RATとの対話:リモートアクセス型トロイの木馬感染の分析による企業リスクの評価

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

Recorded Futureは、標的となる被害者組織やセクターをプロファイリングするために、いくつかのマルウェアファミリーにわたるRATコマンドアンドコントロールサーバーの選択に関連するネットワーク通信を分析しました。 このレポートは、Recorded Future(R) Platform、VirusTotal、Farsight DNS、Shodan、GreyNoise、およびその他のOSINT技術からのデータに基づいています。

このレポートは、サードパーティのサプライチェーンによってもたらされるリスクを懸念する企業内のネットワーク防御者や企業リスク専門家にとって最も価値があります。 Recorded Futureを活用してサードパーティリスクを監視および調査する方法の詳細については、 新しいサードパーティリスクオファリングをご覧ください。 この評価では、サードパーティリスクに関する新しいネットワークトラフィック分析リスクルールの背後にあるデータを活用して、実用的なインサイトを生成します。

Executive Summary

企業システム上のリモートアクセス型トロイの木馬(RAT)は、企業ネットワーク内で横方向に情報にアクセスするための重要なピボットポイントとして機能する可能性があります。 Recorded Futureのアナリストは、ネットワークメタデータを分析することで、RATのC2(コマンド&コントロール)サーバーを特定し、さらに重要なことに、どの企業ネットワークがこれらのコントローラーと通信しているかを特定することができました。 このアプローチにより、Recorded Futureは、クライアントが信頼できるサードパーティ組織に関する洞察を提供し、自社のデータに対する潜在的なサードパーティリスクをよりよく理解することができます。

Insikt Groupは、2018年12月2日から2019年1月9日の間に、Recorded FutureとShodanの共同マルウェアハンタープロジェクトとRecorded Futureプラットフォームを使用して、14のマルウェアファミリのアクティブなマルウェアコントローラーを特定しました。 次に、マルウェアのサブセット(Emotet、Xtreme RAT、ZeroAccess)に分析を集中させ、サードパーティ組織からコントローラーへのRAT通信をプロファイリングしました。

背景

世界中の公的機関や民間組織でデジタル侵入が続いており、大規模な侵害のニュースはほぼ毎日発生しています。 2018年の年次レビューで、英国のNCSCは、2017年9月1日から2018年8月31日までの間に 557件のインシデントを直接処理したと報告 し、英国だけで問題の規模が重要であることを浮き彫りにしました。

多くの場合、攻撃はRATを利用し、攻撃者がホストデバイスを不正に制御することを可能にします。 RATは、キーロギング、ファイル抽出、ホストのオーディオとビデオの記録などのアクティビティを実行するために、敵対者が一般的に使用する機能豊富なソフトウェアです。

これらの攻撃の大部分は、DarkTrack RAT、Xtreme RAT、ZeroAccessなどのコモディティRATを使用して実行されており、攻撃者の動機は金銭的利益からハッキングコミュニティ内での信頼を得ることまで多岐にわたります。 多くのハッキングフォーラムの管理者は、フォーラムに受け入れられるためには、新しいメンバーが自分の「能力」の証拠を提供すると規定しているため、コモディティRATを使用するために必要な比較的低レベルの技術知識と広範なオンラインドキュメントは、経験の浅いハッカーにとって非常に魅力的な提案となっています。

その対極にあるのが、国家が支援するAPT(Advanced Persistent Threat)グループと高度な犯罪グループであり、彼らは運用上の成果を達成するために、より高度なマルウェアキャンペーンを行う可能性があります。 APTは、設定、変更、および使用が簡単なため、RATを引き続き使用します。 これは、アンチウイルスソフトウェアに対する相対的な有効性と、「ノイズの中に隠れる」ことでアトリビューションを妨げる可能性と相まって、RATがAPTやサイバー犯罪者によって使用され続けることを保証しています。

サイバー犯罪者は、通常は金銭的な動機で目的を達成するために、ツールやマルウェアの開発において革新を余儀なくされることがよくあります。 サイバー犯罪者が使用するRATやその他のマルウェアが法執行機関の行動によって妨害されたり、その方法が業界の協調的な取り組みによって中和されたりすると、方法論やビジネスモデルの変更を余儀なくされることがあります。 これは、Emotetの背後にいるアクターにも当てはまります。

Emotetは、ヨーロッパの銀行の顧客を標的としたバンキング型トロイの木馬から、モジュール化されたマルウェア展開プラットフォームへと進化し、2018年には いくつかの 注目を集めた キャンペーン が報告されました。 Emotetは自己増殖型トロイの木馬であり、ネットワークワームのような特性を示す特に毒性の高いマルウェアであり、感染した被害者のボットネットを大量に構築することができます。

分析的アプローチ

Recorded Futureの研究者は、Recorded Futureプラットフォームの脅威リストから派生したさまざまなRATおよびEmotetコントローラーを特定し、ネットワークメタデータを使用して、RAT C2 IPとの被害者の通信を特定しました。 脅威リストには、次のデータが含まれていました。

1. Recorded FutureがShodanと共同開発した Malware Hunter¹ 機能
2. Abuse.ch Feodo マルウェア ファミリ (Dridex または Emotet/Heodo とも呼ばれます) ブロックリスト

編集者注: Due to technological limitations of the collection mechanism, the number of C2s identified using Malware Hunter is not reflective of the true number of C2s present globally for each analyzed malware family in this research. Therefore, this analysis is focused on the methodology of identifying infected clients using Recorded Future to inform third-party risk.

この調査では、2018 年 12 月 2 日から 2019 年 1 月 8 日までの期間に、次のマルウェア ファミリのアクティブ コントローラーを検索しました。

• ボゾクラット
• ナノコア
• ポイズンアイビー
• カフェイニ
• ネットバス
• ProRAT (プロラト)
• ダークコメット
• njRAT
• エクストリームRAT
• DarkTrack RAT
• 核ラット
• ゼロアクセス
• エモテット
• オルクスラット

次に、被害者組織のこれらのコントローラーのサブセットのネットワーク通信を分析しました。 フィルタリングは、他の組織にインターネットホスティングサービスを提供する組織が直接被害を受けていると特定することを避けるために実施され、インターネットスキャナーは特定可能な場合は省略されました。 この分析は、悪意のあるサーバーに対して特定の方法で行われた接続の観察に基づいており、実際には被害者ではない研究者やその他の人々がそのような接続を行った可能性があります。

特定されたマルウェアファミリごとのアクティブC2の内訳(検出されたC2の合計サンプルサイズ:481)。

Emotet、Xtreme RAT、ZeroAccessのコントローラーに分析を集中して行い、営利組織のインフラストラクチャ内で感染の可能性があるホストとのRAT通信をプロファイリングしました。

Recorded Futureのサードパーティリスクモジュール

Recorded Futureの サードパーティリスクモジュールの発売に続いて、企業がサプライチェーン、パートナー、および自社の企業によってもたらされるサイバーリスクを評価できるようにする追加機能を統合しました。 サードパーティリスクを使用すると、サードパーティのエコシステムの健全性を監視し、企業がもたらすリスクを調査し、関心のある企業の脅威環境の変化について警告することができます。 このレポートの分析は、新しいモジュールでサードパーティのリスク要因とメトリック、特にネットワークトラフィック分析リスクルールを通知するために使用しているのと同じデータソースを使用して実施されました。

Recorded FutureとShodanのMalware Hunterプロジェクト、および Abuse.ch Feodoブロックリストを使用して特定されたRAT C2の世界的な分布。 (出典:Recorded Future)

脅威分析

エモテット

Emotetは高度なモジュール式のバンキング型トロイの木馬で、主に他のバンキング型トロイの木馬のダウンローダーまたはドロッパーとして機能します。Emotetは当初、金融データを盗むために設計されましたが、現在では主にTrickbotやQakbotなどの他のマルウェアのダウンローダーとして使用されています。EmotetはC2サーバーを使用してアップデートを受信したり、追加のマルウェアをダウンロードしてインストールしたりします。Emotetの運用者は、特定の業界や地域を標的にすることにこだわらず、無意識に拡散する傾向があり、マルウェアの運用者は利益を生み出すために大量の感染を行うことに関心があるようです。
Emotetはもともと2014年に新しいバンキング型トロイの木馬として最初に特定され、GeodoまたはFeodoと呼ばれることがよくあります。このマルウェアは、他の子孫を生み出したバンキング型トロイの木馬Feodo（別名CridexまたはBugat）からの自然進化の産物です。しかし、過去12か月で、独立した脅威から他のトロイの木馬のディストリビューターへと発展し、2018年の夏には数多くの大規模なキャンペーンが行われました。このマルウェアは、多数のオープンソースライブラリとコードを採用している点で独特であり、コードディレクトリ内のフォルダーに「オープンソース」というタイトルが付けられるほどです。多くのEmotetモジュールには、被害者のマシン上のパスワードをスクレイピングして収集するためにNirsoftが開発したユーティリティが組み込まれています。

Emotetは最近、ターゲットシステムに感染し、他のマルウェアファミリーをホストにロードするスパム送信マルウェアとして機能しています。 スパムを配布し、時にはC2サーバーのプロキシとして機能する感染したホストは分散型ネットワークであるため、防御側がその境界でブロックすることは困難です。

報道によると、Emotetの運営者は、少なくとも 2つのEmotetインフラを並行して維持している可能性が高く、冗長性を確保し、法執行機関による組織的な取り締まりを困難にしている可能性が高いことが明らかになりました。

Emotet:ネットワークメタデータを使用したサードパーティリスクの評価

調査では、ホストがEmotetに感染している26の組織を特定しました。 これらの組織は、次のようなさまざまな業界に広がっていました。

• 自動車
• 金融と銀行
• エネルギー
• 医療機器製造
• 建設
• 小売およびエンターテイメント
• 物流、商業サービス、および消耗品
• それ
• ユーティリティ

The chart above shows us the breakdown of infected hosts communicating with identified Emotet controllers. Two controllers stand out, with over 40 infected hosts observed communicating with them: South Korean IP 115.88.75[.]245 and U.S. IP 192.155.90[.]90.

Emotet C2は、2018年12月2日から2019年1月8日の間に企業感染が活発に発生したと特定されました。

上の表は、Recorded Futureが詳細に分析した各Emotet C2サーバーのIPアドレス、国、インターネットサービスプロバイダー(ISP)を示しています。

編集者注: ISPs provide internet access to customers, and may not be directly in control of the equipment and systems in use at any specific IP address within a netblock assigned to the ISP.

One of the most active Emotet C2s, based on number of unique corporate victims communicating with it in our research data, was South Korean IP 115.88.75[.]245. Based on our new algorithm that has been developed into a new risk rule for clients using the Recorded Future platform, IP addresses resolving to at least four different infected companies were detected communicating with the C2. Three of the infected companies were located in Latin America, which has recently experienced a surge in Emotet infections due to a slightly modified Emotet propagation methodology being employed. Two of the detected victims were financial companies in Mexico and Ecuador, with the third being a Chilean industrial conglomerate. The remaining corporate victim was a Canadian medical device manufacturing company.

この調査の時点では、韓国のC2 IPには解決されるドメインがありませんでしたが、VirusTotalのデータによると、URLにホストとして明示的に記載されているIPアドレスとの接続は、感染した被害者によって行われました。 私たちは、難読化されたVBA² コードを含む悪意のあるMicrosoft Word文書を、PowerShellを起動するために設計されたマクロとして特定し、PowerShellが韓国のC2からEmotetペイロードを取得して実行するように設計されています。

Emotet C2のクラスタリングと、Recorded Futureのサードパーティリスク分析とネットワークトラフィック分析リスクルールを使用して検出された被害者組織のコミュニケーション。

Emotet C2と被害者組織のIPをさらに分析すると、上記のMaltegoグラフに示されているように、いくつかの明確な活動グループが存在することが明らかになりました。 非常に活発な韓国のC2は、以前にLG DACOM Corporationに詳細に解決され、グラフの左側に示されている高度に相互接続された活動のクラスター内に位置していました。 このクラスターは、検出された17のEmotet C2を中心に、主にラテンアメリカに拠点を置く通信サービスプロバイダーやホスティングプロバイダーに解決されるインフラストラクチャでホストされています。 活動群の対象となった組織は世界中に拠点を置いており、被害者組織のかなりの割合がラテンアメリカとヨーロッパに拠点を置いていました。

Emotetの活動の主要なクラスターで、C2の大部分はラテンアメリカのIPスペースにあります。

観測された2番目に大きな活動群は、インドのIP 45.123.3[.]54、これはインドのブルーロータスサポートサービスに解決しました。 このIPを指すC2ホスト名は campus.miim.ac[.]これは、インドのケララ州にある大学であるマリアン国際経営研究所に対応しています。 当社の分析により、このC2に関連するEmotetの感染が以下の企業で進行中であることが明らかになりました。

• 日本の機械メーカー
• 中国のテクノロジーコングロマリット
• エクアドルの銀行と米国の金融コンサルティング会社
• オーストリアのエネルギー供給業者
• カナダとオーストラリアのケーブルテレビプロバイダー

エクストリームRAT

Xtreme RATは、2010年に初めて公開されたコモディティRATです。 RATは無料で入手でき、そのソースコードが漏洩しているため、攻撃者はネットワーク防御を回避するためにRATを自由に変更できます。 10年近く前から存在しており、使用量は前年よりも少ないように見えますが、依然として強力なトロイの木馬であり、標的型攻撃やサイバー犯罪活動に使用されている と広く報告 されています。 このRATは、 通常のスキームとは逆の方法で著者によって定義されたクライアントサーバーシステムを利用しています。 マルウェアの「サーバー」部分は被害者のコンピューターにインストールされ、被害者の「サーバー」は「クライアント」に接続します。これは実際には、1つ以上のリモートC2システムで動作するコントローラーです。

Recorded Future および Shodan Malware Hunter プロジェクトを使用して検出された、研究期間中にアクティブに活動した Xtreme RAT コントローラーを示す Recorded Future ヒートマップ。 (出典:Recorded Future)

Xtreme RAT: ネットワーク メタデータを使用したサードパーティ リスクの評価

新しいサードパーティリスクモジュールを導入して、2018年12月8日から2019年1月2日の間に観測されたアクティブなXtreme RATコントローラーを持つ通信ノードを特定しました。 ここでも、企業IPがXtreme RATコントローラーと通信し、感染の可能性を示す方法が見つかりました。

エクストリーム RAT C2 IP	国	登録者/組織
101.132.69[.]78	中国	杭州アリババ広告有限公司
116.62.60[.]109	中国	杭州アリババ広告有限公司
212.46.104[.]104	ドイツ	HKN GmbH
196.200.160[.]201	モロッコ	CNRST(Centre National pour la Recherche Scientifique et Technique)
198.255.100[.]74	米国	FDCサーバ
192.240.110[.]98	米国	FDCサーバ

Three unique victims were found communicating with a Moroccan Xtreme RAT C2 hosted on 196.200.160[.]20,1 which resolved to hostname ns2.marwan.ma. The IP is registered to the Centre National pour la Recherche Scientifique et Technique (CNRST), a technical university in Rabat, Morocco. Two of the infected victim devices resolved to infrastructure belonging to U.S. and Japanese multinational IT equipment and services companies. The third victim was a device located at a Brazilian university.

モロッコの大学ネットワークでホストされているXtreme RATコントローラー。

Hostname test.zzjzpt[.]com was updated to point at Chinese IP 116.62.60[.]109 on December 16, 2018 and continued to resolve to that IP until at least January 5, 2019. In this time frame, the IP was designated as an Xtreme RAT C2. This controller, along with two other Xtreme RAT C2s hosted on U.S. FDCServer infrastructure (192.240.110[.]98 and 198.255.100[.]74), were observed receiving Xtreme RAT network communications from several infected hosts within an European utilities company. Additional victim organizations that were observed communicating with these Xtreme RAT C2s were:

• ヨーロッパのビデオゲーム会社
• 中東、南アジア、東アジアの通信会社
• 東アジアの産業コングロマリット
• 東アジアのIT企業

組織のターゲティングが重複するXtreme RATコントローラー。

ZeroAccessトロイの木馬

ZeroAccessは2011年に初めて発見され、高度なルートキットを使用して検出を回避します。 トロイの木馬として、ホスト上に隠されたファイルシステムとバックドアを作成するだけでなく、ホストへの追加のマルウェアのダウンロードを容易にすることができます。 ZeroAccessは、ドメイン生成アルゴリズム(DGA)を使用してC2サーバーを検出して接続するように設定でき、ピアツーピア接続を利用することもできます。 歴史的に、ZeroAccessは戦略的Web侵害 (SWC)を使用して展開され、通常、サイバー犯罪者がクリック課金型広告メカニズム(クリック詐欺)を通じて不正な資金を生成するために使用されていました。 このマルウェアは、 暗号通貨のマイニングにも使用されています。

ZeroAccess:ネットワークメタデータを使用したサードパーティリスクの評価

調査期間中、ルーマニアのIP 31.5.229[.]224. 被害を受けた組織は、東アジアのIT企業でした。

今後の展望

Emotetのようなバンキング型トロイの木馬やその他のRATは、世界中の政府や企業のネットワークに対して、現在も大きな脅威となっています。 Emotetの開発者は、伝播の有効性を高め、従来のネットワーク防御を回避するためのモジュール化された機能の革新と開発を続けており、 その結果、2018年7月に発行されたUS-CERTアラートによると、州、地方、部族、準州(SLTT)の政府に修復のためにインシデントごとに最大100万ドルの費用がかかっています。

この調査では、悪意のあるRATコントローラネットワークインフラストラクチャを特定して追跡し、企業のセキュリティ体制を通知できる利点を強調しています。 クライアントは、当社のプラットフォーム内でトリガーされた関連リスクルールを観察することにより、Recorded Futureの サードパーティリスクモジュール を使用することができます。 Third-Party Riskでは、この評価でマルウェア通信の特定と分析に使用したのと同じデータを使用して、リスクルールをトリガーし、クライアントのサードパーティリスクウォッチリストに登録されている企業が同様の活動を示した場合にアラートを発します。

サードパーティのリスク 企業のインフラストラクチャで観察された Xtreme RAT 通信に関連する重大度の高いリスクを示すネットワーク トラフィック分析リスク ルール。

RATコントローラーの追加カバレッジの開発を続けるにつれて、これらのシグネチャを自動的に追加して、これらのコントローラーと通信する企業ネットワークインフラストラクチャを観察したときに、Recorded Futureプラットフォームでサードパーティのリスクルールをトリガーします。

ネットワーク防御に関する推奨事項

Recorded Futureは、組織がプロアクティブな脅威ハンティングを実施し、違法なRATアクティビティから防御する際に次の緩和策を実装することを推奨しています。

• Recorded FutureのAPIを使用して、このレポート(付録A)にリストされているインジケーターをエンドポイント検出および応答(EDR)プラットフォームにインポートします。
• 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、付録 A にリストされている外部 IP アドレスとドメインからの不法な接続の試みを警告し、確認した上でブロックを検討してください。
• エンドポイント トラフィックを監視してアラートを発し、付録 A のインジケーターへの接続をブロックします。

関連する侵害の指標の完全なリストを表示するには 、付録をダウンロードしてください。