵入アクティビティを検出するには、多層防御アプローチが推奨されます。