組織のネットワークアクセスは王様です:レポートについて何をすべきか
分析の全文をPDFでダウンロードするには、ここをクリックしてください。
Insikt Groupは、Recorded Future(R)プラットフォームを使用して、不正アクセスの収益化メカニズムに関するより深い洞察を提供し、セキュリティインテリジェンスを使用して不正アクセスに対抗するための広範なリスク軽減戦略を示しました。 このレポートは、不正アクセスとそれに対応するリスク軽減の方法論に関心のある企業にとって興味深いものです。
Executive Summary
歴史的に、 ペイ・パー・インストール (PPI)サービスは、コモディティ・ボットネット・オペレーターにとって、アンダーグラウンド・エコノミー(UE) における主要な収益化ルート でした。 ボットネットが引き続きPPIサービスに供給されている一方で、Recorded Futureのデータによると、直接販売やアンダーグラウンドフォーラムでのオークションによる収益化の機会の拡大により、不正アクセスの提供が増加していることが明らかになりました。
Insikt Groupは、Recorded Futureの分析に基づき、UEにおける直接的な不正アクセスの需要は増加し続け、日和見攻撃や標的型攻撃の拡大につながると中程度の確信度で評価しています。 Insikt Groupは、UE内のフォーラムでの販売やオークションを観察し、脅威アクターと連絡を取り合った結果、初期の不正アクセス(アンダーグラウンドフォーラムでの販売)は、主にフィッシング、認証情報の再利用、Webシェルの配置、または設定ミスや脆弱なソフトウェアの悪用によって行われると評価しています。
主な判断
ペイ・パー・インストール(PPI)サービスの広告と不正アクセスの直接販売は、2017年に3倍以上に増加し、時間の経過とともに増加し続けています。
同様に、PPIサービスや不正アクセスを宣伝するユニークなモニカの数は、2017年には3倍以上に増加し、前年比で増加しています。
不正アクセスの販売が年々増加していることから判断すると、犯罪者は、個々の販売またはオークションを通じて他の犯罪者に販売することで利益を最大化すると結論付けています。
公共機関や企業の組織は、特定の不正なネットワークアクセスの需要を満たそうとする攻撃者が増えるため、標的型攻撃や日和見攻撃が増加する可能性があります。
情報セキュリティの専門家は、フィッシング、認証情報の再利用、Webシェルの配置、既知のソフトウェアの脆弱性の悪用という、最初の不正アクセスを取得するための4つの主要なメカニズムの防止と検出に焦点を当てる必要があります。
背景
アンダーグラウンド・エコノミー(UE)とは、犯罪商品やサービスの購入、販売、取引を促進するオンライン・アクターとテクノロジーの総体です。 UEは、利益を最大化し、起訴を回避するために、絶えず革新と成熟を遂げてきました。 歴史的に、UEの大部分は盗まれた支払いカードデータの取得と収益化に重点を置いていましたが、2007年に Zeus のような多機能HTTPベースのボットネットの出現により、ペイパーインストール(PPI)として知られる人気のある家内工業が生まれました。
ペイ・パー・インストール(PPI)エコシステム。
PPIは、購入者がマルウェアのペイロードやその他の望ましくない可能性のあるアプリケーション(PUA)をインストールするために、被害者のコンピューターへの不正アクセスに対して支払う自動化されたプラットフォームに依存しています。 侵害された各コンピューターに請求される価格は、通常、被害者のコンピューターが所在する国の購入者の需要によって異なります。 PPIプラットフォーム(アフィリエイトネットワークとも呼ばれます)は、大規模な感染(ボットネットまたはエクスプロイトキット)の収益化のための自然なサードパーティのパイプです。 PPIモデルは単純ですが、PPIプラットフォームを使用すると、PPIプラットフォームの所有者の利益を増やす意図的に不正確なインストール統計により、ボットネットオペレーターにリスクが生じます。
同様に、PPIプラットフォームは、購入者が大量の侵害されたコンピューターにすばやくアクセスし、バンキング型トロイの木馬、ランサムウェア、アドウェア、スパイウェアなどの追加のペイロードをインストールするための便利なメカニズムです。 PPIモデルは、政府、企業、住宅などの被害者組織に関係なく、すべての感染/侵害を一般的な商品として扱います。 従来、価格の差別化要因は地理的なものだけでした。
犯罪者の地下にあるペイ・パー・インストール(PPI)サービスの広告。 (出典:Recorded Future)
逆に、UEの攻撃者は、特定のタイプのシステムへの不正アクセスが収益化の可能性を高める可能性があることを認識しています。 アクターは、UEフォーラムを通じて不正アクセスを直接販売(またはオークション)しているため、時間と忍耐がかかる場合がありますが、コモディティPPIサービスよりも収益性が高くなります。
収益化の可能性には大きな違いがあります。 1,000台のデバイスにマルウェアをインストールできる攻撃者は、PPIサービスが感染ごとに0.05ドルから0.20ドルを支払うことを期待できます(感染したホストの地理的な場所によって異なります)。 範囲の上限でも、毎日のPPI収益は200ドル(月額6,000ドル)です。 このモデルは、感染がどこで発生したかに関係なく、あらゆる感染症をジェネリック商品として扱います。
逆に、1つのシステムまたはネットワーク(多くの場合、有名ブランドの企業や政府機関)へのアクセスを直接販売またはオークションにかけると、収益が最大化されます。 たとえば、Fxmsp Groupは不正アクセスを多用しており、1つの組織へのアクセスに対して20,000ドルを保護することがよくあります。
特定のネットワークアクセスをより高い価格帯で販売する。 (出典:Recorded Future)
脅威分析
PPIと不正アクセス広告の増加
Recorded Futureの過去のUEデータによると、2016年以降、PPI広告と不正アクセス広告の両方で前年比で増加しています。 下のグラフは、2019 年まで続くと予想される広告の増加傾向を示しています(今年のデータは 8 月に測定されました)。 指標は、広告コンテンツで測定した場合、および一意の著者モニカーで測定した場合にも一貫しています。
アンダーグラウンドフォーラムの参照と著者に関するデータを収集するために、Insikt Groupは、Recorded Futureプラットフォーム上で「PPI」と「不正アクセス」の言及に関するクエリを作成しました。 クエリは、PPIまたはシステムへの不正アクセスの販売、および複数の言語でのさまざまな販売用語のテキスト一致を取り巻く一般的なエンティティに基づいて実施されました。 誤検知は、既存のクエリを変更することにより、データセットからカリングされました。 たとえば、カード検証値の「アクセス」に関する販売言語は、複数のクエリで一般的な誤検知でした。 したがって、クエリは、これらの参照を意図的に除外するように変更されました。
不正アクセス クエリの例。 (出典:Recorded Future)
PPI 英語クエリの例。 (出典:Recorded Future)
さらに、PPIまたは不正アクセスのいずれかに言及するアクターの数をカウントし、誤検知をできるだけ多く制限するために、Insikt Groupは複数のフォーラムで著者のモニカの自動集約を実施しました。 類似の著者名で、5文字以上(辞書に載っている一般的な単語ではない)を含み、PPIまたは不正アクセスについてのみ複数のフォーラムに投稿したものが集約されました。 これらのモニカの一部は、実際には同じアクターではないかもしれませんが、Insikt Group は、重複するアクターのモニカとコンテンツに基づいて、これらのモニカーの大部分が真陽性であると中程度の信頼性で評価しています。 さらに、偽の重複はカウントされなくなったため、データ セットは、PPI と不正アクセスの営業投稿の実際の数の潜在的な下限を表します。
犯罪アンダーグラウンドフォーラムで不正アクセスまたはPPIに言及した年ごとの著者の数。
データに基づいて、2014年1月から2019年9月までのアンダーグラウンドフォーラムで不正アクセスとPPIに言及した著者の数を抽出することができました。 PPIや不正アクセスを宣伝するユニークな名称は大幅に増加しており、2019年1月から9月までの著者数は、同様の9か月間の過去の著者数と同程度です。
犯罪アンダーグラウンドフォーラムでの不正アクセスまたはPPIを参照している年ごとの投稿の数。
同様に、Insikt Groupは、2014年1月から2019年9月にかけて、不正アクセスとPPIに関する投稿をアンダーグラウンドフォーラムに集めました。 また、PPI広告や不正アクセス広告の数が着実に増加していることもデータから明らかです。
重要なグローバルアクセス
Insikt Groupは、フォーラムで宣伝された不正アクセスのRecorded Futureコレクションに基づいて、ターゲティングが主に公共部門や民間部門の企業に焦点を当てており、世界中の組織に影響を与えていると中程度の信頼性で評価しています。 2016年12月にロシア語を話す犯罪者が 米国選挙支援委員会(EAC) に不正アクセスを売ったというInsiktの前回の報道以来、Insikt Groupは犯罪者の地下での不正アクセスの販売を定期的に監視してきました。 以下は、広告されているアクセスのレベルと組織に悪影響を与える可能性に基づいて、注目すべき販売またはオークションの選択です。 ほとんどのアクターが宣伝しているアクセスは、通常、曖昧で、被害者組織の特定の名前は含まれていません。
以下のセールスポストの分析、脅威アクターの関与、および過去4年間にInsikt Groupが実施した不正アクセスオークションの分析により、Insikt Groupは、次の4つの攻撃ベクトルが、重要度の高い順不同で、最初の不正アクセスを達成するために使用された主要な方法であることを中程度の信頼性で評価できます。
フィッシング
資格情報の再利用
ウェブシェルの配置
既知のソフトウェア脆弱性の悪用
| 日付 | 俳優 | アクセス |
|---|---|---|
| 2016年12月号 | ラスプーチン | 米国選挙支援委員会(EAC) |
| 2017年10月 | A_violent_god | 200万人の読者を持つ米国のニュースサイト |
| 2017年12月号 | キンドアンカインド | 540の米国メディア企業のWebシェルとEUメディアリソースの15の管理パネル($ 22K) |
| 2018年5月号 | マクロード | モスクワ警察の交通データベース($ 25K) |
| 2018年12月号 | ジフス | 300イタリアのeコマースWebシェル($ 3K) |
| 2019年1月 | タングステン | アジアのeコマースウェブサイト($ 10K) |
| 2019年3月号 | asadi64さん | 米国の大手石油会社へのリモート デスクトップ プロトコル (RDP) アクセス |
| 2019年3月号 | ビッグペティア (fxmsp) | アジアの自動車メーカー |
| 2019年4月号 | ベストル | VNCは、米国の9つのホテルにある22台のコンピューターにアクセスできます |
| 2019年4月号 | アーアッコッカ | イタリアの銀行の内部ローンコンピューター($ 2K) |
| 2019年5月 | マルコポロ | 武器工場へのウェブシェルアクセス |
| 2019年6月号 | トルニガー | イタリアの自治体への管理者権限を持つ RDP アクセス |
| 2019年6月号 | スティルス | ニュージーランドの投資会社の顧客関係管理(CRM)システム($ 10K) |
| 2019年6月号 | AD0 | 国際的なオンライン小売業者の企業ネットワーク($ 25K) |
| 2019年6月号 | アーアッコッカ | 不特定の電力会社のサーバーへのアクセスを販売(600ドル) |
| 2019年8月 | シェリフ | オーストラリアの大手商業建設会社のデータベースへの管理者アクセス($ 12K) |
| 2019年8月 | B.募集 | ルイジアナ州の 20 の診療所にある 19,000 台の PC を含むネットワークのドメイン管理者権限 |
| 2019年8月 | bc.monster | 米国エネルギー企業のネットワーク |
| 2019年8月 | ジョンシャーロック、インフォシェル | 多国籍ヘルスケア企業のネットワークへのSSH(セキュアシェル)アクセス |
| 2019年8月 | -TMT- | ブラジルのハイパーマーケットチェーンのネットワークへの管理アクセス |
| 2019年8月 | ヴィンセントベガ | 中国の大手金融会社(5BTC) |
| 2019年9月 | カタバシャ | ニュージーランドの銃器と弾薬アクセサリーの電子商取引サイト |
| 2019年9月 | アントニー・モリコン、(Fxmsp) | ドイツの装飾照明会社の企業ネットワーク(10のドメインコントローラーを含む) |
| 2019年9月 | ユベントス1 | アジアの航空会社の管理Webパネル |
| 2019年9月 | ガブリー1 | 米国の石油およびガス探査会社のネットワーク(1,000台以上のコンピューターを含む)($ 24K) |
| 2019年9月 | 0x4C37 | トラフィックの多いウイルス対策Webサイト($ 8K) |
不正アクセスの選定、オークション、販売 (2016–2019)
プロファイリング 2 不正アクセス販売者: VincentVega と fxmsp
次の 2 つのケーススタディは、ターゲット型アクセスと日和見型アクセスの両方の収益化の可能性を示しています。
ヴィンセントベガ
VincentVegaは、ロシア語で有名な犯罪アンダーグラウンドフォーラムのメンバーであり、日和見的なアクセスを利用するアクターの典型的な例です。 この攻撃者は、インターネットに接続されたシステムに対して標的を絞らない方法でRDPをブルートフォース攻撃することで、中国最大の投資銀行およびセキュリティ企業の1つ(2015年の収益は376億人民元)にアクセスしました。
VincentVegaは、中国企業の内部ネットワークへのアクセスを広告で公開しています。 (出典:Recorded Future)
2019年8月、VincentVegaは、5ビットコインで中国の大企業のローカルネットワークへの外部リモートアクセスを宣伝しました。 この投稿では、このアクターは、RDPアクセス権を持つIPをブルートフォース攻撃してネットワークにアクセスしたと主張しています。 彼らは、ローカルネットワークには20,000の動作するローカルIPが含まれており、そのうち約865がRDPアクセス権を持ち、被害者ホストのうち500が管理者アクセス権も持っていると主張しました。 彼らの投稿では、アクセスが価値があることは理解しつつも、それを収益化する方法を知らなかったため、アクセスを販売していると主張しました。
これらの未知数が認められているため、Insikt Groupは、VincentVegaがパスワードで保護されていないRDPサービスを持つIPを標的にしない試みで、同社に偶然出くわしたと高い自信を持って評価しています。 しかし、企業のネットワーク自体に入ると、攻撃者は、ネットワークの規模と機能に基づいて、ネットワーク自体へのアクセスを収益化および販売する方法が複数あることに気付きました。
fxmspグループ
一方、Fxmsp Groupは、組織が大規模な不正侵入を行い、多額の利益を上げる方法を明確に示しています。 このグループは、ロシア語と英語を話すサイバー犯罪集団で、金融、電子商取引、産業組織、政府機関など、世界中のさまざまな被害者を標的にして不正なネットワークアクセスを販売しています。 Fxmsp Groupは、他のサイバー犯罪者に転売する目的で、ネットワークを大量に侵害することがよくあります。 2017年以降、Fxmsp Groupは世界中の企業や政府のネットワークを侵害し、その後、数百ドルから10万ドル以上の金額で不正アクセスを販売してきました。
Fxmsp GroupのNikolayによる投稿は、さまざまな組織に属するネットワークへのアクセスを販売しています。
Fxmsp Groupは、チームメンバー間の忍耐力と調整力を発揮します。 「Fxmsp」というあだ名を使用している俳優はネットワークを侵害した罪で起訴され、「Lampeduza」、「Antony Moricone」、「Nikolay」、「BigPetya」などのあだ名を使用している俳優は、不正アクセスの収益化を最大化する責任があります。
私たちは、Fxmsp Groupが、より多くのバイヤーのプールに対して販売スレッドまたはオークションを準公開する前に、プライベートな連絡先のネットワークを通じて不正アクセスを収益化しようとしていると中程度の信頼性で評価しています。 これは、Fxmsp Groupが開始するフォーラムオークションは、Ffxmsp Groupがいつでも収益化しようとしている利用可能な不正アクセスのほんの一部にすぎないことを示唆しています。
今後の展望
私たちは、不正アクセスや被害者価値と認識される直接販売の量は、当面の間、増加し続けると確信しています。 マルウェアに特化したPPIアフィリエイトサービスは、UE内で犯罪的な価値を提供し続けますが、マルウェア感染は、日和見的で標的を絞った不正アクセスよりもPPIシステムでの収益性が低くなります。
情報セキュリティの専門家は、フィッシング、認証情報の再利用、Webシェルの配置、脆弱性の悪用という4つの主要な初期不正アクセスの確立方法に関する内部のプロアクティブな検出の取り組みと併せて、予防的なベストプラクティスの実装とレビューに焦点を当てる必要があります。
リスクの軽減
セキュリティインテリジェンスは、脅威ハンティング手法による初期の不正アクセスを迅速に検出するために必要です。 これらの方法論は、運用実務家が敵の戦術と内部ネットワーク環境に関する知識を増やすにつれて、時間の経過とともに成長するはずです。 新しい方法論は、自動化/オーケストレーション(SOAR)ワークフローによる継続的なハンティングの実装につながるはずです。 このセクションでは、Insikt Group が見つけた 4 つの主要な初期アクセス方法の緩和策の推奨事項を提供します。
フィッシング
たとえば、メールセキュリティゲートウェイによって隔離されたメールの内容と添付ファイルを確認することで、以前に失敗した敵対者の戦術を基本的に認識できるだけでなく、派生技術の変更が将来成功する可能性のある貴重な例も提示できます。 E メール セキュリティ アプライアンスは、特定の着信ファイル添付1 (「hta」 - HTML 実行可能ファイルなど)をブロックするように設定されている場合がありますが、サードパーティの Web サイト リンクを含む悪意のある電子メールはブロックできません。
したがって、この場合のフィッシングハンティング手法の焦点は、ドメインが多作なクラウドプロバイダードメイン(DocuSign、Googleメールサービス、Microsoft Office365、Amazonストレージなど)に語彙的に近接していることに基づいて、フィッシングに使用される可能性のある新しいドメイン(電子メール本文コンテンツ)を特定することを必要とします。 セキュリティ インテリジェンスは、 DNS テレメトリ または Web プロキシ アプライアンスの解決における電子メール セキュリティ ゲートウェイのコンテンツ インスペクションと検出を改善するために使用する必要がある新しいドメイン候補を提供します。
新しいフィッシング ドメインを特定するための記録された Future クエリ。
資格情報の再利用
資産管理に注意を払い、多要素認証なしでアプリケーションを実行しているインターネットに接続されたシステムを削除することは、資格情報の再利用やRDPの場合はブルートフォース攻撃を防ぐための優れた衛生状態です。 セキュリティ インテリジェンスは、主にデータベース侵害から侵害された資格情報を表面化することにより、敵対者の資格情報の再利用のリスクを軽減します。 対応する SOAR ワークフローでは、新しく検出された資格情報セットに一致するユーザーを Active Directory で検索 する必要があります。 資格情報セットで有効なユーザーが見つかるたびに、 パスワードのリセットが開始されます。
Web シェルの配置
敵対者は通常、ソフトウェアの脆弱性や設定ミスを利用して WebサーバーにWebシェル を配置します。 Webシェルは、多くの場合、Webアプリケーションファイアウォール(WAF)を回避し、1つ以上のWebサーバー上での長期的な永続性を可能にします。 敵対者は、Webシェルを使用して情報リソースを悪用したり、追加のシステムに不正にアクセスしたりします。 セキュリティインテリジェンスは、Webシェルハンティングの重要な要素であり、新しいWebシェルの継続的な識別と関連する機能評価が必要です。 たとえば、古いWebシェルは、基本認証、フォーム認証、またはダイジェストHTTP認証を使用しており、ネットワークテレメトリで簡単に識別できます(Zeek は、ネットワークプロトコルの解析と分析のための貴重なオープンソースツールです)。
さらに、 YARAルールは 、ファイル条件(通常は文字列)に基づいて特定のWebシェルを識別するための別のオープンソースリソースです。
新しいWebシェルの表面化。 (出典:Recorded Future)
既知のソフトウェア脆弱性の悪用
エンタープライズ環境での継続的なパッチ適用の優先順位付けと実行は困難ですが、セキュリティインテリジェンスは、 NVD以前の新しい脆弱性 を特定し、特に「野放し」の証拠で既存の脆弱性を強化するのに役立ちます。
Recorded Future Intelligence Cards™によって提供される追加の脆弱性コンテキスト。 (出典:Recorded Future)
脚注
関連