RATとの対話:リモートアクセス型トロイの木馬感染の分析による企業リスクの評価

RATとの対話:リモートアクセス型トロイの木馬感染の分析による企業リスクの評価

insikt-group-logo-updated-3-300x48.png
ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

Recorded Futureは、標的となる被害者組織やセクターをプロファイリングするために、いくつかのマルウェアファミリーにわたるRATコマンドアンドコントロールサーバーの選択に関連するネットワーク通信を分析しました。 このレポートは、Recorded Future(R) Platform、VirusTotal、Farsight DNS、Shodan、GreyNoise、およびその他のOSINT技術からのデータに基づいています。

このレポートは、サードパーティのサプライチェーンによってもたらされるリスクを懸念する企業内のネットワークディフェンダーや企業リスク専門家にとって最も価値のあるものとなるでしょう。Recorded Future を活用してサードパーティのリスクを監視および調査する方法の詳細については、 私たちの新しいサードパーティリスクサービス。この評価では、サードパーティリスクに関する新しいネットワークトラフィック分析リスクルールの背後にあるデータを利用して、実用的な洞察を得ます。

Executive Summary

企業システム上のリモートアクセス型トロイの木馬(RAT)は、企業ネットワーク内で横方向に情報にアクセスするための重要なピボットポイントとして機能する可能性があります。 Recorded Futureのアナリストは、ネットワークメタデータを分析することで、RATのC2(コマンド&コントロール)サーバーを特定し、さらに重要なことに、どの企業ネットワークがこれらのコントローラーと通信しているかを特定することができました。 このアプローチにより、Recorded Futureは、クライアントが信頼できるサードパーティ組織に関する洞察を提供し、自社のデータに対する潜在的なサードパーティリスクをよりよく理解することができます。

Insikt Groupは、2018年12月2日から2019年1月9日の間に、Recorded FutureとShodanの共同マルウェアハンタープロジェクトとRecorded Futureプラットフォームを使用して、14のマルウェアファミリのアクティブなマルウェアコントローラーを特定しました。 次に、マルウェアのサブセット(Emotet、Xtreme RAT、ZeroAccess)に分析を集中させ、サードパーティ組織からコントローラーへのRAT通信をプロファイリングしました。

主な判断

rat-corporate-risk-assessment-11-2.png

背景

世界中の官民機関は、大規模な侵害のニュースでデジタル侵入を経験し続けており、ハッキングはほぼ日常茶飯事になっています。 英国のNCSCは、2018年の年次レビューで、2017年9月1日から2018年8月31日までの間に 557件のインシデントを直接処理したと報告 し、英国だけで問題の規模を浮き彫りにしました。

多くの場合、攻撃は RAT を利用し、攻撃者がホスト デバイスを不正に制御できるようにします。RAT は、攻撃者、犯罪組織がキーロギング、ファイル抽出、ホストの音声とビデオの録音などのアクティビティを実行するために一般的に使用される機能豊富なソフトウェアです。

これらの攻撃の大部分は、DarkTrack RAT、Xtreme RAT、ZeroAccessなどのコモディティRATを使用して実行されており、攻撃者の動機は金銭的利益からハッキングコミュニティ内での信頼を得ることまで多岐にわたります。 多くのハッキングフォーラムの管理者は、フォーラムに受け入れられるためには、新しいメンバーが自分の「能力」の証拠を提供すると規定しているため、コモディティRATを使用するために必要な比較的低レベルの技術知識と広範なオンラインドキュメントは、経験の浅いハッカーにとって非常に魅力的な提案となっています。

その対極にあるのが、国家が支援するAPT(Advanced Persistent Threat)グループと高度な犯罪グループであり、彼らは運用上の成果を達成するために、より高度なマルウェアキャンペーンを行う可能性があります。 APTは、設定、変更、および使用が簡単なため、RATを引き続き使用します。 これは、アンチウイルスソフトウェアに対する相対的な有効性と、「ノイズの中に隠れる」ことでアトリビューションを妨げる可能性と相まって、RATがAPTやサイバー犯罪者によって使用され続けることを保証しています。

サイバー犯罪者は、通常は金銭的な動機で目的を達成するために、ツールやマルウェアの開発において革新を余儀なくされることがよくあります。 サイバー犯罪者が使用するRATやその他のマルウェアが法執行機関の行動によって妨害されたり、その方法が業界の協調的な取り組みによって中和されたりすると、方法論やビジネスモデルの変更を余儀なくされることがあります。 これは、Emotetの背後にいるアクターにも当てはまります。

Emotetは、ヨーロッパの銀行顧客を標的としたバンキング型トロイの木馬から、2018年に いくつかの 注目を集めた キャンペーン で注目を集めたモジュール化されたマルウェア展開プラットフォームへと進化しました。Emotet は、自己伝播型トロイの木馬として、ネットワーク ワームのような特性を示す特に悪質なマルウェアであり、感染した被害者のかなりのボットネットを構築することができます。

分析的アプローチ

Recorded Futureの研究者は、Recorded Futureプラットフォームの脅威リストから派生したさまざまなRATおよびEmotetコントローラーを特定し、ネットワークメタデータを使用して、RAT C2 IPとの被害者の通信を特定しました。 脅威リストには、次のデータが含まれていました。

  1. Recorded FutureがShodanと共同開発した Malware Hunter 1 機能
  2. Abuse.ch Feodo マルウェア ファミリ (Dridex または Emotet/Heodo とも呼ばれます) ブロックリスト

編集者注:収集メカニズムの技術的制限により、Malware Hunterを使用して特定されたC2の数は、この調査で分析された各マルウェアファミリにグローバルに存在するC2の実際の数を反映していません。したがって、この分析は、Recorded Future を使用して感染したクライアントを特定し、サードパーティのリスクを通知する方法論に焦点を当てています。

この調査では、2018 年 12 月 2 日から 2019 年 1 月 8 日までの期間に、次のマルウェア ファミリのアクティブ コントローラーを検索しました。

次に、被害者組織のこれらのコントローラーのサブセットのネットワーク通信を分析しました。 フィルタリングは、他の組織にインターネットホスティングサービスを提供する組織が直接被害を受けていると特定することを避けるために実施され、インターネットスキャナーは特定可能な場合は省略されました。 この分析は、悪意のあるサーバーに対して特定の方法で行われた接続の観察に基づいており、実際には被害者ではない研究者やその他の人々がそのような接続を行った可能性があります。

rat-corporate-risk-assessment-1-1.png

特定されたマルウェアファミリごとのアクティブC2の内訳(検出されたC2の合計サンプルサイズ:481)。

Emotet、Xtreme RAT、ZeroAccessのコントローラーに分析を集中して行い、営利組織のインフラストラクチャ内で感染の可能性があるホストとのRAT通信をプロファイリングしました。

Recorded Futureのサードパーティリスクモジュール

Recorded Futureの サードパーティリスクモジュールの発売に続いて、企業がサプライチェーン、パートナー、および自社の企業によってもたらされるサイバーリスクを評価できるようにする追加機能を統合しました。 サードパーティリスクを使用すると、サードパーティのエコシステムの健全性を監視し、企業がもたらすリスクを調査し、関心のある企業の脅威環境の変化について警告することができます。 このレポートの分析は、新しいモジュールでサードパーティのリスク要因とメトリック、特にネットワークトラフィック分析リスクルールを通知するために使用しているのと同じデータソースを使用して実施されました。

rat-corporate-risk-assessment-2-1.png

Recorded FutureとShodanのMalware Hunterプロジェクト、および Abuse.ch Feodoブロックリストを使用して特定されたRAT C2の世界的な分布。 (出典:Recorded Future)

脅威分析

エモテット

Emotetは、主に他のバンキング型トロイの木馬のダウンローダーまたはドロッパーとして機能する、高度なモジュール式バンキング型トロイの木馬です。Emotetは当初、財務データを盗むために設計されました。ただし、現在では主に Trickbot や Qakbot などの他のマルウェアのダウンローダーとして使用されています。Emotetは、C2サーバーを使用してアップデートを受信し、追加のマルウェアをダウンロードしてインストールします。Emotetの運営者は、特定の業界や地域を標的にすることを選択せず、裁量なく拡散する傾向があり、マルウェア運営者は利益を生み出すために大量の感染に関心を持っているようです。
Emotetはもともと2014年に新しいバンキング型トロイの木馬として特定され、GeodoまたはFeodoと呼ばれることがよくあります。このマルウェアは、Feodo (Cridex または Bugat と呼ばれることもあります) バンキング型トロイの木馬から自然に進化した産物であり、他の子孫を生み出しました。しかし、過去12か月間で、独立した脅威から他のトロイの木馬の配布者へと進化し、2018年の夏に多数の大規模なキャンペーンが実施されました。このマルウェアは、コードディレクトリ内のフォルダーに「Open 情報源」という タイトル を付けるほど、多数のオープン情報源ライブラリとコードを使用しているという点でユニークです。 多くのEmotetモジュールには、被害者のマシンでパスワードをスクレイピングして収集するためにNirsoftが開発したユーティリティが組み込まれています。

Emotetは最近、ターゲットシステムに感染し、他のマルウェアファミリーをホストにロードするスパム送信マルウェアとして機能しています。 スパムを配布し、時にはC2サーバーのプロキシとして機能する感染したホストは分散型ネットワークであるため、防御側がその境界でブロックすることは困難です。

(脅威についての)レポート作成により、Emotetの運営者が少なくとも 2つのEmotetインフラストラクチャのセットアップを並行して維持している可能性が高いことが明らかになり、冗長性が促進され、法執行機関による協調的な削除が困難になる可能性があります。

Emotet:ネットワークメタデータを使用したサードパーティリスクの評価

調査では、ホストがEmotetに感染している26の組織を特定しました。 これらの組織は、次のようなさまざまな業界に広がっていました。

rat-corporate-risk-assessment-3-1.png

上のグラフは、特定されたEmotetコントローラと通信している感染したホストの内訳を示しています。 2つのコントローラーが目立ち、40を超える感染ホストがそれらと通信していることが確認されています:韓国のIP 115.88.75[.]245およびU.S. IP 192.155.90[.]90.

rat-corporate-risk-assessment-4-1.png

Emotet C2は、2018年12月2日から2019年1月8日の間に企業感染が活発に発生したと特定されました。

上の表は、Recorded Futureが詳細に分析した各Emotet C2サーバーのIPアドレス、国、インターネットサービスプロバイダー(ISP)を示しています。

編集者注:ISPは顧客にインターネットアクセスを提供しますが、ISPに割り当てられたネットブロック内の特定のIPアドレスで使用されている機器やシステムを直接制御できない場合があります。

調査データで通信した一意の企業被害者の数に基づくと、最も活発な Emotet C2 の 1 つは韓国の IP 115.88.75[.]245.Recorded Futureプラットフォームを使用するクライアント向けの新しいリスクルールとして開発された新しいアルゴリズムに基づいて、少なくとも4つの異なる感染企業に解決されるIPアドレスがC2と通信していることが検出されました。感染した企業のうち3社はラテンアメリカにあり、最近、Emotetの感染がわずかに変更されたEmotetの伝播方法が採用されているため、 Emotetの感染が急増 しています。発見された被害者のうち2人はメキシコとエクアドルの金融会社で、3人目はチリの産業コングロマリットだった。残りの企業被害者はカナダの医療機器製造会社でした。

この調査の時点では、韓国のC2 IPには解決されるドメインがありませんでしたが、VirusTotalのデータによると、URLにホストとして明示的に記載されているIPアドレスとの接続は、感染した被害者によって行われました。 私たちは、難読化されたVBA2 コードを含む悪意のあるMicrosoft Word文書を、PowerShellを起動するために設計されたマクロとして特定し、PowerShellが韓国のC2からEmotetペイロードを取得して実行するように設計されています。

rat-corporate-risk-assessment-5-1.png

Emotet C2のクラスタリングと、Recorded Futureのサードパーティリスク分析とネットワークトラフィック分析リスクルールを使用して検出された被害者組織のコミュニケーション。

Emotet C2と被害者組織のIPをさらに分析すると、上記のMaltegoグラフに示されているように、いくつかの明確な活動グループが存在することが明らかになりました。 非常に活発な韓国のC2は、以前にLG DACOM Corporationに詳細に解決され、グラフの左側に示されている高度に相互接続された活動のクラスター内に位置していました。 このクラスターは、検出された17のEmotet C2を中心に、主にラテンアメリカに拠点を置く通信サービスプロバイダーやホスティングプロバイダーに解決されるインフラストラクチャでホストされています。 活動群の対象となった組織は世界中に拠点を置いており、被害者組織のかなりの割合がラテンアメリカとヨーロッパに拠点を置いていました。

rat-corporate-risk-assessment-6-1.png

Emotetの活動の主要なクラスターで、C2の大部分はラテンアメリカのIPスペースにあります。

観測された2番目に大きな活動群は、インドのIP 45.123.3[.]54、これはインドのブルーロータスサポートサービスに解決しました。 このIPを指すC2ホスト名は campus.miim.ac[.]これは、インドのケララ州にある大学であるマリアン国際経営研究所に対応しています。 当社の分析により、このC2に関連するEmotetの感染が以下の企業で進行中であることが明らかになりました。

エクストリームRAT

Xtreme RAT は、2010 年に初めて公に目撃された汎用 RAT です。RAT は無料で入手でき、情報源 そのコードが漏洩したため、攻撃者はネットワーク防御を回避するために自由に変更できます。 ほぼ 10 年前から存在しており、使用量は例年よりも減少しているようですが、依然として強力なトロイの木馬であり、標的型攻撃やサイバー犯罪活動に使用され ていると広く報告されています 。この RAT は、 通常のスキームとは逆の方法で作成者によって定義されたクライアント/サーバー システムを利用します。マルウェアの「サーバー」部分は被害者のコンピュータにインストールされ、被害者の「サーバー」は「クライアント」に接続し、実際には1つ以上のリモートC2システムで動作するコントローラーです。

rat-corporate-risk-assessment-7-1.png

Recorded Future および Shodan Malware Hunter プロジェクトを使用して検出された、研究期間中にアクティブに活動した Xtreme RAT コントローラーを示す Recorded Future ヒートマップ。 (出典:Recorded Future)

Xtreme RAT: ネットワーク メタデータを使用したサードパーティ リスクの評価

新しいサードパーティリスクモジュールを導入して、2018年12月8日から2019年1月2日の間に観測されたアクティブなXtreme RATコントローラーを持つ通信ノードを特定しました。 ここでも、企業IPがXtreme RATコントローラーと通信し、感染の可能性を示す方法が見つかりました。

エクストリーム RAT C2 IP
登録者/組織
101.132.69[.]78
中国
杭州アリババ広告有限公司
116.62.60[.]109
中国
杭州アリババ広告有限公司
212.46.104[.]104
ドイツ
HKN GmbH
196.200.160[.]201
モロッコ
CNRST(Centre National pour la Recherche Scientifique et Technique)
198.255.100[.]74
米国
FDCサーバ
192.240.110[.]98
米国
FDCサーバ

3人の被害者が、196.200.160[.]20,1 ホスト名 ns2.marwan.ma に解決されました。 この知的財産は、モロッコのラバトにある技術大学であるCentre National pour la Recherche Scientifique et Technique(CNRST)に登録されています。 感染したデバイスのうち2つは、米国と日本の多国籍IT機器およびサービス企業のインフラストラクチャに解決されました。 3人目の被害者は、ブラジルの大学に設置されたデバイスでした。

rat-corporate-risk-assessment-8-1.png

モロッコの大学ネットワークでホストされているXtreme RATコントローラー。

ホスト名 test.zzjzpt[.]コム 中国のIP 116.62.60[.]109 を 2018 年 12 月 16 日に解決し、少なくとも 2019 年 1 月 5 日までその IP に解決を続けました。 この期間に、IPはXtreme RAT C2に指定されました。 このコントローラーは、米国のFDCServerインフラストラクチャ(192.240.110[.]98 および198.255.100[.]74), ヨーロッパの公益事業会社内の複数の感染ホストからXtreme RATネットワーク通信を受信していることが確認されました。 これらのXtreme RAT C2と通信しているのが観察された追加の被害者組織は次のとおりです。

rat-corporate-risk-assessment-9-1.png

組織のターゲティングが重複するXtreme RATコントローラー。

ZeroAccessトロイの木馬

ZeroAccess は 2011 年に初めて発見され、高度なルートキットを利用して検知を回避します。 トロイの木馬として、ホスト上に隠しファイル システムとバックドアを作成できるだけでなく、ホストへの追加のマルウェアのダウンロードを容易にすることができます。ZeroAccess は、ドメイン生成アルゴリズム (DGA) を利用して C2 サーバーを検出して接続するように構成でき、ピアツーピア接続を利用することもできます。歴史的に、ZeroAccessは戦略的Web侵害、ハッキング(SWC)を使用して展開され、 通常、クリック課金型広告メカニズム(クリック詐欺)を通じて違法な資金を生み出すためにサイバー犯罪者によって使用されていました。 このマルウェアは 、暗号通貨のマイニングにも使用されています。

ZeroAccess:ネットワークメタデータを使用したサードパーティリスクの評価

調査期間中、ルーマニアのIP 31.5.229[.]224. 被害を受けた組織は、東アジアのIT企業でした。

今後の展望

Emotetやその他のRATなどのバンキング型トロイの木馬は、世界中の政府や企業のネットワークに重大な脅威をもたらし続けています。Emotetの開発者は、伝播の有効性を高め、従来のネットワーク防御を回避するために、モジュール化された機能の革新と開発を続けており、 その結果、2018年7月に発行されたUS-CERT(脅威)アラートによると、州、地方、部族、準州(SLTT)政府は、修復に最大100万ドルの費用をかけています。

この調査では、悪意のあるRATコントローラネットワークインフラストラクチャを特定して追跡し、企業のセキュリティ体制を通知できる利点を強調しています。 クライアントは、当社のプラットフォーム内でトリガーされた関連リスクルールを観察することにより、Recorded Futureの サードパーティリスクモジュール を使用することができます。 Third-Party Riskでは、この評価でマルウェア通信の特定と分析に使用したのと同じデータを使用して、リスクルールをトリガーし、クライアントのサードパーティリスクウォッチリストに登録されている企業が同様の活動を示した場合にアラートを発します。

rat-corporate-risk-assessment-10-1.png

サードパーティのリスク 企業のインフラストラクチャで観察された Xtreme RAT 通信に関連する重大度の高いリスクを示すネットワーク トラフィック分析リスク ルール。

RATコントローラーの追加カバレッジの開発を続けるにつれて、これらのシグネチャを自動的に追加して、これらのコントローラーと通信する企業ネットワークインフラストラクチャを観察したときに、Recorded Futureプラットフォームでサードパーティのリスクルールをトリガーします。

ネットワーク防御に関する推奨事項

Recorded Futureは、組織がプロアクティブな脅威ハンティングを実施し、違法なRATアクティビティから防御する際に次の緩和策を実装することを推奨しています。

関連する侵害の指標の完全なリストを表示するには 、付録をダウンロードしてください

1この機能の詳細については、 プロアクティブな脅威の特定に関する Recorded Future ホワイト ペーパーを参照してください。

2Visual Basic for Applications は、Microsoft の Visual Basic 6 プログラミング言語の実装であり、Excel などの Microsoft Office 製品でマクロの開発に使用されます。