【要点抽出】red canary Threat Detection Report

ニキヌス

red canary社のThreat Detection Reportについてです。
本レポートはサマリ版と詳細版がありますが、以下はサマリ版です。

https://redcanary.com/resources/

red canaryとは?

私は使ったことはないですが、エンドポイント、NW、メール、ID、クラウドを監視するMDR製品のベンダだそうです。
ベンダからのレポートですので、当然ながら最後は「red canary入れてね」という締めくくりとなり、その宣伝込みの目線で読む必要はあります。
(でも恣意的な、不自然な傾向の表現は見受けられないです)

脅威の傾向

ランサムウェア

  • 同社の顧客の環境において、2022年は前年に比べてランサムウェアのインシデントの数が減少

  • しかしこれはランサムの攻撃が減ったことを意味するのではなく、同社が攻撃の初期段階を把握できるようになった(結果としてランサムを防げるようになった)ことによる傾向の変化であると主張

  • 同社が考える脅威TOP10には以下の有名なツールが名を連ねるが、そのうち8つはランサムを目的とした初期活動において使われていたもの。
    つまり、攻撃者が活用するツールの傾向が分かっている以上、それらを捕まえることが後に続くランサム被害の防止につながる

    • Qbot

    • Impacket

    • Gootloader

    • SocGholish

    • Mimikatz

    • Raspberry Robin

    • Cobalt Strike

    • BloodHound

初期侵入

  • フィッシングメールからマルウェア感染を狙う際、これまでは添付ファイルにマクロファイルを用いていたが、圧縮ファイル(ZIP,RAR)やコンテナファイル(ISO,VHD)にシフトしている

  • インターネットから入手したOfficeファイルを実行する際に警告を表示するMOTW(Mark of the Web)機能を回避するために、攻撃者はISOファイルを利用している

  • SEOポイズニングやマルバタイジングによるマルウェア感染も続いている

ID侵害

  • MFAに対しては、しつこくMFA承認要求をユーザ本人に送り、受け入れさせることで突破する手法が増えている(MFA疲労攻撃など)

  • 地理的なチェック(不自然に離れた場所からのアクセスを確認する)に対しては、パブリッククラウドを活用して回避する手法が増えている
    (恐らくターゲットと近い国のクラウドインフラを使うことで、攻撃者との物理的な距離をごまかしているということと理解)

  • 2022年はO365のアカウント侵害を狙った攻撃が増加

メール

  • スピアフィッシング、BEC、メールアカウント詐欺による不正送金やマルウェア感染の被害は、ランサムによる被害を上回っている

  • タイポスクワットや企業ドメインのなりすましといった手法も多いが、偽物のドメインだと標的から見破られる可能性がある。より成功率を高めるために、正規ドメインを利用すべくアカウント侵害を行っている

  • 攻撃者が侵入した際、その後に続ける不正送金や侵害に気づかれないよう、標的ユーザのメールボックスのルールを変更する動きがみられる。
    例えば、普段正規ユーザが関心をもつ特定のメールを目立たないフォルダにリダイレクトするようにしたり、パスワード再設定のメールを自動的に既読にする等

攻撃者がよく使うテクニック

Windowsコマンドシェル、powershell、WMIなどのエンドポイントベースの管理、自動化、および管理ユーティリティは、正規の管理者にも使われるので監視から逃れやすいことから人気

対処法

  • アタックサーフェス管理。特にインターネットに公開されている資産の特定と強化。強力な多要素認証がない、あるいは既知の悪用可能な脆弱性を持つ公開システムは、特に格好のターゲットとなる

  • アイデンティティの保護、検出、および対応能力の強化

  • クラウドベースのメールシステムを可視化。メール転送やルーティングルールの作成など、異常なアクティビティを注意深く監視する

  • オンプレとクラウドンにまたがるイベントやセキュリティデータの収集を一元化

  • 24時間365日の監視と対応(攻撃者の侵害が分単位までスピードアップしているため)

  • 継続的なテストの実施

感想

キーワードだけでは目新しいものは少ないですが、例えば自分の会社では攻撃手法の流行にあわせてメールの添付ファイルフィルタを見直せているだろうか(すでにISOファイルは遮断しているか)、メールボックスのルール変更に気づくことはできるだろうか、といった自社の対策視点で振り返ることが大事だと思います。
また、WindowsコマンドシェルやPowershellを悪用して標準的なコマンドを中心に探索等された場合は確かにEDRでも気づけない場合があります。
ですので、その実行ユーザ、実行タイミング、実行頻度などの観点からある程度の誤検知を覚悟した上でのログ分析も組み合わせる必要があると思いました。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。

この記事が気に入ったらサポートをしてみませんか?