Microsoft DART ランサムウェアのケース スタディ

人間が操作するランサムウェアは、世界中で最も影響を与えるサイバー攻撃の傾向の 1 つとしてその位置を維持し続け、多くの組織が最近直面している重大な脅威です。 これらの攻撃は、ネットワーク構成の誤りを利用し、組織の脆弱な内部セキュリティで成功します。 これらの攻撃は、組織とその IT インフラストラクチャとデータに明確で危険を与えますが、 予防可能な災害です

Microsoft Detection and Response Team (DART) は、セキュリティ侵害に対応し、お客様がサイバー回復力を高めるのに役立ちます。 DART は、オンサイトの事後対応インシデント対応とリモートプロアクティブな調査を提供します。 DART は、世界中のセキュリティ組織や内部 Microsoft 製品グループとの Microsoft の戦略的パートナーシップを活用して、可能な限り完全かつ徹底的な調査を提供します。

この記事では、攻撃戦術と検出メカニズムの詳細を含む最近のランサムウェア インシデントを、DART が調査した方法について説明します。

詳細については、人間が操作するランサムウェアに対処するための DART のガイドの パート 1パート 2 を参照してください。

攻撃

DART は 、インシデント対応ツールと戦術を 利用して、人間が運用するランサムウェアの脅威アクターの動作を特定します。 ランサムウェア イベントに関する一般情報は、最終的な影響に焦点を当てていますが、操作の詳細と、脅威アクターが検出されずにアクセスをエスカレートして検出、収益化、および強要できた方法を強調することはほとんどありません。

MITRE ATTCK& の戦術に基づいて、攻撃者がランサムウェア攻撃に使用する一般的な手法を次に示します。

Common techniques that attackers use for ransomware attacks.

DART はMicrosoft Defender for Endpointを使用して、環境を介して攻撃者を追跡し、インシデントを示すストーリーを作成し、脅威を根絶して修復しました。 デプロイされると、Defender for Endpoint はブルート フォース攻撃からのログオンの検出を開始しました。 これを検出すると、DART はセキュリティ データを確認し、リモート デスクトップ プロトコル (RDP) を使用して脆弱なインターネットに接続しているデバイスをいくつか見つけました。

最初のアクセスが得られた後、脅威アクターは Mimikatz 資格情報収集ツールを使用してパスワード ハッシュをダンプし、プレーンテキストで保存された資格情報をスキャンし、スティッキー操作でバックドアを作成し、リモート デスクトップ セッションを使用してネットワーク全体を横方向に移動しました。

このケース スタディでは、攻撃者が取った強調表示されたパスを次に示します。

The path the ransomware attacker took for this case study.

以降のセクションでは、MITRE ATTCK& の戦術に基づく追加の詳細について説明し、Microsoft 365 Defender ポータルで脅威アクター アクティビティが検出された方法の例を示します。

初期アクセス

ランサムウェア キャンペーンでは、通常、フィッシングメールや、インターネット上で公開されているリモート デスクトップ サービスが有効なデバイスなどの境界防御の弱点を使用して、最初のエントリに既知の脆弱性を使用します。

このインシデントに対して、DART は RDP 用の TCP ポート 3389 がインターネットに公開されているデバイスを見つけることができました。 これにより、脅威アクターはブルート フォース認証攻撃を実行し、最初の足場を得ることができました。

Defender for Endpoint では、脅威インテリジェンスを使用して、既知のブルートフォース ソースから多数のサインインがあることを確認し、Microsoft 365 Defender ポータルに表示しました。 例を次に示します。

An example of known brute-force sign-ins in the Microsoft 365 Defender portal.

偵察

最初のアクセスが成功すると、環境の列挙とデバイスの検出が開始されました。 これらのアクティビティにより、脅威アクターは組織の内部ネットワークに関する情報を特定し、ドメイン コントローラー、バックアップ サーバー、データベース、クラウド リソースなどの重要なシステムをターゲットにすることができました。 列挙とデバイスの検出後、脅威アクターは同様のアクティビティを実行して、脆弱なユーザー アカウント、グループ、アクセス許可、ソフトウェアを識別しました。

脅威アクターは、IP アドレス スキャン ツールである Advanced IP Scanner を利用して、環境で使用される IP アドレスを列挙し、後続のポート スキャンを実行しました。 脅威アクターは、開いているポートをスキャンすることで、最初に侵害されたデバイスからアクセス可能なデバイスを検出しました。

このアクティビティは Defender for Endpoint で検出され、さらなる調査のために侵害のインジケーター (IoC) として使用されました。 例を次に示します。

An example of port scanning in the Microsoft 365 Defender portal.

資格情報の盗難

最初のアクセス権を取得した後、脅威アクターは Mimikatz パスワード取得ツールを使用して資格情報の収集を実行し、最初に侵害されたシステムで "password" を含むファイルを検索しました。 これらのアクションにより、脅威アクターは正当な資格情報を使用して追加のシステムにアクセスできるようになりました。 多くの場合、脅威アクターはこれらのアカウントを使用して追加のアカウントを作成し、侵害された最初のアカウントが特定され修復された後も永続化を維持します。

Microsoft 365 Defender ポータルで Mimikatz の使用が検出された例を次に示します。

An example of Mimikatz detection in the Microsoft 365 Defender portal

横移動

エンドポイント間の移動は組織によって異なる場合がありますが、脅威アクターは、通常、デバイスに既に存在するさまざまなリモート管理ソフトウェアを使用します。 IT 部門が日常的なアクティビティで一般的に使用するリモート アクセスの方法を利用することで、脅威のアクターは長時間レーダーの下を飛行できます。

MICROSOFT DEFENDER FOR IDENTITYを使用して、DART は、脅威アクターがデバイス間で実行したパスをマップし、使用およびアクセスされたアカウントを表示できました。 例を次に示します。

The path that the threat actor took between devices in Microsoft Defender for Identity.

防御回避

検出を回避するために、脅威アクターは防御回避手法を使用して識別を回避し、攻撃サイクル全体でその目標を達成しました。 これらの手法には、ウイルス対策製品の無効化または改ざん、セキュリティ製品または機能のアンインストールまたは無効化、ファイアウォール規則の変更、セキュリティ製品やサービスからの侵入のアーティファクトを非表示にする難読化手法の使用などがあります。

このインシデントの脅威アクターは、PowerShell を使用して、デバイスとローカル ネットワーク ツールをWindows 11およびWindows 10して、TCP ポート 3389 を開き、RDP 接続を許可するために、Microsoft Defender のリアルタイム保護を無効にしました。 これらの変更により、悪意のあるアクティビティを検出して警告するシステム サービスが変更されたため、環境内で検出される可能性が低下しました。

ただし、Defender for Endpoint はローカル デバイスから無効にできず、このアクティビティを検出できました。 例を次に示します。

An example of detecting the use of PowerShell to disable real-time protection for Microsoft Defender.

永続 化

永続化手法には、セキュリティ スタッフが侵害されたシステムの制御を取り戻すための取り組みを行った後、システムへの一貫したアクセスを維持するための脅威アクターによるアクションが含まれます。

このインシデントの脅威アクターは、認証なしで Windows オペレーティング システム内でバイナリをリモートで実行できるため、スティッキー ハッキングを使用しました。 その後、この機能を使用してコマンド プロンプトを実行し、さらに攻撃を実行しました。

Microsoft 365 Defender ポータルでの固定キーのハッキングの検出の例を次に示します。

An example of detecting the Sticky Keys hack in the Microsoft 365 Defender portal.

影響

脅威アクターは通常、環境内に既に存在するアプリケーションまたは機能を使用してファイルを暗号化します。 PsExec、グループ ポリシー、Microsoft Endpoint Configuration Management の使用は、アクターが通常の操作を中断することなくエンドポイントやシステムにすばやくアクセスできるようにするデプロイ方法です。

このインシデントの脅威アクターは、PsExec を利用して、さまざまなリモート共有から対話型 PowerShell スクリプトをリモートで起動しました。 この攻撃方法では、配布ポイントがランダム化され、ランサムウェア攻撃の最終段階で修復が困難になります。

ランサムウェアの実行

ランサムウェアの実行は、脅威アクターが攻撃を収益化するために使用する主要な方法の 1 つです。 実行方法に関係なく、個別のランサムウェア フレームワークは、一度デプロイされると共通の動作パターンを持つ傾向があります。

  • 脅威アクターアクションを難読化する
  • 永続化を確立する
  • Windows エラーの回復と自動修復を無効にする
  • サービスの一覧を停止する
  • プロセスの一覧を終了する
  • シャドウ コピーとバックアップを削除する
  • ファイルを暗号化し、カスタム除外を指定する可能性がある
  • ランサムウェアノートを作成する

ランサムウェアノートの例を次に示します。

An example of a ransomware note.

その他のランサムウェア リソース

Microsoft からの主な情報:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Defender for Cloud Apps:

Microsoft Azure:

Microsoft Security チームのブログ記事: