CaseStudy: ランサムウェアを使った攻撃のIntitial accessを、Red Teamer視点で考える(簡易分析)

__aloha__

Research/CaseStudy: Consideration of an "Initial access" by Ransomware attacker from the Red Teamer's view.

1. ことのはじまり

去る2021年6月2日~3日、日本企業がランサムウェアによる攻撃を受けて一部業務が止まったという報道がなされました。

  実はそこから約10時間前くらいから、twitterに「会社のPCがウイルス感染している」という旨のTweetが多数観測されていました。普段からTwitterやSNS等の監視をして世間の動向を追っているのですが、この出方はホンダの件、さらにさかのぼるとWannacryの時も同じような傾向にありました(その為、監視をしています。この様な書き込みが増えた場合、自組織の防衛を固めるため、情報収集の目的として当該手法を使います。)。

画像6

画像3

画像4

 SNSにこういう事書きこんじゃダメだよ(調査している側からするとどんどん書いてください、なのですが(笑))、ということは別にしてこの動向は気になりました(ちなみに、当該Tweetのほとんどは消されてしまいました)。結果、当日夜になり報道がされ、この関連は富士フィルムに関連しているのでは?と考えるようになりました。

2. 個人的な興味はInitial Access

 ランサムウェア攻撃を考えるとき、個人的にはランサムウェア自体にはほとんど興味がありません。最も興味あるのは「攻撃手法(TTPs)」です。今回のケースでは、①社内の多数の端末・サーバーが感染、②その結果、半ドン(死語?)どころか会社が休みになった ということが判っています。①については拡散手法が非常に気になるのですが、現状では情報は出てきていません(ただし、当該Tweetからある程度予想は可能)。
 そんな中、このような報道がなされました。

記事中、注目のところはここです。

画像5

これについて言及しているのはVitali Kremezさんという著名なセキュリティリサーチャーの方。彼はQbot(Malwareの一種)と、QbotからREvil ransomware(a.k.a Sodinokibi)に感染しているのでは?と見解(仮説)を述べています。QbotはEmotetと同様Trojan Hourseとして動いており、Qbot感染後、他のMalwareを持ってきて被害を拡大させることが報告されています。Qbot自体は日本でも確認されている事は事実、5月には国内一部組織でも着弾を確認していました。

QbotのMaldocも上がっています。

 あー、じゃぁこれで良いか…なのか?すくなくとも、現時点ではREvil側も富士フィルム側もこれに関連してプレスはだされていません。従って仮説の域を脱していない状況です。

 実はランサムウェアへの感染はこの他にも攻撃手法(TTPs)があります。それが脆弱性があるVPN Gateway装置を介した内部への侵入と攻撃の手法です。つい先日もFBIからこのような注意喚起がなされています。

Alert Number MI-000148-MW (注意: PDF直です)

画像6

また、それ以前では、Cyber Crime Forum内にて以下のようなファイルが共有(販売)されていたこともありました。

 ちなみに、このファイルは他のCyber Crimeフォーラムにも貼られ、アンダーグラウンドでは広く拡散しています。ランサムウェアを使った攻撃は攻撃の分業化が進み、侵入経路についてはIAB(Initial Access Broker)と呼ばれるThreat Actorが存在していることも知られており、脆弱性がある機器の情報を売り買いしている、そんな実態があります。今回はFortiを挙げましたが、それ以外にもPulsesecureであるとか、VPN Gatewayではありませんが、RDPのIPとCredentialであるとか、そういうものが対象になります。
 従って「その線はないのか?」ということで、Red Teamer目線で分析を行ってみました。

3. VPN装置は存在するのか?

 2.でVPNの可能性について言及をしました。それではその仮説に従って調査をしてみたいと思います、今回は私事で恐縮なのですが、いまプライベートが非常に慌ただしくなっており(苦笑)、時間の制約上、簡易的に分析を行っています。そして相も変わらずshodanです(苦笑)

”Fujifilm”とだけ、なんとなく検索をすると、関連するネットワークは以下のような結果になります。

画像7

これ全部分析…は時間がありません(ごめんなさい)。大変なのでProductの切り口から分析をしてみましょう(Productの切り口だと、誤ったプロダクト判定により誤った結果を導き出す結果が考えられます。個人的にはあまり推奨できません、が、効率的に分析を行えることも事実であるため、今回はその観点で分析を行いました)。

画像8

 早速結果ですが、SonicWALLの利用を示す結果が得られています。

画像9

 このような感じです。SonicWALLを使っているのですね。SonicWallといえば今年の2月に脆弱性がでています。

 ただ、これらホストについてはランサムウェア被害発生後も稼働を続けている事がわかっており、さすがにここを入り口に入った可能性は低いように思われます(し、脆弱性がある機器の場合、特徴的な要素があるのですが、それが含まれていない事からも脆弱性に該当するものではないと考えています)。

4. 気になるホストがいる

  それ以外…以降については調査手法の詳細については控えます。

 実は少しきになるホストが居ます。証明書の情報からFG200D(Fortigate 200D)のようです。情報は2021-05-29T08:27に取得されています。

画像10

 このホストですが、同一IPが先ほどご紹介したハックされた"49,577 IPs"とみられるFortiのリストと一致するものがあります。当該ホストですが、2019年くらいには以下のような証明書をつかって公開をされていました。

画像11

CNのドメインのオーナー情報からもうかがえる情報があります。

画像12

 このホストですが、攻撃があった後、ダウンしていた時期がありました(現在は復旧。具体的な時間はすみません、エビデンスが取れませんでした。取っておけばよかった。。。)。動きがインシデントと連動していたこともあり、非常に気になる所です。なお、当該ホストについては脆弱性が残存していたのか、については一切不明です。パッチ済である可能性も十二分にあり、ここが要因になった、とは断言できるものはありません。その点ご注意ください。

まとめ

 今回はどうも尻切れになってしまいました。が、個人的には、インシデントに係る初期侵入について考えられるものは、QbotによるRansomwareのデリバリだけではないのでは?と考えています。そのもう一つの候補にVPN Gateway装置も可能性として考えられるのでは?と。
 最終的な答えが出るのか、わかりませんし、その必要は民間企業の場合、必要ではないかもしれません。

 ただ、一つ言えることは、僕らが「ぱっ」と調べただけで攻撃に関連しそう(使えそう)な情報がある程度見えてくる事です。攻撃者にとってもこれは容易い事でしょう。

 これまでも言ってきましたが、パッチマネジメントは大事です。少なくとも、彼のデータに載っていたということはパッチの適用が遅れていたことを示しています。もしかしたら、今回はそれが原因ではなかったかもしれませんが…攻撃者には弱点として、見えている事は間違いないでしょう。(あぁうちの自宅のFortiも気を付けないとな💦)

 あと、もう一つ気になったのはSNSへの書き込みです。ホンダの時もそうでしたが、外からだと状況把握の手掛かりになって便利なのですが、社内の情報をSNSに書くのは褒められた所作ではないかと思います。私自身は外資系の企業に勤めているのですが、自社ですとSNSの使い方について、利用の積極的な推奨はされているものの、書き込んではいけない事、問題がない事を細かく決められています。また、そのポリシーについて、SNS専用の教育もなされております。他方、国内企業について、今回の件で周囲にヒアリングしてみたところ、粒度の違い以前にトレーニングがない、といった声も聞かれました。

 SNSは現在、情報流通の重要なプラットフォームとして利用は避けて通れないもの、何らかの関わりがあるものです。今回感じたのは、技術的なことだけでなく、SNSトレーニングの実施とポリシー遵守の徹底が大事だ、と、改めて感じたところで、今回のお話を終わりにさせていただこうと思います。


この記事が気に入ったらサポートをしてみませんか?